الأشياء الرئيسية التي يجب أن تعرفها كل علامة تجارية عن قانون كاليفورنيا لحماية خصوصية المستهلك
نشرت: 2019-12-21في عام 2018 ، أعاد تطبيق اللائحة الأوروبية العامة لحماية البيانات (GDPR) تشكيل مشهد خصوصية البيانات للشركات في جميع أنحاء أوروبا وجميع أنحاء العالم - وجعل خصوصية بيانات المستهلك وأمنها موضوعًا أساسيًا لأي شخص يهتم بمشاركة العملاء.
مع قانون خصوصية المستهلك في كاليفورنيا (CCPA) المقرر أن يبدأ تنفيذه في 1 يناير 2020 ، عادت ثورة الخصوصية التي بدأها القانون العام لحماية البيانات (GDPR) إلى الوطن لتكتسح الشركات الأمريكية. يعد هذا التشريع الجديد موضوعًا كبيرًا ، وقد يكون مخيفًا للعلامات التجارية - خاصةً تلك التي لم تبدأ العمل حتى تصبح متوافقة. بينما لا تستطيع Braze تقديم المشورة القانونية لعملائنا أو لأي شخص آخر ، يمكننا إرشادك خلال بعض الأشياء الرئيسية التي تحتاج إلى التفكير فيها عندما يتعلق الأمر بقانون CCPA وخصوصية البيانات بشكل عام. تابع القراءة للحصول على السرعة:
أساسيات
ما هو CCPA؟
CCPA تعني قانون خصوصية المستهلك في كاليفورنيا ، الذي أقرته حكومة ولاية كاليفورنيا في يونيو 2018. ينشئ القانون خصوصية جديدة وحماية المستهلك للأشخاص المقيمين في كاليفورنيا. سيبدأ تطبيق CCPA في 1 يناير 2020.
لماذا أقرت كاليفورنيا CCPA؟
في عام 2018 ، بعد سلسلة من حوادث خصوصية البيانات - بما في ذلك فضيحة Cambridge Analytica - اقترحت مجموعة مناصرة تُدعى "كاليفورنيا من أجل خصوصية المستهلك" مبادرة اقتراع حكومية من شأنها أن تضع قانونًا صارمًا للغاية لخصوصية المستهلك إذا أقره الناخبون.
لاستباق هذا الجهد ، قدم المشرع في كاليفورنيا قانون خصوصية المستهلك في كاليفورنيا وأقره ، مما دفع سكان كاليفورنيا من أجل خصوصية المستهلك إلى سحب مبادرتهم. بينما يعتبر قانون خصوصية المستهلك في كاليفورنيا (CCPA) بمثابة بداية جديدة عندما يتعلق الأمر بحقوق خصوصية بيانات المستهلك في الولايات المتحدة ، فإنه يتميز بمتطلبات أقل صرامة من المبادرة المقترحة.
ما هي الحقوق التي يتمتع بها سكان كاليفورنيا بموجب CCPA؟
بموجب قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) ، يحق لسكان كاليفورنيا معرفة من يقوم بجمع معلوماتهم الشخصية (PI) وماذا يتم بهذه المعلومات ، ولهم الحق في الوصول إلى المعلومات وحذفها وإلغاء الاشتراك في "البيع" "لمعلوماتهم الشخصية ، وممارسة جميع هذه الحقوق دون تمييز - أي أنه لا يمكن حرمانهم من المزايا أو الحقوق التي يمنحها الأشخاص الذين لا يختارون عدم المشاركة.
هل تنطبق CCPA على المنظمات التي يوجد مقرها خارج كاليفورنيا؟
ينطبق القانون على أي منظمة تمارس نشاطًا تجاريًا في كاليفورنيا بإيرادات 25 مليون دولار أو أكثر ، وكذلك على الشركات التي تجمع بيانات من 50000 أو أكثر من سكان كاليفورنيا أو تحصل على 50٪ على الأقل من إيراداتها من "بيع" المعلومات الشخصية. من المحتمل أن يشمل ذلك معظم الشركات الموجودة في الولاية ، بالإضافة إلى العديد من المنظمات الأمريكية والدولية ذات الجماهير التي تشمل سكان كاليفورنيا.
