Un ghid pentru CCPA: Legea privind confidențialitatea consumatorilor din California

Legea privind confidențialitatea consumatorilor din California a fost adoptată în 2018. Este un statut de stat care oferă protecție rezidenților din California, conceput pentru a oferi consumatorilor din California control asupra datelor lor online și a informațiilor personale.

CCPA oferă consumatorilor protecția datelor, inclusiv:

Dreptul de a cunoaște informațiile personale pe care companiile le colectează.

Dreptul de a șterge informațiile personale care au fost colectate.

Dreptul de a renunța la vânzarea informațiilor personale.

Dreptul la nediscriminare pentru exercitarea drepturilor lor CCPA.

Cui trebuie să-i pese de conformitatea cu CCPA

CCPA este doar legea din California, dar se aplică oricărei organizații care desfășoară afaceri în California sau care colectează date despre utilizatorii din California. Protecțiile se aplică numai rezidenților din California, dar se aplică chiar și atunci când aceștia se află temporar în afara statului.

CCPA se aplică pentru:

• Afaceri cu scop profit care desfășoară afaceri în California, care încasează peste 25 de milioane de dolari în venituri anuale.
• Afaceri care cumpără, primesc sau vând informații personale ale a 50.000 sau mai mulți rezidenți din California, gospodării sau dispozitive
• Afaceri care obțin 50% sau mai mult din veniturile lor anuale din vânzarea informațiilor personale ale rezidenților din California.

California este cel mai populat stat din SUA și țara Silicon Valley, așa că în locul reglementărilor federale care reglementează protecția datelor pentru consumatorii americani, CCPA a stabilit standardul și obligația pentru modul în care companiile din SUA colectează, stochează, vând și tratează date personale.

Conform CCPA, companiile pot fi date în judecată în cazul în care „informații personale necriptate și neredactate au fost furate într-o încălcare a datelor ca urmare a eșecului întreprinderii de a menține proceduri și practici de securitate rezonabile pentru a le proteja”.

Beneficiile CCPA

CCPA nu stabilește automat un mediu digital securizat; este o foaie de parcurs către un internet mai sigur. Stabilește un precedent pentru ce fel de date ar trebui să ne așteptăm ca noi, ca consumatori, să fie protejate. De asemenea, arată ce tipuri de cerințe ar trebui să se aștepte să le respecte companiile dacă doresc să protejeze datele utilizatorilor și deschide calea pentru reglementări viitoare.

CCPA a adus o mai mare conștientizare a modului în care site-urile web colectează, gestionează și vând date. A făcut astfel încât companiile să fie într-o poziție în care ar trebui să dezvăluie modul în care tratează datele despre consumatori. Deși nu există nicio obligație pentru toate site-urile web de a-și întări strict securitatea datelor, iar CCPA este, în cea mai mare parte, dependentă de rezultatul instanțelor, se bazează pe procese colective pentru a ajunge la o concluzie a cauzelor. Răspunderea nerespectării ar putea fi suficientă pentru a aduce îmbunătățiri securității generale a datelor.

Dezavantajele CCPA

În timp ce CCPA este primul pas major făcut în Statele Unite pentru a îmbunătăți protecția datelor pentru consumatori, nu este lipsit de defecte. Există probleme cu CCPA atât în ​​domeniul de aplicare, cât și în modul în care este scris.

Nicio obligație de a menține securitatea datelor

Nu există nicio cerință de implementare și menținere a unei practici puternice de securitate a datelor. CCPA dă dreptul consumatorilor la despăgubiri legale numai dacă au fost supuși unei încălcări a datelor. Nu există nicio obligație de a menține practicile de securitate, în afară de lipsa de a furniza suficiente practici de siguranță, ca urmare a unei încălcări, vă va face răspunzător pentru daunele legale aduse consumatorilor dacă acest lucru este dovedit în instanță.

Litigii

Cauzele sunt introduse prin sistemul judiciar prin care consumatorii pot da în judecată întreprinderile. Aceasta ar putea fi o barieră în calea intrării pentru mulți consumatori, în special consumatorii obosiți să se ocupe de sistemul judiciar.

O clauză de „vindecare” care favorizează afacerile

Conform prevederii de „vindecare” de 30 de zile a CCPA, consumatorii trebuie să furnizeze o notificare scrisă cu privire la problema specifică înainte de a începe orice acțiune în justiție împotriva unei afaceri: „Dacă afacerea remediază încălcarea observată și furnizează consumatorului o declarație scrisă care indică astfel de daune legale, sunt nu e disponibil."

Cum definește CCPA consumatorii

În timp ce GDPR se aplică oricărei persoane vizate de date din UE la momentul colectării sau prelucrării, indiferent de naționalitate, CCPA definește consumatorul ca fiind rezident în California, chiar dacă în afara statului temporar. Doar protejarea consumatorilor din California lasă neprotejată o mare parte a țării.

