Ключевые вещи, которые каждый бренд должен знать о CCPA
Опубликовано: 2019-12-21В 2018 году введение в действие Общего европейского регламента по защите данных (GDPR) изменило ландшафт конфиденциальности данных для предприятий в Европе и во всем мире и сделало конфиденциальность и безопасность данных потребителей важной темой для всех, кто заботится о взаимодействии с клиентами.
С Калифорнийским законом о конфиденциальности потребителей (CCPA), который должен начать действовать 1 января 2020 года, революция в области конфиденциальности, начатая GDPR, стала домом для американских компаний. Это новое законодательство — большая тема, и оно может напугать бренды, особенно те, которые еще не начали работу по обеспечению его соблюдения. Хотя Braze не может предоставлять юридические консультации нашим клиентам или кому-либо еще, мы можем рассказать вам о некоторых основных вещах, о которых вам нужно подумать, когда речь идет о CCPA и конфиденциальности данных в целом. Читайте дальше, чтобы быть в курсе:
Основы
Что такое CCPA?
CCPA расшифровывается как Калифорнийский закон о конфиденциальности потребителей, первоначально принятый правительством штата Калифорния в июне 2018 года. Закон устанавливает новые меры защиты конфиденциальности и защиты прав потребителей для людей, проживающих в Калифорнии. Вступление в силу CCPA начнется 1 января 2020 года.
Почему Калифорния прошла CCPA?
В 2018 году, после серии инцидентов с конфиденциальностью данных, включая скандал с Cambridge Analytica, группа защиты интересов под названием «Калифорнийцы за конфиденциальность потребителей» предложила инициативу государственного голосования, которая в случае принятия избирателями привела бы к принятию чрезвычайно строгого нового закона о конфиденциальности потребителей.
Чтобы упредить эти усилия, законодательный орган Калифорнии представил и принял CCPA, что побудило калифорнийских сторонников защиты прав потребителей отозвать свою инициативу. Хотя считается, что CCPA открывает новые горизонты в отношении прав потребителей на конфиденциальность данных в Соединенных Штатах, в нем предусмотрены менее строгие требования, чем в предлагаемой инициативе.
Какие права есть у жителей Калифорнии в соответствии с CCPA?
В соответствии с CCPA жители Калифорнии имеют право знать, кто собирает их личную информацию (PI) и что делается с этой информацией, а также имеют право на доступ к информации, на ее удаление, на отказ от «продажи». ” их личной информации и пользоваться всеми этими правами без дискриминации, то есть им нельзя отказывать в преимуществах или правах, которые предоставляются людям, которые не отказываются от участия.
Применяется ли CCPA к организациям, расположенным за пределами Калифорнии?
Закон применяется к любой организации, которая ведет бизнес в Калифорнии с доходом от 25 миллионов долларов США или более, а также к предприятиям, которые собирают данные от 50 000 или более жителей Калифорнии или получают не менее 50% своих доходов от «продажи» личной информации. Это, вероятно, включает в себя большинство компаний, базирующихся в штате, а также многие американские и международные организации, аудитория которых включает жителей Калифорнии.
CCPA и данные
Какие данные регулируются CCPA?
CCPA распространяется только на сбор, продажу и раскрытие «личной информации» в связи с деловыми целями. Однако, поскольку он был принят с целью нацеливания на огромные объемы данных, обрабатываемых социальными сетями, брокерами данных и онлайн-поведенческими рекламодателями, к нему предъявляется ряд строгих требований, которые придают ему далеко идущие последствия.
В соответствии с CCPA PI включает в себя все, что может идентифицировать человека — имя, адрес, адрес электронной почты, номер банковского счета, дату рождения, биометрические данные, отпечатки пальцев и т. д. — а также данные о домохозяйстве, звуковую, тепловую и обонятельную информацию. Таким образом, определение PI в соответствии с CCPA, возможно, делает его одним из самых широких законов в мире, касающихся прав на неприкосновенность частной жизни.
Какую информацию бренды должны раскрывать клиентам в соответствии с CCPA?
