17 Апр, 2023

CCPA: Калифорнийский Закон о защите прав потребителей

Услуги Соответствия И Управления

Helps organizations meet regulatory requirements and industry standards.

Введение в CCPA

Калифорнийский закон о защите прав потребителей (CCPA) - это знаковый закон о защите частной жизни, который был принят в Калифорнии, Соединенные Штаты, в 2018 году. Он предоставляет жителям Калифорнии определенные права и налагает обязательства на компании, которые собирают, используют или передают их личную информацию. CCPA нацелен на повышение конфиденциальности потребителей и защиты данных, предоставляя частным лицам больший контроль над своей личной информацией и требуя от компаний прозрачности в отношении своих действий с данными. 

CCPA стала значительным событием в области регулирования конфиденциальности, установив новый стандарт конфиденциальности данных в Соединенных Штатах и за их пределами. Это имеет последствия для компаний, которые работают в Калифорнии или обрабатывают личную информацию жителей Калифорнии, независимо от их физического местоположения. Понимание сферы охвата, требований и последствий соблюдения CCPA имеет решающее значение для компаний, чтобы защитить конфиденциальность потребителей, избежать штрафных санкций за несоблюдение и поддерживать доверие со своими клиентами. 

В этом блоге мы углубимся в тонкости CCPA, охватывая его ключевые положения, права потребителей, требования соответствия, правоприменение, лучшие практики и новые тенденции в области конфиденциальности. Получив всестороннее представление о CCPA, предприятия смогут ориентироваться в меняющемся ландшафте конфиденциальности, адаптировать свои методы обработки данных и обеспечить соблюдение этого важного регламента конфиденциальности. 

К кому применяется CCPA? 

Калифорнийский закон о защите прав потребителей (CCPA) применяется к определенным предприятиям, которые соответствуют определенным критериям, а также к потребителям, которые являются жителями Калифорнии. Следующие организации подпадают под действие CCPA: 

• Предприятия: CCPA применяется к компаниям, которые работают в Калифорнии или которые собирают, используют или передают личную информацию жителей Калифорнии и соответствуют одному или нескольким из следующих пороговых значений: 

Годовой валовой доход составляет 25 миллионов долларов и более. 

Покупайте, получайте или продавайте личную информацию 50 000 или более потребителей, домашних хозяйств или устройств. 

Получают 50% или более своего годового дохода от продажи личной информации потребителей. 

• Поставщики услуг: CCPA также применяется к поставщикам услуг, которые обрабатывают личную информацию от имени бизнеса и которые получают личную информацию от бизнеса, подпадающего под действие CCPA. 

• Третьи лица: CCPA применяется к третьим лицам, которым компания раскрывает личную информацию в деловых целях и которые не считаются поставщиками услуг. 

• Потребители: CCPA предоставляет права на неприкосновенность частной жизни потребителям, которые являются жителями Калифорнии. Потребители имеют право знать, право на удаление, право отказаться и право на недискриминацию в отношении их личной информации. 

Важно отметить, что CCPA имеет широкую экстерриториальную сферу действия, что означает, что предприятия, расположенные за пределами Калифорнии, но которые собирают или обрабатывают личную информацию жителей Калифорнии, также могут подпадать под требования соответствия CCPA. 

Понимание того, к кому применяется CCPA, имеет решающее значение для бизнеса при определении своих обязательств по соблюдению требований, реализации необходимых мер по защите прав потребителей и избежании потенциальных штрафов за несоблюдение. Компаниям, подпадающим под действие CCPA, следует оценить свои методы обработки данных, обновить свои политики конфиденциальности и раскрытия информации, а также создать механизмы для обработки запросов потребителей в соответствии с требованиями CCPA. 

