Что дальше для конфиденциальности? Часто задаваемые вопросы о GDPR и CCPA
Опубликовано: 2020-01-29Вступивший в силу 1 января 2020 года Калифорнийский закон о конфиденциальности потребителей (CCPA) считается одним из самых обширных законов о конфиденциальности в Соединенных Штатах на сегодняшний день. CCPA накладывает ограничения на сбор и продажу личной информации клиента, а также обеспечивает определенную правовую защиту, когда речь идет о той же самой личной информации. Но CCPA — это не просто американская версия Общего регламента ЕС по защите данных (GDPR). Хотя вам не придется начинать все сначала, если вы готовы к GDPR, это не означает, что вы полностью защищены CCPA.
В этом блоге мы расскажем об основах CCPA, о том, как он сравнивается с GDPR, и о некоторых часто задаваемых вопросах, возникших по каждому из них, и об их реализации в компаниях США, работающих внутри страны и за рубежом.
На кого распространяется действие CCPA?
CCPA применяется к любому бизнесу, который удовлетворяет одному или нескольким из следующих условий:
- Занимается бизнесом в штате Калифорния
- И удовлетворяет одному из следующих критериев:
- Годовой валовой доход превышает 25 миллионов долларов США;
- По отдельности или в сочетании ежегодно покупает, получает для коммерческих целей, продает или передает в коммерческих целях, по отдельности или в сочетании, личную информацию не менее 50 000 потребителей, домохозяйств или устройств; или же
- Получает не менее 50 процентов своего годового дохода от продажи личной информации потребителей.
Самые большие различия между GDPR и CCPA заключаются в сфере применения, степени ограничения сбора и правилах, касающихся ответственности за нарушения и оспаривания несоблюдения. На этой диаграмме вы увидите некоторые тонкие, но важные различия между GDPR и CCPA.
GDPR | CCPA | |
Сфера | Защищает резидентов ЕС от компаний, расположенных внутри или за пределами ЕС. Охватывает обработку, сбор и применение персональных данных. | Защищает жителей Центральной Азии и применяется к компаниям с доходом> 25 миллионов долларов США, получает 50% дохода от личной информации клиента или обрабатывает информацию о> 50 000 жителей. Охватывает сбор, обработку и продажу Персональной информации. |
Персональные данные/информация | Определяется как любая информация, относящаяся к лицу, включая общедоступные данные. | Определяется как информация, которая относится, описывает или может быть связана прямо или косвенно с человеком или домохозяйством. |
Права на доступ/раскрытие | Требует от компаний информировать клиентов о правах в момент сбора. | Требует от компаний информировать клиентов в момент сбора или до него о категориях личной информации, подлежащей сбору, и целях сбора. |
Уклоняться | Клиенты могут запросить ограничение любого типа персональных данных. | Предприятия должны предоставить уведомление о правах на отказ и предоставить потребителям право отказаться от продажи PI, но не от их сбора. Они должны предоставить ссылку «Не продавать мою личную информацию» на своей домашней странице. |
Оценка воздействия на защиту данных (DPIA) | Требуется DPIA для любой обработки, которая может поставить под угрозу права субъекта на данные. | DPIA не требуется, но ответственность за внедрение и поддержание мер безопасности, необходимых для защиты информации клиента, лежит на бизнесе. |
Часто задаваемые вопросы
Относится ли это к предприятиям, расположенным за пределами Калифорнии?
Чтобы подпадать под действие CCPA, компании необязательно находиться в штате Калифорния. Это означает любой бизнес, который «ведет бизнес» через онлайн-транзакции с жителями Калифорнии или имеет сотрудников, проживающих в штате.
Могут ли компании быть оштрафованы за несоблюдение требований?
Частное право действовать в соответствии с CCPA ограничено утечкой данных. В соответствии с частным правом на иск ущерб может составить от 100 до 750 долларов за инцидент на одного потребителя. Калифорнийская AG также может обеспечить соблюдение CCPA в полном объеме с возможностью наложения административного штрафа в размере не более 2500 долларов США за нарушение или 7500 долларов США за преднамеренное нарушение.
Я не думаю, что мы действительно собираем личную информацию. Применяется ли CCPA?
CCPA имеет чрезвычайно широкое описание того, что составляет личную информацию. Если вы собираете резюме для объявлений о вакансиях, ваш веб-сайт отслеживает файлы cookie или, если на вашем веб-сайте есть форма «Свяжитесь с нами», вы собираете личную информацию.
Есть ли исключения для предприятий B2B?
Вроде, как бы, что-то вроде. Компаниям B2B предоставляется ограниченная отсрочка от соблюдения каждого из требований CCPA, когда речь идет о транзакциях и общении с другими организациями, компаниями и государственными учреждениями. Личная информация, которая собирается в ходе коммуникаций или транзакций B2B от сотрудника, владельца, директора, должностного лица или подрядчика предприятия или государственного учреждения, освобождается от большинства требований CCPA. Но срок действия этого исключения истекает в конце 2020 года. Даже если ваша B2B-компания не продает бизнес-контактную информацию, вам все равно необходимо определить, в какой степени информация, которую вы собираете в маркетинговых целях, должна соответствовать CCPA.
Как прикрыть свои базы?
CCPA требует от компаний вести подробные записи всех категорий личной информации, начиная с 1 января 2019 года. Вам следует начать инвентаризацию всех данных, которые вы собрали с этой даты. Вам также потребуется обновить свои уведомления о конфиденциальности и добавить ссылку «Не продавать мою личную информацию» на свою домашнюю страницу.
Дополнительные ресурсы для владельцев бизнеса
Magento также предоставляет отличное, более подробное руководство по обеспечению соответствия вашего сайта требованиям GDPR и CCPA. Он доступен здесь.
Для еще более подробного обзора закона CCPA, пожалуйста, обратитесь к этой замечательной статье из National Law Review .
Хотя CCPA имеет некоторые ограничения, которые в настоящее время ограничивают его действие штатом Калифорния, нет никаких сомнений в том, что он будет иметь резонанс в США и во всем мире. Калифорния, в конце концов, пятая по величине экономика в мире. В отношении чего-то столь же сложного, как этот новый закон, и такого важного, как ваш бизнес, мы рекомендуем вам проконсультироваться со своим адвокатом, чтобы убедиться, что CCPA применяется к вашему бизнесу, прежде чем предпринимать действия по соблюдению требований.
Связаться
Свяжитесь с одним из наших экспертов сегодня, чтобы обсудить ваши потребности в электронной коммерции!
Свяжитесь с нами