American Data Privacy and Protection Act: det här vet vi

Det blåser dataskyddsvänliga och blocköverskridande vindar på andra sidan Atlanten, men vi är fortfarande långt ifrån en amerikansk federal dataskyddslag. I detta blogginlägg sammanfattar vi vad vi vet om det senaste lagförslaget på en amerikansk GDPR, American Data Privacy and Protection Act (ADPPA). I korthet innebär ADPPA förslag på nya nationella standarder för företags behandling av konsumentdata, i bland annat dataminimeringssyfte. 

Key Takeaways från ADPPA: 

• ADPPA är långt ifrån perfekt men utgör ett steg i rätt riktning genom sitt trendbrott från det alltmer polariserade politiska läget i USA. 

• ADPPA kommer vara olika tillämpbart beroende på verksamhetens storlek och hur omfattande personuppgiftsbehandling organisationen genomför. 

• Regelverket innebär krav på ökad transparens och nya rättigheter för individen. 

• Barn under 17 år ges ett extra starkt skydd. 

• Vissa verksamheter kommer omfattas av kravet på en Chief Privacy Officer. 

Varför diskuterar vi ADPPA nu? 

Sedan 2018 har det i USA tillkommit ett drygt 70-tal delstatslagar som rör hantering av personuppgifter, uppdelade på 34 olika delstater. Det innebär att amerikanska företag behöver förhålla sig till en lång rad olika regelverk - något som blir omständligt och oerhört kostsamt, inte minst för småföretag. 

Att 2022 är ett valår i USA har uppenbarligen verkat till fördel för arbetet med federal dataskyddslagstiftning. Även om ADPPA bygger på flera decenniers lagstiftningsarbete har det nu gått väldigt fort: Den tredje juni publicerades en pressrelease från senaten som beskriver en överenskommelse mellan såväl hus och senat som mellan republikaner och demokrater. Tisdagen den 14 juni hölls en utfrågning kring ADPPA i utskottet för energi och handel. Efter detta har politikerna bara till 8 november på sig att få lagförslaget färdigställt och godkänt, om det ska ske under denna mandatperiod. Den skyndsamhet som valåret 2022 fört med sig kan dessvärre också innebära att processen inte hinner bli klar. 

Vilka verksamheter berörs av lagförslaget? 

ADPPA är ett lagförslag av konsumenträttslig karaktär som primärt ska falla under Federal Trade Commissioner (FTCs) jurisdiktion. Begreppet "Covered entity" (ungefär motsvarande personuppgiftsansvarig i GDPR), definieras som varje person eller enhet som faller under FTCs jurisdiktion. Därför omfattas även ideella organisationer och telekombolag. 

Kraven i ADPPA ser olika ut på beroende på företagets intäkter och omfattningen av deras personuppgiftsbehandlingar. Särskilda krav ska gälla för så kallade ”stora datainnehavare”, dvs. företag som behandlar känsliga personuppgifter om 100 000 eller fler individer, eller icke-känsliga uppgifter om 5 miljoner eller fler individer. 

Hur definieras ”personuppgifter”? 

ADPPA ska tillämpas på behandlingen av personuppgifter, ”covered data”. Covered data definieras som "information som identifierar eller är kopplad eller rimligen möjlig att koppla till en individ eller en enhet". Uppgifter om anställda undantas från ADPPA som är ett konsumenträttsligt regelverk. 

"Känsliga personuppgifter" inkluderar bland annat statligt utfärdade ID-nummer, privat kommunikation samt information om individer under 17 år. 

Vem ansvarar för att ADPPA efterlevs? 

I första hand är det FTC och eventuellt delstatsåklagare som ansvarar för att kräva efterlevnad av ADPPA. Om dessa, av någon anledning, låter bli att väcka talan, kan enskilda individer föra en civilrättslig talan, (stämma dem). Just denna möjlighet till enskild talan kritiseras flitigt för risken att det öppnar för oseriösa processer som riskerar att bli kostsamma för såväl rättsväsendet som för enskilda företag. 

Den civilrättsliga talerätten är ett tydligt exempel på den kompromiss som ADPPA utgör. Den blir nämligen inte tillgänglig förrän tidigast fyra år efter det att ADPPA trätt i kraft. Amerikanska bolag får alltså en fyraårig tidsfrist för att arbeta med dataskydd och/eller att förbereda sig för sådana stämningar. 

Vad gäller gentemot CCPA och andra delstatslagar? 

