Czy Kalifornia ma RODO?

Grzywny i narażenie finansowe. Firmy nie powinny zapominać, że w przypadku niezgodności mogą stawić czoła dodatkowym odszkodowaniu, uzupełniając te dostarczone przez RODO. W CCPA egzekwowanie przepisów spoczywa na prokuratorze generalnym w Kaliforni. Niezamierzone naruszenia, które nie są naprawione w ciągu 30 dni od powiadomienia, mogą wynieść szkody w wysokości do 2500 USD za naruszenie. Tylko w przypadku kradzieży danych lub naruszenia bezpieczeństwa danych sami konsumenci mają prawo do prywatnych działań w sprawie szkód ustawowych od 100 do 750 USD za konsumenta i incydent lub faktyczne szkody, w zależności od tego, co jest większe, a także wszelkie inne ulga, które sąd uzna za właściwe. Oprócz tego raczej ograniczonego prawa konsumenckiego ustawa upoważnia również prokurator generalny do wniesienia postępowania w klasie cywilnej. W połączeniu z grzywną administracyjnymi w wysokości do 20 mln EUR lub 4 procent całkowitego rocznego obrotu na całym świecie (w zależności od tego, co jest wyższe) zapewniane przez RODO, faktyczna kwota należna za naruszenie i/lub naruszenie danych może być zagrożeniem dla wielu firm dla wielu firm.

Kalifornijska ustawa o prywatności konsumentów (CCPA)

1. Jakie prawa mam w ramach CCPA?

  • Dobrze wiedzieć: Możesz poprosić o ujawnienie firmy: (1) kategorie i/lub konkretne dane osobowe, które zebrały o tobie, (2) kategorie źródeł tych danych osobowych, (3) celów, dla których biznes wykorzystuje te informacje, (4) kategorie stron trzeci. Możesz złożyć prośbę, aby dowiedzieć się nawet dwa razy w roku, bezpłatnie.
  • Prawo do usunięcia: Możesz poprosić o usunięcie firm osobowych, które od ciebie zebrały, i powiedzieli ich dostawcom usług, aby zrobili to samo, z zastrzeżeniem pewnych wyjątków (takich jak firma jest prawnie wymagana do przechowywania informacji).
  • Prawo do rezygnacji ze sprzedaży lub udostępniania: Możesz poprosić o to, aby firmy przestały sprzedawać lub udostępniać swoje dane osobowe („rezygnacja”), w tym za pośrednictwem globalnej kontroli prywatności z obsługą użytkownika. Firmy nie mogą sprzedawać ani udostępniać twoich danych osobowych po otrzymaniu prośby o rezygnację, chyba że później upoważisz je ponownie.
  • Prawo do poprawienia: Możesz poprosić firmy o poprawienie niedokładnych informacji o tobie.
  • Prawo do ograniczenia wykorzystania i ujawnienia poufnych danych osobowych: Możesz skierować firmy do korzystania tylko z poufnych danych osobowych (na przykład numeru ubezpieczenia społecznego, informacji o koncie finansowym, precyzyjnych danych geolokalizacji lub danych genetycznych) do ograniczonych celów, takich jak zapewnienie wymaganych usług.

Masz również prawo do powiadomienia przed lub w momencie, gdy firmy pobierają Twoje dane osobowe, rodzajów danych osobowych, które zbierają i co mogą zrobić z tymi informacjami. Zasadniczo firmy nie mogą cię dyskryminować za wykonywanie swoich praw na podstawie CCPA. Firmy nie mogą zmusić cię do zrzeczenia się tych praw, a wszelkie przepisy umowy, które mówi, że zrzekasz się tych praw, jest niewykonalny.

2. Co jeśli nie jestem mieszkańcem Kalifornii?

Tylko mieszkańcy Kalifornii mają prawa w ramach CCPA. Mieszkaniec Kalifornii jest osobą naturalną (w przeciwieństwie do korporacji lub innego podmiotu biznesowego), która mieszka w Kalifornii, nawet jeśli osoba ta jest tymczasowo poza państwem.

3. Co uważa się za dane osobowe i poufne dane osobowe w ramach CCPA?

Informacje osobiste to informacje, które identyfikują, odnoszą się lub można uzasadnić z tobą lub twoim gospodarstwem domowym. Na przykład może zawierać twoje imię i nazwisko, numer ubezpieczenia społecznego, adres e -mail, zapisy zakupione produkty, historię przeglądania Internetu, dane geolokalizacyjne, odciski palców i wnioski z innych danych osobowych, które mogą stworzyć profil na temat twoich preferencji i cech.

Poufne dane osobowe jest konkretnym podzbiorem danych osobowych, które obejmują niektóre identyfikatory rządowe (takie jak numery ubezpieczenia społecznego); Logowanie konta, rachunek finansowy, numer karty debetowej lub numer karty kredytowej z dowolnym wymaganym kodem bezpieczeństwa, hasła lub poświadczeń umożliwiających dostęp do konta; precyzyjne geolokalizację; treść wiadomości pocztowych, e -mail i wiadomości tekstowych; dane genetyczne; informacje biometryczne przetwarzane w celu identyfikacji konsumenta; informacje dotyczące zdrowia konsumenta, życia seksualnego lub orientacji seksualnej; lub informacje o pochodzeniu rasowym lub etnicznym, przekonaniach religijnych lub filozoficznych lub członkostwa w związku. Konsumenci mają prawo również ograniczyć wykorzystanie firmy i ujawnienie ich wrażliwych danych osobowych.

Dane osobowe nie zawierają informacji publicznie dostępnych (w tym publicznych rejestrów nieruchomości/nieruchomości) i niektórych rodzajów informacji.

4. Co nie jest uważane za dane osobowe w ramach CCPA?

Dane osobowe nie zawierają dostępnych publicznie informacji z rejestrów federalnych, stanowych lub lokalnych, takich jak licencje zawodowe i publiczne nieruchomości/nieruchomości. Definicja informacji publicznie dostępnych

Czy Kalifornia ma RODO

Grzywny i narażenie finansowe. Firmy nie powinny zapominać, że w przypadku niezgodności mogą stawić czoła dodatkowym odszkodowaniu, uzupełniając te dostarczone przez RODO. W CCPA egzekwowanie przepisów spoczywa na prokuratorze generalnym w Kaliforni. Niezamierzone naruszenia, które nie są naprawione w ciągu 30 dni od powiadomienia, mogą wynieść szkody w wysokości do 2500 USD za naruszenie. Tylko w przypadku kradzieży danych lub naruszenia bezpieczeństwa danych sami konsumenci mają prawo do prywatnych działań w sprawie szkód ustawowych od 100 do 750 USD za konsumenta i incydent lub faktyczne szkody, w zależności od tego, co jest większe, a także wszelkie inne ulga, które sąd uzna za właściwe. Oprócz tego raczej ograniczonego prawa konsumenckiego ustawa upoważnia również prokurator generalny do wniesienia postępowania w klasie cywilnej. W połączeniu z grzywną administracyjnymi w wysokości do 20 mln EUR lub 4 procent całkowitego rocznego obrotu na całym świecie (w zależności od tego, co jest wyższe) zapewniane przez RODO, faktyczna kwota należna za naruszenie i/lub naruszenie danych może być zagrożeniem dla wielu firm dla wielu firm.

Kalifornijska ustawa o prywatności konsumentów (CCPA)

Te często zadawane pytania zawierają ogólne informacje konsumenckie o CCPA i o tym, jak możesz wykonywać swoje prawa w ramach CCPA. Nie są to porady prawne, wytyczne regulacyjne ani opinia prokuratora generalnego. Okresowo aktualizujemy te informacje.

