Kluczowe rzeczy, które każda marka powinna wiedzieć o CCPA
Opublikowany: 2019-12-21W 2018 r. egzekwowanie Europejskiego Ogólnego Rozporządzenia o Ochronie Danych (RODO) zmieniło krajobraz prywatności danych w firmach w Europie i na całym świecie — i uczyniło prywatność i bezpieczeństwo danych konsumentów kluczowym tematem dla każdego, kto dba o zaangażowanie klientów.
Wraz z wprowadzeniem w życie kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA) 1 stycznia 2020 r., rewolucja prywatności rozpoczęta przez RODO stała się głównym miejscem dla amerykańskich firm. To nowe prawodawstwo to duży temat i może być przerażające dla marek — zwłaszcza tych, które nie rozpoczęły jeszcze pracy nad dostosowaniem się. Chociaż Braze nie może udzielać porad prawnych naszym klientom ani nikomu innemu, możemy przeprowadzić Cię przez niektóre z głównych rzeczy, o których musisz pomyśleć, jeśli chodzi o CCPA i ogólnie o prywatności danych. Czytaj dalej, aby dowiedzieć się więcej:
Podstawy
Co to jest CCPA?
CCPA to skrót od California Consumer Privacy Act (Californijskiej Ustawy o Ochronie Prywatności Konsumentów), pierwotnie uchwalonej przez rząd stanu Kalifornia w czerwcu 2018 roku. Ustawa ta tworzy nowe zabezpieczenia prywatności i konsumentów dla osób mieszkających w Kalifornii. Egzekwowanie CCPA rozpocznie się 1 stycznia 2020 r.
Dlaczego Kalifornia przeszła CCPA?
W 2018 r., po serii incydentów związanych z prywatnością danych – w tym skandalu z Cambridge Analytica – grupa rzecznicza o nazwie „Kalifornianie na rzecz prywatności konsumentów” zaproponowała państwową inicjatywę głosowania, która ustanowiłaby niezwykle surową nową ustawę o ochronie prywatności konsumentów, gdyby została przyjęta przez wyborców.
Aby zapobiec tym wysiłkom, kalifornijski ustawodawca wprowadził i uchwalił CCPA, co skłoniło Californians for Consumer Privacy do wycofania swojej inicjatywy. Chociaż uważa się, że CCPA stanowi przełom, jeśli chodzi o prawa do prywatności danych konsumentów w Stanach Zjednoczonych, zawiera mniej rygorystyczne wymagania niż proponowana inicjatywa.
Jakie prawa mają mieszkańcy Kalifornii na mocy ustawy CCPA?
Zgodnie z CCPA mieszkańcy Kalifornii mają prawo wiedzieć, kto zbiera ich dane osobowe (PI) i co robi się z tymi informacjami, a także mają prawo dostępu do informacji, usunięcia ich, rezygnacji z „wyprzedaży”. ” swoich danych osobowych, a także do korzystania ze wszystkich tych praw bez dyskryminacji — to znaczy, że nie można im odmówić korzyści lub praw przyznanych osobom, które nie zrezygnowały.
Czy CCPA ma zastosowanie do organizacji, które mają siedzibę poza Kalifornią?
Prawo ma zastosowanie do każdej organizacji, która prowadzi działalność w Kalifornii z przychodami w wysokości co najmniej 25 milionów USD, a także do firm, które gromadzą dane od 50 000 lub więcej mieszkańców Kalifornii lub czerpią co najmniej 50% swoich przychodów ze „sprzedaży” danych osobowych. Prawdopodobnie obejmuje to większość firm z siedzibą w stanie, a także wiele organizacji amerykańskich i międzynarodowych, których odbiorcami są mieszkańcy Kalifornii.
CCPA i dane
Jakie dane reguluje CCPA?
CCPA obejmuje wyłącznie zbieranie, sprzedaż i ujawnianie „danych osobowych” w związku z celem biznesowym. Ponieważ jednak został przyjęty w celu ukierunkowania na ogromne ilości danych obsługiwanych przez firmy zajmujące się mediami społecznościowymi, brokerów danych i internetowych reklamodawców behawioralnych, ma on szereg rygorystycznych wymagań, które dają mu dalekosiężny wpływ.
Zgodnie z CCPA PI obejmuje wszystko, co może zidentyfikować osobę — imię i nazwisko, adres, adres e-mail, numer konta bankowego, datę urodzenia, dane biometryczne, odcisk palca itp. — a także dane dotyczące gospodarstwa domowego, informacje dźwiękowe, termiczne i zapachowe. W związku z tym definicja PI w CCPA prawdopodobnie sprawia, że jest to jedno z najszerszych przepisów na świecie związanych z prawami do prywatności.
Jakie informacje marki muszą ujawniać klientom w ramach CCPA?