CCPA включает подробные требования к раскрытию информации, которые необходимо обновлять каждый год; компании должны раскрывать личные данные, которые они собирали, «продавали» и разглашали в коммерческих целях в течение последних 12 месяцев, а также обеспечивать, чтобы жители Калифорнии имели права на раскрытие, доступ и отказ от их личной информации. Организации также обязаны объяснять категории собираемых ими личных данных и цель сбора этой информации — и они должны делать это в момент сбора, будь то веб-сайт, мероприятие или что-то еще.
Как CCPA определяет «продажу»?
CCPA определяет «продажу» очень широко, охватывая действия, которые мало кто связывает с продажей данных. В соответствии с CCPA продажа относится не только к передаче личной информации в обмен на деньги — закон также считает, что продажа включает «аренду, выпуск, раскрытие, распространение, предоставление, передачу или иное сообщение в устной, письменной, или с помощью электронных или других средств, личная информация потребителя бизнесом другому бизнесу или третьему лицу за денежное или другое ценное вознаграждение ».
Поскольку в законе не содержится определения «другого ценного вознаграждения» и поскольку определение «продажи» включает обмен данными, многие бренды, которые не продают данные (в общеупотребительном смысле этого слова), могут быть обязаны действовать как хотя они делают это для того, чтобы соблюдать закон. Под «другим ценным соображением» подразумевается любая ценность, поэтому, если личные данные передаются третьей стороне, и в этом есть какая-то ценность для любой из сторон, это потенциально является «продажей» в соответствии с CCPA — и это один из причины, по которым CCPA считается одним из самых широких законов о конфиденциальности в мире.
Существуют ли особые требования к брендам, которые считаются «продающими» личную информацию в соответствии с CCPA?
Если компания «продает» личные данные жителя Калифорнии в соответствии с CCPA, эта организация должна разместить на своем веб-сайте заметную ссылку «Не продавать мою личную информацию», которая позволит физическим лицам отказаться от «продажи» своих личных данных. Информация. Бренды, которые этого не делают, могут быть оштрафованы и подвергнуты другим наказаниям.
Есть ли в CCPA правила сбора информации от несовершеннолетних?
CCPA позволяет взрослым отказаться от сбора данных и запрещает предприятиям повторно запрашивать разрешение на сбор их данных в течение как минимум 12 месяцев после отказа. Однако для детей младше 16 лет правила значительно более строгие и требуют согласия на сбор их личной информации. А для детей в возрасте до 12 лет никакие личные данные не могут быть собраны без согласия родителей (например, родитель или другой опекун должен дать согласие на участие ребенка).
Применяется ли CCPA к данным, собранным до принятия закона?
Если компания, подпадающая под действие CCPA, собирает личную информацию, то эта компания должна соблюдать требования CCPA, даже если данные были собраны до 1 января 2020 года, когда вступит в силу CCPA. Это означает, что потребитель, проживающий в Калифорнии, может осуществлять все свои права в отношении своей личной информации — например, этот потребитель может попросить ваш бренд удалить данные, которые вы собрали о нем пять лет назад, и в соответствии с CCPA ваш бренд будет обязан Сделай так.
Правоприменение CCPA
Когда истекает срок исполнения CCPA?
Хотя CCPA был первоначально принят в июне 2018 года, организациям дали срок до 1 января 2020 года, прежде чем они были обязаны соблюдать закон.
Какие санкции предусмотрены за несоблюдение CCPA?
Генеральный прокурор Калифорнии уполномочен оштрафовать организации на сумму до 2500 долларов за нарушение CCPA; однако у этих организаций будет 30 дней, чтобы ответить на уведомление о несоблюдении, и они не будут оштрафованы, если решат проблему в течение этого периода. Важно понимать одну ключевую вещь: эти штрафы начисляются за каждое отдельное нарушение, поэтому, если нарушение затронет 100 человек, потенциальный штраф составит 250 000 долларов, а не 2500 долларов. Кроме того, если несоблюдение будет признано преднамеренным, штрафы могут составить до 7500 долларов США за каждое нарушение, что еще больше повышает вероятность значительных финансовых последствий для брендов.
