Поиск по сайту:

CCPA не только для калифорнийских предприятий. Вот что вам нужно, чтобы быть совместимым


Самое жесткое законодательство о защите данных в США распространяется на бизнес повсюду. CCPA защищает личные данные калифорнийских потребителей, где бы они ни обрабатывались. Мы объясняем, как.

CCPA

Калифорнийский закон о конфиденциальности потребителей (CCPA) вступил в силу 1 января 2020 года и вступит в силу 1 июля 2020 года. Он предоставляет потребителям определенные права в отношении их личной информации (PII). Он налагает на предприятия обязательства по защите персональных данных, защите прав потребителей в отношении их данных и налагает ограничения на то, что бизнес может делать с данными.

Он известен как самый жесткий закон о защите данных в Соединенных Штатах. Есть много параллелей с Европейскими общими правилами защиты данных. Примечательно, что точно так же, как GDPR может применяться к предприятиям за пределами Европы, CCPA не ограничивается предприятиями, расположенными в Калифорнии. Оба набора правил ориентированы на человека. Они защищают данные и права отдельных лиц независимо от местонахождения компании, у которой есть данные. Если, то есть, ваш бизнес подпадает под действие CCPA.

GPDR применяется ко всем организациям. В CCPA есть квалификационные критерии. Если вы соответствуете им, вы должны соблюдать Закон. Это тот случай, когда вы находитесь в Калифорнии, в другом месте в Соединенных Штатах или где-либо еще в мире. И различия между CCPA и GDPR достаточны для того, чтобы вынудить квалификационную компанию, соответствующую требованиям GDPR, предпринять шаги для соблюдения CCPA, поэтому соответствующие европейские компании не получают бесплатный пропуск.

Какие предприятия входят в сферу охвата?

Прежде чем мы сможем ответить на этот вопрос, нам нужно разобраться с некоторыми определениями.

Потребитель – физическое лицо, проживающее в Калифорнии. Они «потребляют» товары или услуги предприятий. Это их PII, которые защищены Законом. Определение личной информации в CCPA шире, чем в GDPR. Оно включает:

  • Настоящее имя потребителя, псевдоним, почтовый адрес, уникальный личный идентификатор, сетевой идентификатор, IP-адрес, адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта или другие аналогичные уникальные идентификаторы.
  • Коммерческая информация, включая записи о личном имуществе, продуктах или услугах, приобретенных, полученных или рассматриваемых, а также другие истории или тенденции покупок. Рассмотрено означает взаимодействие между компанией и потребителем, но потребитель в конечном итоге не купил товары или услуги, которые он собирался купить. Процесс шоппинга может оставить цифровые навигационные крошки почти такими же многочисленными, как если бы покупка была совершена.
  • Биометрическая информация, геолокационные данные и информация об активности в электронной сети, включая, помимо прочего, историю просмотра, историю поиска и информацию о взаимодействии потребителя с веб-сайтом, приложением или рекламой.
  • Информация о профессии, образовании и трудоустройстве.

Компания  означает организацию, в которой выполняются все следующие утверждения:

  • Это организация, которая является индивидуальным предпринимателем, товариществом, компанией с ограниченной ответственностью, корпорацией, ассоциацией или другим юридическим лицом, структурированная и работающая для получения финансовой прибыли владельцев или акционеров. То есть это легально действующая организация, которая занимается зарабатыванием денег.
  • Он либо собирает личные данные потребителей, либо кто-то другой собирает их от имени организации.
  • Либо отдельно, либо совместно с другими он определяет цели и средства обработки персональных данных потребителей. То есть, какие данные собираются и как они будут обрабатываться.
  • Компания ведет бизнес в Калифорнии.

Удивительно, но фраза «ведет бизнес в Калифорнии» не определена в Законе. Тем не менее, согласно корпоративному законодательству Калифорнии, это означает «вступление в повторные и последовательные сделки своего бизнеса в этом штате, кроме межштатной или внешней торговли».

В соответствии с налоговым законодательством Калифорнии это применяется к компаниям, ведущим бизнес в Интернете без физического присутствия в Калифорнии. Компания, базирующаяся за пределами Калифорнии, имеющая веб-серверы, размещенные в каком-либо другом третьем штате, которая принимает 50 000 веб-посетителей от жителей Калифорнии, может подпадать под действие CCPA. И это не обязательно должен быть сайт электронной коммерции. Если сайт отслеживает какую-либо информацию посетителей о потребителях или направляет им целевую рекламу, этого может быть достаточно, чтобы подтолкнуть их к категории «ведет бизнес в Калифорнии».

Предприятие подпадает под действие CCPA, если выполняется любое из следующих условий.

  • Егогодовой валовой доход превышает 25 000 000 долларов США.
  • Он покупает или получает в коммерческих целях, продает или передает в коммерческих целях личные данные 50 000 или более потребителей, домохозяйств или устройств ежегодно. Устройства включены, поскольку они принадлежат потребителю и используются им, а информация об устройстве может использоваться для идентификации потребителя.
  • Не менее 50 % годового дохода компании приходится на продажу персональных данных потребителей.

