ArtykułKompletny przewodnik po kalifornijskiej ustawie o ochronie prywatności konsumentów
Opublikowany: 2022-08-12Dowiedz się, jak kalifornijska ustawa o ochronie prywatności konsumentów wpływa na firmy, które zarządzają danymi mieszkańców i co możesz zrobić, aby zmniejszyć ryzyko naruszenia przepisów ustawy.
*Ten artykuł został napisany w 2018 roku. CCPA weszła w życie 1 stycznia 2020 roku.
Minęło kilka miesięcy od wielkiej paniki RODO w 2018 roku. Wszyscy mieliśmy czas na podsumowanie zgodności, złapanie oddechu i spojrzenie w przyszłość (ale jeśli jeszcze nie zajęliście się zgodnością z RODO lub nie wiemy, czym jest RODO , zapoznaj się z moim artykułem na temat RODO dla witryn internetowych z siedzibą w USA). Więc co dalej z przepisami dotyczącymi prywatności dla podmiotów z siedzibą w USA?
To kalifornijska ustawa o ochronie prywatności konsumentów (CCPA), która została podpisana 23 września 2018 r. Tym razem wszyscy powinniśmy być w stanie uniknąć histerii, którą widzieliśmy w związku z RODO.
Zanim przejdę dalej, zwróć uwagę, że ten artykuł jest skierowany do właścicieli średnich i dużych witryn typu business-to-business (B2B). Nie ma znaczenia, czy Twoja organizacja jest publiczna czy prywatna, podobnie jak to, czy Twoja organizacja ma siedzibę w Kalifornii.
Uważam, że większość postów na blogu na ten i podobne tematy jest wysoce podejrzana, więc poszukiwania tego artykułu zależą wyłącznie od tekstu prawa. Niezależnie od tego, skąd czerpiesz swoje informacje, zweryfikuj je z prawnikiem specjalizującym się w danej materii. Jeśli Twoja firma zajmuje się danymi osobowymi w ramach swojej podstawowej działalności, ten artykuł nie jest dla Ciebie.
Oto, co omówię:
- Czym jest kalifornijska ustawa o ochronie prywatności konsumentów?
- Kogo chroni CCPA?
- Co dokładnie jest chronione?
- Jakie organizacje muszą przestrzegać?
- Jakie są prawa konsumenta?
- Jakie są kroki, aby zapewnić zgodność z CCPA?
- Jakie są kary za niezgodność?
Zanurzmy się!
Czym jest kalifornijska ustawa o ochronie prywatności konsumentów?
W 1972 roku wyborcy w Kalifornii zmienili konstytucję Kalifornii, aby włączyć prawo do prywatności do „niezbywalnych” praw wszystkich ludzi. Nowelizacja ustanowiła prawne i egzekwowalne prawo do prywatności dla każdego Kalifornijczyka. Podstawą tego prawa do prywatności jest zdolność osób do kontrolowania wykorzystania, w tym sprzedaży, ich danych osobowych – AB 375, sekcja 2(a)
Aby wesprzeć tę poprawkę, uchwalono już szereg przepisów kalifornijskich: ustawę o ochronie prywatności w Internecie, ustawę o ochronie prywatności dla nieletnich w Kalifornii w ustawie o cyfrowym świecie oraz Shine the Light.
CCPA to nowe prawo, które opiera się na tych, które mają na celu dalszą ochronę praw mieszkańców. Rozpoczęła się jako proponowana inicjatywa głosowania, ale jej zwolennicy zgodzili się ją wycofać pod warunkiem, że nowa ustawa może zostać uchwalona przed 28 czerwca 2018 r.
To był ostateczny termin sfinalizowania tego, co znajdzie się w głosowaniu. Aby temu sprostać, niedoskonały rachunek (Assembly Bill 375) został wskrzeszony po tym, jak poprzednio nie cieszył się popularnością. Został przekazany w pośpiechu. Inicjatywa głosowania i AB 375 są określane jako California Consumer Privacy Act, mimo że inicjatywa głosowania i wynikające z niej prawo okazały się bardzo różne.
Członkowie Zgromadzenia Kalifornijskiego obawiali się, że jeśli ustawa nie zostanie uchwalona na czas, a inicjatywa przejdzie do głosowania, wyborcy uchwalą prawo, które byłoby trudne, jeśli nie niemożliwe do przestrzegania przez firmy.
