לפני כמה חודשים אישרה קליפורניה חקיקה המטילה שורה של חובות על חברות הסוחרות במידע אישי. מטרת החוק היא לאפשר לנושאי המידע למחוק את המידע האישי שלהם לפי חוק הפרטיות בקליפורניה (CPPA ו- CPRA) באמצעות בקשה אחת מרוכזת שכוחה יפה לכל החברות, בעוד שעד כה היה צורך בפנייה נפרדת אל כל חברה וחברה.
החוק מתווה את בין היתר, את הכללים הבאים:
- העברת סמכות הפיקוח על החברות הסוחרות במידע האישי מהתובע הכללי של קליפורניה אל סוכנות הגנת הפרטיות בקליפורניה (CPPA).
- החברות הסוחרות במידע אישי יעברו ביקורת כל שלוש שנים על ידי צד שלישי מוסמך ובלתי תלוי בכדי להבטיח את ציותן להוראות החוק, ולאחריה יוגש דוח ביקורת ל-CPPA.
- ה- CPPA תיצור מגנון מחיקה מקוון ונגיש שבאמצעותו נושאי המידע יוכלו להורות לכל החברות למחוק את הנתונים הנדרשים. המנגנון יעוצב כך שיאמת את בקשות נושאי המידע, יעניק אפשרות החרגה סלקטיבית של חברות סוחרות מסוימות, ואפשרות שינוי או ביטול בקשת מחיקה קודמת.
- החברות הסוחרות במידע אישי יורו לצדדים שלישיים הקשורים אליהן לנקוט בפעולות הנדרשות בהתאם לבקשות נושאי המידע. החברות יחויבו לגשת למנגנון המחיקה כל 45 יום בכדי לטפל בבקשות מחיקה.
- בעת סירוב לבקשות מחיקה, על החברות הסוחרות לדווח על נימוק הסירוב ולציין האם הבקשה לא הייתה ניתנת לאימות; לא נעשתה על ידי נושא המידע; מדובר במידע פטור ממחיקה; או שהבקשה נדחתה מטעמים אחרים.
- בעת דחיית בקשות מחיקה לאור קושי באימותן, על החברות להתייחס לבקשות כאל ביטול הסכמתם של נושאי המידע למכירה או לשיתוף מידע אישי תחת חוק פרטיות הצרכנים בקליפורניה (CCPA).
- חברות נדרשות להתייחס לבקשות המחיקה באופן מתמשך. הן ימשיכו למחוק מידע אישי לפחות אחת ל-45 יום וימנעו ממכירה או שיתוף מידע אישי חדש שנאסף מאותו נושא המידע.
- החברות הסוחרות במידע ידרשו לספק ולפרט ל-CPPA בעת רישומן השנתי את המידע הבא: מספר בקשות מחיקה שהתקבלו, נענו ונדחו. הן גם יידרשו לחשוף את הזמן הממוצע הנדרש להגיב לבקשות אלו, ולמסור התייחסות לסוג המידע הנאסף.
- אי ציות להוראות החוק עלולה לגרור קנסות משמעותיים- לדוגמא קנס מנהלתי בסך של 200$ עבור כל יום בו בקשת מחיקת מידע לא נענית על ידי חברה הסוחרת במידע אישי.