Tanken med en federal dataskyddslag är att den ska trumfa redan existerande delstatslagar och att regelverket därför ska bli mer enhetligt. ADPPA innehåller dock en lång lista över delstatslagar som den inte har företräde framför. Denna konstruktion riskerar delvis att undergräva det harmoniseringssyfte som ADPPA ursprungligen haft. 

En positiv aspekt är att ADPPA anser att företag som uppfyller andra federala integritetslagar, såsom Gramm-Leach Bliley Act eller Health Insurance Portability and Accountability Act, automatiskt även uppfyller ADPPA. 

Vilka är några av de främsta kraven i ADPPA? 

För företag som omfattas av FTC kommer ADPPA innebära nya krav på: 

• Dataminimering 

• Transparens 

• Administrativa, tekniska och fysiska kontroller och säkerhet 

• Åtgärder för att eliminera risk för diskriminering på grund av algoritmanvändning 

• Ansvariga för dataskydd och informationssäkerhet 

ADPPA kommer dessutom att ge amerikanska konsumenter följande nya rättigheter till sin personliga information: 

1. Rätten till tillgång till personuppgifter; 

2. Rätten att korrigera och komplettera information;  

3. Rätten till radering; 

4. Rätten till dataportabilitet; och 

5. Rätten att motsätta sig behandling av känsliga personuppgifter och riktad reklam. 

Hur lång tid ett företag har på sig att tillgodose en förfrågan om rättighetsutövande skiljer sig mellan typ av ansvarig. För exempelvis ”stora datainnehavare” ska rättigheter hanteras inom 30 dagar. 

Vilken kritik får ADPPA? 

Mottagandet av lagförslaget på federal dataskyddslag har varit både positivt och negativt. En anmärkningsvärd källa till kritik är att förslaget idag tycks sakna stöd från ordföranden i senatens handelsutskott, Maria Cantwell, som tidigare har varit tongivande i debatten kring behovet av federala privacylagar. Hennes kritik har varit att varken rätten till privat talerätt eller ADPPAs företräde framför delstatslagar är tillräckligt långtgående. 

En annan kritik är den lösningen att ADPPA blir olika tillämpligt beroende på organisationens storlek och databehandling. Förespråkare för integritetsrättigheter anser att samma regler bör gälla för alla organisationer oberoende av deras storlek eftersom riskerna för konsumenten beror på uppgifternas känslighet och behandlingens sammanhang, inte på organisationens storlek. 

Hur skiljer sig ADPPA från GDPR? 

Det amerikanska lagförslaget innehåller tydliga referenser och anpassningar till GDPR, däribland krav på dataminimering och privacy by design. Lagförslaget föreslår nationella standarder för hur företag kan erhålla och hantera data, vilket tvingar företag som omfattas av lagförslaget att minimera insamling av data som inte behövs för att deras verksamhet ska fungera. Dessutom är rättighetsavsnittet för konsumenternas rätt till sina personuppgifter nästan direkt hämtat från den europeiska föregångaren. Det finns dock betydande skillnader som rör själva tillvägagångssättet. Där GDPR är normerande är ADPPA mer föreskrivande.  

Till skillnad från traditionen inom EU har USA en välutvecklad mekanism för grupptalan som även inkluderas i ADPPA och sannolikt kommer att stimulera en våg av enskilda mål om krav på efterlevnad. 

Sammanfattningsvis, vad tycker vi? 

På Knowit Cybersecurity & Law läser vi nyheterna med försiktig optimism när vi följer utvecklingen i Vita huset. Generellt positiva aspekter med ADPPA är att den slår fast grundläggande rättigheter för konsumentdata genom att bland annat transparenskrav för hur organisationer hanterar data och ger individer rätt att få tillgång till, korrigera, radera och flytta sina personuppgifter. 

Några mer udda bestämmelser, värda att notera, är bestämmelsen kring ”tredjelandsöverföring” och kravet på listning av s.k. ”deep fakes”. Tredjelandsproblematiken är löst i form av en lista över icke-godkända länder, däribland Kina, Ryssland, Iran och Nordkorea. Bestämmelsen är inte bara rigid utan också otydlig på så sätt att den inte gör skillnad mellan om personuppgifter görs tillgängliga för dessa länders regeringar, och om databehandling sker i något av dessa länder. Bestämmelsen om deep fakes innebär ett krav på att handelsdepartementet ska utfärda en årlig rapport om "förfalskningar av digitalt innehåll” – som i sig inte är speciellt kontroversiellt men här verkar det snarare malplacerat. 

Slutligen, ADPPA må vara långt ifrån perfekt, men med vissa justeringar utgör det en rimlig ram för federala dataskyddsregler som, ifall tidslinjen inte håller just i år, kan vara en ny utgångspunkt för framtida försök.