Что такое CCPA и что он требует от владельцев бизнеса?

  • Автор темы ValerijBelo
  • Дата начала

Выкуп купонов GainStorm в любых объемах

ValerijBelo

ValerijBelo


К настоящему времени вы, вероятно, уже слышали о CCPA, грядущем законе о конфиденциальности Калифорнии, который сравнивают с аналогичными GDPR. Закон о данных в целом может быть сложным и увязнуть в юридическом жаргоне, что затрудняет получение реального представления о требованиях и том, что требуется на практике. В этом посте мы проанализируем основные требования и опишем, как вы можете удовлетворить их простым и действенным способом.


Что такое CCPA и что от вас требуется?
Закон Калифорнии о конфиденциальности потребителей (CCPA) - это новейший закон Калифорнии о конфиденциальности, направленный на расширение прав потребителей на конфиденциальность для жителей Калифорнии, США. Закон должен вступить в силу 1 января 2020 года и излагает новые требования к компаниям, обрабатывающим личную информацию , предоставляя дополнительные права потребителям из Калифорнии. Таким образом, CCPA имеет большое влияние на бизнес-процессы и ответственность.
Что такое личная информация ? Закон описывает информацию, позволяющую установить личность, как любую информацию, которая идентифицирует, описывает или может быть связана с конкретным потребителем или домохозяйством - за исключением публичных правительственных архивов. Сюда входят такие вещи, как IP-адреса, электронные письма, имена, геолокации, биометрия, здоровье, образование, коммерческая деятельность, электронная деятельность, информация о занятости или аудио и многое другое. ( См. Полный список здесь )

Когда применяется CCPA и на кого он распространяется?
In general, any for-profit business that has or could have Californian consumers* as a part of their user-base could be subject to the CCPA – whether the business is based in California or not.
However, in order for the CCPA to apply to a business, any ONE of the following conditions must also apply:
  • You process (buy, sell, receive, share) personally identifiable information of at least 50k US residents who potentially live in the state of California per year. – Since IP addresses are considered personal information, it’s likely that any website with at least 50k unique visits per year from California falls within this scope; or
  • Ваш бизнес получает не менее половины своего годового дохода от обмена личной информацией потребителей ( IP-адреса считаются личной информацией ) с третьими сторонами для « любой выгоды (денежной или нет), на которую вы в противном случае не имели бы законного права». - Это может включать такие вещи, как использование аналитики или ретаргетинг для рекламы; или же
  • Ваш бизнес имеет валовой годовой доход, превышающий двадцать пять миллионов долларов (25 000 000 долларов США).
* Согласно CCPA, «потребитель» определяется как физическое лицо, которое является резидентом Калифорнии, поэтому сценарии B2B (в которых клиент - это бизнес, а не физическое лицо) не учитываются.
ВАЖНЫЙ!
CalOPPA не был отменен CCPA и все еще применяется. Даже если CCPA к вам не применяется, вы все равно можете подпадать под действие других законов Калифорнии, таких как CalOPPA, или, если CCPA действительно применяется к вам, вы можете подпадать под действие обоих законов. Вы можете узнать больше о CalOPPA здесь .

Похож ли CCPA на GDPR?
Хотя есть некоторые права, которые частично совпадают, GDPR имеет более широкую сферу применения. Вот удобная инфографика, которую мы подготовили по CCPA и GDPR для быстрого сравнения.
Для получения полного описания прав пользователя и требований CCPA, а также того, как вы можете их выполнить, продолжайте читать ниже.

Требования CCPA
1. Право на информацию
Согласно CCPA, потребители имеют право на получение информации о том, как их информация обрабатывается в точке сбора или до нее . Это раскрытие должно включать категории обработанных данных, то, как / откуда они были получены, и цель обработки (более подробная информация об этом приведена в разделе соответствия ниже).

2. Право доступа
В соответствии с CCPA потребители имеют право на доступ к своей личной информации по запросу *. Вы можете найти более подробную информацию в разделе соответствия ниже.
* «Подтверждаемый запрос» означает запрос, сделанный самим потребителем от имени его несовершеннолетнего ребенка или лицом, уполномоченным потребителем действовать от его имени, который компания может обоснованно проверить (чтобы это было сделано этим лицом. ). Cal. Civ. Кодекс § 1798.140 (y)

