دليل إلى CCPA: قانون خصوصية المستهلك في كاليفورنيا

نشرت: 2021-03-12

قانون خصوصية المستهلك في كاليفورنيا الذي تم تمريره في 2018. إنه قانون ولاية يوفر الحماية لسكان كاليفورنيا ، وهو مصمم لمنح المستهلكين في كاليفورنيا التحكم في بياناتهم عبر الإنترنت ومعلوماتهم الشخصية.

CCPA يمنح المستهلكين حماية لبياناتهم بما في ذلك:

الحق في معرفة المعلومات الشخصية التي تجمعها الشركات.

الحق في حذف المعلومات الشخصية التي تم جمعها.

الحق في إلغاء الاشتراك في بيع معلوماتهم الشخصية.

الحق في عدم التمييز عند ممارسة حقوقهم في قانون حماية خصوصية المستهلك.

من يحتاج إلى الاهتمام بالامتثال لقانون حماية خصوصية المستهلك

قانون خصوصية المستهلك في كاليفورنيا (CCPA) هو قانون ولاية كاليفورنيا فقط ولكنه ينطبق على أي مؤسسة تمارس نشاطًا تجاريًا في كاليفورنيا أو تجمع بيانات عن مستخدمي كاليفورنيا. تنطبق الحماية فقط على سكان كاليفورنيا ، ولكنها تنطبق حتى عندما يكونون خارج الولاية مؤقتًا.

CCPA ينطبق على:

  • الشركات الربحية التي تدير أعمالًا في كاليفورنيا والتي يبلغ إجمالي إيراداتها السنوية أكثر من 25 مليون دولار.
  • الشركات التي تشتري المعلومات الشخصية أو تتلقاها أو تبيعها لـ 50000 أو أكثر من سكان كاليفورنيا أو المنازل أو الأجهزة
  • الشركات التي تحصل على 50٪ أو أكثر من إيراداتها السنوية من بيع المعلومات الشخصية لسكان كاليفورنيا.

كاليفورنيا هي الولاية الأكثر اكتظاظًا بالسكان في الولايات المتحدة وموطن وادي السيليكون ، لذلك بدلاً من اللوائح الفيدرالية التي تحكم حماية البيانات للمستهلكين الأمريكيين ، وضعت CCPA المعيار والالتزام لكيفية قيام الشركات في جميع أنحاء الولايات المتحدة بجمع وتخزين وبيع ومعالجة بيانات شخصية.

بموجب قانون CCPA ، يمكن مقاضاة الشركات في حالة "سرقة المعلومات الشخصية غير المشفرة وغير المشفرة في خرق للبيانات نتيجة لفشل الشركة في الحفاظ على إجراءات وممارسات أمنية معقولة لحمايتها".

فوائد CCPA

CCPA لا تنشئ تلقائيًا بيئة رقمية آمنة ؛ إنها خارطة طريق لإنترنت أكثر أمانًا. إنه يشكل سابقة لنوع البيانات التي يجب أن نتوقع حمايتها كمستهلكين. كما يوضح نوع المتطلبات التي يجب أن تتوقع الشركات الامتثال لها إذا أرادت حماية بيانات المستخدم وتمهيد الطريق للتنظيم في المستقبل.

أدى قانون CCPA إلى زيادة الوعي بكيفية جمع المواقع الإلكترونية للبيانات وإدارتها وبيعها. لقد نجحت في جعل الشركات في وضع يسمح لها بالكشف عن كيفية تعاملها مع بيانات المستهلك. على الرغم من عدم وجود أي التزام على جميع مواقع الويب بتشديد أمان البيانات بشكل صارم ، وتعتمد CCPA ، في معظمها ، على نتائج المحاكم ، إلا أنها تعتمد على الدعاوى القضائية الجماعية للوصول إلى نتيجة في القضايا. قد تكون مسؤولية عدم الامتثال كافية لإدخال تحسينات على أمان البيانات العام.

عيوب CCPA

في حين أن CCPA هي الخطوة الرئيسية الأولى المتخذة في الولايات المتحدة لتحسين حماية البيانات للمستهلكين ، فهي لا تخلو من العيوب. هناك مشاكل مع قانون خصوصية المستهلك في كاليفورنيا من حيث النطاق وكيفية كتابته.

لا يوجد التزام للحفاظ على أمن البيانات

لا توجد متطلبات لتطبيق ممارسات أمان بيانات قوية والحفاظ عليها. قانون خصوصية المستهلك في كاليفورنيا (CCPA) لا يمنح المستهلكين حق الحصول على تعويضات قانونية إلا إذا تعرضوا لخرق البيانات. لا يوجد أي التزام بالحفاظ على الممارسات الأمنية بخلاف الإخفاق في توفير ممارسات أمان كافية من شأنه ، نتيجة للانتهاك ، أن يجعلك مسؤولاً عن الأضرار القانونية التي تلحق بالمستهلكين إذا ثبت ذلك في المحكمة.