Права на пользователя, предоставленные в соответствии CCPA 

Калифорнийский закон о защите прав потребителей (CCPA) предоставляет ряд прав на неприкосновенность частной жизни потребителям, которые являются жителями Калифорнии. Эти права предназначены для того, чтобы предоставить потребителям больший контроль над своей личной информацией, и включают следующее: 

Право знать: Потребители имеют право знать, какая личная информация собирается, используется, раскрывается или продается компанией. Это включает в себя право запрашивать и получать подробную информацию о категориях собираемой личной информации, источниках личной информации, целях, для которых собирается и используется личная информация, и категориях третьих лиц, которым передается личная информация. 

Право на удаление: Потребители имеют право потребовать удаления их личной информации, хранящейся в компании. Это право позволяет потребителям запрашивать удаление личной информации, которая больше не является необходимой для целей, для которых она была собрана, или которая была собрана или использована без законных деловых целей. 

Право отказаться от участия: Потребители имеют право отказаться от продажи своей личной информации. Это означает, что потребители могут потребовать, чтобы компания не продавала их личную информацию третьим лицам. Компании обязаны предоставлять четкий и бросающийся в глаза механизм отказа на своих веб-сайтах или с помощью других средств, и им запрещено продавать личную информацию потребителей, которые отказались, за исключением случаев, когда применяется исключение. 

Право на недискриминацию: Потребители имеют право не подвергаться дискриминации за осуществление своих прав CCPA. Это означает, что предприятиям запрещается отказывать в товарах или услугах, устанавливать разные цены, предоставлять товары или услуги другого уровня или качества или предполагать, что потребители получат товары или услуги другого уровня или качества на основе осуществления ими прав CCPA, за исключением случаев, когда дифференцированный подход обоснованно связан со стоимостью, предоставляемой данными потребителя. 

Право на доступ: Потребители имеют право запросить доступ к своей личной информации, хранящейся в компании. Это включает в себя право запрашивать и получать копию конкретных фрагментов личной информации, собранной компанией, в удобном для использования формате, а также передавать информацию другой организации по запросу. 

Право на регистрацию для несовершеннолетних: CCPA также включает специальное положение для несовершеннолетних в возрасте до 16 лет. Компании обязаны получить согласие на регистрацию от несовершеннолетнего, или родителя или опекуна несовершеннолетнего в возрасте до 13 лет, прежде чем продавать свою личную информацию. 

Важно отметить, что потребители могут осуществлять свои права CCPA, отправляя проверяемые запросы предприятиям, а предприятия обязаны предоставлять потребителям механизмы для отправки таких запросов и проверки их личности. Компании также обязаны отвечать на запросы потребителей в определенные сроки и предоставлять запрашиваемую информацию или предпринимать соответствующие действия, такие как удаление личной информации или прекращение продажи личной информации, как того требует CCPA. 

Понимание прав потребителей CCPA имеет решающее значение для бизнеса, чтобы обеспечить соблюдение этого закона о конфиденциальности, защитить частную жизнь потребителей и избежать возможных штрафных санкций за несоблюдение. Компании, подпадающие под действие CCPA, должны установить процессы и механизмы для обработки запросов потребителей, обновить свои политики конфиденциальности и раскрытия информации, а также обеспечить соответствие своих методов обработки данных требованиям CCPA. 

Обязательства для бизнеса в соответствии с CCPA 

Калифорнийский закон о защите прав потребителей (CCPA) - это всеобъемлющий закон о защите персональных данных, который налагает различные обязательства на предприятия, которые собирают, используют или раскрывают личную информацию жителей Калифорнии. Некоторые из основных обязательств для бизнеса в рамках CCPA включают: 

1. Требование об уведомлении: Компании обязаны уведомлять потребителей в пункте сбора личной информации или до этого. Это уведомление должно информировать потребителей о категориях собираемой личной информации, целях, для которых эта информация собирается, и категориях третьих лиц, с которыми эта информация передается. 

2. Право знать: Компании должны разрешать потребителям запрашивать и получать информацию о конкретных фрагментах личной информации, которую компания собрала о них, категориях собираемой личной информации, категориях источников, из которых собирается личная информация, целях, для которых используется личная информация, и категориях третьих сторон, которым передается личная информация. 