CCPA والبيانات
ما هي البيانات التي تنظمها CCPA؟
يغطي قانون خصوصية المستهلك في كاليفورنيا (CCPA) فقط جمع "المعلومات الشخصية" وبيعها والإفصاح عنها فيما يتعلق بأغراض تجارية. ومع ذلك ، نظرًا لأنه تم تمريره بهدف استهداف كميات هائلة من البيانات التي تتعامل معها شركات وسائل التواصل الاجتماعي ووسطاء البيانات والمعلنين السلوكيين عبر الإنترنت ، فإنه يحتوي على عدد من المتطلبات الصارمة التي تمنحها تأثيرًا بعيد المدى.
بموجب CCPA ، يتضمن PI كل ما يمكنه التعرف على الفرد - الاسم والعنوان والبريد الإلكتروني ورقم الحساب المصرفي وتاريخ الميلاد والمعلومات البيومترية وبصمة الإصبع وما إلى ذلك - بالإضافة إلى البيانات المنزلية والمعلومات الصوتية والحرارية والشمية. على هذا النحو ، يمكن القول إن تعريف PI بموجب CCPA يجعل هذا واحدًا من أوسع القوانين في العالم المتعلقة بحقوق الخصوصية.
ما المعلومات التي يتعين على العلامات التجارية الإفصاح عنها للعملاء بموجب قانون CCPA؟
تتضمن CCPA متطلبات الإفصاح التفصيلية التي يجب تحديثها كل عام ؛ يجب على الشركات الإفصاح عن PI التي جمعتها و "بيعتها" والإفصاح عنها لغرض تجاري على مدار الاثني عشر شهرًا الماضية ، والتأكد من أن سكان كاليفورنيا لديهم حقوق الكشف والوصول وإلغاء الاشتراك عندما يتعلق الأمر بمعلوماتهم الشخصية. يُطلب من المنظمات أيضًا شرح فئات الباحث الرئيسي التي تجمعها والغرض من جمع هذه المعلومات - ويجب عليهم القيام بذلك في نقطة الجمع ، سواء كان ذلك موقعًا على الويب أو حدثًا أو أي شيء آخر.
كيف تعرف CCPA "البيع"؟
يُعرّف قانون خصوصية المستهلك في كاليفورنيا "البيع" على نطاق واسع للغاية ، ويغطي الأنشطة التي قد يربطها عدد قليل من الأشخاص ببيع البيانات. بموجب قانون حماية خصوصية المستهلك CCPA ، لا يشير البيع فقط إلى نقل المعلومات الشخصية مقابل المال - يعتبر القانون أيضًا البيع ليشمل "الإيجار ، أو الإفراج ، أو الإفشاء ، أو النشر ، أو الإتاحة ، أو التحويل ، أو التواصل شفويًا ، كتابة ، أو عن طريق الوسائل الإلكترونية أو غيرها من الوسائل ، المعلومات الشخصية للمستهلك من قبل الشركة إلى شركة أخرى أو طرف ثالث لمقابل نقدي أو أي اعتبارات أخرى ذات قيمة ".
نظرًا لأن القانون لا يحدد "اعتبارات أخرى ذات قيمة" ، ولأن تعريف "البيع" يشمل مشاركة البيانات ، فقد يُطلب من العديد من العلامات التجارية التي لا تبيع البيانات (بالمعنى العام للكلمة) التصرف رغم أنهم يفعلون ذلك من أجل الامتثال للقانون. يتم أخذ "اعتبارات أخرى قيّمة" على أنها تعني أي قيمة ، لذلك إذا تمت مشاركة البيانات الشخصية مع طرف ثالث وكان هناك أي قيمة في القيام بذلك لأي من الطرفين ، فمن المحتمل أن يكون هذا بمثابة "بيع" بموجب قانون خصوصية المستهلك في كاليفورنيا - وهذا أحد الأسباب التي تجعل CCPA يعتبر من بين أوسع قوانين الخصوصية في العالم.
هل هناك متطلبات خاصة للعلامات التجارية التي تعتبر "تبيع" معلومات شخصية بموجب قانون حماية خصوصية المستهلك؟
إذا كانت إحدى الشركات "تبيع" باحثًا رئيسيًا مقيمًا في كاليفورنيا بموجب قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) ، فيجب على تلك المنظمة تضمين رابط بارز "عدم بيع معلوماتي الشخصية" على موقعها على الويب والذي سيسمح للأفراد بإلغاء الاشتراك في "بيع" بياناتهم الشخصية معلومة. العلامات التجارية التي لا تفعل ذلك تواجه غرامات وعقوبات أخرى.
