CCPA: Что означают Калифорнийские правила конфиденциальности для Вашего бизнеса

Автор: Дмитрий Иванов [Команда P9X]

~8 минут чтения

В последние годы компании привыкли к процессу адаптации к новым законам о конфиденциальности

В конце концов, только в прошлом году вступил в силу GDPR, который повлиял на то, как компании используют персональные данные по всему миру.

Теперь в 2020 году вступил в силу ещё один важный нормативный акт. Калифорния внедрила Калифорнийский закон о конфиденциальности потребителей (CCPA), ставший первым законом штата США об обеспечении конфиденциальности данных. Эксперты говорят, что это шаблон для законов штатов о защите данных по всей стране.

Компании, работающие с данными, готовятся к этому новому регулированию, так же, как они готовились к GDPR в мае 2018 года. Естественно, руководители предприятий задаются вопросом: что означает CCPA для моего бизнеса?

Сегодня мы объясняем, что такое CCPA, как он повлияет на ваш бизнес и ответим на любые другие вопросы, которые могут у вас возникнуть о CCPA.

ДИСКЛЕЙМЕР: цель этой статьи — предоставить дополнительную информацию и ресурсы общего характера о CCPA. ZoomInfo не предполагает, что она будет служить юридическим или деловым советом или рекомендациями по обращению с конфиденциальностью потребителей в вашем уникальном бизнесе, и вы не должны воспринимать её как таковую.

Что такое CCPA?

CCPA был создан для защиты конфиденциальности и персональных данных потребителей, проживающих в штате Калифорния. Этот закон о конфиденциальности даёт потребителям право запрашивать у бизнеса информацию о том, какие персональные данные о них собирает бизнес и как они используются и распространяются.

Согласно официальному веб-сайту CCPA, закон предоставляет жителям Калифорнии следующее:

  • право знать о персональных данных, которые бизнес собирает о них, и о том, как они используются и распространяются;
  • право удалять собранные о них персональные данные (с некоторыми исключениями);
  • право отказаться от продажи своих персональных данных;
  • право на недискриминацию при осуществлении своих прав в соответствии с CCPA.

Право собственности на личную информацию

CCPA предоставляет потребителям право знать, какую информацию о них собирают предприятия. Закон также даёт потребителям право сообщать предприятиям, что они не могут использовать их личную информацию.

Потребители могут запросить у бизнеса раскрытие типов собираемой им личной информации, цели сбора этой информации и того, кому эта информация продаётся. Они могут осуществлять эти запросы дважды в год бесплатно.

Защита тех, кто не предоставляет бизнесу доступ к своей личной информации

CCPA предотвращает дискриминацию в отношении жителей, которые не позволяют бизнесу продавать их личные данные.

Иными словами, если потребитель сообщает бизнесу, что не хочет делиться своими данными, этот бизнес не может взимать с потребителя больше за услуги, отказывать ему в услугах или предлагать услуги более низкого качества.

Корпорации должны включать кликабельную ссылку в свою политику конфиденциальности с надписью «Не продавайте мои данные». Эта опция должна отображаться на любой странице, где бизнес собирает личную информацию. Предприятия не могут скрывать эту опцию или затруднять её поиск.

Дополнительная безопасность и защита от утечек данных

CCPA требует от предприятий внедрения «разумных мер безопасности» для защиты личной информации жителей Калифорнии от потенциальных утечек данных.

Предприятиям грозят повышенные штрафы и пени, если они не примут адекватных мер для защиты собранных ими персональных данных потенциальных клиентов и покупателей.

Когда вступил в силу CCPA?

CCPA вступил в силу 1 января 2020 года, а правоприменение началось 1 июля 2020 года.

Важные даты:

  • 1 января 2020 года — закон вступает в силу.
  • 31 января 2020 года — крайний срок для регистрации посредников данных.
  • 1 июля 2020 года — начало правоприменения.

Как CCPA определяет личную и общедоступную информацию?

CCPA определяет «персональные данные» как любую информацию, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

В документации CCPA приводятся конкретные примеры персональных данных. Список включает, помимо прочего, следующие идентификаторы:

  • идентификаторы, такие как настоящее имя, псевдоним, адрес, адрес электронной почты, номер социального страхования, номер лицензии, номер паспорта или аналогичные идентификаторы;
  • коммерческая информация, включая записи о недвижимости, истории покупок товаров и другие истории потребителей и тенденции;
  • биометрические данные, такие как отпечатки пальцев и данные распознавания лиц;
  • данные об активности в интернете или сети, такие как IP-адреса, история просмотров, история поиска и взаимодействие с онлайн-сайтами или рекламой.

«Персональные данные» не включают общедоступную информацию. В соответствии с CCPA общедоступная информация относится к данным, которые законно опубликованы федеральными, государственными или местными органами власти.

Примеры общедоступной информации, которая не подпадает под действие правил CCPA:

  • правительственные записи о недвижимости и регистрации залогов;
  • широко распространяемые медиа-источники, такие как телефонные книги, телевидение или радио, онлайн- или печатные публикации;
  • ипотечная информация, включённая в общедоступные записи.

Как узнать, затрагивает ли мой бизнес CCPA?

CCPA применяется к любой коммерческой организации, которая собирает, распространяет или продаёт персональные данные жителей Калифорнии и соответствует любому из следующих трёх критериев:

  • имеет годовой валовой доход в размере 25 миллионов долларов или более;
  • обладает персональными данными 50 000 или более потребителей, домохозяйств или устройств;
  • получает более половины своего годового дохода от продажи персональных данных.

