ccpa指南

介绍

2016年,欧洲联盟通过了一般数据保护条例或GDPR。欧盟法律规定了公司如何处理欧洲的个人信息。它还授予欧洲人访问,删除和更正数据的新权利。法律于2018年5月25日生效。

GDPR是隐私法的一个巨大变化。它成为世界上最繁重的普遍适用的隐私法。一个调查普华永道(PriceWaterHouseCoopers)的调查发现,77%的企业预计要支付超过100万美元的费用才能遵守新的欧盟法律。

2018年6月,加州通过了一项类似的法律,名为《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)。与GDPR一样,CCPA也监管公司如何处理个人信息。CCPA赋予加州消费者访问和删除其数据的新权利,同时对收集、存储和出售加州人个人信息的实体进行了限制。

CCPA将于2020年1月1日生效,许多美国企业在合规方面的支出应该与GDPR相似。国际私隐专业人士协会估计在美国超过500,000个企业,仅包括加利福尼亚州超过100,000多个企业,需要遵守新法律。

随着最后期限的临近,企业了解CCPA的要求以及如何遵守非常重要。以下白皮书简要概述:(1)谁需要遵守CCPA,(2)法律要求,(3)不遵守的惩罚。请记住以下并不是法律建议。这只是合法的信息。有关如何遵守cpa的具体信息,请咨询律师。

CCPA申请了谁?

很难确定CCPA是否适用于你的业务。法律是复杂的,有各种因素决定你的公司是否必须遵守。幸运的是,Wilson Sonsini Goodrich & Rosati律师事务所(Wilson Sonsini Goodrich & Rosati)的隐私专家将这些因素归纳为三个简单的问题,涵盖了大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?请记住:个人信息的定义非常广泛。个人信息包括与特定人员有关的任何数据,包括名称,地址,高度,重量,偏好等。

如果答案是否定的,你的业务可能不需要遵守CCPA。新法律只适用于在加州做生意的公司,或处理加州居民个人信息的公司。

如果答案是肯定的,那么你需要回答下一个问题。

其次,下列任何一项适用于您的公司:(1)您每年收入超过2500万美元,(2)您每年处理50,000人,设备或家庭的个人数据,或(3)您销售加州居民信息的至少一半收入?如果这三个都不适用,你的公司可能不需要遵守CCPA。记住,也有一些例外情况,所以一定要找律师确认。然而,如果这三种情况中的任何一种确实适用,那么您需要回答下一个问题。

第三,你的公司是营利性的吗?如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA只适用于营利性企业;但是,如果您的非营利组织代表营利性实体处理信息,则有一个重要的例外。在这种情况下,您的组织需要遵守新的法律。

如果您对这三个问题的回答都是肯定的,那么您的业务很可能需要遵守ccpa,而您还有很多工作要做。以下部分概述了法律规定的主要义务。

要查看自动生成结果的问题版本,请单击在这里

CCPA需要什么?

加州消费者隐私法下的要求可分为四个主要部分:(1)披露,(2)消费者请求,(3)数据映射和(4)培训。在特定情况下适用的法律下还有其他较小的义务,但这四个部分涵盖了大多数新法律。

披露的信息

CCPA要求企业必须向加州居民披露以下信息之前该公司收到他们的个人信息:

  • 贵公司收集哪些个人信息;
  • 你的公司从谁那里收集个人信息;
  • 贵公司收集个人信息的原因;
  • 您的公司与谁共享个人信息;
  • 你的公司出售哪些类别的个人信息;
  • 你的公司在其他方面分享哪些类别的个人信息;
  • 消费者在CCPA下享有哪些权利;和
  • 谁应该在CCPA下联系他们的权利。

如果公司有一个网站,则披露必须在公司的在线隐私政策中。要了解有关SixFifty如何帮助您的业务草案在CCPA下的隐私政策披露,请点击在这里

消费者请求

CCPA要求公司允许加州消费者要求涉及的业务:(1)提供关于他们收集了什么个人信息以及他们与谁分享了他们的个人信息的信息,(2)删除他们的个人信息,或(3)不出售他们的个人信息。公司必须提供至少两种方式让消费者提出要求:通过电话和通过公司网站。根据该法律,公司有45天时间对每项请求做出回应。然而,在某些情况下,这一期限可以延长至90天。法律要求公司能够提供过去12个月的数据。

