Co oznacza CCPA i co oznacza dla biznesu?

Opublikowany: 2022-08-05

Co oznacza CCPA? CCPA to skrót od California Consumer Privacy Act (CCPA). Jest to prawo dotyczące prywatności danych, które zapewnia konsumentom w Kalifornii, jakie informacje firma może od nich zbierać. Daje również tym konsumentom prawo do żądania ujawnienia.

Kalifornijska ustawa o ochronie prywatności konsumentów stanowi najbardziej kompleksowe prawo dotyczące prywatności w Stanach Zjednoczonych.

Obejmuje cztery kluczowe obszary:

  • Prawo do informacji, do czego firmy wykorzystują swoje informacje
  • Prawo do usunięcia informacji posiadanych przez firmy
  • Prawo do rezygnacji ze sprzedaży danych osobowych
  • Prawo do niedyskryminacji w wykonywaniu swoich praw CCPA

Na przykład, jeśli w przeszłości współpracowałeś z firmą i jesteś mieszkańcem Kalifornii, masz prawo poprosić tę firmę o dostarczenie Ci zebranych informacji o Tobie, a także o usunięcie tych informacji.

Wraz ze wzrostem świadomości oczekiwań konsumentów dotyczących ich prywatności, CCPA jest jednym z pierwszych z wielu przepisów o ochronie danych, które ogarnęły cały kraj.

CCPA została uchwalona w 2018 roku i jest skierowana do firm, które zbierają i sprzedają dane osobowe konsumentów.

Ma na celu zapewnienie Kalifornijczykom większej kontroli nad sposobem przechowywania i wykorzystywania ich danych, wprowadza przełomową ochronę danych, dając mieszkańcom większy wpływ na los ich danych osobowych.

Ale czy CCPA dotyczy tylko firm zlokalizowanych w Kalifornii?

Do kogo stosuje się CCPA?

Podobnie jak RODO wpłynie na amerykańskie firmy mające klientów europejskich, tak CCPA może wpłynąć na firmy spoza Kalifornii, które mają konsumentów w stanie.

CCPA dotyczy wszelkich firm, które działają online i zbierają dane od Kalifornijczyków lub prowadzą działalność w Kalifornii — nawet jeśli ta firma nie znajduje się fizycznie w Kalifornii. Aby ustawa CCPA miała zastosowanie, firma musi spełniać jedno z tych trzech kryteriów:

  • Generuj co najmniej 25 milionów dolarów rocznego przychodu.
  • Uzyskaj dane od ponad 50 000 klientów.
  • Zarabiaj co najmniej połowę rocznych przychodów, sprzedając dane konsumentów.

Jeśli firma spełnia którekolwiek z tych trzech kryteriów, musi spełnić wymagania CCPA, jeśli jej konsumenci mieszkają w Kalifornii. Niezastosowanie się do tego może spowodować, że firma zapłaci grzywny CCPA.

Powiązany blog: Kto potrzebuje certyfikatów CMMC?

Zakres ustawy CCPA o ochronie prywatności

CCPA przyznaje konsumentom z Kalifornii prawa krytyczne, jeśli chodzi o wykorzystanie i sprzedaż ich danych w Internecie. Przyjrzyjmy się bardziej szczegółowo, co każdy z nich oznacza.

  • Prawo dostępu do informacji: Konsumenci w Kalifornii mają prawo wiedzieć, jakie kategorie danych osobowych zostały zebrane lub sprzedane, skąd, komu i dlaczego.
  • Prawo do usunięcia danych: Konsumenci w Kalifornii mogą zażądać, aby firma usunęła zgromadzone na ich temat dane osobowe.
  • Prawo do rezygnacji z gromadzenia lub sprzedaży danych: Konsumenci w Kalifornii mogą nakazać firmie, aby nie zbierała ani nie sprzedawała ich informacji stronom trzecim. CCPA zawiera definicję „sprzedaży”, która wykracza poza wymianę pieniężną.
  • Prawo do przenoszenia: Umożliwia osobom fizycznym uzyskanie ich danych osobowych w ustrukturyzowanym, powszechnym i nadającym się do odczytu maszynowego formacie oraz swobodne przekazanie tych danych osobowych innemu administratorowi.

CCPA daje Kalifornijczykom ograniczoną możliwość pozwania dowolnej firmy podlegającej CCPA, gdy ich dane osobowe zostaną naruszone, zazwyczaj w wyniku naruszenia.

Daje to jednak stanowemu Prokuratorowi Generalnemu znacznie bardziej ogólną możliwość wnoszenia pozwów w imieniu mieszkańców.

CCPA definiuje dane osobowe jako wszelkie informacje, które „identyfikują, odnoszą się do, opisują, mogą być powiązane lub mogą być rozsądnie powiązane, bezpośrednio lub pośrednio, z konkretnym konsumentem lub gospodarstwem domowym”.

