Ce înseamnă CCPA și ce înseamnă pentru afaceri?

Pe măsură ce creșterea gradului de conștientizare a așteptărilor consumatorilor cu privire la confidențialitatea lor, CCPA este printre primele dintre multele legi privind protecția datelor care au măturat țara.

CCPA a fost adoptată în 2018 și se adresează companiilor care colectează și vând informații personale despre consumatori.

Menit să ofere californienilor mai mult control asupra modului în care sunt stocate și utilizate datele lor, acesta introduce protecția datelor revoluționare, oferind rezidenților un cuvânt mai substanțial cu privire la soarta informațiilor lor personale.

Dar, CCPA se aplică numai companiilor situate în California?

Cui se aplică CCPA?

Așa cum GDPR va afecta companiile americane cu clienți europeni, CCPA poate afecta companiile non-Californiene cu consumatori în stat.

CCPA este preocupată de orice afaceri care operează online și colectează date de la californieni sau care face afaceri în California , chiar dacă acea companie nu este situată fizic în California. Pentru ca CCPA să se aplice, o afacere trebuie să îndeplinească oricare dintre aceste trei criterii:

• Generați cel puțin 25 de milioane de dolari în venituri anuale.
• Obțineți date de la peste 50.000 de clienți.
• Câștigați cel puțin jumătate din venitul anual prin vânzarea datelor despre consumatori.

Dacă o companie se încadrează în oricare dintre aceste trei criterii, trebuie să îndeplinească cerințele CCPA dacă consumatorii lor locuiesc în California. Dacă nu faceți acest lucru, o companie poate plăti amenzi CCPA.

Blog înrudit: Cine are nevoie de certificări CMMC?

Domeniul de aplicare al Legii privind confidențialitatea CCPA

CCPA acordă consumatorilor din California drepturi critice atunci când vine vorba de utilizarea și vânzarea datelor lor pe internet. Să intrăm în mai multe detalii despre ce înseamnă fiecare.

• Dreptul de acces la informații: consumatorii din California au dreptul să știe ce categorii de informații cu caracter personal au fost colectate sau vândute, de unde, cui și de ce.
• Dreptul la ștergerea datelor: consumatorii din California pot solicita unei companii să șteargă datele personale pe care le-a colectat despre ei.
• Dreptul de a renunța la colectarea sau vânzarea datelor: consumatorii din California pot îndruma o companie să nu colecteze sau să-și vândă informațiile către terți. CCPA include o definiție a „vânzării” care se extinde dincolo de un schimb monetar.
• Dreptul la portabilitate: Permite persoanelor fizice să obțină datele lor personale într-un format structurat, comun și care poate fi citit automat și să transfere aceste date personale în mod liber către un alt operator.

CCPA le oferă californienilor o capacitate limitată de a da în judecată orice afacere care face obiectul CCPA atunci când informațiile lor personale sunt compromise, de obicei printr-o încălcare.

Cu toate acestea, oferă procurorului general al statului o capacitate mult mai generală de a da în judecată în numele rezidenților.

CCPA definește informațiile personale ca fiind orice informație care „identifică, se referă la, descrie, poate fi asociată sau ar putea fi legată în mod rezonabil, direct sau indirect, de un anumit consumator sau gospodărie”.

Cu alte cuvinte, orice statistică, acțiune sau cunoștințe care poate fi legată de un individ identificabil. Această definiție largă cuprinde aproape fiecare acțiune din spațiul digital.

Cum afectează legile privind confidențialitatea întreprinderile mici?

Criteriile suplimentare de mai sus sunt concepute special pentru a proteja întreprinderile mici și mijlocii.

Pentru companiile care nu îndeplinesc una dintre cele trei cerințe de mai sus, conformitatea cu CCPA nu se aplică, iar cerințele lor de confidențialitate pentru californieni rămân neschimbate.

De asemenea, CCPA nu va afecta IMM-urile dacă toate aspectele afacerii lor au loc în afara Californiei, inclusiv vânzarea de date personale. Cu toate acestea, dacă acea companie îndeplinește unul dintre cele trei criterii de mai sus și are chiar și un singur client din California, atunci se va aplica CCPA.

Cu toate acestea, există o confuzie semnificativă în ceea ce privește dacă CCPA se va aplica unei anumite afaceri.

Un sondaj efectuat pe 625 de proprietari de afaceri și directori de companie a constatat că cel puțin 34% dintre respondenți nu știau dacă CCPA i-a afectat, în timp ce alți 22% au susținut că „nu-i pasă”.

Dacă ești confuz, nu ești singur. Asigurați-vă că vă consultați cu experți în domeniu pentru a vă asigura că sunteți conform, dacă este necesar. Nerespectarea CCPA poate duce la amenzi mari.

Încălcările CCPA sunt supuse unor penalități de 2.500 USD pentru fiecare încălcare și 7500 USD pentru încălcarea intenționată.

Cum pot IMM-urile să respecte CCPA?

IMM-urile care sunt pe calea către sau sunt deja conforme cu GDPR vor găsi conformarea CCPA puțin mai ușoară, chiar dacă acesta din urmă are un domeniu de aplicare mai larg.