A. Ogólne informacje o CCPA

1. Jakie prawa mam w ramach CCPA?

  • Dobrze wiedzieć: Możesz poprosić o ujawnienie firmy: (1) kategorie i/lub konkretne dane osobowe, które zebrały o tobie, (2) kategorie źródeł tych danych osobowych, (3) celów, dla których biznes wykorzystuje te informacje, (4) kategorie stron trzeci. Możesz złożyć prośbę, aby dowiedzieć się nawet dwa razy w roku, bezpłatnie.
  • Prawo do usunięcia: Możesz poprosić o usunięcie firm osobowych, które od ciebie zebrały, i powiedzieli ich dostawcom usług, aby zrobili to samo, z zastrzeżeniem pewnych wyjątków (takich jak firma jest prawnie wymagana do przechowywania informacji).
  • Prawo do rezygnacji ze sprzedaży lub udostępniania: Możesz poprosić o to, aby firmy przestały sprzedawać lub udostępniać swoje dane osobowe (“rezygnacja”), w tym za pomocą globalnej kontroli prywatności z obsługą użytkownika. Firmy nie mogą sprzedawać ani udostępniać twoich danych osobowych po otrzymaniu prośby o rezygnację, chyba że później upoważisz je ponownie.
  • Prawo do poprawienia: Możesz poprosić firmy o poprawienie niedokładnych informacji o tobie.
  • Prawo do ograniczenia wykorzystania i ujawnienia poufnych danych osobowych: Możesz skierować firmy do korzystania tylko z poufnych danych osobowych (na przykład numeru ubezpieczenia społecznego, informacji o koncie finansowym, precyzyjnych danych geolokalizacji lub danych genetycznych) do ograniczonych celów, takich jak zapewnienie wymaganych usług.

Masz również prawo do powiadomienia przed lub w momencie, gdy firmy pobierają Twoje dane osobowe, rodzajów danych osobowych, które zbierają i co mogą zrobić z tymi informacjami. Zasadniczo firmy nie mogą cię dyskryminować za wykonywanie swoich praw na podstawie CCPA. Firmy nie mogą zmusić cię do zrzeczenia się tych praw, a wszelkie przepisy umowy, które mówi, że zrzekasz się tych praw, jest niewykonalny.

2. Co jeśli nie jestem mieszkańcem Kalifornii?

Tylko mieszkańcy Kalifornii mają prawa w ramach CCPA. Mieszkaniec Kalifornii jest osobą naturalną (w przeciwieństwie do korporacji lub innego podmiotu biznesowego), która mieszka w Kalifornii, nawet jeśli osoba ta jest tymczasowo poza państwem.

3. Co uważa się za dane osobowe i poufne dane osobowe w ramach CCPA?

Informacje osobiste to informacje, które identyfikują, odnoszą się lub można uzasadnić z tobą lub twoim gospodarstwem domowym. Na przykład może zawierać twoje imię i nazwisko, numer ubezpieczenia społecznego, adres e -mail, zapisy zakupione produkty, historię przeglądania Internetu, dane geolokalizacyjne, odciski palców i wnioski z innych danych osobowych, które mogą stworzyć profil na temat twoich preferencji i cech.

Poufne dane osobowe jest konkretnym podzbiorem danych osobowych, które obejmują niektóre identyfikatory rządowe (takie jak numery ubezpieczenia społecznego); Logowanie konta, rachunek finansowy, numer karty debetowej lub numer karty kredytowej z dowolnym wymaganym kodem bezpieczeństwa, hasła lub poświadczeń umożliwiających dostęp do konta; precyzyjne geolokalizację; treść wiadomości pocztowych, e -mail i wiadomości tekstowych; dane genetyczne; informacje biometryczne przetwarzane w celu identyfikacji konsumenta; informacje dotyczące konsumenta’s zdrowie, życie seksualne lub orientacja seksualna; lub informacje o pochodzeniu rasowym lub etnicznym, przekonaniach religijnych lub filozoficznych lub członkostwa w związku. Konsumenci mają prawo również ograniczyć firmę’skorzystanie i ujawnienie ich wrażliwych danych osobowych.

Dane osobowe nie zawierają informacji publicznie dostępnych (w tym publicznych rejestrów nieruchomości/nieruchomości) i niektórych rodzajów informacji.

4. Co nie jest uważane za dane osobowe w ramach CCPA?

Dane osobowe nie zawierają dostępnych publicznie informacji z rejestrów federalnych, stanowych lub lokalnych, takich jak licencje zawodowe i publiczne nieruchomości/nieruchomości. Definicja dostępnych publicznie informacji zawiera również informacje, które firma ma uzasadnioną podstawę, aby uznać, że jest zgodna z prawem opinii publicznej przez konsumenta lub z szeroko rozpowszechnionych mediów, lub niektóre informacje ujawnione przez konsumenta i udostępnione, jeżeli konsument nie ograniczył informacji do konkretnych odbiorców.

CCPA zwalnia również niektóre rodzaje informacji, takie jak niektóre informacje medyczne i informacje o raportowaniu kredytów konsumenckich.

5. Do jakich firm ma zastosowanie CCPA?

  • Mieć roczny przychód brutto w wysokości ponad 25 milionów dolarów;
  • Kupuj, sprzedaj lub udostępnij dane osobowe 100 000 lub więcej mieszkańców Kalifornii, gospodarstw domowych lub urządzeń; Lub
  • Wydaj 50% lub więcej rocznych przychodów ze sprzedaży mieszkańców Kalifornii’ informacje osobiste.

6. Czy CCPA dotyczy organizacji non -profit lub agencji rządowych?

CCPA zasadniczo nie dotyczy organizacji non -profit ani agencji rządowych.

7. Co mogę zrobić, jeśli myślę, że firma naruszyła CCPA?

Nie możesz pozwać firm za większość naruszeń CCPA. Możesz pozwać firmę w ramach CCPA tylko wtedy, gdy istnieje naruszenie danych, a nawet wtedy tylko w ograniczonych okolicznościach. Możesz pozwać firmę, jeśli twoje niezaprzemiane i niereagowane dane osobowe zostały skradzione w naruszeniu danych w wyniku firmy’nie zachować rozsądnych procedur i praktyk bezpieczeństwa w celu jej ochrony. Jeśli tak się stanie, możesz pozwać o ilość szkód pieniężnych, które faktycznie doznałeś z powodu naruszenia lub “Ustawowe szkody” do 750 USD za incydent. Przed pozwaniem musisz powiadomić o tym, które sekcje CCPA naruszyły, i pozwolić 30 dni na odpowiedź na piśmie, że wyleczyło naruszenia i że nie nastąpi dalsze naruszenia. Jeśli firma jest w stanie wyleczyć naruszenie i daje pisemne stwierdzenie, że to zrobiło, nie możesz pozwać firmy, chyba że nadal narusza CCPA sprzeczne z jego oświadczeniem.

W przypadku wszystkich innych naruszeń CCPA tylko prokurator generalny lub Kalifornijska Agencja Ochrony Prywatności mogą podjąć postępowanie prawne przeciwko niezgodnym podmiotom. Prokurator generalny nie reprezentuje indywidualnych konsumentów Kalifornii. Korzystając z skarg konsumenckich i innych informacji, prokurator generalny może zidentyfikować wzorce niewłaściwego postępowania, które mogą prowadzić do dochodzeń i działań w imieniu zbiorowych interesów prawnych mieszkańców Kalifornii. Jeśli uważasz, że firma naruszyła CCPA, możesz złożyć skargę konsumencką w biurze prokuratora generalnego. Jeśli zdecydujesz się złożyć skargę do naszego biura, wyjaśnij dokładnie, w jaki sposób firma naruszyła CCPA i opisz, kiedy i jak miało miejsce naruszenie. Należy pamiętać, że prokurator generalny nie może cię reprezentować ani udzielić porady prawnej na temat rozwiązania indywidualnej skargi. Począwszy od 1 lipca 2023 r. Będziesz mógł również złożyć skargi do California Prywatna Agency Ochrony Prywatności za naruszenie CCPA, w ramach zmiany, występującej w tym dniu lub później.

