חוק הגנת פרטיות חדש בקליפורניה

ביום 28.6.2018 חוקקה מדינת קליפורניה בארצות הברית חוק הגנת פרטיות חדש בשם California Consumer Privacy Act. החוק אומנם ייכנס לתוקף רק ביום 1.1.2020 אך לאחר תחולתו הוא יחול גם על מידע שנכנס בגדרי החוק אשר נאסף בשנה שלפני כניסתו לתוקף.

החוק יחול על עסקים המקיימים עסקים בקליפורניה, כאשר למטרות החוק "עסק" ייחשב כישות משפטית הפועלת למטרות רווח, אשר אוספת מידע אישי על צרכנים תושבי קליפורניה (בעצמה או באמצעות אחרים) ואשר קובעת את מטרות השימוש במידע האמור או את האמצעים שבהם המידע האמור יעובד (לרבות קביעה במשותף עם גופים או עסקים אחרים). עם זאת, החוק יחול על עסק כאמור רק אם הוא מקיים לפחות אחד מהתנאים הבאים:

1. ההכנסה השנתית של העסק היא 25,000,000 דולר או יותר;

2. העסק קונה, מקבל, מוכר או משתף למטרות עסקיות מידע אישי של 50,000 צרכנים בשנה לפחות (לבד או במשותף עם אחרים);

3. העסק מפיק 50% או יותר מההכנסה השנתית שלו ממכירת מידע אישי של צרכנים.

כאמור, החוק חל על עסקים רק אם הם מקיימים עסקים בקליפורניה. אמנם החוק לא מגדיר במפורש מהי המשמעות של "ניהול עסקים" בקליפורניה[1], אך ניתן להניח כי ההגדרה תכלול גם עסקים אשר התאגדו במקומות אחרים (חברות ישראליות, למשל) המקיימים פעילות עסקית בקליפורניה. לכן, על חברות ישראליות להתכונן לכך שהחוק יחול עליהן, אם הן מנהלות עסקים בקליפורניה.

החוק מטיל על העסקים מגבלות והוראות הנוגעות לשמירה, מכירה, עיבוד והפצה של מידע אישי על-ידיהם, כאשר מידע אישי יהיה כל מידע שיש בו כדי לזהות או לתאר אדם או משק בית פרטי, או שניתן לקשר אותו בצורה סבירה, במישרין או בעקיפין, עם אותו האדם או משק הבית. בין היתר, מדובר במידע כמו שמות, כתובות (לרבות כתובות דוא"ל או IP), מידע הנוגע להשכלה או תעסוקה, העדפות או שימוש ברשת וכל מידע שניתן להפיק ממנו פרופיל של הצרכן.

על העסק יהיה לאפשר לצרכן לבקש את מחיקת המידע, לגלות לצרכן איזה מידע נאסף עליו (בעת הגילוי או עובר לו וכן לבקשת הצרכן לאחר מכן) ולא למכור את המידע של הצרכן, אם הצרכן ביקש זאת (במנגנון opt-out). לצד כל זאת, החוק מטיל על העסק חובות נוספות ומקנה לצרכן זכויות נוספות.

החוק כולל גם הוראות חדשניות יחסית, שאינן נפוצות בחוקי פרטיות נוספים דוגמת ה-GDPR (General Data Protection Regulation) האירופאי. כך למשל, החוק אוסר על עסקים להפלות צרכנים על בסיס כך שהצרכנים ביקשו למממש את זכויותיהם לפי החוק.

הפרה של החוק על-ידי העסק יכולה להוביל לקנס[2] בסכום של 2,500 דולר להפרה (או 7,500 דולר להפרה מכוונת), בנוסף לפיצוי של עד 750 דולר לצרכן (או יותר במקרה שנגרמו לצרכן נזקים בפועל שסכומם עולה על הסכום האמור). הסכומים הם בגין כל הפרה והפרה, כך שבמקרה של הפרה הנוגעת למספר רב של צרכנים או הפרות מתמשכות, הסכומים עשויים להיות משמעותיים ביותר.


[1] בלשון החוק, מדובר בישות משפטית אשר "does business in the State of California".

[2] Civil penalty.

כתוב/כתבי תגובה