Pentru companiile care colectează și vând informații personale, conformitatea CCPA include:

• Actualizarea notificărilor și politicilor de confidențialitate. CCPA cere consumatorului notificarea explicită a intenției companiei de a colecta și vinde informații „la sau înainte de punctul de colectare”. Această notificare trebuie să includă ce informații sunt colectate și de ce.
• Actualizarea inventarului de date cu noi clasificări. Datele stocate pe backend trebuie să includă înregistrări ale vânzării informațiilor, transferului către terți, momentul colectării și vânzării, plus indicarea dacă informațiile sunt acoperite de HIPAA sau de altă lege privind confidențialitatea datelor.
• Crearea de proceduri pentru a respecta drepturile consumatorilor din California. Companiile au nevoie de o modalitate prin care consumatorii să solicite acces la, ștergerea sau renunțarea la vânzarea informațiilor lor personale.
• Revizuirea securității site-ului și a afacerii. CCPA cere o protecție „rezonabilă” a datelor cu caracter personal. Pentru IMM-uri, un furnizor de servicii gestionate poate ușura această povară.
• Instruirea personalului. Instruiți personalul despre ce este CCPA, care sunt cerințele sale de conformitate, cum să gestionați noile proceduri și cum să gestionați eventualele incidente.
• Începând de acum. Consumatorii din California pot solicita date colectate cu până la 12 luni înainte. Companiile trebuie să poată furniza înregistrări ale datelor colectate și vândute încă din 1 ianuarie 2019.

Blog similar: Dezvoltarea unei strategii de securitate cibernetică pentru a vă proteja afacerea

Care este diferența dintre CCPA, CalOPPA și GDPR?

Drepturile acordate în temeiul CCPA se aplică „consumatorilor” din California, adică rezidenților și angajaților.

Acești consumatori au dreptul de a accesa și de a șterge orice date colectate, plus să renunțe la colectarea viitoare de către orice companie cu care fac afaceri online.

În schimb, CalOPPA este Legea pentru protecția confidențialității online din California din 2003.

A fost prima lege de stat din Statele Unite care a solicitat site-urilor web comerciale care colectează informații personale să publice o politică de confidențialitate care este vizibilă în mod special pentru rezidenții din California.

Această politică de confidențialitate impune operatorilor de site-uri web să urmeze politica lor de confidențialitate declarată.

GDPR este Regulamentul general privind protecția datelor stabilit de Uniunea Europeană în mai 2018

Le oferă cetățenilor Uniunii Europene un control semnificativ mai mare asupra datelor lor private de pe internet.

În special, GDPR actualizează modul în care site-urile web obțin consimțământul consumatorilor pentru a culege date, subliniază linii directoare clare pentru comunicarea modului în care sunt utilizate datele cu caracter personal și instituie cerințe pentru dovada consimțământului utilizatorului.

CCPA, CalOPPA și GDPR sunt foarte diferite în ceea ce privește aplicarea și domeniul de aplicare.

Cu toate acestea, toate au o trăsătură critică în comun - afectează mai mult decât rezidenții din California și, respectiv, din Uniunea Europeană.

Orice afacere care operează online și care are sau interacționează cu rezidenți din oricare dintre aceste două regiuni se află supusă acestor legi.

La fel cum CCPA nu se limitează la companiile care rulează din California, GDPR nu se limitează la companiile situate în Uniunea Europeană. Orice companie globală care gestionează datele rezidenților UE trebuie să respecte GDPR.

Legea privind confidențialitatea consumatorilor din California: CPRA vs. CCPA

CPRA înseamnă California Consumer Privacy Act. Este cunoscută și sub numele de Propunerea 24. Alegătorii din California au aprobat această măsură de vot în 2020. Adaugă modificări la cerințele CCPA, dându-i porecla „CCPA 2.0”.

CPRA adaugă:

• Dreptul de rectificare , ceea ce înseamnă că consumatorii pot solicita unei companii să modifice informații incorecte despre ei
• Dreptul de restricție , oferind consumatorilor dreptul de a limita utilizarea și dezvăluirea informațiilor lor personale sensibile
• Dreptul împotriva luării automate a deciziilor , care le oferă consumatorilor dreptul de a renunța la tehnologia „profilând” performanțele lor în muncă, statutul economic, sănătatea, interesele etc.

CPRA instituie, de asemenea, o obligație pentru organizații de a efectua o evaluare a riscurilor și interzicerea discriminării. Deși măsura a fost adoptată în 2020, majoritatea revizuirilor CCPA nu vor deveni „operative” până în 2023.

Cu toate acestea, prevederea care stabilește Agenția pentru Protecția Confidențialității din California este în vigoare. În esență, aceasta creează un consiliu format din cinci membri cu experiență în domeniul confidențialității și drepturilor consumatorilor, care vor implementa și vor pune în aplicare CCPA.

Infografic asociat: MSP vs. MSSP – Diferențele cheie

Recomandări cheie

CCPA este cea mai extinsă și cuprinzătoare lege privind confidențialitatea datelor din SUA. Conferă anumite drepturi consumatorilor din California cu privire la colectarea, utilizarea și vânzarea datelor lor online.

Deși legea are anumite scutiri destinate IMM-urilor, ea poate afecta totuși aceste companii.

CCPA necesită modificări semnificative în ceea ce privește modul în care notificările sunt transmise consumatorilor, precum și modul în care companiile stochează, clasifică și protejează informațiile personale.

Deși CCPA și CPRA, CalOPPA și GDPR sunt toate diferite în ceea ce privește definițiile și protecția datelor utilizatorilor, ele au un lucru major în comun: afectează modul în care oamenii din întreaga lume fac afaceri cu oamenii care trăiesc în aceste regiuni.

Cel mai bine este să vă pregătiți în mod proactiv pentru conformare pentru a evita litigiile. Consultați-vă cu un expert astăzi pentru a afla ce trebuie să facă afacerea dvs. pentru a rămâne în conformitate cu legile federale și statale.

Menținerea conformității și a securității cibernetice poate fi un subiect complex. Urmăriți acest videoclip cu un expert în subiect, Jeff Leder, despre managementul securității cibernetice , pentru a afla cum un serviciu de securitate cibernetică gestionat poate gestiona conformitatea în timp ce vă concentrați asupra afacerii dvs.