Kalifornský zákon o právech na soukromí spotřebitelů (CPRA), platný od 1. ledna 2023, je nejvýznamnějším rozšířením amerického práva na ochranu soukromí od zavedení CCPA. Pro organizace zpracovávající zákaznická data AI, CPRA představuje specifické nové povinnosti.
CPRA Klíčové Rozšíření Oproti CCPA
Nové kategorie citlivých osobních informací (SPI): CPRA definuje novou kategorii „citlivých osobních informací" s posílenými právy spotřebitelů. Spotřebitelé mohou omezit používání SPI:
- Čísla SSN, řidičského průkazu, čísla státem vydaného průkazu totožnosti
- Přihlašovací pověření účtu kombinovaná s přístupovým kódem/heslem
- Přesná geolokace
- Rasový nebo etnický původ, náboženské nebo filozofické přesvědčení, odborové členství
- Obsah osobní pošty, e-mailů, textových zpráv
- Genetická data
- Biometrické informace
- Zdravotní informace
- Informace o sexuálním životě nebo sexuální orientaci
Nový regulátor — CPPA: Califorská agentura pro ochranu soukromí (CPPA) je specializovaný agentura zaměřená výlučně na ochranu soukromí. Jako EU DPA, CPPA má rozsáhlé vyšetřovací a vymáhací pravomoci.
Minimalizace dat: CPRA přidává explicitní požadavky na minimalizaci dat — sbírejte pouze potřebné, uchovávejte pouze tak dlouho, jak je nezbytné. Tato povinnost je analogická k GDPR Článku 5(1)(c) a (e).
Dopady AI Zpracování CPRA
AI nástroje zpracovávající zákaznická data Kalifornie pod CPRA mají specifická rizika:
Automatizované profilování: CPRA poskytuje práva pro omezení automatizovaného rozhodování ovlivňujícího spotřebitele. AI systémy, které automaticky kategorizují nebo hodnotí spotřebitele musí splňovat požadavky transparency.
Tréninková data: Použití zákaznických dat k trénování AI modelů může být „prodej" nebo „sdílení" dat pod CCPA/CPRA — vyžadující opt-out mechanismus.
Sdílení s AI prodejci: Odeslání zákaznických dat na třetí strany AI platformy (ChatGPT, Claude) bez vhodné smlouvy o zpracování dat je sdílením pod CPRA.
Anonymizace jako Snižování CPRA Rizika
CPRA výslovně vylučuje anonymizovaná data z definice osobních informací — odstraňuje CPRA povinnosti pro data, která „nemohou být přiměřeně spojena s konkrétním spotřebitelem nebo domácností."
Implementace: Před zasláním zákaznických dat na AI nástroje, anonymizujte identifikátory. Anonymizovaný obsah zpracovává AI. Skutečné zákaznické identity zůstávají ve vašich řízených systémech.
Zdroje: