Co dalej z prywatnością? Często zadawane pytania dotyczące RODO i CCPA

Opublikowany: 2020-01-29

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA), która weszła w życie 1 stycznia 2020 r., jest powszechnie uważana za jedno z najbardziej rozbudowanych przepisów dotyczących prywatności w Stanach Zjednoczonych. CCPA nakłada ograniczenia na gromadzenie i sprzedaż danych osobowych klientów, zapewniając jednocześnie pewne zabezpieczenia prawne, jeśli chodzi o te same dane osobowe. Ale CCPA to nie tylko amerykańska wersja unijnego ogólnego rozporządzenia o ochronie danych (RODO). Chociaż nie będziesz musiał zaczynać wszystkiego od nowa, jeśli jesteś przygotowany na RODO, nie oznacza to, że masz wszystkie podstawy objęte CCPA.

Na tym blogu omówimy podstawy CCPA, porównamy je z RODO oraz niektóre często zadawane pytania, które pojawiły się wokół każdego z nich i ich wdrożenia w amerykańskich firmach działających w kraju i za granicą.

Kogo dotyczy CCPA?

CCPA ma zastosowanie do każdej firmy, która spełnia jeden lub więcej z następujących warunków:

  1. Prowadzi interesy w stanie Kalifornia
  2. I spełnia jedno z następujących kryteriów:
    • Roczne przychody brutto przekraczające 25 milionów USD;
    • Samodzielnie lub w połączeniu, co roku kupuje, otrzymuje w celach komercyjnych firmy, sprzedaje lub udostępnia w celach komercyjnych, samodzielnie lub w połączeniu, dane osobowe co najmniej 50 000 konsumentów, gospodarstw domowych lub urządzeń; lub
    • Pozyskuje co najmniej 50 procent swoich rocznych przychodów ze sprzedaży danych osobowych konsumentów.

Największe różnice między RODO a CCPA dotyczą zakresu stosowania, zakresu ograniczeń w zakresie zbierania danych oraz zasad dotyczących odpowiedzialności za naruszenia i kwestionowania niezgodności. Na tym wykresie zobaczysz niektóre subtelne, ale ważne różnice między RODO a CCPA.

RODO CCPA
Zakres

Chroni mieszkańców UE przed firmami zlokalizowanymi w UE lub poza nią.

Obejmuje przetwarzanie, gromadzenie i wykorzystywanie danych osobowych.

Chroni mieszkańców Kalifornii i dotyczy firm o przychodach > 25 mln USD, czerpie 50% przychodów z danych osobowych klientów lub przetwarza informacje o > 50 000 mieszkańców

Obejmuje gromadzenie, przetwarzanie i sprzedaż danych osobowych.

Dane osobowe/Informacje Zdefiniowane jako wszelkie informacje dotyczące osoby, w tym dane dostępne publicznie. Zdefiniowane jako informacje, które odnoszą się, opisują lub mogą być bezpośrednio lub pośrednio powiązane z osobą lub gospodarstwem domowym.
Prawa dostępu/ujawnienia Wymaga od firm informowania klientów o prawach w punkcie odbioru. Wymaga od firm informowania klientów w punkcie zbierania danych lub przed nim o kategoriach danych osobowych, które mają być gromadzone, oraz o celach ich gromadzenia.
Zrezygnuj Klienci mogą zażądać ograniczenia dowolnego rodzaju danych osobowych. Firmy muszą powiadomić o prawach rezygnacji i zapewnić konsumentom prawo do rezygnacji ze sprzedaży danych osobowych, ale nie z ich zbierania. Muszą umieścić link „Nie sprzedawaj moich danych osobowych” na swojej stronie głównej.
Ocena skutków dla ochrony danych (DPIA) Wymaga DPIA dla każdego przetwarzania, które może zagrozić prawom podmiotu do danych. Nie jest wymagana żadna DPIA, ale obowiązkiem firmy jest wdrożenie i utrzymywanie środków bezpieczeństwa odpowiednich do ochrony informacji klienta.

Często Zadawane Pytania

Czy dotyczy to firm spoza Kalifornii?

Firma nie musi znajdować się w stanie Kalifornia, aby podlegać CCPA. Oznacza to każdą firmę, która „prowadzi interesy” za pośrednictwem transakcji online z mieszkańcami Kalifornii lub zatrudnia pracowników mieszkających w tym stanie.

Czy firmy mogą zostać ukarane grzywną za nieprzestrzeganie przepisów?

Prywatne prawo do działania w CCPA jest ograniczone do naruszeń danych. W ramach prywatnego prawa do powództwa odszkodowanie może wynieść od 100 do 750 USD na zdarzenie na konsumenta. California AG może również egzekwować CCPA w całości z możliwością nałożenia kary cywilnej nieprzekraczającej 2500 USD za naruszenie lub 7500 USD za umyślne naruszenie.

Nie wydaje mi się, byśmy naprawdę gromadzili dane osobowe. Czy CCPA ma zastosowanie?

CCPA zawiera niezwykle szeroki opis tego, co stanowi dane osobowe. Jeśli zbierasz CV do ogłoszeń o pracę, Twoja witryna śledzi pliki cookie lub jeśli masz na swojej stronie formularz „Kontakt”, gromadzisz dane osobowe.

Czy istnieje zwolnienie dla firm B2B?

Raczej. Firmy B2B otrzymują ograniczone zwolnienie z przestrzegania każdego z wymogów CCPA, jeśli chodzi o transakcje i komunikację z innymi organizacjami, firmami i agencjami rządowymi. Dane osobowe gromadzone w trakcie komunikacji lub transakcji B2B od lub na temat pracownika, właściciela, dyrektora, urzędnika lub wykonawcy agencji biznesowej lub rządowej są zwolnione z większości wymogów CCPA. Ale to zwolnienie wygaśnie z końcem 2020 roku. Nawet jeśli Twoja firma B2B nie sprzedaje biznesowych informacji kontaktowych, nadal musisz określić, w jakim zakresie informacje, które gromadzisz w celach marketingowych, muszą być zgodne z CCPA.

Jak zakryć swoje bazy?

CCPA wymaga, aby firmy prowadziły szczegółowe rejestry wszystkich kategorii danych osobowych od 1 stycznia 2019 r. Powinieneś zacząć inwentaryzować wszystkie dane, które zebrałeś od tej daty. Będziesz także musiał zaktualizować swoje informacje o ochronie prywatności i dodać łącze „Nie sprzedawaj moich danych osobowych” na swojej stronie głównej.

Dodatkowe zasoby dla właścicieli firm

Magento zapewnia również doskonały, bardziej szczegółowy przewodnik, aby upewnić się, że Twoja witryna jest zgodna z RODO i CCPA. Jest dostępny tutaj.

Aby uzyskać jeszcze bardziej dogłębny przegląd prawa CCPA, zapoznaj się z tym wspaniałym artykułem z National Law Review .

Chociaż CCPA ma pewne ograniczenia, które obecnie ograniczają ją do stanu Kalifornia, nie ma wątpliwości, że odbije się to echem w Stanach Zjednoczonych i na świecie. Kalifornia jest w końcu piątą co do wielkości gospodarką na świecie. W przypadku czegoś tak skomplikowanego jak to nowe prawo i tak ważnego jak Twoja firma zalecamy skonsultowanie się z prawnikiem w celu potwierdzenia, czy CCPA ma zastosowanie do Twojej firmy przed podjęciem działań w zakresie zgodności.

Bądź w kontakcie

Skontaktuj się z jednym z naszych ekspertów już dziś, aby omówić swoje potrzeby w zakresie handlu elektronicznego!

Skontaktuj się z nami