هل CCPA لديها قواعد حول جمع المعلومات من القاصرين؟
يسمح قانون خصوصية المستهلك في كاليفورنيا (CCPA) للبالغين بإلغاء الاشتراك في جمع البيانات ويمنع الشركات من إعادة طلب الإذن بجمع بياناتهم لمدة 12 شهرًا على الأقل بعد هذا الانسحاب. ومع ذلك ، بالنسبة للأطفال الذين تقل أعمارهم عن 16 عامًا ، فإن القواعد أكثر صرامة وتتطلب الاشتراك في جمع معلوماتهم الشخصية. وبالنسبة للأطفال الذين تقل أعمارهم عن 12 عامًا ، لا يمكن جمع معلومات رئيسية بدون موافقة الوالدين (على سبيل المثال ، يجب على الوالد أو الوصي الآخر الاشتراك للطفل).
هل تنطبق CCPA على البيانات التي تم جمعها قبل تمرير القانون؟
إذا قامت شركة خاضعة لقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) بجمع معلومات شخصية ، فيجب أن تمتثل هذه الشركة لمتطلبات CCPA ، حتى لو تم جمع البيانات قبل تاريخ 1 يناير 2020 لتطبيق قانون CCPA. هذا يعني أنه يمكن للمستهلك المقيم في كاليفورنيا ممارسة جميع حقوقه فيما يتعلق بمعلوماته الشخصية - على سبيل المثال ، يمكن لهذا المستهلك أن يطلب من علامتك التجارية حذف البيانات التي جمعتها عنه قبل خمس سنوات ، وبموجب قانون حماية المستهلك في كاليفورنيا (CCPA) ، ستكون علامتك التجارية ملزمة بذلك القيام بذلك.
إنفاذ قانون خصوصية المستهلك في كاليفورنيا
ما هو الموعد النهائي لإنفاذ CCPA؟
على الرغم من تمرير CCPA في الأصل في يونيو 2018 ، تم منح المنظمات حتى 1 يناير 2020 قبل أن يُطلب منها الامتثال للقانون.
ما هي عقوبات عدم الامتثال لقانون حماية خصوصية المستهلك في كاليفورنيا؟
المدعي العام لولاية كاليفورنيا مخول لفرض غرامة تصل إلى 2500 دولار على المنظمات لانتهاكها CCPA ؛ ومع ذلك ، سيكون أمام هذه المنظمات 30 يومًا للرد على إشعار عدم الامتثال ولن يتم تغريمها إذا عالجت المشكلة خلال هذا الإطار الزمني. هناك أمر أساسي يجب فهمه - هذه الغرامات لكل انتهاك فردي ، لذلك إذا تأثر 100 شخص بالانتهاك ، فإن الغرامة المحتملة ستكون 250 ألف دولار ، بدلاً من 2500 دولار. بالإضافة إلى ذلك ، إذا تبين أن عدم الامتثال كان متعمدًا ، فيمكن أن تصل الغرامات الإجمالية إلى 7500 دولار لكل انتهاك ، مما يزيد من احتمالية حدوث تأثير مالي كبير على العلامات التجارية بشكل أكبر.
يسمح قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) أيضًا للأفراد المقيمين في كاليفورنيا بتقديم شكاوى ضد المنظمات التي يعتقدون أنها تنتهك القانون ، مع دفع مدفوعات محتملة تصل إلى 750 دولارًا لكل شخص.
بالإضافة إلى ذلك ، هناك حق خاص في اتخاذ إجراء بموجب قانون خصوصية المستهلك في كاليفورنيا - مما يعني أنه يمكن للفرد رفع دعوى قضائية ، إذا كان الفرد يعتقد أن الشركة لم تمتثل لمتطلبات الأمان الخاصة بقانون حماية خصوصية المستهلك في كاليفورنيا وكان هناك خرق للبيانات فيما يتعلق ببيانات هذا الشخص. يمكن أن يؤدي هذا الحق الفردي في الدعوى إلى دعاوى جماعية ، وهو احتمال واقعي بشكل خاص في بيئة التقاضي في كاليفورنيا ، حيث يوجد نظريًا عدد من محامي المدعين الذين ينتظرون بفارغ الصبر الفرصة لرفع هذه الأنواع من الدعاوى القضائية ، واستعادة جوائز ضخمة في نيابة عن فئات كبيرة من المدعين. يمكن أن تتجاوز الجوائز الأضرار الفعلية التي لحقت بها ، مما يجعل هذا الاحتمال مخيفًا بشكل خاص للشركات الخاضعة لقانون حماية خصوصية المستهلك. بالإضافة إلى ذلك ، فإن اللوائح المقترحة قيد المراجعة الحالية تدرس تنفيذ حق خاص في اتخاذ إجراء لجميع انتهاكات قانون حماية خصوصية المستهلك في كاليفورنيا ، بدلاً من مجرد السماح لها في حالة حدوث خرق للمتطلبات الأمنية للنظام الأساسي.
