2021年6月8日,科罗拉多州成为全面的最新状态消费者数据隐私法(科罗拉多州隐私法或“CPA”)。它目前正在等待州长Jared Polis签名。一旦他这样做,法律将于2023年7月1日生效。这将使有涵盖的业务两年来确保他们遵守所有法律要求。这篇文章描述了法律申请的,这些公司拥有的权利和责任以及如何执行法律。

覆盖企业

当定义科罗拉多隐私法案谁适用于法律时,首先将涵盖的企业划分为控制器或处理器。这些具有其他数据隐私法的意义。控制器是决定处理个人数据的目的或手段的业务,而处理器是代表控制器的方向处理个人数据的业务。然后,CPA表示法律适用于:

  • 在科罗拉多州开展业务,或生产或提供商业产品或服务,有意针对科罗拉多州的居民
  • 在日历年期间控制或处理十万消费者或更多的个人数据;或者
  • 来自销售个人数据和流程的商品或服务价格的收入或获得折扣或控制二十五万消费者或更多的个人数据。

在CPA中,“消费者”指的是科罗拉多州居民,与美国其他消费者隐私法类似。事实上,这个测试只适用于Controllers,这与其他隐私法有所不同。大多数消费者隐私法律只适用于一般的企业,无论它们是控制器还是处理器。然而,这并不意味着加工者可以免除CPA的所有要求。特别地,法律确实要求加工者协助财务总监遵循CPA。

异常

与所有其他隐私法一样,新的《科罗拉多州隐私法》(Colorado privacy Act)对它所强加的要求做出了例外规定。以下是一些值得注意的问题,但企业应该咨询隐私专家,以核实他们是否符合众多例外之一的资格。例如,受联邦法律(如HIPAA、公平信用报告法案和儿童在线隐私保护法案)监管的个人数据不受该法律的约束,就业记录也不在CPA的范围之内。该法律对少数组织也有例外,如由gramm - leach - billey法案管理的国家高等教育机构和金融机构。如果财务主任认为有例外情况适用于他们,则其有责任证明为什么会这样,以及这种例外情况是必要的、合理的和与特定目的相称的。

至少与弗吉尼亚州的消费者隐私法消费者数据保护法(“CDPA”)有一个不同之处。CDPA声明,遵守COPPA符合在处理儿童信息时获得父母同意的要求。另一方面,新的《科罗拉多州隐私法》(Colorado Privacy Act)对COPPA管理的所有个人数据提供了全面豁免。

除了大量的例外情况之外,《科罗拉多州隐私法案》还列出了该法案无意限制的商业行为清单。有些是简单而直接的,比如遵循其他州和联邦法律。但其他的可能相当广泛,这取决于政府选择如何解释它们。例如,基于消费者与控制器的现有关系,覆盖的业务仍然能够执行与消费者期望合理一致的内部操作。目前还不知道各州将在哪里划定“合理”的界限。企业在决定是否适用豁免之前,应该咨询隐私专家。

消费者权益

与其他全面的消费者隐私法一样,《科罗拉多州隐私法》列出了消费者权利的清单。这是一种选择不使用数据进行定向广告、销售数据或使用数据进行分析的权利。这里需要注意的是,在CPA下,消费者不必自己提出请求,相反,他们可以授权另一个人代表他们提出请求。

除选择退出权外,消费者还有权访问、更正、删除或转移其数据。当Controller收到要求其行使其中一项权利的请求时,必须在45天内作出响应。但是,如果有合理的必要,他们可以再延长45天。与CDPA一样,如果Controller不能对用户进行身份验证,CPA也不要求Controller响应请求。如果发生这种情况,控制器可能会请求更多信息来验证消费者。如果控制器的数据是假名数据或未识别数据,并且控制器采取了法律规定的某些其他步骤,则可以豁免响应用户权利请求。

什么企业必须做什么

法律要求控制人提供与消费者的明确和有意义的沟通告诉他们:

  • 收集的个人资料类别
  • 收集的目的,
  • 他们拥有的权利以及如何运动,以及
  • 个人数据的类别和他们分享谁。

法令还经过特定职责控制器的列表:

  • 目的义务说明,
  • 数据最小化的责任,
  • 避免二次使用的责任,
  • 护理责任,
  • 难以避免非法歧视,和
  • 敏感数据的责任。

在控制器的要求列表相对具体的情况下,处理器的职责是模糊的。处理器必须帮助控制器在新法律下满足控制器的要求。这意味着实施适当的安全性,向控制员通知与遵守法律以及其他文件和审计要求的任何相关性。

为了清楚控制员和处理器如何消除他们的职责,CPA要求他们之间的关系由合同管辖。合同必须包括解决以下规定:

  • 处理器的处理说明,
  • 加工的本质,
  • 加工的目的,
  • 正在处理的数据类型,
  • 处理持续时间,
  • 要求处理器必须帮助控制器遵循法律,
  • 处理完成时删除数据,以及
  • 需要控制器来审计处理器。

既不能从注册会计师提供的任何义务中承包。

高风险处理

CPA发现一些处理对消费者造成伤害的风险较高。此类过程是销售任何个人数据,个人数据处理或可能导致消费者造成重大伤害的处理。由于这种造成伤害的机会更高,法律要求企业执行数据保护评估以处理这种数据。评估需要向所有缔约方提供处理数据的福利,并将这些益处权衡对消费者的风险,在所有相关保障中进行分解。企业必须在手头上保留此评估,以便如果司法部长要求它,它可以立即转过来。这只适用于7月1日,2023年7月1日之后收集的数据。

执法

新的科罗拉多州隐私法案赋予科罗拉多州总检察长执行法律的独家权力——个人没有行动的私人权利,允许个人起诉违反CPA的企业。此外,司法部长必须向企业发出违规通知,并给予60天的补救期。只有在该时间过去而某公司仍未遵守法律时,司法部长才可采取强制措施。司法部长将以欺诈交易行为起诉违反法令的行为。欺骗性贸易行为的后果可能包括下列情形之一:

  • 法院限制令,
  • 法庭禁令,
  • 每次违规2,000美元,任何相关系列违规行为都不超过500,000美元,
  • 如果消费者60岁或以上,则违反每次违规10,00美元,没有帽子。

此外,CPA还将司法部长在两个地区制定权威。首先,用于通用退出要求和规格。其次,为公司利用诚信依赖辩护来解决新法的要求。

SixFifty可以帮助

CPA在许多方面与其他隐私法相似,因此已经遵守或了解其他法律的企业将熟悉许多这些新要求。然而,在豁免和合规方面存在足够的差异,如果你在科罗拉多州开展任何业务,强烈建议咨询数据隐私专家。SixFifty将很快发布一款数据隐私工具,帮助企业评估该法律是否适用于他们,以及适用的程度。此外,six50将为公司提供遵守法律所需的工具,在2023年1月1日的执法日期前。请随时致力于我们的数据隐私专家对于您可能有任何问题。