17 Кві, 2023

CCPA: Каліфорнійський Закон про захист прав споживачів

Послуги Відповідності та Управління

Helps organizations meet regulatory requirements and industry standards.

Введення в CCPA

Каліфорнійський закон про захист прав споживачів (CCPA) - це знаковий закон про захист приватного життя, який був прийнятий в Каліфорнії, Сполучені Штати, в 2018 році. Він надає жителям Каліфорнії певні права і накладає зобов'язання на компанії, які збирають, використовують або передають їх особисту інформацію. CCPA націлений на підвищення конфіденційності споживачів і захисту даних, надаючи приватним особам більший контроль над своєю особистою інформацією і вимагаючи від компаній прозорості щодо своїх дій з даними. 

CCPA стала значною подією в сфері регулювання конфіденційності, встановивши новий стандарт конфіденційності даних в Сполучених Штатах і за їх межами. Це має наслідки для компаній, які працюють в Каліфорнії або обробляють особисту інформацію жителів Каліфорнії, незалежно від їх фізичного розташування. Розуміння сфери охоплення, вимог і наслідків дотримання CCPA має вирішальне значення для компаній, щоб захистити конфіденційність споживачів, уникнути штрафних санкцій за недотримання і підтримувати довіру зі своїми клієнтами. 

В цьому блозі ми заглибимося в тонкощі CCPA, охоплюючи його ключові положення, права споживачів, вимоги відповідності, правозастосування, найкращі практики та нові тенденції в області конфіденційності. Отримавши всебічне уявлення про CCPA, підприємства зможуть орієнтуватися у мінливому ландшафті конфіденційності, адаптувати свої методи обробки даних та забезпечити дотримання цього важливого регламенту конфіденційності. 

До кого застосовується CCPA? 

Каліфорнійський закон про захист прав споживачів (CCPA) застосовується до певних підприємствам, які відповідають певним критеріям, а також споживачам, які є жителями Каліфорнії. Такі організації підпадають під дію CCPA: 

• Підприємства: CCPA застосовується до компаній, які працюють в Каліфорнії або які збирають, використовують або передають особисту інформацію жителів Каліфорнії і відповідають одному або декільком з наступних граничних значень: 

Річний валовий дохід становить 25 мільйонів доларів і більше. 

Купуйте, отримуйте або продавайте особисту інформацію 50 000 або більше споживачів, домашніх господарств або пристроїв. 

Отримують 50% або більше свого річного доходу від продажу особистої інформації споживачів. 

• Постачальники послуг: CCPA також застосовується до постачальників послуг, які обробляють особисту інформацію від імені бізнесу та отримують особисту інформацію від бізнесу, що підпадає під дію CCPA. 

• Треті особи: CCPA застосовується до третім особам, яким компанія розкриває особисту інформацію в ділових цілях і які не вважаються постачальниками послуг. 

• Споживачі: CCPA надає права на недоторканність приватного життя споживачам, які є жителями Каліфорнії. Споживачі мають право знати, право на видалення, право відмовитися і право на недискримінацію щодо їх особистої інформації. 

Важливо відзначити, що CCPA має широку екстериторіальний сферу дії, що означає, що підприємства, розташовані за межами Каліфорнії, але які збирають або обробляють особисту інформацію жителів Каліфорнії, також можуть підпадати під вимоги відповідності CCPA. 

Розуміння того, до кого застосовується CCPA, має вирішальне значення для бізнесу при визначенні своїх зобов'язань щодо дотримання вимог законодавства, реалізації необхідних заходів щодо захисту прав споживачів та уникнення потенційних штрафів за недотримання. Компаніям, які підпадають під дію CCPA, слід оцінити свої методи обробки даних, оновити свої політики конфіденційності та розголошення інформації, а також створити механізми для обробки запитів споживачів відповідно до вимог CCPA. 