من أين يجب أن تبدأ المنظمات عندما يتعلق الأمر بالامتثال لقانون حماية خصوصية المستهلك؟
يجب أن تتأكد المنظمات من أنها تتضمن الإفصاحات المناسبة على موقعها على الويب وفي جميع نقاط جمع المعلومات الشخصية من سكان كاليفورنيا. يجب أن يكونوا قادرين على الامتثال لجميع طلبات قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، وإذا اعتبروا أنهم "يبيعون" المعلومات الشخصية لسكان كاليفورنيا ، فيجب عليهم تضمين زر "عدم بيع بياناتي" بشكل بارز على موقع الويب الخاص بهم.
المنظمات التي تمتثل بالفعل للائحة العامة لحماية البيانات في طريقها إلى الامتثال لقانون خصوصية المستهلك في كاليفورنيا ، لكن متطلبات القانونين ليست متطابقة ، ويتم تشجيع الشركات على طلب المشورة من مستشاريها الموثوق بهم لضمان قيامهم بكل ما هو ضروري لضمان ذلك. تمتثل لمتطلبات CCPA قبل 1 يناير 2020.
CCPA و GDPR
كيف تختلف CCPA و GDPR؟
تم تمرير اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي في عام 2016 واستلهمت من الاعتقاد الضمني السائد في معظم أنحاء أوروبا بأن الأفراد هناك يمتلكون حقًا أساسيًا في التحكم في بياناتهم الشخصية. من ناحية أخرى ، يتبع قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) اعتقادًا مفاده أن ولاية كاليفورنيا قد تأخرت في حماية خصوصية سكانها وحمايتهم من إساءة استخدام PI (بما في ذلك سرقة الهوية ، والاحتيال المالي ، والإضرار بالسمعة ، والمضايقات ، وما إلى ذلك). .
بالنظر إلى هذه الاختلافات ، بينما ركزت اللائحة العامة لحماية البيانات في المقام الأول على ضمان ملكية البيانات الشخصية والتحكم فيها من قبل كل فرد متأثر ، ركزت CCPA على استهداف قدرة الشركات عبر الإنترنت على تنفيذ المعاملات التي تنطوي على كميات كبيرة من المعلومات الشخصية دون معرفة وموافقة سكان كاليفورنيا. للذكاء ، ينطبق القانون العام لحماية البيانات (GDPR) على جميع الأنشطة المتضمنة في معالجة البيانات الشخصية - بما في ذلك تخزين البيانات والوصول إليها ونقلها. قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، مع ذلك ، لا ينطبق إلا على جمع المعلومات الشخصية و "بيعها" والكشف عنها لغرض تجاري.
ما هي الطرق التي يكمل بها قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) بعضهما البعض؟
يتطلب كل من قانون خصوصية المستهلك في كاليفورنيا (CCPA) والقانون العام لحماية البيانات (GDPR) من المنظمات التي تجمع المعلومات الشخصية من الأفراد الكشف عما سيفعلونه بهذه المعلومات الشخصية ، ويوفر كلا القانونين عددًا من الحقوق المماثلة لأطراف ثالثة فيما يتعلق بمعلوماتهم الشخصية. بالإضافة إلى ذلك ، يتطلب كلا القانونين الموافقة والشفافية والسيطرة من قبل الأفراد على معلوماتهم الشخصية ، ويفرض كلا القانونين غرامات لعدم احترام متطلباتهم.
هل من المتوقع أن تؤثر الاختلافات في البيئات التنظيمية بين الاتحاد الأوروبي وكاليفورنيا على إنفاذ قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) ، على التوالي؟
نظرًا لأن كاليفورنيا بيئة أكثر تقاضيًا من الاتحاد الأوروبي وتوقع أن يسعى المنظمون في كاليفورنيا لفرض القانون بصرامة بدءًا من العام الجديد ، فمن المحتمل أن نرى المزيد من المنظمات التي يتم تغريمها بسبب عدم امتثالها لقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) مما فعلناه عندما بدأ تطبيق اللائحة العامة لحماية البيانات. بالنظر إلى ذلك ، فإن المنظمات التي تختار الانتظار وترى بدلاً من السعي بقوة للامتثال لـ CCPA من المحتمل أن تتعرض لمخاطر جسيمة.