3. Право на удаление: Компании должны разрешить потребителям запрашивать удаление их личной информации, собранной компанией, за некоторыми исключениями. 

4. Отказаться от продажи: Компании должны предоставить четкую и бросающуюся в глаза ссылку “Не продавать мою личную информацию” на своем веб-сайте или в мобильном приложении, позволяющую потребителям отказаться от продажи своей личной информации. 

5. Недискриминация: Предприятиям запрещено дискриминировать потребителей, которые осуществляют свои права в соответствии с CCPA, что означает, что предприятия не могут отказывать в товарах или услугах, устанавливать разные цены или предоставлять товары или услуги другого уровня или качества на основе осуществления потребителем своих прав CCPA. 

6. Конфиденциальность несовершеннолетних: Если компания продает личную информацию потребителей младше 16 лет, компания должна получить согласие на регистрацию от родителя или опекуна, прежде чем продавать личную информацию. Для потребителей в возрасте от 13 до 16 лет, потребитель сам должен зарегистрироваться. 

7. Безопасность данных: Предприятия должны применять разумные меры безопасности для защиты собираемой ими личной информации от несанкционированного доступа, уничтожения, использования, модификации или раскрытия. 

8. Управление поставщиками: Предприятия, которые раскрывают личную информацию сторонним поставщикам или поставщикам услуг, должны иметь действующие письменные контракты, которые требуют, чтобы эти поставщики соблюдали CCPA и обрабатывали личную информацию в соответствии с законом. 

9. Обучение сотрудников: Предприятия должны проводить обучение сотрудников, которые обрабатывают личную информацию, требованиям CCPA и практике конфиденциальности бизнеса. 

10. Ведение учета: Предприятия должны вести учет запросов потребителей и их ответов, связанных с CCPA, в течение 24 месяцев (около 2 лет). 

Важно отметить, что CCPA применяется к предприятиям, которые соответствуют определенным пороговым значениям, таким как годовой валовой доход в размере 25 миллионов долларов или более, покупка, получение или продажа личной информации 50 000 или более жителей Калифорнии, домашних хозяйств или устройств, или получение 50% или более своих годовых доходов от продажи личной информации жителей Калифорнии. Предприятиям, подпадающим под действие CCPA, рекомендуется обратиться за юридической консультацией, чтобы убедиться в соблюдении закона. 

Что такое CPRA, и в чем разница между ним инайдите CCPA

CPRA расшифровывается как Калифорнийский закон о правах на неприкосновенность частной жизни, который является законом о неприкосновенности частной жизни, принятым в ноябре 2020 года в качестве инициативы по голосованию в Калифорнии, Соединенные Штаты. Он вносит поправки в существующий Калифорнийский закон о защите прав потребителей (CCPA) и расширяет права на неприкосновенность частной жизни для жителей Калифорнии. 

Основные различия между CPRA и CCPA заключаются в следующем: 

• Создание нового правоохранительного органа: CPRA учреждает Калифорнийское агентство по защите конфиденциальности (CPPA), которое является регулирующим органом, ответственным за обеспечение соблюдения законов о конфиденциальности в Калифорнии. CCPA, с другой стороны, не имеет специального правоприменительного органа. 

• Расширение прав потребителей: CPRA предоставляет дополнительные права потребителям, включая право исправлять неточную личную информацию, право ограничивать использование конфиденциальной личной информации и право отказаться от обмена личной информацией для межконтекстной поведенческой рекламы. CCPA явно не предусматривает этих прав. 

• Введение понятия “конфиденциальная личная информация”: CPRA вводит новую категорию личной информации под названием “конфиденциальная личная информация”, которая включает в себя такие данные, как номера социального страхования, информацию о финансовом счете и точную информацию о геолокации. CPRA предъявляет дополнительные требования к предприятиям при обработке конфиденциальной личной информации, включая получение явного согласия потребителей на ее сбор и использование. 

• Изменения в деловых обязательствах: CPRA налагает дополнительные обязательства на предприятия, такие как проведение регулярных аудитов кибербезопасности, и требует, чтобы предприятия заключали контракты с поставщиками услуг, которые включают определенные меры защиты конфиденциальности. CCPA не имеет этих требований. 