8. Jaki rodzaj naruszenia danych mogę pozwać firmę w ramach CCPA?

  • Twój numer ubezpieczenia społecznego
  • Twój kierowca’S Numer licencji, numer identyfikacji podatku, numer paszportu, numer identyfikacyjny wojskowy lub inny unikalny numer identyfikacyjny wydany w dokumencie rządowym powszechnie używanym do identyfikacji tożsamości osoby
  • Twój numer konta finansowego, numer karty kredytowej lub numer karty debetowej, jeśli zostanie połączony z dowolnym wymaganym kodem bezpieczeństwa, kodem dostępu lub hasłem, które umożliwiłoby komuś dostęp do Twojego konta
  • Twoje informacje o ubezpieczeniu medycznym lub zdrowotnym
  • Twój odcisk palca, wizerunek siatkówki lub tęczówki lub inne unikalne dane biometryczne wykorzystywane do identyfikacji tożsamości osoby (ale nie włączając zdjęć, chyba że używane lub przechowywane do celów rozpoznawania twarzy)

Te dane osobowe musiały zostać skradzione w nieskrypcji i niereagowanej formie. Ponadto dane osobowe musiały zostać skradzione w wyniku naruszenia danych w wyniku firmy’nie zachować rozsądnych procedur i praktyk bezpieczeństwa w celu jej ochrony. Jeśli tak się stanie, możesz pozwać o ilość szkód pieniężnych, które faktycznie doznałeś z powodu naruszenia lub “Ustawowe szkody” do 750 USD za incydent. Przed pozwaniem musisz powiadomić o tym, które sekcje CCPA naruszyły, i pozwolić 30 dni na odpowiedź na piśmie, że wyleczyło naruszenia i że nie nastąpi dalsze naruszenia. Jeśli firma jest w stanie wyleczyć naruszenie i daje pisemne stwierdzenie, że to zrobiło, nie możesz pozwać firmy, chyba że nadal narusza CCPA sprzeczne z jego oświadczeniem.

9. Czy firmy muszą przestrzegać ustawowych poprawek CPRA do CCPA, które weszły w życie 1 stycznia 2023 r?

Tak. Na dzień 1 stycznia 2023 r. CPRA’W obowiązywaniu obowiązują poprawki do CCPA, a przedsiębiorstwa są zobowiązane do przestrzegania wszystkich wyraźnych wymogów ustawowych. Firmy są również zobowiązane do przestrzegania tych przepisów CCPA obecnie.

10. Czy obecnie obowiązują jakieś przepisy CCPA?

Tak. Departament Sprawiedliwości w Kalifornii ogłosił początkową rundę przepisów wdrażających CCPA 14 sierpnia 2020 r., A następnie zmieniono 15 marca 2021 r. Przepisy te zostały niedawno zaktualizowane przez Kalifornijską Agencję Ochrony Prywatności. Przepisy te pojawiają się w tytule 11, Division 6, sekcja 7001 i nast. Kalifornijskiego kodeksu przepisów i był skuteczny 29 marca 2023 r.

11. Czy ustawowe zwolnienia dotyczące danych pracowników i transakcji biznesowych są nadal obowiązujące?

NIE. Zwolnienia dotyczące danych osobowych związanych z zatrudnieniem i danymi osobowymi odzwierciedlającymi transakcje biznesowe na działalność opisane w kodeksie cywilnym SEC. 1798.145 (m)-(n) wygasło 31 grudnia 2022 r.

12. Czy mogę użyć autoryzowanego agenta do złożenia wniosku?

Tak. Możesz upoważnić inną osobę do przesłania prośby CCPA w Twoim imieniu. Możesz także zezwolić na podmiot biznesowy zarejestrowany w Kalifornii Sekretarz Stanu do złożenia wniosku w Twoim imieniu.

Należy pamiętać, że jeśli korzystasz z autoryzowanego agenta, firmy mogą wymagać więcej informacji od autoryzowanego agenta lub od Ciebie, aby sprawdzić, czy jesteś osobą kierującą agenta. Na przykład, aby prośby o poznanie lub usunięcie danych osobowych firma może wymagać od upoważnionego agenta przedstawienia dowodu, który przedstawiłeś, że agent podpisał zgodę na złożenie wniosku. Firmy mogą również wymagać od Ciebie zweryfikowania swojej tożsamości w firmie lub bezpośrednio potwierdzenia w firmie, którą przyznałeś upoważnionego agenta na złożenie wniosku.

B. Prawo do rezygnacji ze sprzedaży lub udostępniania

1. Jakie jest prawo do rezygnacji?

Możesz poprosić o to, aby firmy przestały sprzedawać lub udostępniać swoje dane osobowe (“rezygnacja”). Należy zauważyć, że udostępnianie odnosi się konkretnie do udostępniania reklamy behawioralnej między kontekstem, która jest celem reklamy dla konsumenta w oparciu o konsumenta’S Dane osobowe uzyskane od konsumenta’S Aktywność online na wielu stronach internetowych. Z pewnymi wyjątkami firmy nie mogą sprzedawać ani udostępniać twoich danych osobowych po otrzymaniu wniosku o rezygnację, chyba że później zapewnisz autoryzację, pozwalając im to zrobić. Firmy muszą poczekać co najmniej 12 miesięcy, zanim poprosisz o powrót do sprzedaży lub udostępnianie danych osobowych.

2. Czy firmy mogą sprzedać dziecko’s Dane osobowe?

Firmy mogą sprzedać dane osobowe dziecka, o których wie, że mają mniej niż 16 lat, jeśli otrzymają autoryzację (“Opt-in”) do sprzedaży dziecka’s Dane osobowe. Dla dzieci poniżej 13 roku życia ta optina musi pochodzić od dziecka’S Rodzic lub Strażnik. Dla dzieci, które mają co najmniej 13 lat, ale w wieku poniżej 16 lat, opt-in może pochodzić od dziecka.

3. Jak przesłać moją prośbę o rezygnację?

Firmy, które sprzedają dane osobowe, podlegają wymogowi CCPA, aby zapewnić jasne i rzucające się w oczy “Nie sprzedaj ani nie udostępniaj moich danych osobowych” link na ich stronie internetowej, która pozwala na przesłanie żądania rezygnacji. Firmy nie mogą wymagać utworzenia konta w celu złożenia wniosku. Firmy nie powinny również wymagać weryfikacji tożsamości, chociaż mogą zadać podstawowe pytania, aby określić, które dane osobowe są z tobą powiązane.

Możesz także przesłać żądanie rezygnacji za pośrednictwem globalnej kontroli prywatności z obsługą użytkownika, podobnie jak GPC, omówiona w FAQ 8 i 9 poniżej. Jeśli możesz’nie znajdź firmy’S “Nie sprzedaj ani nie udostępniaj moich danych osobowych” link, przejrzyj swoją politykę prywatności, aby sprawdzić, czy sprzedaje lub udostępnia dane osobowe. Jeśli firma to zrobi, musi również zawierać ten link w swojej polityce prywatności.

Jeśli firma’S “Nie sprzedaj moich danych osobowych” Link lub inna wyznaczona metoda składania żądań rezygnacji nie działa ani nie jest trudna do znalezienia, powiadomić firmę na piśmie za pomocą naszego narzędzia prywatności konsumentów (https: // oag.ca.Gov/Consumer-Privacy Tool). Lub możesz zgłosić firmę do naszego biura (https: // oag.ca.Gov/kontakt/konsument-uznanie-kateginst-business-or-company).