دعوى

يتم رفع القضايا من خلال نظام المحاكم حيث يمكن للمستهلكين مقاضاة الشركات. قد يكون هذا عائقا أمام دخول الكثير من المستهلكين ، وخاصة المستهلكين الذين يشعرون بالضجر من التعامل مع نظام المحاكم.

شرط "العلاج" الذي يفضل الأعمال التجارية

بموجب شرط "العلاج" الخاص بقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) لمدة 30 يومًا ، يجب على المستهلكين تقديم إشعار خطي بالمسألة المحددة قبل بدء أي إجراء قانوني ضد شركة: "إذا عالج النشاط التجاري الانتهاك الملحوظ وقدم للمستهلك بيانًا مكتوبًا يشير إلى ذلك ، فإن الأضرار القانونية هي غير متوفر."

كيف تعرف CCPA المستهلكين

بينما ينطبق القانون العام لحماية البيانات (GDPR) على أي موضوع بيانات في الاتحاد الأوروبي في وقت التجميع أو المعالجة بغض النظر عن الجنسية ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يعرف المستهلك بأنه مقيم في كاليفورنيا ، حتى لو كان خارج الولاية مؤقتًا. حماية المستهلكين في كاليفورنيا فقط يترك مساحة كبيرة من البلاد بدون حماية.

كيف تعرف CCPA مراقبي البيانات

ينطبق قانون خصوصية المستهلك في كاليفورنيا (CCPA) على الشركات التي تتاجر في بيانات أكثر من 50000 من سكان كاليفورنيا سنويًا أو التي تحقق إيرادات تزيد عن 25 مليون دولار ، أو الشركات التي تجني أكثر من 50٪ من إيراداتها السنوية من بيع المعلومات الشخصية ؛ ينطبق القانون العام لحماية البيانات (GDPR) على جميع مواقع الويب والشركات والمؤسسات في العالم (مراقبو البيانات) إذا كانوا يقدمون سلعًا أو خدمات للأشخاص داخل الاتحاد الأوروبي.

السلطات المشرفة: صلاحيات تحقيق محدودة

يتم تقييم انتهاكات CCPA ، وعدم الامتثال ، من قبل المدعي العام لولاية كاليفورنيا. تمتلك شركة California AG فقط سلطة التحقيق في انتهاكات CCPA ، ويمكن للمستهلكين فقط بدء التقاضي في حالة تورطهم في خرق - وهذا فقط يبدأ إجراءات المحكمة.

كيفية تحقيق الامتثال لقانون حماية خصوصية المستهلك

بالنسبة للشركات ، يجب عليك التأكد من أن موقع الويب الخاص بك يتضمن معلومات حول نوع البيانات التي تجمعها عن المستخدمين لديك ، والسماح للمستخدمين بإلغاء الاشتراك في بيع هذه المعلومات ، ويجب أن تكون قادرًا على حذف المعلومات الشخصية عند تقديم طلب المستهلك .

تدقيق البيانات التي تجمعها

افهم كيف يؤثر القانون عليك. تعرف على نوع بيانات المستهلك التي تجمعها. لا يقتصر الأمر على معلومات تحديد الهوية الشخصية فحسب ، بل يشمل أيضًا بيانات تتبع الويب المتورطة في القانون.

قد لا تأتي مسؤوليتك الأكبر حتى من داخل مؤسستك الخاصة ولكن مع موردي الجهات الخارجية الذين تستخدمهم كخدمة ويب أو موفري المكونات الإضافية.

خريطة بيانات المستهلك

اعتبارًا من 1 يناير 2020 ، يمكن للمستهلكين في كاليفورنيا الاستفسار عن كيفية جمع بياناتهم وماذا تفعل بها ؛ يجب أن تكون قادرًا على الإجابة على هذه الأسئلة. اجعل من السهل على فريقك العثور على البيانات بجعلها قابلة للفهرسة والبحث. ابدأ في تعيين البيانات التي كشفت عنها في تدقيقك عن طريق السؤال:

  • ما هي البيانات التي تجمعونها؟
  • أين تخزنه؟
  • من المسؤول عن البيانات؟
  • كيف تجمعون البيانات؟
  • مع من تشارك البيانات؟
  • هل تبيع البيانات؟

تنفيذ عمليات الكشف عن الخصوصية

حان الوقت لتحديث بيانات الخصوصية الخاصة بك ، بما في ذلك سياسة الخصوصية والبنود والشروط وسياسة ملفات تعريف الارتباط. حدد نقاطًا محددة حول نوع المعلومات التي تقوم بجمعها ، وكيفية جمع هذه المعلومات ، وأنواع الأطراف الثالثة التي ستتمكن من الوصول إلى تلك البيانات والأسباب التي من أجلها تقوم بجمع هذه المعلومات.