Права на користувача, надані відповідно CCPA 

Каліфорнійський закон про захист прав споживачів (CCPA) надає ряд прав на недоторканність приватного життя споживачам, які є жителями Каліфорнії. Ці права призначені для того, щоб надати споживачам більший контроль над своєю особистою інформацією, і включають наступне: 

Право знати: Споживачі мають право знати, яка особиста інформація збирається, використовується, розкривається або продається компанією. Це включає в себе право запитувати і отримувати детальну інформацію про категоріях збирається особистої інформації, джерела особистої інформації, цілях, для яких збирається і використовується особиста інформація, і категоріях третіх осіб, яким передається особиста інформація. 

Право на видалення: Споживачі мають право вимагати видалення їх особистої інформації, що зберігається в компанії. Це право дозволяє споживачам запитувати видалення особистої інформації, яка більше не є необхідною для цілей, для яких вона була зібрана, або яка була отримана або використана без законних ділових цілей. 

Право відмовитися від участі: Споживачі мають право відмовитися від продажу своєї особистої інформації. Це означає, що споживачі можуть вимагати, щоб компанія не продавала їх особисту інформацію третім особам. Компанії зобов'язані надавати чіткий і кидається в очі механізм відмови на своїх веб-сайтах чи з допомогою інших засобів, і їм заборонено продавати особисту інформацію споживачів, які відмовилися, за винятком випадків, коли застосовується виняток. 

Право на недискримінацію: Споживачі мають право не зазнавати дискримінації за здійснення своїх прав CCPA. Це означає, що підприємствам забороняється відмовляти в товарах або послугах, встановлювати різні ціни, надавати товари або послуги іншого рівня або якості або припускати, що споживачі отримають товари чи послуги іншого рівня або якості на основі здійснення ними прав CCPA, за винятком випадків, коли обгрунтовано диференційований підхід пов'язаний з вартістю, що надається даними споживача. 

Право на доступ: Споживачі мають право запросити доступ до своєї особистої інформації, що зберігається в компанії. Це включає в себе право запитувати і отримувати копію конкретних фрагментів особистої інформації, зібраної компанією, в зручному для використання форматі, а також передавати інформацію іншій організації за запитом. 

Право на реєстрацію для неповнолітніх: CCPA також містить спеціальне положення для неповнолітніх віком до 16 років. Компанії зобов'язані отримати згоду на реєстрацію від неповнолітнього, або з батьків або піклувальника неповнолітнього у віці до 13 років, перш ніж продавати свою особисту інформацію. 

Важливо відзначити, що споживачі можуть здійснювати свої права CCPA, відправляючи перевіряються запити підприємствам, а підприємства зобов'язані надавати споживачам механізми для відправки таких запитів та перевірки їх особистості. Компанії також зобов'язані відповідати на запити споживачів у визначені строки та надавати запитувану інформацію або вживати відповідні дії, такі як видалення особистої інформації або припинення продажу особистої інформації, як того вимагає CCPA. 

Розуміння прав споживачів CCPA має вирішальне значення для бізнесу, щоб забезпечити дотримання цього закону щодо конфіденційності, захистити приватне життя споживачів і уникнути можливих штрафних санкцій за недотримання. Компанії, що підпадають під дію CCPA, повинні встановити процеси і механізми для обробки запитів споживачів, оновити свої політики конфіденційності та розголошення інформації, а також забезпечити відповідність своїх методів обробки даних вимогам CCPA. 

Зобов'язання для бізнесу відповідно до CCPA 

Каліфорнійський закон про захист прав споживачів (CCPA) - це всеосяжний закон про захист персональних даних, який накладає зобов'язання на підприємства, які збирають, використовують або розкривають особисту інформацію жителів Каліфорнії. Деякі з основних зобов'язань для бізнесу в рамках CCPA включають: 

1. Вимога про повідомлення: Компанії зобов'язані повідомляти споживачів у пункті збору особистої інформації або до цього. Це повідомлення має інформувати споживачів про категоріях збирається особистої інформації, цілях, для яких ця інформація збирається, і категоріях третіх осіб, з якими ця інформація передається. 

2. Право знати: Компанії повинні дозволяти споживачам запитувати і отримувати інформацію про конкретних фрагментах особистої інформації, яку компанія зібрала про них, категоріях збирається особистої інформації, категоріях джерел, з яких збирається особиста інформація, цілях, для яких використовується особиста інформація, і категоріях третіх сторін, яким передається особиста інформація. 