4. Jak długo firma musi odpowiedzieć na moje żądanie rezygnacji?

Firmy muszą odpowiedzieć tak szybko, jak możliwe na Twoją żądanie, maksymalnie 15 dni roboczych od daty otrzymania prośby o rezygnację.

5. Dlaczego firma prosi mnie o więcej informacji?

Chociaż firmy nie są zobowiązane do sprawdzenia, czy osoba składająca wniosek o rezygnację jest tak naprawdę konsumentem, dla którego firma ma dane osobowe, może być konieczne poproszenie o dodatkowe informacje, aby upewnić się, że przestaną sprzedawać odpowiednią osobę’s Dane osobowe. Jeśli firma prosi o dane osobowe o weryfikację Twojej tożsamości, może wykorzystać te informacje tylko do tego celu weryfikacji.

6. Dlaczego firma odmówiła mojej prośby o rezygnację?

  • Sprzedaż lub udostępnianie jest niezbędne, aby firma była zgodna z obowiązkami prawnymi, wykonywanie roszczeń prawnych lub praw lub obrony roszczeń prawnych
  • Informacje są publicznie dostępne informacje, niektóre informacje medyczne, informacje o raportach kredytowych konsumenckiej lub inne rodzaje informacji zwolnionych z CCPA.

Jeśli nie wiesz, dlaczego firma odmówiła prośby o rezygnację, śledź firmę, aby zapytać o to z powodów.

7. Dlaczego otrzymałem odpowiedź, że firma jest usługodawcą, który nie musi działać na moje żądanie?

Wiele firm korzysta z innych firm do świadczenia dla nich usług. Na przykład detalista może zawrzeć umowę z procesorem karty płatniczej w celu przetworzenia transakcji karty kredytowej klienta lub firmy wysyłkowej w celu dostarczenia zamówień. Podmioty te mogą się zakwalifikować jako “usługodawcy” pod CCPA.

CCPA traktuje dostawców usług inaczej niż firmy, którym służą. To firma jest odpowiedzialna za odpowiedź na wnioski konsumenckie. Jeśli złożysz wniosek o rezygnację z usługodawcy firmy zamiast samej firmy, usługodawca może odmówić wniosku. Musisz przesłać swoją prośbę do samej firmy.

Jeśli usługodawca powiedział, że nie jest lub nie może działać na twoje żądanie, ponieważ jest to usługodawca, możesz kontynuować zapytanie, kto jest biznesem. Czasami jednak usługodawca nie będzie w stanie dostarczyć tych informacji. Możesz być w stanie ustalić, kto jest oparty na usługach świadczonych przez usługodawcę, chociaż czasami może to być trudne lub niemożliwe.

8. Co to jest GPC?

Firmy, które sprzedają lub udostępniają dane osobowe, muszą zaoferować konsumentom dwie lub więcej metod składania wniosków o rezygnację ze sprzedaży ich danych osobowych. Dla firm, które zbierają dane osobowe od konsumentów online, jedną akceptowalną metodą dla konsumentów w celu rezygnacji ze sprzedaży lub udostępniania jest globalna kontrola prywatności z obsługą użytkownika, taką jak GPC. Opracowany w odpowiedzi na CCPA i w celu zwiększenia praw do prywatności konsumentów, GPC jest ‘Przestań sprzedawać lub udostępniać mój przełącznik danych’ To jest dostępne w niektórych przeglądarkach internetowych, takich jak Mozilla Firefox, Duck Duck Go i Brave, lub jako rozszerzenie przeglądarki. Jest to proponowany standard techniczny, który odzwierciedla to, co rozważały przepisy CCPA-niektórzy konsumenci chcą kompleksowej opcji, która zasadniczo sygnalizuje ich żądanie rezygnacji, w przeciwieństwie do składania żądań na wielu stronach internetowych w różnych przeglądarkach lub urządzeniach. Wychodzenie z sprzedaży lub udostępniania danych osobowych powinno być łatwe dla konsumentów, a GPC jest jedną z opcji dla konsumentów, którzy chcą złożyć wnioski o rezygnację ze sprzedaży lub udostępniania danych osobowych za pośrednictwem globalnej kontroli prywatności przez użytkownika globalnej kontroli prywatności. Zgodnie z prawem musi być uhonorowany przez firmy objęte ubezpieczeniem jako ważny wniosek konsumencki o zatrzymanie sprzedaży lub udostępniania danych osobowych.

9. Jak przesłać moje żądanie rezygnacji za pomocą GPC?

Aby dowiedzieć się więcej o GPC, możesz odwiedzić jej stronę tutaj. Deweloperzy zaczęli wprowadzać innowacje wokół GPC i stworzyli różne mechanizmy dla konsumentów, takie jak EFF’rozszerzenie borsuka prywatności lub Brave Privacy Browser.

Kalifornijska ustawa o prywatności konsumentów i RODO: dwa w rodzaju?

Podczas gdy kurz wejścia w życie Unii Europejskiej’S (UE) Ogólne rozporządzenie w zakresie ochrony danych (RODO) prawie nie rozstrzygnęło, nowe, nieco podobne prawo dotyczące prywatności zostało wprowadzone za granicę. Kalifornijska ustawa o prywatności konsumentów (CCPA), przyjęta 28 czerwca 2018 r., Ustanawia jeden z najbardziej kompleksowych przepisów dotyczących prywatności danych w USA. Jako taki, można to uznać za odpowiednik USA RODO.

Biorąc pod uwagę, że wiele globalnych firm wciąż gorączkowo pracuje nad zgodnością z RODO, słusznie zastanawiają się, czy na całym świecie wdrożenie RODO’Środki ochronne prywatności będą wystarczające do przestrzegania CCPA lub podobnych przepisów na całym świecie.

Nic dziwnego, że odpowiedź na to pytanie brzmi nie. Chociaż CCPA’koncentracja na prawach danych konsumenckich, co zrozumiałe, porównania z RODO, zgodność z tym drugim niekoniecznie oznacza zgodność z pierwszymi. Dlatego, w dalszej części, zostaną przedstawione niektóre kluczowe różnice i podobieństwa między CCPA i RODO, w celu zapewnienia pierwszego spojrzenia na dodatkowe wysiłki, które firmy powinny rozważyć w ramach Ustawy do ustawy’s wejście w życie 1 stycznia 2020 r.

Zastosowanie. Po pierwsze, globalne firmy będą musiały sprawdzić, czy oprócz RODO, CCPA ma do nich zastosowanie. RODO dotyczy przetwarzania danych osobowych przez kontrolerów i procesorów ustanowionych w Unii Europejskiej, a także do tych ustanowionych poza Unii Europejskiej, które przetwarzają dane osobowe przedmiotów w Unii. CCPA jednak reguluje tylko firmy “prowadzenia działalności gospodarczej” w stanie Kalifornia. Jako taki, CCPA nie rozszerza swojego zakresu na firmy “Wszystkie zachowania komercyjne odbywają się poza Kalifornią”. Ponadto CCPA reguluje jedynie przetwarzanie danych osobowych przez podmiot, który decyduje o środkach i celach przetwarzania, tj.mi., A ‘Kontroler danych’ w sensie RODO. Co ważniejsze, firmy, które przetwarzają dane osobowe mieszkańców Kalifornii, nie podlegają nowej ustawie, chyba że spełniają jeden (lub więcej) następujących progów: (i) mają roczne przychody brutto w wysokości 25 mln USD; (ii) otrzymali dane osobowe 50 tysięcy lub więcej mieszkańców Kalifornii, gospodarstw domowych lub urządzeń rocznie; lub (iii) nabyli 50 procent lub więcej rocznych przychodów od sprzedaży mieszkańców Kalifornii’ informacje osobiste.