• Продление порога “бизнес”: CPRA повышает порог для бизнеса, на который распространяется действие закона, с критериев CCPA в 50 000 потребителей или домохозяйств до 100 000 потребителей или домохозяйств. Кроме того, CPRA вводит новую концепцию “совместного использования” личной информации, которая может налагать на предприятия дополнительные требования к соблюдению. 

• Увеличенные штрафы за несоблюдение: CPRA увеличивает штрафы за нарушения, связанные с правами несовершеннолетних на неприкосновенность частной жизни, и в три раза увеличивает штрафы за преднамеренные нарушения прав потребителей на неприкосновенность частной жизни по сравнению с CCPA. 

CPRA расширяет и усиливает права на неприкосновенность частной жизни и требования к предприятиям по сравнению с CCPA и вводит некоторые новые концепции и положения. Компании, работающие в Калифорнии или обрабатывающие личную информацию жителей Калифорнии, должны тщательно изучить и соблюдать как CCPA, так и CPRA, чтобы обеспечить соответствие законам Калифорнии о конфиденциальности. 

Может соблюдение GDPR гарантирует CCPA? 

Соблюдение Общего регламента по защите данных (GDPR), который является законом о защите данных в Европейском Союзе, автоматически не гарантирует соблюдение Калифорнийского закона о защите прав потребителей (CCPA), который является отдельным законом о конфиденциальности в Калифорнии, Соединенные Штаты. Хотя между GDPR и CCPA может быть некоторое сходство с точки зрения их принципов и требований к защите персональных данных, это разные законы со специфическими положениями и сферой применения, которые применяются к разным географическим регионам. 

Существуют некоторые области, пересекающиеся между GDPR и CCPA, такие как требования к прозрачности, правам субъекта данных и мерам безопасности. Например, оба закона, как правило, требуют от компаний прозрачности в отношении своих действий с данными, получения согласия на определенные виды обработки данных и предоставления субъектам данных прав на доступ, удаление и исправление их личной информации. Кроме того, оба закона могут требовать от предприятий принятия разумных мер безопасности для защиты персональных данных. 

Однако существуют также существенные различия между GDPR и CCPA. Например: 

Область применения: GDPR применяется к компаниям, которые обрабатывают персональные данные физических лиц в Европейском Союзе, независимо от их местоположения, в то время как CCPA применяется к компаниям, которые собирают или продают личную информацию жителей Калифорнии, независимо от их местоположения или наличия у них физического присутствия в Калифорнии. 

Отказ от участия или Отказ от выхода: GDPR обычно требует получения согласия на обработку данных, в то время как CCPA обычно требует предоставления потребителям права отказаться от продажи их личной информации. 

Права и требования: Несмотря на сходство в правах субъектов данных и требованиях к прозрачности и безопасности, существуют также различия в конкретных деталях и положениях GDPR и CCPA, таких как требования к уведомлениям об утечке данных, финансовым стимулам и дополнительным обязательствам для предприятий в соответствии с CCPA. 

Правоприменение и наказания: GDPR и CCPA имеют разные механизмы правоприменения и наказания за несоблюдение. GDPR уполномочивает органы по защите данных в ЕС налагать штрафы в размере до 20 миллионов евро или 4% от глобального годового дохода, в зависимости от того, что больше, за определенные нарушения. CCPA, с другой стороны, предусматривает штрафы в размере до 7500 долларов США за нарушение или фактический ущерб, в зависимости от того, что больше, за определенные нарушения данных. 

Хотя соблюдение GDPR может послужить основой для создания программы конфиденциальности, это не гарантирует соблюдения CCPA или наоборот. Компаниям, на которые распространяются как GDPR, так и CCPA, следует тщательно изучить и понять требования каждого закона в отдельности и убедиться, что у них есть надлежащие меры для соблюдения обоих законов, учитывая их уникальные положения и сферу применения. Консультации юрисконсульта и специалистов по защите конфиденциальности могут быть полезны при разборе сложностей, связанных как с соблюдением GDPR, так и CCPA.