3. Право на переносимость данных
Согласно CCPA, право на переносимость данных связано с правом доступа в соответствии с Разделом 1798.100 (d) . Обычно это означает, что потребители имеют право получать запрошенную информацию в достаточно портативном формате.
Если предприятия выполняют запросы доступа «в электронном виде», также требуется, чтобы информация предоставлялась потребителю в « портативном и. . . удобный формат, который позволяет потребителю беспрепятственно передавать эту информацию другому лицу ».
Исключения и ограничения:
  • Потребители могут сделать только 2 запроса на переносимость в течение 12 месяцев.
  • Единичные разовые экземпляры обработки исключаются, если информация не продается, не сохраняется бизнесом или не используется каким-либо другим способом для повторной идентификации личности.
  • Нет необходимости отвечать, если вы на самом деле не собрали информацию о потребителе, сделавшем запрос.
4. Право на удаление
CCPA предоставляет потребителям право требовать удаления любой собранной о них личной информации. Если от потребителя получен поддающийся проверке запрос на удаление, вы должны удалить личную информацию потребителя из своих записей и дать указание любым связанным поставщикам услуг удалить личную информацию потребителя из своих записей.
Исключения и ограничения:
Компании не обязаны выполнять запрос на удаление, если информация необходима:
  • для завершения транзакции, для которой была собрана личная информация;
  • для предоставления товара или услуги, запрошенной потребителем, или для выполнения соглашения между бизнесом и потребителем;
  • для обнаружения инцидентов безопасности, защиты от злонамеренных, обманных, мошеннических или незаконных действий; или преследовать виновных в этой деятельности;
  • отлаживать для выявления и исправления ошибок;
  • осуществлять свободу слова или право другого потребителя на свободу слова;
  • соблюдать Закон Калифорнии о конфиденциальности электронных коммуникаций ( CalECPA );
  • для публичных или рецензируемых научных, исторических или статистических исследований в общественных интересах;
  • соблюдать юридическое обязательство;
  • чтобы обеспечить строго внутреннее использование, которое разумно соответствует ожиданиям потребителя (основанным на отношениях потребителя с бизнесом);
  • для строго внутреннего использования законным образом, совместимым с контекстом, в котором потребитель предоставил информацию.
5. Право на отказ (право отказаться от продажи своих данных)
Under the CCPA, a consumer has the right, at any time, to tell a business which sells their personal information to third parties, that they must stop selling such personal information. Under the CCPA, “selling” simply means sharing the data with third-parties for “any benefit (monetary or not)” that you otherwise would not be legally entitled to. Selling within the context of the CCPA, therefore, can include things like using Analytics or retargeting for ads.

6. The Right to Opt-In (prior consent for minors)
Businesses are prohibited from selling the personal information of consumers if the business has actual knowledge that the consumer is under the age of 16. In such cases, businesses may only sell the information if:
  • the consumer is between 13 and 16 and has opted-in; or
  • потребителю меньше 13 лет, и родитель или опекун потребителя согласились от имени потребителя.
7. Право не подвергаться дискриминации (даже если потребитель использует свои права на неприкосновенность частной жизни)
Согласно CCPA, предприятиям запрещается дискриминировать потребителей за осуществление их прав, предоставленных законом. Это включает в себя:
  • Отказ потребителю в товарах или услугах.
  • Установление разных цен на товары или услуги, в том числе с использованием скидок или других льгот, или наложение штрафов.
  • Предоставление товаров или услуг другого уровня или качества потребителям, которые реализуют свои права.
  • Предполагая, что потребитель получит другую цену или расценки на товары или услуги или другой уровень или качество товаров или услуг.
Исключения (несколько)
  • Вы можете взимать или предлагать разные цены, ставки, уровни, качество товаров или услуг ТОЛЬКО в тех случаях, когда эта разница обоснованно связана со стоимостью, предоставленной потребителю, данными потребителя.
    Чтобы лучше проиллюстрировать этот сложный момент, давайте рассмотрим следующий пример: компания предлагает стандартную скидку 20% на продукт в качестве стимула к повторной покупке через месяц после первой покупки того же продукта потребителем. В течение этого месячного периода потребитель использует свое право на удаление и запрашивает удаление своей личной информации.
    В этом случае, потому что у предприятия больше нет данных о потребителях, которые показывают, что потребитель ранее покупал продукт, они не могут разумно предложить стандартную скидку 30% этому конкретному потребителю.
  • Вы можете предложить финансовые стимулы (включая выплаты) в качестве компенсации за сбор личной информации, продажу личной информации или удаление личной информации. Эти финансовые стимулы должны быть раскрыты пользователям на главной странице вашего веб-сайта и в вашей политике конфиденциальности.