Прозрачность и уведомления

CCPA обязывает включать конкретную информацию в вашу Политику конфиденциальности. Это включает описание прав потребителей в соответствии с CCPA, таких как их право требовать:

  • Какие личные данные и категории данных о них хранятся в компании.
  • Источники, из которых были собраны персональные данные.
  • Цели сбора или продажи персональных данных.
  • Третьи стороны, которым будут переданы личные данные. Например, если бы вы были страховым брокером, одной из категорий были бы страховые компании.
  • Что их личные данные удаляются компанией. Это возможно только в некоторых случаях. Есть девять исключений, и потребителю нужно сообщить, что они из себя представляют. Например, если потребитель находится в середине контракта с компанией и имеет финансовые обязательства перед ней, компания имеет законный интерес сохранять свои личные данные до тех пор, пока их финансовые обязательства перед ней не будут выполнены.
  • Категории персональных данных потребителя, проданных компанией.
  • Кому были проданы личные данные, по категориям для каждого покупателя данных.
  • Кому данные были переданы (не проданы) в коммерческих целях. В нашем примере со страховым брокером это будет список страховых компаний, которым были переданы личные данные потребителя, чтобы эти страховые компании могли предоставлять страховые расценки.

Потребитель также должен быть проинформирован о том, что он имеет право не подвергаться дискриминации за осуществление каких-либо своих прав в соответствии с CCPA. Они должны иметь доступ к тем же ценам, товарам и услугам, что и любой другой потребитель.

Вы должны предоставить потребителям два способа подачи запросов или осуществления своих прав, включая бесплатный номер. Если ваш бизнес работает исключительно в Интернете и имеет прямые отношения с потребителем, вам не нужно указывать бесплатный номер. Вместо этого вы должны указать адрес электронной почты для отправки запросов и способ отправки запросов через сам веб-сайт.

Все предприятия собирают некоторую информацию о своих клиентах. Информация, собранная в Интернете, должна сопровождаться уведомлениями. Вам необходимо информировать потребителей о:

  • Категории собираемых персональных данных.
  • Цели, для которых будут использоваться категории персональных данных.
  • Сбор любых дополнительных категорий информации или другое использование данных, которые будут иметь место после первоначального раскрытия информации. Другими словами, если вы собираетесь собирать больше данных, используя предоставленные данные, вы должны заявить об этом до сбора исходных данных. Точно так же, если вы собираетесь выполнять другие виды обработки после сбора дополнительных данных, вы должны сообщить об этом потребителю.

Если вы продаете или иным образом раскрываете личные данные, вы должны указать, какие категории личных данных были проданы или переданы за последние 12 месяцев. Если никакие личные данные не были проданы или переданы, вам необходимо указать этот факт.

Не продавать мою личную информацию

Вы должны предоставить четкую и заметную ссылку на своем веб-сайте под названием Не продавать мою личную информацию. Это должно позволить пользователю зарегистрироваться, что он не дает своего согласия и не соглашается на продажу или обмен своими личными данными. Эта ссылка должна быть доступна без регистрации или создания учетной записи на сайте.

Другая ссылка «Не продавать мою личную информацию» должна быть включена в вашу Политику конфиденциальности.

Штрафы

Предусмотрены гражданско-правовые санкции в размере 2500 долларов США за несоблюдение требований CCPA или 7500 долларов США за каждое последующее нарушение, которое называется умышленным нарушением, поскольку вы не устранили первоначальную проблему. Примечательно, что CCPA также предусматривает, что частные истцы могут подать гражданский коллективный иск против компании с требованием возмещения убытков в размере от 100 до 750 долларов США на каждого пострадавшего потребителя или фактического ущерба, в зависимости от того, что больше.

Запросы потребительских данных

Когда потребитель хочет воспользоваться правом, которое дает ему доступ к своим личным данным, вы должны ответить в течение 45 дней с момента получения «поддающегося проверке запроса». Это означает, что запрос должен быть где-то записан, и вы должны убедиться, что потребитель, сделавший запрос, действительно является этим потребителем. Если вы отправляете данные лица А лицу Б, вы только что совершили несоответствующую транзакцию.

Если запрос необычайно сложный или вы обрабатываете большое количество запросов, вы можете продлить 45 дней еще на 90 дней. Если вы это сделаете, вы должны сообщить потребителю в течение первых 45 дней и указать причины, которые привели к продлению.

Вам необходимо предоставить данные за предыдущий 12-месячный период с даты получения запроса. Данные должны быть возвращены в «удобном для использования формате», таком как PDF или в печатной форме. Вы не можете ожидать, что потребитель получит тот же тип программного обеспечения, которое вы используете для обработки, просто чтобы загрузить свои данные, чтобы увидеть их. Они должны иметь возможность отправлять полученную от вас информацию кому угодно, и каждый должен иметь возможность открыть и прочитать документ «беспрепятственно».

