הסוכנות להגנת הפרטיות במדינת קליפורניה (California Privacy Protection Agency - CPPA) פרסמה טיוטה ראשונית של תקנות הנוגעות לביקורות אבטחת סייבר ותסקיר סיכונים החל גם על טכנולוגיות קבלת החלטות אוטומטיות.
תחולת התקנות בדבר ביקורות אבטחת עדיין פתוחה לדיון. הטיוטה הראשונית מציעה חלופות שונות לתחולת התקנות על עסקים, המבוססות על קריטריונים שונים של היקפי ואופי פעולות העסק. ההוראות בטיוטת התקנות מציעות, בין היתר, כי –
- עסק יידרש לבצע את ביקורת אבטחת הסייבר הראשונה בתוך 24 חודשים מכניסת התקנות לתוקף.
- הביקורת תעשה בצורה מקיפה ובלתי תלויה.
- עסק המבצע ביקורת אבטחת סייבר יהיה חייב לדווח עליה ותוצאותיה לסוכנות להגנת הפרטיות של קליפורניה.
התקנות בדבר הערכות סיכונים בטכנולוגיית קבלת החלטות אוטומטיות יחולו על עסקים המעבדים מידע אישי על צרכנים ברמה המהווה מהווה סיכון משמעותי לפרטיותם. ההוראות בטיוטת התקנות בנושא זה מציעות, בין היתר, כי
- הערכת הסיכונים תכלול את כל המבנה הארגוני של העסק וכן גורמים חיצוניים רלוונטיים.
- תסקיר הערכת הסיכונים יכלול בין היתר סיכום קצר של עיבוד המידע, קטגוריות המידע האישי המעובד והצורך בעיבוד המידע לאותו העסק.
- התסקיר יכלול התייחסות לשיטה בה מתכנן העסק לאסוף לשמור ולעבד את המידע לרבות המקורות מהן מגיע המידע, כמה זמן תשמר כל קטגוריה של מידע, הטכנולוגיה בה ישתמשו בעיבוד המידע, ועוד.
- העסק נדרש לפרט באופן ספציפי מדוע נדרש עיבוד מידע וכיצד הוא משיג את המטרה.
- תסקיר הערכת הסיכונים יכלול את היתרונות העולים לעסק, לצרכן ולבעלי עניין מעיבוד המידע.
- התסקיר נדרש לכלול גם את ההשפעות השליליות של עיבוד המידע על פרטיות הצרכנים וכן את אמצעי ההגנה שהעסק מתכנן ליישם על מנת להתמודד עם ההשפעות השליליות.
- עסקים המבצעים שימוש בטכנולוגיית קבלת החלטות אוטומטיות להוסיף התייחסות לסיבות בגינן העסק משתמש בטכנולוגיה שכזו, המידע המעובד וכיצד העסק מתכוון לשמור על איכות והגינות ההחלטות. ;