<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Dec 24, 2019 at 8:20 AM Pamela Chestek <<a href="mailto:pamela@chesteklegal.com" target="_blank">pamela@chesteklegal.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Someone posted this on Twitter: "Scenario: Company X claims they are the <br>
Recipient, demands from Licensee the User Data associated with a list of <br>
employee names or IP addresses. Licensee incentivized to hand over the <br>
User Data to Company X: why risk going to court and end up not being the <br>
prevailing party?"<br>
<br>
My response was "Company X has to have possessory interest in User Data. <br>
Interesting potential conflict with privacy laws though."<br></blockquote><div><br></div><div>There is no conflict with privacy laws - in fact, the CAL was written so that compliance with the strongest extant privacy laws would also satisfy the user data requirements of the CAL - and also, so that it did not require giving any information that would be prohibited by current privacy laws.</div><div><br></div><div>This does require that an operator receiving a request for user data that may also fall under the privacy laws should be careful about the person to whom that information is revealed, but any operator would need to be careful to both 1) provide the proper data, and 2) not provide improper data, regardless of the CAL.</div><div><br></div><div>As for interactions with things like HIPAA, employers do not acquire ownership of data by paying for insurance, so I don't think that is an issue.<br></div><div><br></div>Thanks,<br></div><div class="gmail_quote">Van</div><div class="gmail_quote"><br></div></div>