3. Право на видалення: Компанії повинні дозволити споживачам запитувати видалення їх особистої інформації, зібраної компанією, за деякими винятками. 

4. Відмовитися від продажу: Компанії повинні надати чітку і кидається в очі посилання "Не продавати мою особисту інформацію на своєму веб-сайті або в мобільному додатку, що дозволяє споживачам відмовитися від продажу своєї особистої інформації. 

5. Недискримінація: Підприємствам заборонено дискримінувати споживачів, які здійснюють свої права у відповідності з CCPA, що означає, що підприємства не можуть відмовляти в товарах або послугах, встановлювати різні ціни або надавати товари або послуги іншого рівня або якості на основі здійснення споживачем своїх прав CCPA. 

6. Конфіденційність неповнолітніх: Якщо компанія продає особисту інформацію споживачів віком до 16 років, компанія повинна отримати згоду на реєстрацію від одного з батьків або опікуна, перш ніж продавати особисту інформацію. Для споживачів у віці від 13 до 16 років, споживач сам повинен зареєструватися. 

7. Безпека даних: Підприємства повинні застосовувати розумні заходи безпеки для захисту збирається ними особистої інформації від несанкціонованого доступу, знищення, використання, модифікації або розкриття. 

8. Управління постачальниками: Підприємства, які розкривають особисту інформацію стороннім постачальникам або постачальникам послуг, повинні мати діючі письмові контракти, які вимагають, щоб ці постачальники дотримувалися CCPA і обробляли особисту інформацію у відповідності з законом. 

9. Навчання співробітників: Підприємства повинні проводити навчання працівників, які обробляють особисту інформацію, вимогам CCPA і практиці конфіденційності бізнесу. 

10. Ведення обліку: Підприємства повинні вести облік запитів споживачів і їх відповідей, пов'язаних з CCPA, протягом 24 місяців (близько 2 років). 

Важливо відзначити, що CCPA застосовується до підприємств, які відповідають певним пороговим значенням, таким як річний валовий дохід в розмірі 25 мільйонів доларів або більше, купівля, отримання або продаж особистої інформації 50 000 або більше жителів Каліфорнії, домашніх господарств або пристроїв, або отримання 50% або більше своїх річних доходів від продажу особистої інформації жителів Каліфорнії. Підприємствам, що підпадають під дію CCPA, рекомендується звернутися за юридичною консультацією, щоб переконатися в дотриманні закону. 

Що таке CPRA, і в чому різниця між ним ізнайдіть CCPA

CPRA розшифровується як Каліфорнійський закон про права на недоторканність приватного життя, який не є законом про недоторканність приватного життя, прийнятим у листопаді 2020 року як ініціативи по голосуванню в Каліфорнії, Сполучені Штати. Він вносить зміни в існуючий Каліфорнійський закон про захист прав споживачів (CCPA) і розширює права на недоторканність приватного життя для жителів Каліфорнії. 

Основні відмінності між CPRA і CCPA полягають у наступному: 

• Створення нового правоохоронного органу: CPRA засновує Каліфорнійське агентство по захисту конфіденційності (CPPA), який є регулюючим органом, відповідальним за забезпечення дотримання законів про конфіденційність в Каліфорнії. CCPA, з іншого боку, не має спеціального правозастосовчого органу. 

• Розширення прав споживачів: CPRA надає додаткові права споживачам, включаючи право виправляти неточну особисту інформацію, право обмежувати використання конфіденційної особистої інформації та право відмовитися від обміну особистою інформацією для межконтекстной поведінкової реклами. CCPA явно не передбачає цих прав. 

• Введення поняття "конфіденційна особиста інформація": CPRA вводить нову категорію особистої інформації під назвою "конфіденційна особиста інформація", яка включає в себе такі дані, як номери соціального страхування, інформацію про фінансовому рахунку і точну інформацію про геолокації. CPRA пред'являє додаткові вимоги до підприємств при обробці конфіденційної особистої інформації, включаючи отримання явної згоди споживачів на її збір і використання. 