Innymi słowy, wszelkie statystyki, działania lub informacje, które można powiązać z możliwą do zidentyfikowania osobą. Ta szeroka definicja obejmuje niemal każde działanie w przestrzeni cyfrowej.

Jak przepisy dotyczące prywatności wpływają na małe firmy?

Powyższe dodatkowe kryteria zostały opracowane specjalnie z myślą o ochronie małych i średnich firm.

W przypadku firm, które nie spełniają jednego z trzech powyższych wymagań, zgodność z CCPA nie ma zastosowania, a ich wymagania dotyczące prywatności dla mieszkańców Kalifornii pozostają niezmienione.

Podobnie ustawa CCPA nie będzie miała wpływu na małe i średnie firmy, jeśli wszystkie aspekty ich działalności mają miejsce poza Kalifornią, w tym sprzedaż danych osobowych. Jeśli jednak ta firma spełnia jedno z trzech powyższych kryteriów i ma nawet jednego klienta z Kalifornii, zastosowanie będzie miała ustawa CCPA.

Niemniej jednak istnieje poważne zamieszanie dotyczące tego, czy ustawa CCPA będzie miała zastosowanie do konkretnej firmy.

Ankieta przeprowadzona wśród 625 właścicieli firm i kadry kierowniczej firm wykazała, że ​​co najmniej 34% respondentów nie wiedziało, czy CCPA ma na nich wpływ, podczas gdy kolejne 22% twierdziło, że „nie przejmuje się tym”.

Jeśli jesteś zdezorientowany, nie jesteś sam. Pamiętaj, aby skonsultować się z ekspertami w tej dziedzinie, aby upewnić się, że spełniasz wymagania, jeśli musisz. Nieprzestrzeganie CCPA może skutkować wysokimi grzywnami.

Naruszenia CCPA podlegają karom w wysokości 2500 USD za każde naruszenie i 7500 USD za celowe naruszenia.

Jak małe i średnie firmy mogą być zgodne z CCPA?

Małe i średnie firmy, które są na ścieżce lub już są zgodne z RODO, uznają zgodność z CCPA nieco łatwiej, mimo że ta ostatnia ma szerszy zakres.

W przypadku firm, które zbierają i sprzedają dane osobowe, zgodność z CCPA obejmuje:

  • Aktualizacja informacji i zasad dotyczących prywatności. CCPA wymaga wyraźnego powiadomienia konsumenta o zamiarze gromadzenia i sprzedaży informacji przez firmę „w punkcie odbioru lub przed nim”. Powiadomienie to musi zawierać informacje, jakie informacje są gromadzone i dlaczego.
  • Aktualizacja inwentaryzacji danych o nowe klasyfikacje. Dane przechowywane na zapleczu muszą zawierać zapisy dotyczące sprzedaży informacji, przekazania ich stronom trzecim, czasu zbierania i sprzedaży, a także wskazanie, czy informacje są objęte ustawą HIPAA lub inną ustawą o ochronie danych.
  • Stworzenie procedur zgodnych z prawami konsumenckimi w Kalifornii. Firmy potrzebują sposobu, w jaki konsumenci mogą zażądać dostępu, usunięcia lub rezygnacji ze sprzedaży ich danych osobowych.
  • Przeglądanie bezpieczeństwa witryny i biznesu. CCPA wymaga „rozsądnej” ochrony danych osobowych. W przypadku małych i średnich firm dostawca usług zarządzanych może zmniejszyć to obciążenie.
  • Szkolenie personelu. Szkolenie personelu na temat tego, czym jest CCPA, jakie są jego wymagania dotyczące zgodności, jak obsługiwać nowe procedury i jak radzić sobie z potencjalnymi incydentami.
  • Zaczynamy teraz. Konsumenci z Kalifornii mogą zażądać danych zebranych do 12 miesięcy wcześniej. Firmy muszą być w stanie udostępniać ewidencję zebranych i sprzedanych danych już od 1 stycznia 2019 r.

Co trzeba zrobić, aby być zgodnym z CCPA | Co oznacza CCPA? | Wpływ na sieci

Powiązany blog: Opracowywanie strategii cyberbezpieczeństwa w celu ochrony firmy

Jaka jest różnica między CCPA, CalOPPA i RODO?

Prawa przyznane na mocy ustawy CCPA dotyczą „konsumentów” stanu Kalifornia, czyli mieszkańców i pracowników.

Konsumenci ci mają prawo do dostępu i usunięcia wszelkich zgromadzonych danych, a także do rezygnacji z ich przyszłego gromadzenia przez każdą firmę, z którą prowadzą interesy online.

Z kolei CalOPPA to kalifornijska ustawa o ochronie prywatności w Internecie z 2003 roku.