    Компаниям запрещается использовать методы финансового стимулирования, которые носят « несправедливый, необоснованный, принудительный или ростовщический характер» .
Последствия нарушения CCPA
Потребители имеют право подавать в суд на предприятия, нарушающие закон. Соответствующие штрафы будут составлять от 100 до 750 долларов США или любую более высокую сумму, относящуюся к фактическому ущербу (если могут быть доказаны более крупные убытки). Штат может предъявить обвинения в размере до 2500 долларов за нарушение для предприятий, непреднамеренно нарушающих CCPA, и штрафы в размере до 7500 долларов за нарушение для предприятий, которые совершают преднамеренные нарушения.
Хотя эти штрафы могут показаться не такими уж большими по сравнению с другими законами о конфиденциальности, примите во внимание, что эти штрафы применяются за отдельное нарушение и за каждого потребителя . Для бизнеса с небольшим количеством клиентов эти штрафы могут составить огромную сумму.

Как соответствовать требованиям CCPA
На этом этапе вы, вероятно, задаетесь вопросом, как лучше всего выполнить несколько сложных технических требований CCPA. Хорошая новость заключается в том, что при правильном мышлении и инструментах соблюдение CCPA проще, чем вы думаете. Давайте погрузимся.

Шаг 1. Оценка и обзор
Важным упражнением в соответствии с такими законами, как CCPA (и другими, например GDPR), является честный анализ и оценка ваших процессов и систем. Вот несколько вопросов, которые помогут вам в этом:
  • Какие категории персональных данных я собираю и с какими категориями третьих лиц я делюсь этими данными?
  • Из каких источников я собираю эту информацию и каковы их категории (например, аналитика)?
  • Каковы причины или цели моего сбора данных?
  • Какие права потребителей CCPA (если таковые имеются) не распространяются на мою деятельность по обработке?
  • Отслеживаю ли я всех поставщиков услуг, которые получают доступ к личной информации потребителей от моего имени?
  • Могу ли я надежно связаться с этими сторонами для выполнения таких вещей, как запросы на удаление?
  • Вести ли я надежный учет информации и категорий личной информации, которую я собираю для каждого потребителя?
  • Есть ли у меня документы (например, политика конфиденциальности или положения и условия ), которые мне нужны для того, чтобы раскрыть информацию, требуемую законом, на моем веб-сайте?
  • Какие исключения справедливо и справедливо применимы к моему сценарию?
Шаг 2: раскрывайте информацию и уважайте права потребителей при их использовании
Раскрытие информации

