הצעת חוק פדרלית דו-מפלגתית להגנת הפרטיות בארצות הברית

ב-7 באפריל 2024, הוצגה טיוטת חוק זכויות הפרטיות האמריקאי (The American Privacy Act). בהבאת הצעת חוק זו, הנתמכת בידי שתי המפלגות , יש משום צעד משמעותי להסדרת מעמדה החוקי של הזכות לפרטיות בארצות הברית. הצעת החוק מקרבת את משטר הפרטיות האמריקאי לזה האירופי, שהפך זה מכבר לאבן בוחן עולמית. תהליך החקיקה צפוי להימשך עוד מספר חודשים, ולאחר השלמתו, ייקבע פרק זמן של 180 יום עד לכניסתו לתוקף, במסגרתם יוכלו החברות עליהן יחול להיערך ליישום הוראותיו.

מה היא תחולת החוק?

החוק חל על חברות שנמצאות תחת פיקוח של ועד הסחר הפדרלית (FTC). מדובר  בכלל החברות שיש להן פעילות עסקית בארה"ב, גם אם הן אינן מאוגדות בארה"ב. החוק צפוי להחריג מתחולתו חברות קטנות (בעלות רווח שנתי של פחות מ-40 מיליון דולר, שמעבדות מידע אישי של פחות מ-200,000 אנשים למעט לצרכי תשלומים, ושאינן מוכרות מידע אישי) וגופים מדינתיים.

החוק כולל הוראות המופנות גם כלפי הגורמים האוספים את המידע ומעבדים אותו לצרכיהם, וגם כלפי ספקי שירותים.

הצעת החוק עוסקת בכל מידע פרטי, שיכול להיות מקושר – לבדו או לצד מידע אחר – לאדם או למכשיר ממנו מתבצע השימוש. מידע פרטי אינו כולל:

• נתונים לא מזוהים.
• נתוני עובדים.
• מידע זמין לציבור (למשל מידע שזמין לציבור הרחב ברשתות חברתיות).

אכיפת הוראות החוק תוטל על ה-FTC. לצד האכיפה בידי הרשויות, החוק מאפשר גם תביעות אישיות  בגין הפרתו.

 מה הן ההוראות המרכזיות של החוק?

הצעת החוק קובעת מספר עקרונות מרכזיים לגבי עיבוד מידע פרטי:

1. מזעור נתונים (Data Minimization)

   אין לאסוף מידע מעבר לנדרש ולמידתי ביחס למטרה לשמה נאסף המידע.

2. הסכמה ומשיכתה

   נדרשת הסכמה מפורשת מצד נושאי המידע לשימוש במידע האישי שלהם, ובאפשרותם למשוך את הסכמתם לשימוש במידע ולקבלת פרסומים ממוקדים מבתי עסק בכל עת.

3. גישה ותיקון

    לנושאי המידע תהיה הזכות לגשת למידע שנאסף אודותם ולתקן אותו.

4. שקיפות

   על חברות להתנהל בשקיפות לגבי אופן השימוש שלהן במידע האישי, ולגבי הגורמים אליהם המידע מועבר.

5. נגישות

   על חברות להעמיד לרשות הציבור מדיניות פרטיות נגישה ומפורטת.

6. אבטחת מידע

   על חברות להגן על מידע אישי מפני גישה לא מורשית, דליפת מידע, או שימוש לרעה בו.

   בנוסף, מכוח החוק יוקם מרשם לאומי של סוחרי מידע (Data Brokers), שיאפשר פניה של אנשים להגבלת שימוש במידע הפרטי שלהם.

   מה מוסיפה הצעת החוק החדשה לחקיקה קיימת?

   הוראות הצעת החוק צפויות לחול בכלל ארה"ב, והן מקבלות קדימות על פני הוראות חוק מדינתי באותו הנושא (דוגמת ה-CPRA בקליפורניה). עם זאת, הוראות חוקים מדינתיים שמנויים בחוק החדש ימשיכו לחול, בעיקר בתחומי דיני העבודה, מידע סטודנטים ודיווח אודות דלף מידע. חברות הפועלות במדינות בהן ישנה חקיקה כזו עשויות להיות נתונות לאכיפה של הרשות המדינתית לצד הרשות הפדרלית.

    

   גופים הכפופים לחוקים פדרליים המסדירים העברת מידע (דוגמת HIPPA, המסדירה העברת מידע רפואי) יהיו כפופים לכלל הוראות החוק מלבד אלה העוסקות באבטחת מידע, לגביהן יחולו ההסדרים הקבועים בחוקים אחרים.

   ***

   מחלקת סייבר, פרטיות ואבטחת מידע בברנע ג'פה לנדה עומדת לשירותכם בכל סוגיה הנוגעת לחוקי הגנת הפרטיות ואבטחת המידע בישראל, באירופה, בארה"ב, ובמדינות נוספות.

   ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.

    

   עו"ד מאשה יודשקין היא עורכת דין במחלקה.