Cum definește CCPA operatorii de date

CCPA se aplică companiilor care comercializează datele a peste 50.000 de californieni anual sau care au un venit de peste 25 milioane USD sau companiilor care obțin mai mult de 50% din veniturile lor anuale din vânzarea de informații personale; GDPR se aplică tuturor site-urilor web, companiilor și organizațiilor din lume (operatorii de date) dacă oferă bunuri sau servicii persoanelor din UE.

Autoritățile de supraveghere: puteri limitate de investigare

Încălcările CCPA și neconformitatea sunt evaluate de către Procurorul General al Californiei. Numai Californian AG are autoritatea de a investiga încălcările CCPA, iar consumatorii pot începe litigii numai în cazul în care sunt implicați într-o încălcare – și asta doar inițiază procedurile judiciare.

Cum să obțineți conformitatea cu CCPA

Pentru companii, ar trebui să vă asigurați că site-ul dvs. web include informații despre tipul de date pe care le colectați despre utilizatorii dvs., să le permiteți utilizatorilor să renunțe la vânzarea acestor informații și ar trebui să puteți șterge informațiile personale atunci când este făcută o solicitare a consumatorului. .

Auditați datele pe care le colectați

Înțelegeți cum vă afectează legea. Aflați ce fel de date despre consumatori colectați. Nu sunt doar PII, ci și datele de urmărire web care sunt implicate în lege.

Răspunderea dvs. cea mai mare s-ar putea să nu vină din interiorul propriei organizații, ci din partea furnizorilor terți pe care îi utilizați ca servicii web sau furnizori de plug-in.

Hartă datele consumatorilor

Începând cu 1 ianuarie 2020, consumatorii din California se pot întreba despre cum colectați datele lor și ce faceți cu acestea; ar trebui să poți răspunde la acele întrebări. Facilități-le echipei dvs. să găsească date făcându-le indexabile și căutate. Începeți să mapați datele pe care le-ați descoperit în auditul dvs. întrebând:

• Ce date colectați?
• Unde o depozitezi?
• Cine este responsabil pentru date?
• Cum colectezi datele?
• Cu cine partajați datele?
• Vindeți datele?

Implementați dezvăluiri de confidențialitate

Este timpul să vă actualizați dezvăluirile de confidențialitate, inclusiv politica de confidențialitate, termenii și condițiile și politica privind cookie-urile. Faceți puncte specifice despre tipul de informații pe care le colectați, modul în care colectați acele informații, ce tipuri de terți vor avea acces la acele date și motivele pentru care colectați aceste informații.

Asigurați-vă politicile clare și mențineți-le actualizate și permiteți utilizatorilor posibilitatea de a renunța. Ar trebui chiar să luați în considerare adăugarea unui buton „nu-mi vinde datele” pe site-ul dvs. web, care permite revizuirea politicilor dvs. și opțiunea de a renunța la anumite practici privind datele.

Dezvoltați procese pentru solicitările de informații

S-ar putea să vi se solicite să furnizați copii ale datelor despre consumatori, să ștergeți datele la cererea acestora, să explicați datele pe care le colectați sau să renunțați consumatorii de la colectarea datelor. Entitățile acoperite pot fi solicitate de către un consumator:

• Pentru o copie a informațiilor lor personale
• Ca informațiile lor personale să fie șterse
• Ce categorii de informații personale sunt vândute
• Pentru a renunța la vânzarea de informații personale pentru cei peste 16 ani
• Pentru a vă înscrie pentru vânzarea de informații personale pentru cei cu vârsta cuprinsă între 13 și 16 ani
• Pentru a obține consimțământul unui tutore pentru a vinde informații personale de la un consumator sub 13 ani

Abordați confidențialitatea la fiecare nivel

Păstrați software-ul și sistemele actualizate și în siguranță. Aceasta înseamnă că aveți parole puternice și protecție împotriva programelor malware, precum și abordarea riscului uman. Antrenează-ți echipa astfel încât să înțeleagă legea, cum se aplică ei și cum ar putea juca un rol în protecția datelor tale.

Luați o abordare bazată pe risc

Protejați-vă afacerea luând inițiativă cu practicile de securitate a datelor și implicând experți în securitatea datelor, alături de membrii echipei, la fiecare nivel al organizației dvs. Riscul există la fiecare nivel. Adunați informații și contribuții de la toată lumea din organizația dvs. și, ca echipă, identificați cele mai mari riscuri și acordați prioritate remedierilor.

Penalități pentru nerespectare

Companiile nu pot fi trimise în judecată pentru încălcări ale CCPA decât dacă există o încălcare a datelor. În cazuri specifice, consumatorii au dreptul la despăgubiri. O companie nu este responsabilă dacă „vindecă” orice neconformitate în termen de 30 de zile după ce a fost notificată despre presupusa neconformitate (deși unele cazuri ar putea să nu fie capabile de o „remediere”).