اجعل سياساتك واضحة وحافظ على تحديثها ، واسمح للمستخدمين بفرصة إلغاء الاشتراك. يجب عليك أيضًا التفكير في إضافة زر "لا تبيع بياناتي" إلى موقع الويب الخاص بك والذي يسمح بمراجعة سياساتك وخيار إلغاء الاشتراك في ممارسات بيانات معينة.

تطوير عمليات لطلبات المعلومات

قد يُطلب منك تقديم نسخ من بيانات المستهلك ، أو حذف البيانات بناءً على طلبهم ، أو شرح البيانات التي تجمعها أو إلغاء اشتراك المستهلكين في جمع بياناتهم. قد يطلب المستهلك الكيانات المشمولة:

  • للحصول على نسخة من معلوماتهم الشخصية
  • أن يتم حذف معلوماتهم الشخصية
  • ما هي فئات معلوماتهم الشخصية التي يتم بيعها
  • لإلغاء الاشتراك في بيع المعلومات الشخصية لمن تزيد أعمارهم عن 16 عامًا
  • للاشتراك في بيع المعلومات الشخصية لمن تتراوح أعمارهم بين 13 و 16 عامًا
  • للحصول على موافقة ولي الأمر لبيع معلومات شخصية من مستهلك أقل من 13 عامًا

معالجة الخصوصية على كل المستويات

حافظ على تحديث وأمان برامجك وأنظمتك. وهذا يعني وجود كلمات مرور قوية وحماية من البرامج الضارة ، فضلاً عن معالجة المخاطر البشرية. درب فريقك حتى يفهم القانون ، وكيف ينطبق عليهم وكيف يمكن أن يلعبوا دورًا في حماية بياناتك.

اتخذ نهجًا قائمًا على المخاطر

احمِ عملك من خلال اتخاذ المبادرة في ممارسات أمان البيانات الخاصة بك وإشراك خبراء أمن البيانات ، جنبًا إلى جنب مع أعضاء فريقك ، في كل مستوى من مستويات مؤسستك. الخطر موجود على كل المستويات. اجمع الأفكار والمدخلات من الجميع في مؤسستك ، وكفريق واحد ، حدد أكبر المخاطر التي تواجهك وحدد أولويات الحلول.

عقوبات عدم الامتثال

لا يمكن مقاضاة الشركات بسبب انتهاكات CCPA ما لم يكن هناك خرق للبيانات. في حالات محددة ، يحق للمستهلكين الحصول على تعويضات. لن تكون الشركة مسؤولة إذا "عالجت" أي عدم امتثال في غضون 30 يومًا بعد إخطارها بعدم الامتثال المزعوم (على الرغم من أن بعض الحالات قد لا تكون قادرة على "العلاج").

الأضرار

تتراوح الأضرار القانونية التي يمكن للفرد أن يتلقاها من 100 دولار إلى 750 دولارًا لكل حادثة أو يمكن أن تكون للمبلغ الإجمالي للأضرار المالية التي تكبدها بالفعل نتيجة لخرق البيانات. يمكن للمحاكم أيضًا أن تقرر عقوبات أكثر صرامة اعتمادًا على شدة الانتهاك. بالنظر إلى أن خرق البيانات النموذجي قد يؤثر على مئات الآلاف من المستهلكين ، يمكن أن تتراكم هذه التكاليف - لكن يتعين على المستهلكين الخضوع للتقاضي قبل فرض الغرامات.

ضربات الجزاء

بالإضافة إلى الأضرار الفردية المستحقة للمستهلكين ، قد تواجه الشركات عقوبات مدنية في حالة خرق CCPA وانتهاكها. يمكن أن تتراوح هذه العقوبات من "2500 دولار للانتهاك غير المتعمد إلى 7500 دولار للانتهاك المتعمد".

أفكارنا حول CCPA

في أوائل عام 2021 ، تم الكشف عن أن قراصنة من الصين كانوا يحاولون سرقة البيانات الحيوية ومعلومات التعريف الشخصية لأكثر من 80٪ من الأمريكيين. في بعض الحالات ، كانوا ناجحين. لا يوجد عمل حتمي فقط لتشديد أمن بيانات المستهلك ، ولكن هناك ضرورة للأمن القومي أيضًا. لسوء الحظ ، لا يمكن الوثوق بالدول لفرض حماية البيانات بشكل متساوٍ ومتزامن.