Koncepcja danych osobowych. Ponadto koncepcja danych osobowych/danych osobowych nie jest zdefiniowana dokładnie w tym samym sposobie na podstawie obu przepisów. Chociaż każdy z nich odnosi się do informacji ‘dotycząca’ Osoba/konsument, CCPA wyraźnie zawiera informacje “które mogą być rozsądnie powiązane z gospodarstwem domowym”. W konsekwencji nie tylko konsument’adres IP, ale także faktury użyteczne kalifornijskiego gospodarstwa domowego, stanowią dane osobowe w ramach CCPA. To powiedziawszy, można argumentować, że RODO domyślnie zawiera te informacje związane z gospodarstwem domowym, ponieważ odnoszą się również do członków gospodarstwa domowego.

Prawa użytkownika. Jeśli chodzi o prawa przyznane konsumentowi, CCPA i RODO wykazują niezwykłe różnice. CCPA, w przeciwieństwie do RODO, nie definiuje żadnych podstaw prawnych do przetwarzania, ani nie wymaga wyraźnej zgody. Jednak ustawa ma na celu zwiększenie Kalifornijczyków’ Prawo do prywatności, dając konsumentom skuteczne sposoby kontrolowania ich danych osobowych. W związku z tym CCPA przywiązuje dużą wagę do prawa konsumentów do wiedzy, które kategorie danych osobowych są na ich temat i zapewniają im szerokie prawo do dostępu do kopii zebranych danych osobowych. Chociaż prawa te mogą wydawać się podobne do tych znalezionych w RODO, CCPA idzie dalej, włączając pewne bardzo nakazowe obowiązki, takie jak obowiązek udostępniania konsumentom numer telefonu bezpłatnego i adresu strony internetowej w celu przesyłania żądań informacji.

Użytek komercyjny. Kolejne kluczowe postanowienie CCPA, które wydaje się przekraczać poziom ochrony przyznanej przez RODO, dotyczy dzielenia danych osobowych do celów komercyjnych. Podczas gdy udostępnianie danych osobowych związanych z mieszkańcami Kaliforni. Aby wzmocnić to prawo, firmy są zobowiązane do podania jasnego linku na swojej stronie głównej zatytułowanej ‘Nie sprzedaj moich danych osobowych’, To pozwala konsumentowi zrezygnować. Ten link musi być również włączony do internetowej Polityki prywatności, wraz z opisem samego właściwego. Biorąc również pod uwagę RODO’bardziej ogólne prawo do ograniczenia lub sprzeciwu wobec przetwarzania danych osobowych, firmy mogą doświadczyć udostępniania danych osobowych, aby stać się coraz trudniejsze.

Równouprawnienie. CCPA stanowi, że Kalifornijczycy mają prawo do równej służby i ceny, nawet jeśli skorzystają z ich praw do prywatności. Oznacza to, że firmom zabrania odmowy towarów lub usług, pobierania różnych cen lub zapewnienia różnych poziomów lub jakości usług tym konsumentom sprawującym swoje prawa do prywatności. Z drugiej strony firmy mogą oferować zachęty finansowe do gromadzenia lub sprzedaży danych osobowych, a nawet odróżnić cenę lub jakość towarów i usług, jeśli różnica ta jest bezpośrednio związana z wartością dostarczoną konsumentowi przez jego dane. Ponieważ te ostatnie wyjątki wydają się połykać zasadę, nadal nie jest pewne, w jaki sposób dozwolone różnice w wycenie będą działać w praktyce. Jednak biorąc pod uwagę, że CCPA jest rozumiana jako praca w toku, oczekuje się, że przepisy te będą przedmiotem przyszłych poprawek.

Niektóre podobieństwa. Oprócz różnic, CCPA i RODO mają wiele wspólnego. Obie przepisy zajmują się tymi samymi szerokimi tematami, takimi jak przejrzystość, a każdy z nich ustanawia podobne prawo do usuwania danych osobowych (‘Prawo do zapomnienia’) a także prawo do przenośności danych.

Ochrona danych. Jeśli chodzi o bezpieczeństwo danych i reakcję na naruszenie danych, CCPA jest zwykle mniej rygorystyczne niż RODPR. Chociaż firmy mają obowiązek wdrażania i utrzymywania uzasadnionych procedur i praktyk bezpieczeństwa odpowiednich do charakteru informacji, nie są one zobowiązane do zgłaszania naruszeń danych. W konsekwencji, jeśli firma będzie zgodna z RODO pod względem zabezpieczania danych, prawdopodobne jest, że nie będzie musiał podjąć żadnych dalszych działań, aby zastosować się do CCPA.

Grzywny i narażenie finansowe. Firmy nie powinny zapominać, że w przypadku niezgodności mogą stawić czoła dodatkowym odszkodowaniu, uzupełniając te dostarczone przez RODO. W CCPA egzekwowanie przepisów spoczywa na prokuratorze generalnym w Kaliforni. Niezamierzone naruszenia, które nie są naprawione w ciągu 30 dni od powiadomienia, mogą wynieść szkody w wysokości do 2500 USD za naruszenie. Tylko w przypadku kradzieży danych lub naruszenia bezpieczeństwa danych sami konsumenci mają prawo do prywatnych działań w sprawie szkód ustawowych od 100 do 750 USD za konsumenta i incydent lub faktyczne szkody, w zależności od tego, co jest większe, a także wszelkie inne ulga, które sąd uzna za właściwe. Oprócz tego raczej ograniczonego prawa konsumenckiego ustawa upoważnia również prokurator generalny do wniesienia postępowania w klasie cywilnej. W połączeniu z grzywną administracyjnymi w wysokości do 20 mln EUR lub 4 procent całkowitego rocznego obrotu na całym świecie (w zależności od tego, co jest wyższe) zapewniane przez RODO, faktyczna kwota należna za naruszenie i/lub naruszenie danych może być zagrożeniem dla wielu firm dla wielu firm.

Wniosek

Oczywiste jest, że niezależnie od jakichkolwiek wcześniejszych wdrożeń RODO, firmy będą musiały poświęcić wiele wysiłku, aby osiągnąć zgodność z prawami i obowiązkami udzielonymi przez Kalifornijską ustawę o prywatności konsumentów. Zasadniczo firmy będą musiały ponownie odwiedzić swoje modele biznesowe dotyczące monetyzacji danych, dostosować swoje polityki prywatności, ulepszyć swoje wewnętrzne systemy i procesy, aby uwzględnić prawa konsumentów i zachować obszerne zapisy dotyczące przetwarzanych danych osobowych.

W przypadku firm działających na całym świecie poruszanie się po przepisach dotyczących ochrony danych może również okazać się trudne. Albo mogą zdecydować o zreformowaniu całej swojej praktyk obsługi danych w celu przestrzegania zarówno CCPA, jak i RODO, albo mogą skonfigurować podejście do ochrony danych, które rozróżnia Kalifornijczyków i innych konsumentów. W każdym razie wskazane jest wezwanie radcy prawnego, który rozumie potrzeby firmy i jest zorientowany w obu przepisach. Tylko wtedy można osiągnąć dobrze rozumianą strategię zgodności.

Geert Somers jest partnerem i Liesa Boghaert, adwokat w Law w czasie.Lex. Z panem Somers można skontaktować się pod numerem +32 (0) 474 89 04 20 lub pocztą elektroniczną: [email protected]. Z pani Boghaert można skontaktować się pod numerem +32 (0) 479 10 36 38 lub pocztą elektroniczną: [email protected].