Чек-лист последствий

Чтобы помочь вашей команде обсудить последствия для вашего бизнеса, задайте себе следующие вопросы:

  • Соответствует ли мой бизнес требованиям CCPA?
  • Что нужно сделать моему бизнесу для соблюдения требований?
  • Как наши клиенты могут отказаться от подписки прямо с веб-сайта?
  • Какую ещё информацию следует разместить на нашем сайте?
  • Следует ли нам добавить формулировки в наши контракты (существующие и новые)?
  • Нужно ли нам что-нибудь делать в случае утечек данных или нарушений безопасности?
  • Нужны ли нам какие-либо сертификаты?

Если мой бизнес соответствует требованиям GDPR, значит ли это, что он также соответствует требованиям CCPA?

CCPA и GDPR имеют много общего с точки зрения защиты персональных данных. Но между этими двумя нормативными актами есть несколько ключевых различий.

Во-первых, GDPR применяется к контролёрам данных и обработчикам данных. CCPA применяется только к коммерческим предприятиям, которые соответствуют одному из вышеупомянутых требований.

Каковы штрафы за нарушение CCPA?

Калифорнийский гражданский кодекс для CCPA учитывает серьёзность проступка, прошлые нарушения, постоянство проступка, чистую стоимость компании и другие факторы.

Согласно этому, бизнес, который не соблюдает новые правила, рискует столкнуться со следующими санкциями и средствами правовой защиты:

  • компаниям может быть разрешено осуществлять права на отказ от участия от имени жителей Калифорнии;
  • компаниям, которые столкнулись с кражей данных или другим нарушением безопасности, может быть предписано выплатить установленный законом ущерб в размере от 100 до 750 долларов за жителя Калифорнии и инцидент, или фактические убытки, в зависимости от того, что больше;
  • компании также могут столкнуться с любым другим решением суда, которое Калифорнийская прокуратура сочтет надлежащим, при условии, что у офиса Генерального прокурора Калифорнии будет возможность преследовать компанию в судебном порядке вместо того, чтобы позволить гражданским искам быть поданными против неё;
  • кроме того, компании могут быть оштрафованы на сумму до 7 500 долларов за каждое умышленное нарушение и до 2 500 долларов за каждое непреднамеренное нарушение.

Как убедиться, что мой бизнес соответствует требованиям CCPA?

Вашему бизнесу необходимо предпринять несколько шагов, чтобы обеспечить потребителям возможность осуществления их прав в соответствии с CCPA. Вот они:

  1. Предоставьте два или более метода для потребителей, чтобы они могли отправлять запросы о своей личной информации. Как минимум, эти методы должны включать бесплатный телефонный номер и дополнительный метод, такой как адрес электронной почты или онлайн-форма.
  2. Установите протоколы для ответа на запросы потребителей в течение 45 дней с момента их получения.
  3. Обновите свои политики конфиденциальности, включив в них новые права конфиденциальности CCPA.
  4. Проанализируйте свои процессы сбора и документирования данных. Убедитесь, что вы можете отслеживать, как вы собираете данные, как вы их используете, где они хранятся, и внедрите систему, позволяющую предоставлять потребителям эту информацию.
  5. Предоставьте потребителям уведомление о том, что их личная информация продаётся. Внедрите процесс своевременного выполнения запросов об отказе от участия.
  6. Оцените и задокументируйте свои методы обеспечения безопасности данных, чтобы убедиться, что ваш бизнес предпринимает необходимые шаги для предотвращения кражи данных и любых других нарушений безопасности.

Убедитесь, что ваша юридическая команда рассмотрела всю инициативу CCPA, чтобы определить все шаги, которые должен реализовать ваш бизнес для соблюдения требований. Мы настоятельно рекомендуем вам ознакомить весь персонал с основными требованиями соответствия CCPA.

Проверка запросов о конфиденциальности клиентов

После того как запрос сделан, ваш бизнес должен учитывать решение потребителя в течение как минимум 12 месяцев.

Любой бизнес, подпадающий под действие CCPA, должен иметь ссылку «Не продавайте мою личную информацию», которая появляется где-нибудь на главной странице веб-сайта, а также на «любой интернет-странице, где собирается личная информация».

По этой ссылке посетители должны перейти на веб-страницу, где они могут отказаться от продажи своих персональных данных.

Аналогично ссылке «Не продавайте мою личную информацию» все затронутые предприятия должны предоставить бесплатный телефонный номер для жителей Калифорнии, чтобы они могли осуществлять те же права в соответствии с CCPA.

CCPA и будущее государственного регулирования конфиденциальности данных

Хотя Калифорния стала первым штатом, внедрившим подобные правила конфиденциальности в США, она определённо будет не последним. Всё больше штатов начали разрабатывать аналогичные законы, и в ближайшие несколько лет мы, вероятно, увидим появление многих подобных нормативных актов.

Мы понимаем проблемы, связанные с пониманием новых законов о конфиденциальности данных, особенно когда между каждым нормативным актом есть явные различия.

Но GDPR, CCPA и любые последующие законы о защите данных служат важной цели. И эта цель — предоставить потребителям больше контроля над их персональными данными.

По мере того как мир данных и бизнес-аналитики продолжает развиваться, эти новые законы о защите становятся шагом в правильном направлении, когда речь идёт о безопасности данных и ответственности.