في عام 2019 ، بعد نشر جدول بيانات بأسماء 4،457 فردًا إلى جانب أرقام الضمان الاجتماعي وأرقام الهواتف وعناوين البريد الإلكتروني الخاصة بهم عن غير قصد من قبل وزارة العمل في جورجيا ، قضت المحكمة العليا لولاية جورجيا بأنه "ليس لديها التزام أصيل" لحماية المعلومات الشخصية للمواطنين التي تخزنها ". وكرر الحكم أن أولئك الموكلين ببيانات حساسة ، جامعي البيانات ، ليسوا ملزمين بتأمين تلك المعلومات ، وهذه مشكلة.

في غياب اللوائح الفيدرالية ، تحاول CCPA ملء الفراغ الذي يحتاج بشدة إلى ملؤه. يضع معايير أمان البيانات للشركات لتنفيذها والحماية التي يجب أن يتوقعها المستهلكون. ومع ذلك ، هناك فجوات كبيرة في تحديد من هو المحمي والشركات المسؤولة ، مما يترك الكثير من الغموض والفضاء ليكون رادعًا فعالًا أو لتشجيع الامتثال.

قانون حماية خصوصية المستهلك CCPA ≠ GDPR

غالبًا ما يتم ذكر قانون خصوصية المستهلك في كاليفورنيا (CCPA) في نفس السياق مع القانون العام لحماية البيانات (GDPR) ، ولكنه ليس قريبًا من النطاق أو التأثير ولا يرقى إلى مستوى الناتج المحلي الإجمالي.

بدون الصلاحيات الشاملة للتدقيق أو التحقيق أو إنفاذ الامتثال لمعايير أمان البيانات كما هو الحال مع اللائحة العامة لحماية البيانات ، يظل قانون حماية خصوصية المستهلك (CCPA) رادعًا لمجرد أن أمن البيانات يصبح مسؤولية وليس شيئًا يتم التحقيق فيه وفرضه بنشاط.

على عكس القانون العام لحماية البيانات (GDPR) ، لم تكن CCPA فعالة في توصيل ما هو مطلوب من الشركات وكيفية التعامل مع القضايا. على الرغم من عدم نشر جميع البيانات المتعلقة بغرامات القانون العام لحماية البيانات العامة ، إلا أن هناك المزيد من المعلومات المتاحة فيما يتعلق بمتطلبات الامتثال وعقوبات عدم الامتثال. حتى أن هناك موقعًا إلكترونيًا مستقلًا مخصصًا لتتبع تطبيق القانون العام لحماية البيانات (GDPR) ، وكان من المثير للاهتمام المتابعة مع قيام كل دولة عضو بفرض الامتثال للقانون العام لحماية البيانات (GDPR).

أصدرت اللائحة العامة لحماية البيانات مئات العقوبات في السنوات القليلة الماضية ، بما في ذلك غرامة قدرها 18.4 مليون جنيه إسترليني لماريوت لخرق بيانات عام 2018 بسبب "التدابير التقنية والتنظيمية غير الكافية لضمان أمن المعلومات". لم يكن لقانون خصوصية المستهلك في كاليفورنيا نفس الدعاية المحيطة بإنفاذه أو تداعياته. بدون العقوبات أو القضايا ذات الأهمية الإخبارية ، قد لا تكون CCPA كافية لردع إصلاح مشكلة انعدام أمن البيانات في الولايات المتحدة.

إذا لم تكن العواقب كبيرة بما فيه الكفاية ، ولم يكن تطبيق القانون متسقًا وسريعًا وفعالًا ، فقد لا يكون قانون حماية خصوصية المستهلك CCPA رادعًا بما يكفي لكي تأخذ الشركات مسألة أمن البيانات على محمل الجد.

نحن لسنا محامين. لا يمكننا مساعدتك في التدقيق وتحقيق الامتثال في مجال الأمن السيبراني ، ولكن يمكننا إنشاء موقع ويب قوي يلبي متطلبات CCPA ، ويمكننا العمل جنبًا إلى جنب مع فريق إدارة البيانات الخاص بك لإنشاء بيئة رقمية من شأنها بناء ثقة المستهلك في علامتك التجارية وتلبية أهداف عملك.

إذا كانت لوائح خصوصية البيانات تثير قلقك بشأن موقعك على الويب والامتثال ، فاقرأ دليلنا الخاص باللائحة العامة لحماية البيانات (GDPR) لرفع مستوى معرفتك بتنظيم أمان البيانات ، أو تواصل معنا ، ودعنا نجري محادثة.