Daune

Daunele legale pe care o persoană le poate primi variază de la 100 USD la 750 USD per incident sau pot fi pentru valoarea totală a daunelor bănești suferite efectiv ca urmare a încălcării datelor. Instanțele pot decide, de asemenea, pedepse mai dure, în funcție de gravitatea încălcării. Având în vedere că o încălcare tipică a datelor ar putea afecta sute de mii de consumatori, aceste costuri se pot acumula – dar consumatorii trebuie să treacă printr-un litigiu înainte de aplicarea amenzilor.

Penalize

Pe lângă daunele individuale datorate consumatorilor, întreprinderile se pot confrunta cu sancțiuni civile în cazul încălcării și încălcării CCPA. Aceste penalități pot varia de la „2.500 USD pentru o încălcare neintenționată la 7.500 USD pentru o încălcare intenționată”.

Gândurile noastre despre CCPA

La începutul anului 2021, a fost dezvăluit că hackerii din China au încercat să fure date biometrice și informații de identificare personală a mai mult de 80% dintre americani. În unele cazuri, au avut succes. Nu există doar un imperativ de afaceri pentru a întări securitatea datelor consumatorilor, dar există și un imperativ de securitate națională. Din păcate, nu se poate avea încredere în statele să impună protecția datelor în mod egal și concomitent.

În 2019, după ce o foaie de calcul cu numele a 4.457 de persoane împreună cu numerele lor de securitate socială, numerele de telefon și adresele de e-mail a fost publicată din greșeală de către departamentul de muncă din Georgia, Curtea Supremă a statului Georgia a decis că nu are „nicio obligație inerentă”. pentru a proteja informațiile personale ale cetățenilor pe care le stochează.” Hotărârea a reiterat că cei cărora li s-au încredințat date sensibile, colectorii de date, nu aveau nicio obligație de a securiza acele informații, iar aceasta este o problemă.

În absența reglementărilor federale, CCPA încearcă să umple un gol care trebuie umplut cu disperare. Stabilește standarde de securitate a datelor pe care companiile le pot implementa și protecții la care ar trebui să se aștepte consumatorii. Cu toate acestea, există lacune mari în ceea ce privește cine este protejat și care întreprinderi sunt răspunzătoare, ceea ce lasă prea multă ambiguitate și marjă de manevră pentru a fi un factor de descurajare eficient sau pentru a încuraja conformarea.

CCPA ≠ GDPR

CCPA este adesea menționat în aceeași suflare cu GDPR, dar nu este aproape de a avea sfera de aplicare sau impact și nu face față GDPR.

Fără puterile extinse de a audita, investiga sau impune respectarea standardelor de securitate a datelor, precum GDPR, CCPA rămâne un factor de descurajare doar pentru că securitatea datelor devine o răspundere, mai degrabă decât ceva investigat și aplicat în mod activ.

Spre deosebire de GDPR, CCPA nu a fost la fel de eficientă în comunicarea a ceea ce se cere companiilor și a modului în care sunt tratate cazurile. Deși nu toate datele despre amenzile GDPR au fost făcute publice, există mai multe informații disponibile în ceea ce privește cerințele de conformitate și sancțiunile de nerespectare. Există chiar și un site web independent dedicat urmăririi aplicării GDPR și a fost interesant de urmărit pe măsură ce fiecare țară membră impune respectarea GDPR.

GDPR a emis sute de sancțiuni în ultimii ani, inclusiv o amendă de 18,4 milioane de lire sterline către Marriott pentru o încălcare a datelor în 2018 pentru „măsurile tehnice și organizatorice insuficiente pentru a asigura securitatea informațiilor”. CCPA nu a avut aceeași publicitate în ceea ce privește aplicarea sau repercusiunile sale. Fără sancțiunile sau cazurile demne de știre, CCPA ar putea să nu fie suficient de descurajator pentru a rezolva problema insecurității datelor în Statele Unite.

Dacă consecințele nu sunt suficient de mari și aplicarea legii nu este consecventă, rapidă și eficientă, CCPA ar putea să nu fie suficient de disuasivă pentru ca companiile să ia în serios problema securității datelor.

Nu suntem avocați; nu vă putem ajuta să auditați și să atingeți conformitatea în domeniul securității cibernetice, dar putem construi un site web care va îndeplini cerințele CCPA și putem lucra alături de echipa dvs. de gestionare a datelor pentru a crea un mediu digital care va spori încrederea consumatorilor în marca dvs. și va îndeplini obiectivele dvs. de afaceri.

Dacă reglementările privind confidențialitatea datelor vă îngrijorează cu privire la site-ul dvs. web și la conformitate, citiți ghidul nostru pentru GDPR pentru a vă îmbunătăți cunoștințele privind reglementările privind securitatea datelor sau contactați-vă și haideți să avem o conversație.