• Зміни в ділових зобов'язання: CPRA накладає додаткові зобов'язання на підприємства, такі як проведення регулярних аудитів кібербезпеки, і вимагає, щоб підприємства укладали контракти з постачальниками послуг, які включають певні заходи захисту конфіденційності. CCPA не має цих вимог. 

• Продовження порогу "бізнес": CPRA підвищує поріг для бізнесу, на який поширюється дія закону, з критеріїв CCPA в 50 000 споживачів або домогосподарств до 100 000 споживачів або домогосподарств. Крім того, CPRA вводить нову концепцію "спільного використання" особистої інформації, яка може накладати на підприємства додаткові вимоги до дотримання. 

• Збільшені штрафи за недотримання: CPRA збільшує штрафи за порушення, пов'язані з правами неповнолітніх на недоторканність приватного життя, і в три рази збільшує штрафи за навмисні порушення прав споживачів на недоторканність приватного життя порівняно з CCPA. 

CPRA розширює і підсилює права на недоторканність приватного життя і вимоги до підприємств порівняно з CCPA і вводить деякі нові концепції і положення. Компанії, що працюють в Каліфорнії або обробляють особисту інформацію жителів Каліфорнії, повинні ретельно вивчити і дотримуватися як CCPA, так і CPRA, щоб забезпечити відповідність законами Каліфорнії про конфіденційність. 

Може дотримання GDPR гарантує CCPA? 

Дотримання Загального регламенту щодо захисту даних (GDPR), який є законом про захист даних в Європейському Союзі, автоматично не гарантує дотримання Каліфорнійського закону про захист прав споживачів (CCPA), який є окремим законом про конфіденційність в Каліфорнії, Сполучені Штати. Хоча між GDPR і CCPA може бути деяку схожість з точки зору їх принципів та вимог до захисту персональних даних, це різні закони зі специфічними положеннями і сферою застосування, які застосовуються до різних географічних регіонах. 

Існують деякі області, що перетинаються між GDPR і CCPA, такі як вимоги до прозорості, прав суб'єкта даних і заходам безпеки. Наприклад, обидва закони, як правило, вимагають від компаній прозорості щодо своїх дій з даними, отримання згоди на певні види обробки даних та надання суб'єктам даних прав на доступ, видалення та виправлення їх особистої інформації. Крім того, обидва закони можуть вимагати від підприємств прийняття розумних заходів безпеки для захисту персональних даних. 

Однак існують також суттєві відмінності між GDPR і CCPA. Наприклад: 

Область застосування: GDPR застосовується до компаній, які обробляють персональні дані фізичних осіб у Європейському Союзі, незалежно від їх місця розташування, в той час як CCPA застосовується до компаній, які збирають або продають особисту інформацію жителів Каліфорнії, незалежно від їх розташування або наявності у них фізичної присутності в Каліфорнії. 

Відмова від участі або Відмова від виходу: GDPR зазвичай вимагає отримання згоди на обробку даних, в той час як CCPA зазвичай вимагає надання споживачам права відмовитися від продажу їх особистої інформації. 

Права і вимоги: Незважаючи на подібність у правах суб'єктів даних та вимоги до прозорості і безпеки, існують також відмінності в конкретних деталях і положеннях GDPR і CCPA, таких як вимоги до повідомлень про витік даних, фінансовим стимулам і додатковим зобов'язанням для підприємств відповідно до CCPA. 

Правозастосування і покарання: GDPR і CCPA мають різні механізми правозастосування і покарання за недотримання. GDPR уповноважує органи із захисту даних в ЄС накладати штрафи в розмірі до 20 мільйонів євро або 4% від глобального річного доходу, в залежності від того, що більше, за певні порушення. CCPA, з іншого боку, передбачає штрафи у розмірі до 7500 доларів США за порушення або фактичний збиток, залежно від того, що більше, за певні порушення даних. 

Хоча дотримання GDPR може послужити основою для створення програми конфіденційності, це не гарантує дотримання CCPA або навпаки. Компаніям, на які поширюються як GDPR, так і CCPA, слід ретельно вивчити і зрозуміти вимоги кожного закону окремо й переконатися, що в них є належні заходи для дотримання законів, враховуючи їх унікальні положення і сферу застосування. Консультації юрисконсульта і фахівців по захисту конфіденційності можуть бути корисні при розборі складнощів, пов'язаних як з дотриманням GDPR, так і CCPA.

