Что дальше для конфиденциальности? Часто задаваемые вопросы о GDPR и CCPA

Опубликовано: 2020-01-29

Вступивший в силу 1 января 2020 года Калифорнийский закон о конфиденциальности потребителей (CCPA) считается одним из самых обширных законов о конфиденциальности в Соединенных Штатах на сегодняшний день. CCPA накладывает ограничения на сбор и продажу личной информации клиента, а также обеспечивает определенную правовую защиту, когда речь идет о той же самой личной информации. Но CCPA — это не просто американская версия Общего регламента ЕС по защите данных (GDPR). Хотя вам не придется начинать все сначала, если вы готовы к GDPR, это не означает, что вы полностью защищены CCPA.

В этом блоге мы расскажем об основах CCPA, о том, как он сравнивается с GDPR, и о некоторых часто задаваемых вопросах, возникших по каждому из них, и об их реализации в компаниях США, работающих внутри страны и за рубежом.

На кого распространяется действие CCPA?

CCPA применяется к любому бизнесу, который удовлетворяет одному или нескольким из следующих условий:

  1. Занимается бизнесом в штате Калифорния
  2. И удовлетворяет одному из следующих критериев:
    • Годовой валовой доход превышает 25 миллионов долларов США;
    • По отдельности или в сочетании ежегодно покупает, получает для коммерческих целей, продает или передает в коммерческих целях, по отдельности или в сочетании, личную информацию не менее 50 000 потребителей, домохозяйств или устройств; или же
    • Получает не менее 50 процентов своего годового дохода от продажи личной информации потребителей.

Самые большие различия между GDPR и CCPA заключаются в сфере применения, степени ограничения сбора и правилах, касающихся ответственности за нарушения и оспаривания несоблюдения. На этой диаграмме вы увидите некоторые тонкие, но важные различия между GDPR и CCPA.

GDPR CCPA
Сфера

Защищает резидентов ЕС от компаний, расположенных внутри или за пределами ЕС.

Охватывает обработку, сбор и применение персональных данных.

Защищает жителей Центральной Азии и применяется к компаниям с доходом> 25 миллионов долларов США, получает 50% дохода от личной информации клиента или обрабатывает информацию о> 50 000 жителей.

Охватывает сбор, обработку и продажу Персональной информации.

Персональные данные/информация Определяется как любая информация, относящаяся к лицу, включая общедоступные данные. Определяется как информация, которая относится, описывает или может быть связана прямо или косвенно с человеком или домохозяйством.
Права на доступ/раскрытие Требует от компаний информировать клиентов о правах в момент сбора. Требует от компаний информировать клиентов в момент сбора или до него о категориях личной информации, подлежащей сбору, и целях сбора.
Уклоняться Клиенты могут запросить ограничение любого типа персональных данных. Предприятия должны предоставить уведомление о правах на отказ и предоставить потребителям право отказаться от продажи PI, но не от их сбора. Они должны предоставить ссылку «Не продавать мою личную информацию» на своей домашней странице.
Оценка воздействия на защиту данных (DPIA) Требуется DPIA для любой обработки, которая может поставить под угрозу права субъекта на данные. DPIA не требуется, но ответственность за внедрение и поддержание мер безопасности, необходимых для защиты информации клиента, лежит на бизнесе.

Часто задаваемые вопросы

Относится ли это к предприятиям, расположенным за пределами Калифорнии?

Чтобы подпадать под действие CCPA, компании необязательно находиться в штате Калифорния. Это означает любой бизнес, который «ведет бизнес» через онлайн-транзакции с жителями Калифорнии или имеет сотрудников, проживающих в штате.

Могут ли компании быть оштрафованы за несоблюдение требований?

Частное право действовать в соответствии с CCPA ограничено утечкой данных. В соответствии с частным правом на иск ущерб может составить от 100 до 750 долларов за инцидент на одного потребителя. Калифорнийская AG также может обеспечить соблюдение CCPA в полном объеме с возможностью наложения административного штрафа в размере не более 2500 долларов США за нарушение или 7500 долларов США за преднамеренное нарушение.

Я не думаю, что мы действительно собираем личную информацию. Применяется ли CCPA?

CCPA имеет чрезвычайно широкое описание того, что составляет личную информацию. Если вы собираете резюме для объявлений о вакансиях, ваш веб-сайт отслеживает файлы cookie или, если на вашем веб-сайте есть форма «Свяжитесь с нами», вы собираете личную информацию.

Есть ли исключения для предприятий B2B?

Вроде, как бы, что-то вроде. Компаниям B2B предоставляется ограниченная отсрочка от соблюдения каждого из требований CCPA, когда речь идет о транзакциях и общении с другими организациями, компаниями и государственными учреждениями. Личная информация, которая собирается в ходе коммуникаций или транзакций B2B от сотрудника, владельца, директора, должностного лица или подрядчика предприятия или государственного учреждения, освобождается от большинства требований CCPA. Но срок действия этого исключения истекает в конце 2020 года. Даже если ваша B2B-компания не продает бизнес-контактную информацию, вам все равно необходимо определить, в какой степени информация, которую вы собираете в маркетинговых целях, должна соответствовать CCPA.

Как прикрыть свои базы?

CCPA требует от компаний вести подробные записи всех категорий личной информации, начиная с 1 января 2019 года. Вам следует начать инвентаризацию всех данных, которые вы собрали с этой даты. Вам также потребуется обновить свои уведомления о конфиденциальности и добавить ссылку «Не продавать мою личную информацию» на свою домашнюю страницу.

Дополнительные ресурсы для владельцев бизнеса

Magento также предоставляет отличное, более подробное руководство по обеспечению соответствия вашего сайта требованиям GDPR и CCPA. Он доступен здесь.

Для еще более подробного обзора закона CCPA, пожалуйста, обратитесь к этой замечательной статье из National Law Review .

Хотя CCPA имеет некоторые ограничения, которые в настоящее время ограничивают его действие штатом Калифорния, нет никаких сомнений в том, что он будет иметь резонанс в США и во всем мире. Калифорния, в конце концов, пятая по величине экономика в мире. В отношении чего-то столь же сложного, как этот новый закон, и такого важного, как ваш бизнес, мы рекомендуем вам проконсультироваться со своим адвокатом, чтобы убедиться, что CCPA применяется к вашему бизнесу, прежде чем предпринимать действия по соблюдению требований.

Связаться

Свяжитесь с одним из наших экспертов сегодня, чтобы обсудить ваши потребности в электронной коммерции!

Свяжитесь с нами