Кто может проводить аудит для CCPA?

CCPA действительно требует, чтобы охваченные компании поддерживали разумные меры безопасности для защиты личной информации, и они могут подвергаться аудитам или оценкам со стороны различных организаций, в том числе: 

Внешние аудиторы: Предприятия могут привлечь внешних аудиторов, таких как сертифицированные государственные бухгалтеры (CPA) или фирмы по кибербезопасности, для проведения аудитов или оценки их соответствия CCPA. Эти аудиторы могут оценить соответствие бизнеса требованиям CCPA, включая его практику, политику и процедуры защиты данных. 

Регулирующие органы: Генеральная прокуратура Калифорнии, которая отвечает за обеспечение соблюдения CCPA, имеет полномочия проводить аудиты или оценки соответствия бизнеса закону. Если компания является объектом расследования со стороны Генеральной прокуратуры Калифорнии, от нее может потребоваться предоставить документацию и доказательства ее соответствия CCPA. 

Внутренние аудиторы: Предприятия также могут использовать свои группы внутреннего аудита или отделы комплаенса для проведения внутренних аудитов или оценки соответствия их CCPA. Эти внутренние аудиторы могут просматривать и оценивать практику, политику и процедуры защиты данных компании, чтобы обеспечить соответствие требованиям CCPA. 

Важно отметить, что, хотя CCPA не предписывает определенный тип аудитора или сертификацию, предприятия должны убедиться, что аудиторы, которых они нанимают, квалифицированы и имеют опыт в вопросах конфиденциальности и защиты данных, и что они следуют общепринятым стандартам и практике аудита. Кроме того, соблюдение CCPA может также потребовать юридической экспертизы для толкования требований закона и обеспечения надлежащего исполнения. Предприятиям следует проконсультироваться с юрисконсультом и специалистами по защите конфиденциальности, чтобы убедиться, что они выполняют свои обязательства CCPA.

Как получить сертификат CCPA? 

Калифорнийский закон о защите прав потребителей (CCPA) - это закон о конфиденциальности, который устанавливает требования к предприятиям, которые собирают или продают личную информацию жителей Калифорнии, и он не требует официальной сертификации. 

Однако существуют организации и специалисты по защите конфиденциальности, которые предлагают добровольные сертификаты или оценки, связанные с соблюдением CCPA. Эти сертификаты или оценки официально не признаны или не санкционированы CCPA, но они могут предоставить компаниям возможность продемонстрировать свою приверженность лучшим практикам в области конфиденциальности и защиты данных. Вот несколько общих шагов, которые вы можете предпринять, чтобы пройти сертификацию соответствия CCPA: 

Понимать требования CCPA: Ознакомьтесь с положениями CCPA, включая его требования к сбору данных, правам потребителей и безопасности данных. Ознакомьтесь с текстом CCPA, официальным руководством и толкованиями Генеральной прокуратуры Калифорнии, чтобы обеспечить полное понимание закона. 

Оцените свою текущую практику: Проведите внутреннюю оценку ваших текущих методов работы с данными, политик и процедур, чтобы выявить любые пробелы или области, которые нуждаются в улучшении в связи с соблюдением CCPA. Это может включать в себя пересмотр ваших методов сбора данных, политики конфиденциальности, механизмов получения согласия, процессов защиты прав субъектов данных и мер безопасности данных. 

Привлеките специалистов по защите конфиденциальности: Подумайте о привлечении специалистов по вопросам конфиденциальности, таких как консультанты по вопросам конфиденциальности или юрисконсульт, обладающие опытом в области конфиденциальности и защиты данных, для оказания помощи в ваших усилиях по соблюдению CCPA. Они могут предоставить рекомендации, адаптированные к вашим конкретным бизнес-операциям, и помочь обеспечить соответствие требованиям CCPA. 