Основываясь на ваших ответах на шаге выше, определите и включите соответствующие утверждения на свой веб-сайт, где это необходимо.
Право на информацию
Потребители имеют право получать следующую информацию.
  • в категории личной информации , которую вы собрали, проданную или совместно в течение последних 12 месяцев;
  • в категории третьих лиц , которые у вас есть , и / или могут делиться личной информацией с;
  • в категории источников , из которых вы собираете личную информацию потребителей;
  • бизнес / коммерческие цели для сбора или продаж личной информации потребителя;
  • применимые права потребителей, и они могут быть реализованы
Техническая реализация этого означает ведение внутренних записей о типе обработки, которую вы выполняете (в том числе о ваших поставщиках услуг), чтобы вы могли включить соответствующие детали в свою политику конфиденциальности и, возможно, в момент сбора данных (например, контакт форма), если применимо.
Выполнение запросов (доступ, переносимость, удаление, отказ)
Здесь мы подробно рассмотрим, какая информация или действие требуется, и как вы должны выполнять эти запросы.
Право доступа
Потребители имеют право на доступ к следующему:
  • категории личной информации, которую вы обработали / собрали о них за последние 12 месяцев;
  • фактическая и конкретная информация, собранная о них;
  • категории источников, из которых вы собирали информацию;
  • категории передаваемой / проданной личной информации
  • категории третьих лиц, которым передается / продается личная информация (например, рекламные компании);
  • ваша цель (цели) сбора или передачи информации;
  • определенные категории личной информации, передаваемой в деловых целях.
Техническая реализация этого означает наличие средств извлечения информации, обработанной по конкретным потребителям. Один из подходов к этому - просто знать, какие процессы обычно применяются к определенным группам пользователей или транзакциям. Оттуда вы можете сравнить данные о вашей внутренней конфиденциальности, продажах и / или базе данных для получения необходимой информации.
Право на переносимость
Как упоминалось ранее, право на переносимость связано с правом доступа, поскольку оно связано с выполнением запроса доступа.
При получении запроса на доступ вы должны ответить либо по обычной почте, либо в электронном формате (например, по электронной почте, для загрузки файлов и т. Д.). При доставке в электронном виде информация должна быть доставлена в удобном для использования формате, позволяющем беспрепятственно передавать информацию другому лицу или компании.
Право на удаление
При получении запросов на удаление вы должны удалить личную информацию потребителя из своих записей и дать указание любым поставщикам связанных услуг удалить личную информацию потребителя из своих записей. Вы должны предоставить потребителям два или более метода подачи запросов, включая, как минимум, бесплатный номер телефона, а если у компании есть веб-сайт в Интернете, адрес веб-сайта. Вы также должны приложить разумные усилия, чтобы убедиться, что лицо, отправляющее запрос, является либо потребителем, о котором была собрана информация, либо уполномоченным запрашивать эту информацию от имени потребителя, как указано выше.
Права доступа, переносимости и удаления должны быть соблюдены бесплатно для потребителя в течение 45 дней с момента получения запроса, поддающегося проверке. При необходимости срок выполнения может быть продлен (только один раз) еще на 45 дней при условии уведомления об этом потребителя.
Право на отказ
Когда кто-то использует свое право отказа (право отказаться от продажи своих данных), вы должны выполнить его после получения запроса. Этому праву должно способствовать наличие на вашем веб-сайте ссылки «Не продавать мою личную информацию» («DNSMPI») (обязательно). Ссылка должна быть легко доступной, четко видимой и находиться как на главной странице вашего веб-сайта, так и в вашей политике конфиденциальности (с соответствующими раскрытиями). Ссылка должна вести пользователя на страницу, где он может отказаться от продажи своей личной информации без предварительного создания учетной записи . Вам разрешено размещать и перенаправлять жителей Калифорнии на отдельную домашнюю страницу с видимой ссылкой DNSMPI .
Техническая реализация этого означает наличие способа передавать предпочтения конфиденциальности потребителя любым третьим сторонам или рекламным сетям, которые вы можете использовать (более подробная информация в последнем разделе ниже). В случаях, когда продажа / совместное использование осуществляется вручную (например, если вы делитесь своим списком рассылки с другой компанией в целях прямого маркетинга ), вы можете подумать о том, чтобы ваша ссылка DNCMPI указывала на короткую контактную форму, с помощью которой пользователи могут напрямую отправлять вам свои запросы.
После получения запроса об отказе вы не можете продавать / делиться личной информацией этого потребителя, если только потребитель не даст явного разрешения на продажу своей личной информации, вернувшись к ней.
Компании могут запросить разрешение у потребителя еще раз и только через 12 месяцев после того, как потребитель отказался .
* В тех случаях, когда вам известно, что потребителем является несовершеннолетний в возрасте до 16 лет, применяется подписка, т. Е. Вы не должны продавать его информацию, если не имеете явного разрешения на это от родителя или опекуна (для несовершеннолетних до 13 лет) или если явно разрешение на это несовершеннолетним потребителем в случаях, когда возраст несовершеннолетнего составляет от 13 до 16 лет.


Шаг 3. Не допускайте дискриминации потребителей, осуществляющих свои права
Услуги, качество, уровни и / или цены, которые вы устанавливаете / предлагаете потребителям, не должны зависеть от того, решили они реализовать свои права или нет. Единственными исключениями из этого правила являются случаи, когда стоимость предлагаемых услуг или товаров зависит от данных, собранных о потребителе (как объяснялось ранее в сообщении).
Вы также можете предлагать финансовые стимулы (включая платежи) потребителям в обмен на доступ к их личной информации, но эти стимулы должны быть справедливыми, разумными, не принуждающими и не грабительскими. Потребители должны быть сначала уведомлены о таких стимулах через домашнюю страницу вашего веб-сайта.

Шаг 4. Периодически проверяйте свои процессы
Со временем меняются не только законы, но и цели вашего бизнеса. По этой причине очень важно, чтобы вы время от времени проверяли свои внутренние процессы, партнеров, технические возможности и юридические документы и обновляли их в соответствии с требованиями законодательства.

Безболезненное решение
Соблюдение нормативных требований - сложный вопрос, который во многом зависит как от юридического понимания, так и от правильной технической реализации. Мы постарались предоставить четкую и беспристрастную информацию, которую вы можете использовать как для настройки ваших собственных систем в соответствии с требованиями, так и для принятия обоснованных решений о том, какие решения могут вам подойти. В iubenda мы специализируемся на обеспечении доступности и доступности нормативно-правового соответствия, выполняя тяжелую техническую и юридическую работу, чтобы вы могли сосредоточиться на развитии своего бизнеса. Наши функции, которые скоро будут выпущены для соответствия CCPA, упрощают большую часть, если не все, техническую реализацию CCPA, поэтому, если вы хотите получать уведомления, когда эти функции будут запущены, оставьте нам свой адрес электронной почты, используя форма здесь .
 
Верх