Хто може проводити аудит для CCPA?

CCPA дійсно вимагає, щоб охоплені компанії підтримували розумні заходи безпеки для захисту особистої інформації, і вони можуть піддаватися аудитів чи оцінок з боку різних організацій, в тому числі: 

Зовнішні аудитори: Підприємства можуть залучити зовнішніх аудиторів, таких як сертифіковані державні бухгалтери (CPA) або фірми з кібербезпеки, для проведення аудитів або оцінки їх відповідності CCPA. Ці аудитори можуть оцінити відповідність бізнесу вимогам CCPA, включаючи його практику, політику і процедури захисту даних. 

Регулюючі органи: Генеральна прокуратура Каліфорнії, яка відповідає за забезпечення дотримання CCPA, має повноваження проводити аудити або оцінки відповідності бізнесу закону. Якщо компанія є об'єктом розслідування з боку Генеральної прокуратури Каліфорнії, від неї може знадобитися надати документацію та докази її відповідності CCPA. 

Внутрішні аудитори: Підприємства також можуть використовувати свої групи внутрішнього аудиту або відділи комплаєнса для проведення внутрішніх аудитів або оцінки відповідності їх CCPA. Ці внутрішні аудитори можуть переглядати і оцінювати практику, політику і процедури захисту даних компанії, щоб забезпечити відповідність вимогам CCPA. 

Важливо відзначити, що, хоча CCPA не наказує певний тип аудитора або сертифікацію, підприємства повинні переконатися, що аудитори, яких вони наймають, кваліфіковані і мають досвід у питаннях конфіденційності та захисту даних, і що вони слідують загальноприйнятим стандартам і практиці аудиту. Крім того, дотримання CCPA може також вимагати юридичної експертизи для тлумачення вимог закону та забезпечення належного виконання. Підприємствам слід проконсультуватися з юрисконсультом і фахівцями щодо захисту конфіденційності, щоб переконатися, що вони виконують свої зобов'язання CCPA.

Як отримати сертифікат CCPA? 

Каліфорнійський закон про захист прав споживачів (CCPA) - це закон про конфіденційність, який встановлює вимоги до підприємств, які збирають або продають особисту інформацію жителів Каліфорнії, і він не вимагає офіційної сертифікації. 

Однак існують організації і фахівці із захисту конфіденційності, які пропонують добровільні сертифікати чи оцінки, пов'язані з дотриманням CCPA. Ці сертифікати або оцінки офіційно не визнані або не санкціоновані CCPA, але вони можуть надати компаніям можливість продемонструвати свою прихильність кращим практикам у галузі конфіденційності та захисту даних. Ось кілька загальних кроків, які ви можете зробити, щоб пройти сертифікацію відповідності CCPA: 

Розуміти вимоги CCPA: Ознайомтеся з положеннями CCPA, включаючи його вимоги до збору даних, прав споживачів і безпеки даних. Ознайомтеся з текстом CCPA, офіційним керівництвом і тлумаченнями Генеральної прокуратури Каліфорнії, щоб забезпечити повне розуміння закону. 

Оцініть свою поточну практику: Проведіть внутрішню оцінку ваших поточних методів роботи з даними, політик і процедур, щоб виявити будь-які прогалини чи області, які потребують поліпшення у зв'язку з дотриманням CCPA. Це може включати в себе перегляд ваших методів збору даних, політики конфіденційності, механізмів отримання згоди, процесів захисту прав суб'єктів даних і заходів безпеки даних. 

Залучіть спеціалістів із захисту конфіденційності: Подумайте про залучення фахівців з питань конфіденційності, таких як консультанти з питань конфіденційності або юрисконсульт, що володіють досвідом у сфері конфіденційності та захисту даних, для надання допомоги у ваших зусиллях щодо дотримання CCPA. Вони можуть надати рекомендації, адаптовані до вашим конкретним бізнес-операціях, і допомогти забезпечити відповідність вимогам CCPA. 