Внесите необходимые изменения: Основываясь на результатах вашей внутренней оценки и рекомендациях специалистов по защите конфиденциальности, внесите все необходимые изменения в свои методы обработки данных, политики и процедуры для приведения их в соответствие с требованиями CCPA. Это может включать обновление вашей политики конфиденциальности, внедрение механизмов отказа, установление процессов защиты прав субъектов данных и усиление мер безопасности ваших данных. 

Рассмотрите возможность добровольной сертификации или оценки: Некоторые организации или специалисты по защите конфиденциальности предлагают добровольные сертификаты или оценки, связанные с соблюдением CCPA. Эти сертификаты или оценки могут включать в себя обзор ваших методов обработки данных, политик и процедур и могут обеспечить стороннюю проверку ваших усилий по соблюдению требований. Изучите и выберите авторитетную программу сертификации или оценки, которая соответствует потребностям вашего бизнеса. 

Поддерживать постоянное соответствие требованиям: Соответствие требованиям CCPA - это непрерывный процесс, и предприятия должны постоянно отслеживать и обновлять свои методы обработки данных, политики и процедуры, чтобы обеспечить постоянное соответствие требованиям CCPA. 

Важно отметить, что, хотя сертификаты или оценки могут предоставить способ продемонстрировать вашу приверженность соблюдению CCPA, они не являются гарантией соответствия, поскольку требования CCPA могут меняться с течением времени, а программы сертификации официально не признаны или не санкционированы законом. Предприятия всегда должны гарантировать, что они полностью соответствуют требованиям CCPA, изложенным в самом законе и любых официальных рекомендациях Генеральной прокуратуры Калифорнии. Консультации юрисконсульта и специалистов по защите конфиденциальности могут быть полезны при разборе сложностей соблюдения CCPA. 
 

Какие штрафы могут быть наложены за несоблюдение CCPA?

Калифорнийский закон о защите прав потребителей (CCPA) предусматривает наложение штрафов за несоблюдение. Конкретные штрафы за нарушения CCPA указаны в самом CCPA, и они могут варьироваться в зависимости от характера и серьезности нарушения. CCPA устанавливает два вида штрафов: 

Гражданско - правовые санкции: Генеральная прокуратура Калифорнии уполномочена обеспечивать соблюдение CCPA и может налагать гражданско-правовые санкции за нарушения CCPA. CCPA предусматривает гражданские штрафы в размере до 2500 долларов США за каждое нарушение или до 7500 долларов США за каждое преднамеренное нарушение, в зависимости от того, что больше. Эти штрафы могут быть наложены за каждое нарушение, что означает, что штрафы могут быстро суммироваться, если будет обнаружено несколько нарушений. 

Частное право на иск: CCPA также предусматривает частное право на предъявление иска в случае определенных утечек данных. Потребители, чья личная информация подверглась несанкционированному доступу и эксфильтрации, краже или разглашению из-за невыполнения компанией разумных мер безопасности, могут требовать возмещения установленного законом ущерба в размере от 100 до 750 долларов США на потребителя за инцидент или фактический ущерб, в зависимости от того, что больше. 

Важно отметить, что штрафы в соответствии с CCPA могут быть наложены Генеральной прокуратурой Калифорнии или посредством частных судебных исков, в зависимости от характера нарушения. Также стоит упомянуть, что Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), представляющий собой избирательную инициативу, которая была одобрена избирателями Калифорнии в ноябре 2020 года и должна вступить в силу в 2023 году, вводит дополнительные штрафы за определенные нарушения его положений. 

Предприятиям, подпадающим под действие CCPA, рекомендуется обеспечить соблюдение требований закона для снижения риска возникновения штрафов. Это может включать внедрение надлежащих методов сбора данных, предоставление необходимых уведомлений потребителям, соблюдение прав потребителей и поддержание разумных мер безопасности данных. Консультации юрисконсульта и специалистов по защите конфиденциальности могут быть полезны в обеспечении соблюдения CCPA и управлении рисками, связанными с несоблюдением. 

Другие Услуги

Готовы к безопасности?

Связаться с нами