Później w 2018 roku, poprawiona wersja przeszła przez Senat stanu Kalifornia (Senate Bill 1121). Ale prawo wciąż nie jest doskonałe i dalsze poprawki wydają się prawdopodobne.
Zanim przejdziemy do szczegółów prawa, powinniśmy wziąć pod uwagę, że niektóre jego części mogą ulec zmianie. Być może samo prawo nigdy nie zostanie wprowadzone w życie.
Obecnie podejmowane są inicjatywy mające na celu ustanowienie federalnego prawa o ochronie danych, które zastąpi wszelkie stanowe przepisy dotyczące prywatności danych. Ustawodawcy federalni mogą odnieść wrażenie, że prawo kalifornijskie albo za bardzo sięga, albo nie idzie wystarczająco daleko, a potem pospiesznie z ustawą federalną... Posunięcie, które odzwierciedla działania podjęte przez Zgromadzenie Stanu Kalifornii.
Rozsądne jest, aby ustawodawcy stanowi i federalni byli nieufni wobec inicjatyw wyborczych i zbioru przepisów poszczególnych stanów. Firmy mogą być obarczone niepraktycznymi dyrektywami technicznymi lub przytłaczającym ciężarem przestrzegania prawa 50 różnych stanów.
Jako programista stron internetowych przerażają mnie oba te scenariusze. Ale jako indywidualny konsument jestem rozczarowany kalifornijskim prawem. Po prostu nie idzie wystarczająco daleko, aby chronić dane osobowe, umożliwiające identyfikację.
Cokolwiek się stanie, następne kilka lat będzie dość chaotyczne, ale na tym właśnie teraz stoimy…
Kogo chroni CCPA?
CCPA dotyczy wszystkich osób mieszkających w Kalifornii. Tekst ustawy brzmi:
Konsument oznacza osobę fizyczną, która jest rezydentem stanu Kalifornia, zgodnie z definicją zawartą w sekcji 17014 tytułu 18 kalifornijskiego kodeksu przepisów, zgodnie z treścią tej sekcji w dniu 1 września 2017 r., niezależnie od jej identyfikacji, w tym za pomocą dowolnego unikalnego identyfikatora. – AB 375, sekcja 3, 1798.140
O „osobie fizycznej” można po prostu myśleć jako o indywidualnej istocie ludzkiej. Natomiast „osoba prawna” może być po prostu osobą prawną. Definicja rezydenta to:
Termin „mieszkaniec”, zgodnie z definicją w prawie, obejmuje (1) każdą osobę, która przebywa w stanie w celu innym niż tymczasowy lub przejściowy, oraz (2) każdą osobę, która ma miejsce zamieszkania w państwie, która znajduje się poza cel tymczasowy lub przejściowy. Wszystkie inne osoby są nierezydentami. – Kalifornijski Kodeks Przepisów, Tytuł 18, Sekcja 17014
Sprytny technolog w Twojej organizacji może zasugerować filtrowanie użytkowników według stanu, dając użytkownikom w Kalifornii inne doświadczenia. Ale w tym podejściu są trzy wady.
Po pierwsze, mieszkańcy Kalifornii są chronieni niezależnie od tego, czy przebywają w tym stanie. Po drugie, narzędzia, których używamy do określenia lokalizacji użytkownika, są niedoskonałe. Po trzecie, utrzymanie oddzielnej witryny tylko dla użytkowników w Kalifornii byłoby dodatkowym,
Należy pamiętać, że w całym tekście prawa (w tym w tytule) słowo „Konsumenci” jest używane w odniesieniu do wszystkich osób fizycznych będących mieszkańcami Kalifornii. To dziwny wybór, ponieważ osoby fizyczne nie są zobowiązane do zakupu towarów lub usług, które mają być chronione przez prawo.
Co jest chronione?
CCPA chroni dane osobowe mieszkańców Kalifornii. Dane osobowe to informacje, które można bezpośrednio lub pośrednio powiązać z osobą lub gospodarstwem domowym.
Należy pamiętać, że jest całkowicie możliwe zbieranie danych o anonimowym użytkowniku, na przykład za pomocą plików cookie lub adresu IP, a następnie powiązanie tych danych z osobą w późniejszym terminie. Oznacza to, że dane „mogą być powiązane” z osobą.
