De procureur-generaal van Colorado publiceert voorgestelde privacyregels en begint met het houden van bijeenkomsten met belanghebbenden

Op 7 juli 2021 heeft Colorado de Colorado Privacy Act (CPA) aangenomen, waarmee het de derde Amerikaanse staat is die een uitgebreide privacywet heeft aangenomen. Zoals eerder beschreven, is de CPA niet op iedereen van toepassing. In plaats daarvan is deze alleen van toepassing op "verwerkingsverantwoordelijken" die zaken doen in Colorado en die per jaar de persoonsgegevens van ten minste 100.000 inwoners van Colorado verwerken of beheren, of die de persoonsgegevens van ten minste 25.000 inwoners verwerken en beheren en inkomsten genereren uit of korting ontvangen op de verkoop van persoonsgegevens. De CPA biedt consumenten vergelijkbare rechten als de California Privacy Rights Act (CPRA), zoals het recht op toegang tot, correctie en verwijdering van persoonsgegevens, samen met het recht om zich af te melden voor het gebruik van persoonsgegevens voor gerichte reclame, maar omvat ook een nieuw recht om in beroep te gaan tegen afgewezen verzoeken.

De CPA verleent handhavingsbevoegdheden aan de procureur-generaal van Colorado, maar verplicht deze ook om regels op te stellen met betrekking tot de privacy van de persoonlijke gegevens van inwoners van Colorado en de uitvoering van de CPA. Deze bevoegdheid omvat het vaststellen van nieuwe voorschriften met betrekking tot de uitvoering en interpretatie van de CPA, en in het bijzonder het vaststellen van regels met betrekking tot de technische specificaties van een of meer opt-outmechanismen om de bevestigende, vrijwillige en ondubbelzinnige keuze van een consument om zich af te melden voor verwerking met het oog op gerichte reclame of de verkoop van persoonlijke gegevens, kenbaar te maken.

Na een pre-regelgevingsproces waarin de procureur-generaal belanghebbenden om input vroeg over de komende regelgeving, heeft de procureur-generaal op 30 september 2022 de voorgestelde Colorado Privacy Act Rules (ontwerpregels) gepubliceerd, waarmee de fase van kennisgeving en commentaar op de regelgeving van start is gegaan. De ontwerpregels, die bijna 40 pagina's lang zijn, staan nu open voor commentaar van het publiek.

Hoogtepunten uit het ontwerpreglement

De ontwerpregels hebben betrekking op vereisten voor informatieverstrekking aan consumenten (privacyverklaringen), de wijze waarop consumenten verzoeken kunnen indienen om hun privacyrechten uit hoofde van de CPA uit te oefenen en vereisten voor het reageren op die verzoeken, vereisten voor universele opt-outmechanismen, vereisten voor loyaliteitsprogramma's, gegevensminimalisatie en toegestaan gebruik van persoonsgegevens, toestemmingsvereisten voor het gebruik van gevoelige gegevens, verplichtingen inzake het bijhouden van gegevens, het vermijden van dark patterns en andere interfacevereisten, gegevensbeschermingsbeoordelingen en profilering. Enkele van de meer ingrijpende bepalingen zijn:

Universele opt-outmechanismen. De ontwerpregels vereisen dat verwerkingsverantwoordelijken in staat zijn om het universele opt-outmechanisme te herkennen dat zou functioneren door te luisteren naar een opt-outsignaal of door een "niet verkopen"-lijst op te vragen die zou worden gepubliceerd.
Privacyverklaringen. De ontwerpregels beschrijven de inhoud van privacyverklaringen die vereist zijn onder de CPA. In overeenstemming met de richtlijnen van de FTC moet de verwerkingsverantwoordelijke consumenten op de hoogte stellen en toestemming verkrijgen voor substantiële of materiële wijzigingen in de privacypraktijken van het bedrijf, maar de CPA stelt als vereiste dat de verklaring ten minste 15 dagen voordat de wijziging van kracht wordt, wordt bijgewerkt. Hoewel de ontwerpregels expliciet vermelden dat een afzonderlijke privacyverklaring die alleen voor Colorado geldt, niet vereist is, verschillen de vereisten voor privacyverklaringen in de ontwerpregels zodanig van de vereisten voor privacyverklaringen in andere rechtsgebieden dat een afzonderlijke privacyverklaring die alleen voor Colorado geldt, uiteindelijk voor de meeste bedrijven het meest praktisch kan zijn.
Toestemming. De ontwerpregels specificeren de omstandigheden waarin verwerkingsverantwoordelijken toestemming moeten verkrijgen, zoals vóór de verwerking van persoonsgegevens van een bekend kind, gevoelige gegevens, persoonsgegevens in specifieke gevallen nadat een consument zich heeft afgemeld voor verwerking, en persoonsgegevens die voor een andere reden zijn verzameld. Veel aspecten van de toestemmingsvereisten komen overeen met de Algemene Verordening Gegevensbescherming van de EU. De ontwerpregels bevatten ook een unieke bepaling die vereist dat toestemming regelmatig en jaarlijks voor gevoelige gegevens wordt vernieuwd.