California Consumer Privacy Act (CCPA) vs. RODO

Przepisy dotyczące prywatności danych szybko stają się głównym elementem każdej rozmowy bezpieczeństwa danych: z UE’S RODO do Kalifornijskiej ustawy o prywatności konsumentów w Japonii’S Ochrona danych osobowych, możliwość ochrony danych konsumenckich jest najważniejsza. W przypadku firm zbudowanych wokół danych konsumenckich zaufanie konsumentów staje się istotną częścią ich modelu biznesowego.

W dniu 25 maja 2018 r. UE Ogólne rozporządzenie w sprawie ochrony danych (RODO) weszło w życie. I po UE’S RODO nastąpiła kolejna zmiana prywatności danych – California Consumer Prywatność (CCPA). 28 czerwca 2018 r. Gubernator Jerry Brown podpisał CCPA, który wprowadzi część kraju’S Ochrona prywatności danych konsumenckich.

Uzyskaj bezpłatny niezbędny przewodnik dla USA Zgodności i przepisów dotyczących ochrony danych

W przypadku niszczycielskiej serii incydentów naruszenia danych w ciągu ostatnich kilku lat, powstało wiele pytań i obaw związanych z sposobem obsługi danych konsumenckich. 2017 był rokiem naruszenia danych z wielkością głośnych incydentów w firmach takich jak Equifax i Yahoo. Ataki takie jak te sprawiają, że naruszenia danych wydają się częścią normalnego życia – nie tylko w Stanach Zjednoczonych, ale na całym świecie.

Podczas gdy RODO powstał w celu ochrony obywateli UE, jego wpływ trwa znacznie dalej. CCPA jest wynikiem RODO’osiąga wpływ, zmieniają priorytety rządowe i zwiększanie ich chęci ochrony indywidualnej prywatności. Chociaż CCPA nie wchodzi w życie dopiero 1 stycznia 2020 r., It’ważne jest, aby pamiętać o zasadach i procesach niezbędnych do zgodności oraz analizy obecnego i przyszłego wpływu, jaki będzie miał w porównaniu z RODO.

Przegląd CCPA

Firmy mają doświadczenie w wykorzystywaniu danych osobowych w celu skorzystania z własnego programu: California Consumer Prywatna Act (CCPA) będzie służył ochronie praw konsumentów w Kaliforni. Zapewni konsumentom własność, kontrolę i bezpieczeństwo ich danych osobowych – a konsumenci będą mogli poprosić o ujawnienie danych osobowych (i usunięcia) danych osobowych, i poprosi o to, aby ich dane nie były sprzedawane stronom trzecim.

Te zabezpieczenia danych dają Kaliforniczom prawo do:

  • Wiedz, jakie dane osobowe są gromadzone
  • Uzyskaj dostęp do gromadzonych danych osobowych i poproś o ich usunięcie
  • Wiedz, czy ich dane osobowe są udostępniane, a jeśli tak, to z kim
  • Zrezygnować ze sprzedaży ich danych osobowych
  • Mieć równą obsługę i cenę, niezależnie od tego, czy zdecydują się na skorzystanie z prawa do prywatności

Firmy nie będą również zabronić sprzedaży danych osobowych konsumentów w wieku 13–16 lat (chyba że konsumenci wybór). W przypadku konsumentów w wieku poniżej 13 lat wymagana będzie zgoda rodzica lub opiekuna. Te nowe zabezpieczenia nie tylko wpływają na konsumentów Kalifornii, ale także firmy z Kalifornii.

Do kogo dotyczy CCPA?

Kalifornijska ustawa o prywatności konsumentów definiuje firmę jako jednostkę nastawioną na zysk, który zbiera dane osobowe konsumentów. Więc jeśli ty’Ponowne działalność w stanie Kalifornia, która spełnia co najmniej jeden z poniższych progów, możesz podlegać zgodności:

  • Firmy, które zarabiają 25 000 000 USD lub więcej dochodów
  • Firmy, które co roku kupują, otrzymują, sprzedają lub udostępniają dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń do celów komercyjnych
  • Biznes, który czerpią 50% lub więcej rocznych przychodów ze sprzedaży danych osobowych konsumentów

Zgodnie z CCPA obywatele Kaliforni. Państwo może również bezpośrednio wprowadzić te opłaty do firmy – obciążając grzywnę w wysokości 7500 USD za wszelkie naruszenia, które nie są poruszone w ciągu 30 dni.

dane w biznesie

Dlaczego Kalifornia’S NOWOŚĆ MASTALNOŚCI DLA WSZYSTKICH? To’jest częścią globalnego trendu, która popycha firmy w kierunku większej odpowiedzialności w odniesieniu do ochrony danych konsumenckich. Ponadto dał innym krajom i stwierdza, że ​​ważne jest, aby poważniej traktować dane osobowe i prawa konsumenckie do prywatności danych. Główny zwolennik CCPA Alastair Mactaggart stwierdził, że, “Chociaż to prawo obejmuje obecnie Kalifornię, duże firmy wkrótce będą musiały zaoferować podobne prawa do Amerykanów.”

CCPA vs. RODO

Europejskie ogólne rozporządzenie o ochronie danych jest ewolucją UE’S Istniejące reguły danych, dyrektywa w zakresie ochrony danych (DPD). Zajmuje się wieloma niedociągnięciami w DPD, w tym dodawanie wymagań dotyczących dokumentowania procedur IT, przeprowadzania ocen ryzyka w określonych warunkach, powiadamiania konsumentów i organów, gdy istnieje naruszenie, oraz wzmacniające zasady minimalizacji danych. Osoby zaznajomione z RODO zauważą silne podobieństwa do CCPA.

Mówi się, że CCPA jest modelem RODO. A wraz z niedawnym fragmentem CCPA wiele osób zastanawia się, w jaki sposób porównuje się do RODO – niektórzy nazywają to nawet amerykańską wersją regulacji. Bez względu na to, jak RODO może mieć wpływ na CCPA, istnieją pewne wyraźne różnice, które warto zwrócić uwagę.

Zarówno CCPA, jak i RODO dają osobom pewne prawa do sposobu gromadzenia i wykorzystywania ich danych osobowych, jednak należy jednak wiedzieć kilka ważnych kontrastów. Ponieważ Kalifornia ma znacznie większą gospodarkę niż Wielka Brytania, konsekwencje kar mogą być jeszcze poważniejsze niż w przypadku RODO. Mimo że CCPA nie wchodzi w życie dopiero w 2020 roku, my’już widzi, że wpływa to na przepisy federalne.

Sprawdź nasz interaktywny schemat Venna poniżej, aby lepiej zrozumieć podobieństwa i różnice między RODO i CCPA.

California Consumer Privacy Act (CCPA): Co musisz wiedzieć, aby być zgodnym

Pod koniec czerwca 2018 r. Kalifornia minęła AB 375, ustawę o prywatności konsumentów, która może mieć więcej reperkusji na U.S. firmy niż Unia Europejska’S Ogólne rozporządzenie dotyczące ochrony danych (RODO), które weszły w życie w maju 2018 r. Prawo w Kalifornii nie ma jednych z najbardziej uciążliwych wymagań RODO, takich jak wąskie 72-godzinne okno, w którym firma musi zgłosić naruszenie. Pod innymi względami jednak idzie jeszcze dalej.

CCPA ma szerszy widok niż RODO tego, co stanowi prywatne dane. Wyzwanie dla bezpieczeństwa jest zatem zlokalizowanie i zabezpieczenie tych prywatnych danych.

Co to jest CCPA?