Jeśli więc CCPA ma zastosowanie do Twojej firmy, musisz ujawnić ten zbiór osobie, gdy dane są gromadzone – nawet jeśli osoba ta nie została jeszcze lub nigdy nie zostanie zidentyfikowana. Ponieważ możliwa jest identyfikacja osoby, musisz jej przestrzegać. Dane osobowe obejmują między innymi:
(A) Identyfikatory, takie jak prawdziwe imię i nazwisko, alias, adres pocztowy, unikalny identyfikator osobisty, identyfikator internetowy, adres IP, adres e-mail, nazwa konta, numer ubezpieczenia społecznego, numer prawa jazdy, numer paszportu lub inne podobne identyfikatory.
(B) Wszelkie kategorie danych osobowych opisane w podrozdziale (e) sekcji 1798.80.
(C) Charakterystyka chronionych klasyfikacji na mocy prawa kalifornijskiego lub federalnego.
(D) Informacje handlowe, w tym zapisy dotyczące własności osobistej, produktów lub usług zakupionych, uzyskanych lub rozważonych, lub inne historie lub tendencje dotyczące zakupów lub konsumpcji.
(E) Informacje biometryczne.
(F) Informacje o aktywności w Internecie lub innej sieci elektronicznej, w tym między innymi historia przeglądania, historia wyszukiwania oraz informacje dotyczące interakcji konsumenta z witryną internetową, aplikacją lub reklamą.
(G) Dane geolokalizacyjne.
(H) Informacje dźwiękowe, elektroniczne, wizualne, termiczne, węchowe lub podobne.
(I) Informacje zawodowe lub związane z zatrudnieniem.
(J) Informacje edukacyjne, zdefiniowane jako informacje, które nie są publicznie dostępne informacje umożliwiające identyfikację osób, zgodnie z definicją w Ustawie o prawach do edukacji rodzinnej i prywatności (20 USC sekcja 1232g, 34 CFR część 99).
(K) Wnioski wyciągnięte z dowolnych informacji zidentyfikowanych w tym podrozdziale w celu stworzenia profilu konsumenta odzwierciedlającego preferencje, cechy, trendy psychologiczne, preferencje, predyspozycje, zachowanie, postawy, inteligencję, zdolności i uzdolnienia konsumenta.
– AB 375, sekcja 3, 1798.140
Jakie organizacje muszą przestrzegać?
Jeśli Twoja organizacja nie prowadzi działalności w stanie Kalifornia, nie ma żadnych wątpliwości. A ktoś, kto przegląda Twoją witrynę z Kalifornii, nie oznacza, że zamierza prowadzić interesy w tym stanie. Ale jeśli Twoja firma prowadzi działalność w Kalifornii, musisz zadać sobie kilka pytań:
- Czy Twoja organizacja ma roczne przychody brutto przekraczające 25 milionów dolarów? (Zauważ, że liczba ta dostosowuje się do wskaźnika cen konsumpcyjnych).
- Czy Twoja organizacja zajmuje się danymi osobowymi 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń każdego roku?
- Czy Twoja organizacja uzyskuje 50 procent lub więcej rocznych przychodów ze sprzedaży danych osobowych konsumentów?
Jeśli możesz odpowiedzieć twierdząco na którekolwiek z tych trzech pytań, Twoja organizacja musi to zrobić. Jeśli Twoja organizacja mieści się we wszystkich tych progach, ale należy do większej jednostki (z ponad 50% kontroli), która przekracza którykolwiek z nich, to znowu Twoja organizacja musi przestrzegać tych progów.
Prawa przyznane mieszkańcom Kalifornii na mocy tego prawa mają wiele podobieństw do praw przyznanych obywatelom UE na mocy RODO. Podobnie jak RODO, firmy muszą informować użytkowników, kiedy zbierają dane i co dokładnie z nimi zrobią, zanim informacje zostaną zebrane:
Przedsiębiorstwo, które zbiera dane osobowe konsumenta, w punkcie ich zbierania lub przed nim, poinformuje konsumentów o kategoriach danych osobowych, które mają być gromadzone oraz o celach, dla których kategorie danych osobowych będą wykorzystywane – AB 375, sekcja 3, 1798.100(b)
I mają prawo zażądać wszystkich swoich danych, które zebrała firma:
Konsument ma prawo zażądać, aby firma, która zbiera dane osobowe konsumenta, ujawniła temu konsumentowi kategorie i określone informacje osobowe, które firma zebrała – AB 375, sekcja 3, 1798.100(a)
Na tej podstawie konsumenci mają prawo znać kategorie źródeł, z których zebrano informacje, cel biznesowy gromadzenia danych oraz kategorie stron trzecich, którym udostępnia się informacje.