CCPA下的请求要求通常被认为是法律中最繁琐的部分。除了预先更改隐私政策、合同和其他文档外,企业还必须创建一个流程,通过该流程,消费者可以要求企业披露他们拥有的关于消费者的哪些数据,这些数据是如何共享的,他们是如何获得这些信息的,以及如何允许消费者要求企业删除或停止分享他们的个人信息。除了一些例外情况,企业有义务尊重这些要求。

在消费者选择退出后,没有消费者明确的书面同意,企业不能出售消费者的信息。在消费者选择退出后的12个月内,公司不能要求获得消费者的同意。因此,请求管理是必须跟踪的持续需求,以确保遵从性。要了解更多关于SixFifty在帮助企业管理消费者需求方面所做的工作,请点击在这里

数据映射

与GDPR不同,数据映射不是CCPA的明确要求。但是,为了创建强大的请求管理系统,并确保您的公司遵循其他要求,数据映射是CCPA所施加的不成文要求之一。

为了回答消费者访问请求,您公司贵公司收集了哪些信息以及它如何使用它,您需要映射您的数据。CCPA还要求您与第三方服务提供商的合同包括特定要素。公司必须知道他们所有的服务提供商是谁,以便实施这些新的合同条款,并能够确定哪些实体是第三方,而不是CCPA下的服务提供商(与第三方与服务提供商相反的信息共享,而是对待服务提供商。as the ‘sale’ of information under the CCPA).

除了是实现CCPA合规的必要步骤之外,数据地图还将使您的公司能够真正了解您拥有哪些数据,以及您如何使用或不使用这些数据。许多公司发现他们有自己不需要或使用的个人信息,从而使自己暴露在不必要的安全风险中,而CCPA对违反安全规定的罚款又加剧了这种风险。

训练

CCPA要求公司制定一项政策,对其组织中涉及(1)遵守CCPA、(2)公司隐私实践和(3)处理消费者请求的任何人进行培训。CCPA的培训必须每年更新,并教导员工如何根据法律的要求处理消费者的个人信息,特别是如何根据CCPA回应消费者的要求。要了解更多关于SixFifty在帮助公司培训员工方面所做的工作,请点击在这里

什么是不合规的处罚

CCPA下的处罚分为两类:(1)监管违规行为和(2)数据违规行为。违法行为的诉讼可以通过律师或消费者在民事诉讼中提出。

1.违反监管

每股违反CCPA的公司可能会受到最高2,500美元的惩罚,每年的违规行为达到7,500美元。故意违规包括公司知道它应该根据法律承担的任何行动,而是选择。有些专家猜测,违规行为将在加利福尼亚最高法院在其他案件中计算违规行为的方式确定。在这一理论下,如果企业忽视了CCPA下的披露要求,加州司法部长可能对访问该公司网站的每个消费者来施加7,500美元的罚款 - 可能是一个潜在的惊人金额。Facebook拥有大约2460万加利福尼亚州用户;如果发现已经违反了CCPA,它可能面临616亿美元的艰巨的最高刑罚,因为无意的CCPA违规,1847亿美元用于故意。预计律师将进一步澄清这一点。

2.安全违规行为

根据《个人资料保护条例》,如果公司没有采取“合理”的保安措施来保护个人资料,公司将被罚款750美元,每条记录都是根据《个人资料保护条例》遗失的。该公司还可以根据个人数据泄露给消费者造成的实际损失,以金额较高的为准。CCPA是一部独特的法律,因为它赋予公民这种私人的“行动权”。

结论

2018年《加州消费者隐私法》是美国历史上最重要的隐私法律之一。它将以一种比任何诉讼中的隐私法规更深远的方式影响更多的企业。公司应该尽早开始准备,以满足新法律的要求。要了解更多关于SixFifty如何帮助您的公司加快CCPA合规,请访问//www.advancedpw.com/solutions/ccpa..要查看有助于将业务纳入合规的时间轴,请单击在这里

***加州立法机关正在考虑多项修订,因此请务必定期查看我们的博客以进行立法更新。***

免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。