Внесіть необхідні зміни: Ґрунтуючись на результатах вашої внутрішньої оцінки та рекомендації фахівців щодо захисту конфіденційності, внесіть необхідні зміни у свої методи обробки даних, політики та процедури для приведення їх у відповідність з вимогами CCPA. Це може включати оновлення вашої політики конфіденційності, впровадження механізмів відмови, встановлення процесів захисту прав суб'єктів даних і посилення заходів безпеки ваших даних. 

Розгляньте можливість добровільної сертифікації або оцінки: Деякі організації або фахівці по захисту конфіденційності пропонують добровільні сертифікати чи оцінки, пов'язані з дотриманням CCPA. Ці сертифікати або оцінки можуть включати в себе огляд ваших методів обробки даних, політик і процедур і можуть забезпечити сторонню перевірку ваших зусиль по дотриманню вимог. Вивчіть і виберіть авторитетну програму сертифікації або оцінки, яка відповідає потребам вашого бізнесу. 

Підтримувати постійну відповідність вимогам: Відповідність вимогам CCPA - це безперервний процес, і підприємства повинні постійно відслідковувати і оновлювати свої методи обробки даних, політики та процедури, щоб забезпечити постійне відповідність вимогам CCPA. 

Важливо відзначити, що, хоча сертифікати або оцінки можуть надати спосіб продемонструвати вашу прихильність дотриманню CCPA, вони не є гарантією відповідності, оскільки вимоги CCPA можуть змінюватися з плином часу, а програми сертифікації офіційно не визнані або не санкціоновані законом. Підприємства завжди повинні гарантувати, що вони повністю відповідають вимогам CCPA, викладених у самому законі і будь-яких офіційних рекомендаціях Генеральної прокуратури Каліфорнії. Консультації юрисконсульта і фахівців по захисту конфіденційності можуть бути корисні при розборі складнощів дотримання CCPA. 
 

Які штрафи можуть бути накладені за недотримання CCPA?

Каліфорнійський закон про захист прав споживачів (CCPA) передбачає накладення штрафів за недотримання. Конкретні штрафи за порушення CCPA вказані в самому CCPA, і вони можуть змінюватись в залежності від характеру і серйозності порушення. CCPA встановлює два види штрафів: 

Цивільно - правові санкції: Генеральна прокуратура Каліфорнії уповноважена забезпечувати дотримання CCPA і може накладати цивільно-правові санкції за порушення CCPA. CCPA передбачає цивільні штрафи в розмірі до 2500 доларів США за кожне порушення або до 7500 доларів США за кожне умисне порушення, залежно від того, що більше. Ці штрафи можуть бути накладені за кожне порушення, що означає, що штрафи можуть швидко підсумовуватися, якщо буде виявлено кілька порушень. 

Приватне право на позов: CCPA також передбачає приватне право на пред'явлення позову в разі певних витоків даних. Споживачі, чия особиста інформація піддалася несанкціонованого доступу і эксфильтрации, крадіжці або розголошенню через невиконання компанією розумних заходів безпеки, можуть вимагати відшкодування встановленого законом збитку в розмірі від 100 до 750 доларів США на споживача за інцидент або фактичний збиток, залежно від того, що більше. 

Важливо відзначити, що штрафи відповідно до CCPA можуть бути накладені Генеральною прокуратурою Каліфорнії або за допомогою приватних судових позовів, в залежності від характеру порушення. Також варто згадати, що Каліфорнійський закон про права на недоторканність приватного життя (CPRA), що представляє собою виборчу ініціативу, яка була схвалена виборцями Каліфорнії в листопаді 2020 року і має вступити в силу в 2023 році, вводить додаткові штрафи за певні порушення його положень. 

Підприємствам, що підпадають під дію CCPA, рекомендується забезпечити дотримання вимог закону для зниження ризику виникнення штрафів. Це може включати впровадження належних методів збору даних, надання необхідних повідомлень споживачам, дотримання прав споживачів та підтримку розумних заходів безпеки даних. Консультації юрисконсульта і фахівців по захисту конфіденційності можуть бути корисні в забезпеченні дотримання CCPA і управлінні ризиками, пов'язаними з недотриманням. 

Інші Послуги

Готові до безпеки?

зв'язатися з нами