California Consumer Privacy Act (CCPA) to prawo, które pozwala każdemu konsumentowi z Kalifornii na zapotrzebowanie na wszystkie informacje, które spółka zaoszczędziła, a także pełną listę wszystkich stron trzecich, z którymi dane są udostępniane. Ponadto prawo Kalifornii zezwala konsumentom pozwać firmy, jeśli wytyczne dotyczące prywatności zostaną naruszone, nawet jeśli nie ma naruszenia.

Które firmy mają wpływ na CCPA?

Wszystkie firmy, które obsługują mieszkańców Kalifornii i mają co najmniej 25 milionów dolarów rocznych przychodów, muszą być zgodne z prawem. Ponadto firmy o dowolnej wielkości, które mają dane osobowe na temat co najmniej 50 000 osób lub które zbierają ponad połowę swoich przychodów ze sprzedaży danych osobowych, również podlegają prawa. Firmy nie muszą mieć siedziby w Kalifornii ani obecności fizycznej, aby podlegać prawu. Nie muszą nawet mieszkać w Stanach Zjednoczonych.

Poprawka dokonana w kwietniu zwolnia “instytucje ubezpieczeniowe, agenci i organizacje wsparcia” ponieważ podlegają one już podobnym przepisom w Kalifornii’S Informacje o ubezpieczeniu i ochronie prywatności (IIPPA).

Kiedy moja firma musi przestrzegać CCPA?

Prawo weszło w życie 1 stycznia 2020 r., Ale egzekwowanie rozpoczęło się 1 lipca.

Co się stanie, jeśli moja firma nie jest zgodna z CCPA?

Firmy mają 30 dni na przestrzeganie prawa, gdy organy regulacyjne powiadomią ich o naruszeniu. Jeśli problem nie zostanie rozwiązany, grzywna w wysokości do 7500 USD za rekord. „Jeśli myślisz o tym, ile rekordów ma wpływ na naruszenie, naprawdę wzrasta bardzo szybko”, mówi Debra Farber, starszy dyrektor ds. Strategii prywatności w Bigid. Odkąd ustawa została zebrana i przekazana w ciągu zaledwie tygodnia, prawdopodobnie zobaczy niektóre poprawki, dodaje. „Rzeczy takie jak dobre kwoty mogą się zmienić.”

Farber mówi, że istnieje również inne potencjalne ryzyko finansowe. „Rachunek przewiduje prawo jednostki do pozwania, po raz pierwszy” – mówi. „I pozwala na pozwy zbiorowe w sprawie odszkodowania.”

Ponownie, istnieje 30-dniowe okno, które zaczyna się, gdy konsumenci powiadomili firmę, która według nich została naruszona. „Jeśli nie zostanie wyleczony, a prokurator generalny odmawia ścigania, mogą przynieść pozew zbiorowy” – mówi Farber. „I nie chodzi tylko o naruszenia.”

Na przykład prawo określa, że ​​firmy muszą mieć wyraźnie widoczną stopkę na stronach internetowych, oferując konsumentom opcję rezygnacji z udostępniania danych. Jeśli brakuje tej stopki, konsumenci mogą pozwać. Mogą również pozwać, jeśli nie mogą dowiedzieć się, w jaki sposób ich informacje zostały zebrane lub uzyskać kopie tych informacji. “Może być wokół wszystkiego – mówi Farber.

Prawo przypisuje konkretne kary, powinno nastąpić nieautoryzowany dostęp, czy to poprzez naruszenie, exfiltracja, kradzież lub “ujawnienie w wyniku firmy’ naruszenie obowiązku wdrażania i utrzymywania rozsądnych procedur i praktyk bezpieczeństwa,” Jak obecnie napisano, AB 375 zezwala na karę od 100 do 750 USD za konsumenta za incydent lub faktyczne szkody, w zależności od tego, w zależności.

„Dodaj wszystkie inne koszty związane z naruszeniem – reakcja IT, kryminalistyka i odzyskiwanie, prawne, powiadomienie itd. – i może to popchnąć naruszenie do sfer egzystencjalnych dla wielu firm”, mówi Chris Prevost, szef architektury rozwiązań bezpieczeństwa wykonawczego w Imperva.

Ogólnie rzecz biorąc, jeśli firma podjęła kroki potrzebne do przestrzegania RODO, to jest to najwięcej dla Kalifornijskiej ustawy o prywatności konsumenckiej. Przynajmniej jest bliżej niż w przypadku RODO, mówi Eric Dieterich, lider praktyki prywatności danych w Focal Point Data Risk, LLC. „Niektóre międzynarodowe korporacje wprowadziły zmiany na swoich rynkach europejskich, ale może nie wydostał się z tobą.S.-Działania oparte na tym, więc może nastąpić zmiana ” – mówi.

Jakie dane obejmuje CCPA?

Prawo Kalifornii stosuje szersze podejście do tego, co stanowi poufne dane niż RODO. Na przykład omówiono informacje węchowe, a także przeglądanie historii i zapisów interakcji odwiedzających ze stroną internetową lub aplikacją. Tutaj’S co uważa AB 375 “informacje osobiste”:

  • Identyfikatory, takie jak prawdziwa nazwa, alias, adres pocztowy, unikalny osobisty identyfikator, adres IP identyfikatora online, adres e -mail, nazwa konta, numer ubezpieczenia społecznego, sterownik’S Numer licencji, numer paszportu lub inne podobne identyfikatory
  • Charakterystyka chronionych klasyfikacji zgodnie z prawem Kalifornii lub Federalnym
  • Informacje handlowe, w tym zapisy dotyczące własności osobistej, produktów lub usług zakupionych, uzyskanych lub rozważanych lub innych historii lub tendencji konsumpcyjnych
  • Informacje biometryczne
  • Internet lub inne elektroniczne informacje o działalności sieciowej, w tym między innymi przeglądanie historii, historii wyszukiwania i informacji dotyczących konsumenta’S interakcja z witryną, aplikacją lub reklamą
  • Dane geolokalizacji
  • Informacje audio, elektroniczne, wzrokowe, termiczne, węchowe lub podobne
  • Informacje zawodowe lub związane z zatrudnieniem
  • Informacje o edukacji, zdefiniowane jako informacje, które nie są publicznie dostępne osobowe informacje (PII) zgodnie z definicją w ustawie o prawach edukacyjnych i prywatności rodzinnej (20 u (20 U.S.C. Sekcja 1232G, 34 c.F.R. Część 99)
  • Wnioski wyciągnięte z dowolnej informacji zidentyfikowanej w tym podziale w celu utworzenia profilu o konsumenta odzwierciedlającym konsumenta’Preferencje S, cechy, trendy psychologiczne, preferencje, predyspozycje, zachowanie, postawy, inteligencja, umiejętności i zdolności

Poprawka, AB 874, oczekująca obecnie podpis gubernatora zwolniłaby publicznie dostępne, odważone i agregowane informacje konsumenckie z klasyfikacji jako PII. Dostępne informacje publicznie są definiowane jako dostępne dane i utrzymywane z dokumentacji rządowej.

CCPA pierwotnie objęło dane pracownika, a także dane konsumenckie. Poprawka uchwalona w kwietniu jednak zwalnia dane pracowników z rozporządzenia. Kolejna poprawka, AB 25, częściowo zwalnia dane osobowe zebrane od osób ubiegających się o pracę, właścicieli, dyrektorów, funkcjonariuszy, personelu medycznego i wykonawców. To zwolnienie wygasa 1 stycznia 2021. AB 25 czekał na podpis gubernatora w tym piśmie.

Jakie są kluczowe przepisy dotyczące prywatności w CCPA?

Firmy muszą zezwolić konsumentom na nie udostępniać swoich danych stronom trzecim. Oznacza to, że firmy będą musiały być w stanie oddzielić zbierane dane zgodnie z wyborami prywatności użytkowników.