Данные должны быть «в письменной форме». Поэтому, если данные закодированы (вы можете хранить даты как числа дней по юлианскому календарю), их необходимо преобразовать обратно в слова и даты.

Вы можете вернуть им данные через их учетную запись в компании, либо по почте, либо по электронной почте по выбору потребителя.

И после всего этого вы не можете взимать плату за обработку запросов данных.

Как приготовиться

Это может показаться сбивающим с толку, и это были только основные моменты. В CCPA много чего упаковано. С чего начать?

Если вы не делали это в последнее время, первое, что вы должны сделать, — это упражнение по отображению данных. Их также называют упражнениями по благоустройству данных. Вам необходимо определить и задокументировать объем и цель вашей деятельности по сбору и обработке данных. Это включает:

  • Какую именно личную информацию вы собираете?
  • Как эта информация используется в бизнесе?
  • Где хранится эта информация?
  • Каковы рабочие процессы, которые передают личные данные внутри вашей компании и передают их партнерам?
  • Кому вы делитесь личными данными и почему?
  • Какие у вас есть внутренние политики, регулирующие использование и защиту персональных данных? Достаточно ли их?

Не зная, почему вы собираете личные данные, какие данные вы собираете и в каких системах они хранятся, вам будет очень сложно защитить личные данные и ответить на запросы доступа к данным или запросы на удаление данных. Но если у вас есть задокументированный набор местоположений для каждого типа данных и процедура, которая направляет сотрудника в процессе сбора данных, запрос на доступ к данным становится управляемым, а не обременительным.

Если это может быть автоматизировано или частично автоматизировано, тем лучше. Конечно, прежде чем вы сможете подумать об автоматизации, вам все равно нужно знать, почему, что и где обрабатываются ваши личные данные.

Проверьте свои технические средства защиты

Законодательство о защите данных уклоняется от перечисления конкретных видов защиты, которые вы должны использовать для защиты личных данных. Любые решения, которые они предусматривают, могут устареть, и то, что подходит для реализации одному бизнесу, не подойдет для другого. Но персональные данные должны быть достаточно защищены. Убедитесь, что соблюдены следующие стандартные меры предосторожности:

  • Данные в пути. С этим можно справиться с помощью SSL/TLS, VPN и других решений, обеспечивающих безопасность соединений между конечными точками.
  • Хранимые данные. Убедитесь, что базы данных и любые другие хранилища личных данных, хранящиеся в ваших сетях, защищены, зашифрованы, если это возможно, и наложены ограничения на их доступ в соответствии с ролями сотрудников. Вам необходимо свести к минимуму создание случайных электронных таблиц, содержащих личные данные. Как их контролировать и включать в запросы на доступ к данным и удаление?
  • Безопасность сети. Применяйте как можно больше стандартных передовых методов обеспечения безопасности, пропорционально объему имеющихся у вас личных данных, предполагаемому риску и вашему бюджету.
  • Защита электронной почты. Большинство атак вредоносных программ начинаются с электронной почты. Помимо технических решений, помните, что ваши сотрудники находятся на передовой, открывая электронную почту. Не забывайте об обучении сотрудников вопросам кибербезопасности. Некоторые службы электронной почты, такие как Microsoft 365, доставляют электронную почту безопасным образом при передаче и хранении.

Выполнять коммуникативные обязанности

Измените или создайте свою Политику конфиденциальности, чтобы она соответствовала CCPA, и добавьте обязательную информацию, которую вы должны предоставить. Используйте простой английский и сделайте его доступным и легким для понимания. Путаница или двусмысленность не сослужат хорошую службу ни одной из сторон.

Добавьте необходимые уведомления в точки на вашем сайте, которые собирают личные данные, и сделайте их одинаково понятными.

Задокументируйте, как вы собираетесь проверять, что потребитель действительно является этим потребителем, когда вы получаете запросы на доступ к данным или удаление. Какие доказательства вам необходимо получить, как вы будете запрашивать их и какое сообщение будет отправлено потребителю для их запроса?

Просмотрите своих партнеров

Компании, которым вы делитесь данными, также могут доставить вам неприятности, если они нарушат CCPA.

Вам необходимо рассмотреть соглашения о защите данных или дополнения к существующим договорам о защите данных или очень строгую комплексную проверку в отношении других компаний, с которыми вы делитесь личными данными.

Обратитесь за профессиональной помощью

Эта статья не заменяет профессиональную юридическую консультацию, не создает отношений между адвокатом и клиентом и не является призывом предложить юридическую консультацию. Дьявол, как всегда, кроется в деталях, и бизнес может иметь любую комбинацию вариантов использования.

Обратитесь за соответствующим профессиональным советом, если у вас нет соответствующего набора навыков для толкования Закона.