CCPA также позволяет отдельным жителям Калифорнии подавать жалобы на организации, которые, по их мнению, нарушают закон, с потенциальными выплатами до 750 долларов на человека.
Кроме того, в соответствии с CCPA существует частное право на иск, что означает, что физическое лицо может подать иск, если физическое лицо считает, что компания не выполнила требования безопасности CCPA и произошла утечка данных в отношении PI этого человека. Это индивидуальное право на подачу иска может привести к коллективным искам, что особенно отрезвляет в судебной среде Калифорнии, где теоретически есть ряд адвокатов истца, которые с нетерпением ждут возможности подать такие иски и взыскать огромные суммы. от имени больших классов истцов. Вознаграждения могут превышать фактически понесенный ущерб, что делает эту возможность особенно пугающей для компаний, подпадающих под действие CCPA. Кроме того, предлагаемые правила, находящиеся на рассмотрении в настоящее время, рассматривают возможность реализации частного права на иск для всех нарушений CCPA, вместо того, чтобы просто разрешить их в случае нарушения требований безопасности закона.
С чего организациям следует начать, когда речь идет о соблюдении требований CCPA?
Организации должны обеспечить размещение соответствующей информации на своем веб-сайте и во всех точках сбора личной информации от жителей Калифорнии. Они должны иметь возможность выполнять все запросы CCPA, и, если считается, что они «продают» личную информацию жителей ЦА, они должны разместить на видном месте кнопку «Не продавать мои данные» на своем веб-сайте.
Организации, которые уже соответствуют GDPR, находятся на пути к соответствию CCPA, но требования двух законов не идентичны, и компаниям рекомендуется обращаться за советом к своим доверенным консультантам, чтобы убедиться, что они сделали все необходимое для обеспечения того, чтобы они соответствуют требованиям CCPA до 1 января 2020 года.
CCPA и GDPR
Чем отличаются CCPA и GDPR?
Общий регламент Европейского союза по защите данных (GDPR) был принят в 2016 году и вдохновлен неявным убеждением большей части Европы в том, что люди там обладают фундаментальным правом контролировать свои личные данные. CCPA, с другой стороны, исходил из убеждения, что штат Калифорния отстал в защите частной жизни своих жителей и защите их от неправомерного использования личных данных (включая кражу личных данных, финансовое мошенничество, ущерб репутации, преследование и т. д.) .
Учитывая эти различия, в то время как GDPR был сосредоточен в первую очередь на обеспечении права собственности и контроля над персональными данными каждым затронутым лицом, CCPA сосредоточился на способности онлайн-компаний выполнять транзакции с большими объемами личной информации без ведома и согласия жителей Калифорнии. А именно, GDPR применяется ко всем действиям, связанным с обработкой персональных данных, включая хранение, доступ и передачу данных. Однако CCPA применяется только к сбору, «продаже» и раскрытию личной информации в деловых целях.
Каким образом CCPA и GDPR дополняют друг друга?
Как CCPA, так и GDPR требуют от организаций, которые собирают личную информацию от физических лиц, раскрывать, что они собираются делать с этой личной информацией, и оба закона предоставляют ряд аналогичных прав третьим сторонам в отношении их собственной личной информации. Кроме того, оба закона требуют согласия, прозрачности и контроля отдельных лиц над своей личной информацией, и оба закона предусматривают штрафы за несоблюдение их требований.
Ожидается ли, что различия в нормативно-правовой среде между ЕС и Калифорнией повлияют на соблюдение CCPA и GDPR соответственно?
Поскольку Калифорния является значительно более спорной средой, чем Европейский Союз, и ожидается, что регулирующие органы в Калифорнии будут стремиться строго соблюдать закон, начиная с нового года, вполне вероятно, что мы увидим больше организаций, оштрафованных за несоблюдение CCPA. чем когда мы начали применять GDPR. Учитывая это, организации, которые предпочитают подождать и посмотреть, а не агрессивно добиваться соблюдения CCPA, вероятно, серьезно рискуют.