Ponadto użytkownicy mają prawo zażądać usunięcia ich danych z Twoich rejestrów oraz z rejestrów wszystkich Twoich usługodawców.
Konsument ma prawo zażądać, aby firma usunęła wszelkie dane osobowe konsumenta, które firma zebrała od konsumenta – AB 375, Sekcja 3, 1798.105(a)
Jeśli Twoja główna działalność polega na przetwarzaniu danych osobowych konsumentów, istnieją dodatkowe prawa, o których musisz wiedzieć i na które musisz odpowiedzieć. Ale znowu, ten artykuł nie jest dla Ciebie.
Jakie są kroki, aby zapewnić zgodność z CCPA?
Przede wszystkim musisz z wyprzedzeniem powiadamiać użytkowników o wszystkich gromadzonych danych. W przeciwieństwie do RODO, CCPA nie wymaga mechanizmu pozytywnej zgody. Na przykład, gdy użytkownik wypełnia formularz, wystarczy proste oświadczenie wyjaśniające, co zrobisz z danymi. Użytkownik nie musi zaznaczać pola wyjaśniającego, że rozumie i wyraża zgodę na pobranie.
Musisz zapewnić użytkownikom co najmniej dwie metody żądania ich danych lub usunięcia danych. Jedną z tych metod musi być numer bezpłatny; drugi może być po prostu adresem strony internetowej.
Wszystkie wnioski należy zweryfikować i odpowiedzieć w ciągu 45 dni. Okres ten można przedłużyć o dodatkowe 45 dni, o ile poinformujesz o tym konsumenta w ciągu pierwszych 45 dni. Twoje ujawnienie użytkownikowi musi obejmować ostatnie 12 miesięcy gromadzenia danych, więc upewnij się, że możesz przechowywać i pobierać niezbędne dane od 1 lipca 2019 r.
Firma, która otrzyma od konsumenta możliwe do zweryfikowania żądanie dostępu do danych osobowych, bezzwłocznie podejmie kroki w celu ujawnienia i bezpłatnego dostarczenia konsumentowi danych osobowych wymaganych przez tę sekcję – AB 375, sekcja 3, 1798.100(d)
Nie masz obowiązku odpowiadać na prośby jednego użytkownika o dane więcej niż raz w dowolnym okresie 12 miesięcy.
Musisz zaktualizować swoją politykę prywatności, aby ujawnić opis praw konsumentów zgodnie z sekcjami 1798.110, 1798.115 i 1798.125 CCPA. Musisz również przedstawić dostępne sposoby zgłaszania żądań dotyczących ich danych.
Jak wspomniano powyżej, jedną z tych metod musi być numer bezpłatny. Musisz również ujawnić wszystkie kategorie informacji, które zebrałeś w ciągu ostatnich 12 miesięcy i aktualizować te informacje co najmniej raz na 12 miesięcy.
Jednocześnie musisz upewnić się, że wszystkie osoby, które zajmują się zapytaniami konsumentów dotyczącymi praktyk firmy w zakresie prywatności lub przestrzegania tego tytułu, są informowane o wszystkich wymaganiach. Muszą również wiedzieć, jak skierować konsumentów do skorzystania z ich praw na mocy tych sekcji.
Możesz zobaczyć, że niektórzy ludzie doradzają, że musisz mieć link na swojej stronie głównej zatytułowany „Nie sprzedawaj moich danych osobowych”, ale ten wymóg jest specyficzny dla firm, które sprzedają dane osobowe konsumentów. Jak wspomniałem wcześniej w tym artykule, jeśli sprzedajesz dane osobowe konsumentów, ten artykuł nie jest dla Ciebie.
Wreszcie, nie można dyskryminować użytkowników, którzy skorzystali ze swoich praw do prywatności przyznanych przez CCPA. Dyskryminacja obejmuje odmawianie towarów lub usług, pobieranie wyższych cen lub zapewnianie innego poziomu lub jakości towarów i usług.