Ponadto, chociaż firma nie może odmówić użytkownikom równej usługi, może oferować zachęty użytkownikom, którzy dostarczają dane osobowe. „Ten przepis może ulec zmianie, ale jak wspomniano dzisiaj, daje możliwość oferowania rabatów osobom, które są gotowe udostępnić lub sprzedać swoje dane osobom trzecim”, mówi Dieterich. „Tradycyjnie systemy nie są zaprojektowane, aby Twoja struktura cenowa mogła się zmienić w zależności od wyborów dotyczących prywatności. To nowa koncepcja, która ma bardzo techniczne implikacje.”

Inną ważną różnicą w stosunku do RODO jest to, że prawo Kalifornii umożliwia klientom znacznie większy dostęp do swoich dokumentacji, mówi Subra Ramesh, SVP produktów w DataGuise. Kalifornijski konsument ma prawo dowiedzieć się, jakie informacje gromadzi o nich firma. Większość firm będzie miała problemy ze zebraniem tych informacji. „Po pierwsze, ilość gromadzonych danych jest już ogromna i nadal rośnie, często w setkach do tysięcy terabajtów, a organizacje na poziomie przedsiębiorstw przetwarzają petabajty danych”, mówi.

Te dane są zawarte na wielu platformach pamięci, w różnych czasach plików. „Większość narzędzi do wyszukiwania plików nie ma możliwości wyszukiwania współczesnych ekosystemów repozytorium plików,” mówi Aaron Ganek, CEO Cloudtenna. “Management File Cross-Silo jest głównym wyzwaniem. Trudno jest zrozumieć kontekst dla każdego pliku, jeśli są one rozproszone w różnych repozytoriach.„Ponadto problemy związane z zgodnością ze łączeniem danych, mówi. „Legacy Enterprise Tools walczą o obserwowanie różnych modeli uprawnień i bezpieczeństwa, naruszając same przepisy i przepisy’reżyserować do satysfakcji.”

Potem jest limit czasu. „Po żądaniu dostępu firma ma 45 dni na dostarczenie im kompleksowego raportu o rodzaju informacji, które mają, zostały sprzedane, a do kogo, a jeśli zostało sprzedane stronom trzecim w ciągu ostatnich 12 miesięcy, musi podawać nazwiska i adresy stron trzecich, do których dane są sprzedawane”, mówi John Tsopanis, kierownik ds. Produkowania prywatności w 1 Touch.io. „Nie możesz tego zrobić w Europie.”

Ponieważ reguła obejmuje poprzednie 12 miesięcy rekordów, firmy muszą zacząć przestrzegać sześciu miesięcy, mówi. Następnie, 1 stycznia 2020 r., Każda firma musi ujawnić każdą inną firmę, do której sprzedają dane. „Na zawsze zmieni krajobraz prywatności w Ameryce” – mówi Tsopanis.

Co CCPA oznacza dla bezpieczeństwa?

AB 375 jest lekki na wymagania dotyczące bezpieczeństwa i reakcji naruszenia w porównaniu z RODO. Jak wspomniano wcześniej, prawo określa kary dla firm, które ujawniają dane konsumenckie z powodu naruszenia lub zabezpieczenia. Pozwala także zaoferować sądom “Ulga w sprawie nakazu lub deklaratywnej,” Lub “Wszelkie inne ulga, które sąd uzna za właściwe.”

Firmy nie są zobowiązane do zgłaszania naruszeń w ramach AB 375, a konsumenci muszą składać skargi, zanim będą możliwe grzywny. Najlepszym sposobem działania na bezpieczeństwo jest zatem wiedzieć, jakie dane AB 375 określają jako dane prywatne i podjęcie kroków w celu ich wycofania. Ponownie każda organizacja, która jest zgodna z RODO, prawdopodobnie nie musi podejmować dalszych działań w celu przestrzegania AB 375 pod względem zabezpieczania danych.

Wymagania AB 375 dotyczące śledzenia, dostępu i przechowywania danych oznaczają, że zespoły bezpieczeństwa będą musiały ściśle współpracować z administratorami bazy danych, mówi Terry Ray, starszy wiceprezes i członek Imperva, dostawcy cyberbezpieczeństwa. Wszelkie narzędzia wybrane, aby pomóc w radzeniu sobie z AB 375, będą musiały nie tylko mieć pełną widoczność danych przechowywanych w całym heterogenicznym środowisku korporacyjnym, ale także zapewnić, że dostęp do tych danych jest odpowiednio zabezpieczony. „Na koniec będą potrzebować tych narzędzi do współpracy z nowym portalem konsumenckim, udostępniając określone dane konsumenckie z weryfikowalnym konsumentem, który o to żąda” – mówi.

Jeśli dane są przechowywane z dostawcami chmury, problem się pogarsza. Na przykład pracownicy mogą założyć konto udostępniania plików, aby śledzić kontakty marketingowe lub sprzedażowe. “To’Nic dziwnego, że duże firmy technologiczne, takie jak Google i Facebook, sprzeciwiły się ustawie ” – mówi Kevin Bocek, wiceprezes ds. Strategii bezpieczeństwa i wywiadu zagrożenia w Venafi. „Kontrolowanie prywatności i danych osobowych, które przepływają między maszynami, jest niezwykle trudne, a poważne wyzwanie dla wszystkich firm.”

Praca w toku

Ustawa została złożona w ciągu zaledwie siedmiu dni, ponieważ ustawodawcy chcieli uniknąć inicjatywy do głosowania w celu uchwalenia nawet surowszego prawa, którym sprzeciwiło się wiele firm technologicznych. „W tej chwili wiele postanowień i definicji jest ze sobą sprzecznych” – mówi Andy Dale, doradca generalny i wiceprezes ds. Globalnej prywatności podczas sesji.

Jednym problematycznym obszarem jest to, czy firma może obciążać konsumentów różne ceny na podstawie ich ustawień prywatności. Na przykład wiele firm ma opcję, w której konsument może zaktualizować do płatnego poziomu, w którym nie widzi żadnych reklam. Tutaj prawo jako aktualnie napisane jest nieco sprzeczne.

„Jeśli konsument wykonuje swoje prawa na mocy rozporządzenia, firmy nie mogą zapewnić konsumentowi innego poziomu lub jakości produktu, towarów lub usług”, mówi Pravin Kothari, CEO Ciphercloud. „Po drugiej stronie monety, zgodnie z rozporządzeniem, przedsiębiorstwom nie zabrania się pobierania konsumenta innej ceny lub stawki lub zapewnienia konsumentowi innego poziomu lub jakości towarów lub usług’S dane.”

Wygląda na to, że Kalifornia próbuje zdefiniować ramy, w których konsumenci mogą otrzymać zapłatę za udostępnienie swoich danych, mówi Kothari. „W tym obszarze ustawodawstwo jest nieco wizjonerskie” – mówi. „W praktyce zobaczymy, jak to się sprawdzi.”

Więcej o CCPA:

  • 9 pytań CCPA Każde ciso powinno być przygotowane do odpowiedzi
  • CCPA to okazja do uporządkowania domu bezpieczeństwa danych
  • Jakie jest „rozsądne bezpieczeństwo”? I jak spełnić ten wymóg
  • Poważnie podchodzą do ochrony danych konsumentów
  • W jaki sposób obywatele własności danych wpływa na biznes w przyszłości
  • 10 najpotężniejszych firm cyberbezpieczeństwa
  • 7 Hot Cyberbezpieczeństwo (i 2 zimne)
  • Apache Log4J luki: harmonogram
  • Korzystanie z ram NIST Cyberbezpieczeństwo w celu rozwiązania ryzyka organizacyjnego
  • 11 Narzędzia do testowania penetracji, których używają profesjonaliści