CCPA zawiera szczegółowe wymogi dotyczące ujawniania informacji, które muszą być aktualizowane co roku; firmy muszą ujawniać informacje osobiste, które zebrały, „sprzedały” i ujawniły w celach biznesowych w ciągu ostatnich 12 miesięcy, oraz zapewnić mieszkańcom Kalifornii prawo do ujawniania, dostępu i rezygnacji z ich danych osobowych. Organizacje są również zobowiązane do wyjaśnienia kategorii gromadzonych informacji osobistych i celu ich gromadzenia — i muszą to zrobić w momencie zbierania, niezależnie od tego, czy jest to witryna internetowa, wydarzenie, czy coś innego.
Jak CCPA definiuje „sprzedaż”?
CCPA definiuje „sprzedaż” bardzo szeroko, obejmując czynności, które niewiele osób kojarzy ze sprzedażą danych. Zgodnie z ustawą CCPA sprzedaż nie odnosi się tylko do przekazywania danych osobowych w zamian za pieniądze — zgodnie z prawem sprzedaż obejmuje również „wynajmowanie, udostępnianie, ujawnianie, rozpowszechnianie, udostępnianie, przekazywanie lub inną komunikację ustną, pisemną, lub drogą elektroniczną lub inną, dane osobowe konsumenta przekazane przez firmę innej firmie lub stronie trzeciej w zamian za pieniądze lub inne wartościowe wynagrodzenie ”.
Ponieważ prawo nie definiuje „innych cennych rozważań”, a definicja „sprzedaży” obejmuje udostępnianie danych, wiele marek, które nie sprzedają danych (w potocznym znaczeniu tego słowa), może być zobowiązanych do działania jako chociaż robią to w celu przestrzegania prawa. „Inna cenna uwaga” jest uważana za dowolną wartość, więc jeśli dane osobowe są udostępniane stronie trzeciej i jest to wartość dla którejkolwiek ze stron, jest to potencjalnie „sprzedaż” w ramach CCPA – i jest to jeden z powodów, dla których CCPA jest uważane za jedno z najszerszych przepisów dotyczących prywatności na świecie.
Czy istnieją specjalne wymagania dla marek, które są uważane za „sprzedające” dane osobowe zgodnie z ustawą CCPA?
Jeśli firma „sprzedaje” informacje osobiste mieszkańca Kalifornii w ramach CCPA, organizacja ta jest zobowiązana do umieszczenia widocznego łącza „Nie sprzedawaj moich danych osobowych” na swojej stronie internetowej, które umożliwi osobom zrezygnowanie z „sprzedaży” ich danych osobowych. Informacja. Marki, które tego nie zrobią, są narażone na potencjalne grzywny i inne kary.
Czy CCPA ma zasady dotyczące zbierania informacji od nieletnich?
CCPA umożliwia dorosłym zrezygnowanie z gromadzenia danych i uniemożliwia firmom ponowne proszenie o zgodę na zbieranie ich danych przez co najmniej 12 miesięcy po tej rezygnacji. Jednak w przypadku dzieci poniżej 16 roku życia przepisy są znacznie bardziej rygorystyczne i wymagają zgody na zbieranie ich danych osobowych. A w przypadku dzieci w wieku poniżej 12 lat żadne dane osobowe nie mogą być zbierane bez zgody rodziców (np. rodzic lub inny opiekun musi wyrazić zgodę na dziecko).
Czy CCPA ma zastosowanie do danych zebranych przed uchwaleniem ustawy?
Jeśli firma podlegająca CCPA zbiera dane osobowe, musi ona przestrzegać wymogów CCPA, nawet jeśli dane zostały zebrane przed datą 1 stycznia 2020 r. w celu egzekwowania CCPA. Oznacza to, że konsument mieszkający w Kalifornii może skorzystać ze wszystkich swoich praw w odniesieniu do swoich danych osobowych — na przykład, że konsument może poprosić Twoją markę o usunięcie danych zebranych na jego temat pięć lat temu, a zgodnie z CCPA Twoja marka byłaby zobowiązana do Zrób tak.
Egzekwowanie ustawy CCPA
Kiedy upływa termin wykonania CCPA?
Chociaż CCPA zostało pierwotnie uchwalone w czerwcu 2018 r., organizacje miały czas do 1 stycznia 2020 r., zanim były zobowiązane do przestrzegania prawa.
Jakie są kary za nieprzestrzeganie CCPA?
Prokurator generalny stanu Kalifornia jest upoważniony do nakładania na organizacje grzywny w wysokości do 2500 USD za naruszenie CCPA; jednak organizacje te będą miały 30 dni na odpowiedź na zawiadomienie o niezgodności i nie zostaną ukarane grzywną, jeśli rozwiążą problem w tym czasie. Jedna kluczowa rzecz do zrozumienia — te grzywny dotyczą każdego indywidualnego naruszenia, więc jeśli naruszenie dotyczy 100 osób, potencjalna grzywna wyniesie 250 000 USD, a nie 2500 USD. Ponadto, jeśli niezgodność zostanie uznana za umyślną, grzywny mogą wynieść do 7500 USD za naruszenie, co jeszcze bardziej zwiększa prawdopodobieństwo znacznego wpływu finansowego na marki.