Możesz oferować zachęty finansowe za zbieranie danych osobowych. Ale bądź ostrożny, aby te programy motywacyjne nie miały charakteru przymusowego lub lichwiarskiego.
Jakie są kary za niezgodność?
Kary nałożone przez prokuratora generalnego stanu Kalifornia są stosunkowo niewielkie w porównaniu z tymi, które wiążą się z naruszeniami RODO. Pamiętaj, że w przypadku domniemanego naruszenia będziesz mieć 30 dni na naprawienie problemu i będziesz musiał zapłacić karę tylko wtedy, gdy tego nie zrobisz.
Jeśli zostaniesz przyłapany na naruszeniu i nie naprawisz problemu, zostaniesz ukarany grzywną cywilną w wysokości 2500 USD za nieumyślne naruszenie i 7500 USD za umyślne naruszenie. Kary te są tak łagodne, że niektóre firmy z pewnością zignorują prawo. Ale robią to z wielkim niebezpieczeństwem.
Większym kosztem wynikającym z wykrycia naruszenia CCPA jest zwiększone ryzyko narażenia się na pozwy zbiorowe. Odszkodowania ustawowe są ograniczone do 100 - 750 USD na konsumenta za zdarzenie lub rzeczywiste szkody, w zależności od tego, która wartość jest większa. Ponieważ jednak powszechne jest zarządzanie danymi tysięcy osób, łączne szkody w ramach pozwu zbiorowego mogą być znaczne.
Zalecenia
Być może najbardziej niepokojącą rzeczą związaną z tymi nowymi prawami jest świadomość, że nadejdzie ich więcej. Albo zaczniemy widzieć więcej przepisów stanowych zaprojektowanych w celu ochrony prywatności naszych danych, albo ustawę federalną, która zostanie uchwalona i będzie uprzedzać lub unieważniać przepisy stanowe.
Nie można wiedzieć, co mogą obejmować te przyszłe prawa, ale możemy poczynić pewne uzasadnione przypuszczenia. Istnieje również kilka dodatkowych praktyk, które pomogą zapewnić zgodność we wszystkich stanach i UE:
- Zdefiniuj proces usuwania danych klientów po określonym czasie
- Wymagaj mechanizmu pozytywnej zgody we wszystkich punktach zbierania danych
- Zbieraj mniej danych!
Ta ostatnia sugestia jest łatwa do zrealizowania i zwalnia cię z dużej odpowiedzialności. Na większości nowoczesnych stron internetowych jest wiele rzeczy, które rejestrują, śledzą i wykorzystują aktywność użytkowników.
Zdecydowana większość z tych rzeczy w rzeczywistości nie zbiera danych dla właściciela witryny; zbierają dane dla ukierunkowanych sieci reklamowych. „Bezpłatne” usługi, takie jak analityka, hosting czcionek, sieci dostarczania treści, udostępnianie widżetów i tym podobne, nie są bezpłatne.
Płacisz za nie prywatnością swoich użytkowników. Nie używaj ich w swojej witrynie, gdy tylko jest to możliwe, ani nie konfiguruj ich w taki sposób, aby nie ujawniać już danych osobowych użytkowników.
Zasoby
- Ustawa o zgromadzeniu stanowym Kalifornii nr 375
- Ustawa Senatu stanu Kalifornia nr 1121
- Artykuły Data Privacy Monitor na temat CCPA Zwykle nie zamieszczam linków do blogów, ale w szczególności posty DPM i Alana L. Friela są niezmiennie doskonałe
Przepisy CCPA mogą być przytłaczające. Mamy nadzieję, że pomogliśmy skonsolidować wszystko, co musisz wiedzieć. Jeśli zastanawiasz się nad przeprowadzeniem audytu swojej witryny, chętnie porozmawiamy. Aby uzyskać więcej informacji na temat aspektów internetowych i cyfrowych związanych z Twoją marką, oto kilka wskazówek i zasobów, które mogą Ci pomóc:
- Dowiedz się, co jest potrzebne, aby Twoja witryna była dostępna.
- Dowiedz się, jakie są klucze do bezpieczeństwa witryny i jak ją chronić.
- Zobacz, jak stworzyć angażującą (i konwertującą) witrynę biznesową.