Było to pierwsze prawo stanowe w Stanach Zjednoczonych, które wymagało od komercyjnych witryn gromadzących dane osobowe zamieszczania polityki prywatności widocznej specjalnie dla mieszkańców Kalifornii.

Niniejsza polityka prywatności wymaga od operatorów witryn przestrzegania ich określonej polityki prywatności.

RODO to ogólne przepisy o ochronie danych ustanowione przez Unię Europejską w maju 2018 r.

Daje obywatelom Unii Europejskiej znacznie większą kontrolę nad ich prywatnymi danymi w Internecie.

W szczególności RODO aktualizuje sposób, w jaki strony internetowe uzyskują zgodę konsumentów na zbieranie danych, określa jasne wytyczne dotyczące komunikowania, w jaki sposób wykorzystywane są dane osobowe, oraz ustanawia wymagania dotyczące dowodu zgody użytkownika.

CCPA, CalOPPA i RODO bardzo różnią się pod względem zastosowania i zakresu.

Jednak wszystkie mają jedną wspólną cechę — dotyczą nie tylko odpowiednio mieszkańców Kalifornii i Unii Europejskiej.

Każda firma działająca online, która ma lub współpracuje z mieszkańcami jednego z tych dwóch regionów, podlega tym przepisom.

Podobnie jak CCPA nie ogranicza się do firm działających z Kalifornii, RODO nie ogranicza się do firm zlokalizowanych w Unii Europejskiej. Każda globalna firma, która zajmuje się danymi mieszkańców UE, musi być zgodna z RODO.

Przepisy dotyczące prywatności: CCPA, Caloppa, RODO | Co oznacza CCPA? | Wpływ na sieci

Kalifornijska ustawa o ochronie prywatności konsumentów: CPRA a CCPA

CPRA to skrót od California Consumer Privacy Act. Znany jest również jako Propozycja 24. Wyborcy z Kalifornii zatwierdzili tę kartę do głosowania w 2020 r. Dodaje poprawki do wymagań CCPA, nadając mu przydomek „CCPA 2.0”.

CPRA dodaje:

  • Prawo do sprostowania , co oznacza, że ​​konsumenci mogą zażądać od firmy zmiany nieprawidłowych informacji na ich temat
  • Prawo do ograniczenia , dające konsumentom prawo do ograniczenia wykorzystywania i ujawniania ich wrażliwych danych osobowych
  • Prawo przeciwko zautomatyzowanemu podejmowaniu decyzji , które daje konsumentom prawo do rezygnacji z technologii „profilującej” ich wydajność pracy, status ekonomiczny, zdrowie, zainteresowania itp.

CPRA nakłada również na organizacje obowiązek przeprowadzania oceny ryzyka i zakazu dyskryminacji. Chociaż środek został uchwalony w 2020 r., większość zmian CCPA nie wejdzie w życie do 2023 r.

Obowiązuje jednak przepis ustanawiający Kalifornijską Agencję Ochrony Prywatności. Zasadniczo tworzy to radę składającą się z pięciu członków posiadających doświadczenie w zakresie prywatności i praw konsumentów, którzy będą wdrażać i egzekwować CCPA.

Powiązana infografika: MSP vs. MSSP – kluczowe różnice

Kluczowe dania na wynos

CCPA to najbardziej dalekosiężne i kompleksowe prawo dotyczące prywatności danych w USA. Przyznaje konsumentom z Kalifornii pewne prawa dotyczące gromadzenia, wykorzystywania i sprzedaży ich danych online.

Chociaż prawo przewiduje pewne zwolnienia przeznaczone dla małych i średnich firm, nadal może potencjalnie wpływać na te firmy.

CCPA wymaga znaczących zmian w sposobie, w jaki powiadomienia są przekazywane konsumentom, a także w jaki sposób firmy przechowują, klasyfikują i chronią dane osobowe.

Chociaż CCPA i CPRA, CalOPPA i RODO różnią się pod względem definicji i ochrony danych użytkowników, mają one jedną wspólną cechę: wpływają na sposób, w jaki ludzie na całym świecie prowadzą interesy z ludźmi mieszkającymi w tych regionach.

Najlepiej proaktywnie przygotować się do przestrzegania przepisów, aby uniknąć sporów sądowych. Skonsultuj się z ekspertem już dziś, aby dowiedzieć się, co Twoja firma musi zrobić, aby zachować zgodność z przepisami federalnymi i statystycznymi.

Utrzymanie zgodności i cyberbezpieczeństwo może być złożonym tematem. Obejrzyj ten film z udziałem eksperta tematycznego, Jeffa Ledera , zajmującego się zarządzaniem cyberbezpieczeństwem , aby dowiedzieć się, jak zarządzana usługa cyberbezpieczeństwa może obsługiwać zgodność z przepisami, gdy Ty skupiasz się na swojej firmie.