Volgende stappen in het regelgevingsproces

Om feedback van belanghebbenden te verzamelen, zal het kantoor van de procureur-generaal drie virtuele bijeenkomsten met belanghebbenden organiseren om de voorgestelde ontwerpregels te bespreken. Deze bijeenkomsten met belanghebbenden vinden plaats op 10, 15 en 17 november 2022 en zullen zich richten op specifieke onderwerpen die in de CPA en de ontwerpregels aan de orde komen, waaronder consumentenrechten en universele opt-outmechanismen, zakelijke verplichtingen en gegevensbeschermingsbeoordelingen, en profilering, toestemming en definities.

In verband met de publicatie van de ontwerpregels houdt het kantoor van de procureur-generaal van Colorado op 1 februari 2023 een openbare hoorzitting die zowel fysiek als via videoconferentie zal plaatsvinden. Iedereen kan verzoeken om te getuigen tijdens de hoorzitting over de regelgeving en openbare opmerkingen indienen. De procureur-generaal heeft vervolgens 180 dagen de tijd om de aangenomen regels in te dienen bij de minister van Buitenlandse Zaken voor publicatie in het Colorado Register. De CPA treedt in werking op 1 juli 2023, maar de procureur-generaal heeft duidelijk gemaakt dat hij pas zal beginnen met de handhaving van de CPA wanneer de bindende voorschriften van kracht zijn.

De procureur-generaal heeft benadrukt dat zijn bureau "openstaat voor samenwerking" en dat zijn "hoogste prioriteit [op het gebied van handhaving] ligt bij degenen die opzettelijk de wet overtreden..." De procureur-generaal heeft aangegeven dat zijn handhavingsprioriteiten onderscheid maken tussen bedrijven die "te goeder trouw en met goede bedoelingen de wet naleven, waarbij je een voetafdruk achterlaat" en de wet overtreden, en bedrijven die zich schuldig maken aan "opzettelijke niet-naleving". Niettemin blijft het belangrijk om bepaalde activiteiten te ondernemen die blijk geven van "te goeder trouw, goedbedoelde naleving". In een eerdere post hebben we manieren besproken waarop bedrijven prioriteit kunnen geven aan bepaalde activiteiten die ook in andere privacyregelingen kunnen worden hergebruikt. Als dat nog niet het geval is, moeten organisaties die onder de CPA als verwerkingsverantwoordelijken kwalificeren, nu met deze activiteiten beginnen. Na de hoorzitting over de regelgeving in Colorado zal de procureur-generaal geen openbare opmerkingen meer accepteren, aangezien zijn kantoor de regels definitief vaststelt, tenzij hij besluit nog een ronde van amendementen te houden. Aangezien de CPA op 1 juli 2023 van kracht wordt en de procureur-generaal om input heeft gevraagd als onderdeel van een strategie voorafgaand aan de regelgeving, lijkt het onwaarschijnlijk dat er nog een ronde van amendementen zal komen. Bedrijven die opmerkingen willen maken, moeten dat daarom doen tijdens de eerste commentaarperiode.

Volgende stappen voor bedrijven

Hoewel de CPA pas over acht maanden van kracht wordt, moeten bedrijven nu al beginnen te bepalen hoe de verplichtingen uit hoofde van de CPA en de ontwerpregels passen in hun algemene inspanningen om te voldoen aan de privacywetgeving van de vier andere staten die privacywetgeving hebben aangenomen. Californië is tot nu toe de enige andere staat die regelgeving heeft gepubliceerd ter aanvulling van zijn privacywetgeving, en de ontwerpregels van Colorado verschillen op een aantal belangrijke punten van die van Californië.

Voor meer informatie over het naleven van de CPA kunt u contact opnemen met de auteurs of een partner of senior adviseur vanhet Cybersecurity and Data Privacy-team van Foley.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.