CCPA umożliwia również indywidualnym mieszkańcom Kalifornii składanie skarg na organizacje, które ich zdaniem naruszają prawo, z potencjalnymi wypłatami do 750 USD na osobę.
Dodatkowo, zgodnie z CCPA istnieje prywatne prawo do powództwa — co oznacza, że osoba może wnieść pozew, jeśli uważa, że firma nie spełniła wymogów bezpieczeństwa CCPA i doszło do naruszenia danych w odniesieniu do danych osobowych tej osoby. To indywidualne prawo do powództwa może prowadzić do pozwów zbiorowych, co jest szczególnie otrzeźwiającą możliwością w procesowym środowisku Kalifornii, gdzie teoretycznie istnieje wielu prawników powoda, którzy niecierpliwie czekają na możliwość wniesienia tego typu pozwów i odzyskania ogromnych nagród na w imieniu dużych grup powodów. Nagrody mogą przewyższać rzeczywiście poniesione szkody, co sprawia, że możliwość ta jest szczególnie przerażająca dla firm podlegających CCPA. Ponadto proponowane regulacje będące przedmiotem bieżącego przeglądu rozważają wprowadzenie prywatnego prawa do powództwa w przypadku wszystkich naruszeń CCPA, zamiast zezwalać na nie tylko w przypadku naruszenia wymogów bezpieczeństwa statutu.
Od czego organizacje powinny zacząć, jeśli chodzi o zgodność z CCPA?
Organizacje powinny upewnić się, że zamieszczają odpowiednie ujawnienia na swojej stronie internetowej i we wszystkich punktach zbierania danych osobowych od mieszkańców Kalifornii. Powinni być w stanie spełnić wszystkie żądania CCPA, a jeśli uważa się, że „sprzedają” dane osobowe mieszkańców CA, powinni umieścić w widocznym miejscu przycisk „Nie sprzedawaj moich danych” na swojej stronie internetowej.
Organizacje, które są już zgodne z RODO, są na dobrej drodze do zapewnienia zgodności z CCPA, ale wymagania obu przepisów nie są identyczne, a firmy zachęca się do zasięgnięcia porady zaufanych doradców, aby upewnić się, że zrobiły wszystko, co konieczne, aby zapewnić, że są zgodne z wymogami CCPA przed 1 stycznia 2020 r.
CCPA i RODO
Czym różnią się CCPA i RODO?
Ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO) zostało uchwalone w 2016 r. i jest inspirowane dorozumianym przekonaniem w dużej części Europy, że tamtejsze osoby mają podstawowe prawo do kontrolowania własnych danych osobowych. Z drugiej strony CCPA wynikało z przekonania, że stan Kalifornia zalega z ochroną prywatności swoich mieszkańców i zabezpieczaniem ich przed niewłaściwym wykorzystaniem PI (w tym kradzieżą tożsamości, oszustwami finansowymi, uszczerbkiem na reputacji, nękaniem itp.) .
Biorąc pod uwagę te różnice, podczas gdy RODO koncentrowało się przede wszystkim na zapewnieniu własności i kontroli danych osobowych przez każdą osobę, której to dotyczy, CCPA skupiło się na ukierunkowaniu na zdolność firm internetowych do przeprowadzania transakcji obejmujących duże ilości danych osobowych bez wiedzy i zgody mieszkańców Kalifornii. Mówiąc dokładniej, RODO ma zastosowanie do wszystkich czynności związanych z przetwarzaniem danych osobowych – w tym przechowywania, uzyskiwania dostępu i przesyłania danych. Jednak CCPA dotyczy wyłącznie gromadzenia, „sprzedaży” i ujawniania danych osobowych w celach biznesowych.
W jaki sposób CCPA i RODO uzupełniają się?
Zarówno CCPA, jak i RODO wymagają, aby organizacje zbierające dane osobowe od osób fizycznych ujawniały, co zamierzają zrobić z tymi danymi osobowymi, a oba przepisy zapewniają szereg podobnych praw stronom trzecim w odniesieniu do ich własnych danych osobowych. Ponadto oba przepisy wymagają zgody, przejrzystości i kontroli przez osoby fizyczne nad ich własnymi danymi osobowymi, a oba przepisy nakładają grzywny za nieprzestrzeganie ich wymagań.
Czy oczekuje się, że różnice w otoczeniu regulacyjnym między UE a Kalifornią wpłyną odpowiednio na egzekwowanie CCPA i RODO?
Ponieważ Kalifornia jest środowiskiem znacznie bardziej spornym niż Unia Europejska i oczekuje się, że organy regulacyjne w Kalifornii będą dążyć do ścisłego egzekwowania prawa począwszy od nowego roku, prawdopodobnie zobaczymy, że więcej organizacji zostanie ukaranych grzywnami za nieprzestrzeganie CCPA niż zrobiliśmy to, gdy rozpoczęło się egzekwowanie RODO. Biorąc to pod uwagę, organizacje, które zdecydują się poczekać i zobaczyć, zamiast agresywnie dążyć do przestrzegania CCPA, prawdopodobnie podejmują poważne ryzyko.