六百五十+汽车经销商
世界领先技术的专业知识
律师事务所,通过周到的技术可访问。
CCPA介绍
2016年,欧洲联盟通过了一般数据保护条例或GDPR。欧盟法律规定了公司如何处理欧洲的个人信息。它还授予欧洲人访问,删除和更正数据的新权利。法律于2018年5月25日生效。
GDPR是隐私法的一个巨大变化。它成为世界上最繁琐、最普遍适用的隐私法。一个调查普华永道(PriceWaterHouseCoopers)的调查发现,77%的企业预计要支付超过100万美元的费用才能遵守新的欧盟法律。
2018年7月,加州通过了一项类似的法律,名为《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)。与GDPR一样,CCPA也监管公司如何处理个人信息。CCPA赋予加州消费者访问和删除其数据的新权利,同时对收集、存储和出售加州人个人信息的实体进行了限制。
许多美国企业预计,为了达到CCPA的要求,他们将花费与GDPR合规类似的金额。
CCPA将于2020年1月1日生效,许多不受GDPR影响的美国企业将不得不遵守CCPA。国际隐私专业人士协会(IAPP)估计,美国有超过50万家企业需要遵守这项新法律,仅在加州就有超过10万家企业需要遵守。
凭借截止日期快速接近,AutoDealers的重要事项了解CCPA所需的内容以及如何遵守。以下白皮书简要概述(1)谁需要遵守CCPA,(2)法律所需的内容,以及(3)罚款是非融合的。请记住以下内容不是法律建议。这只是法律信息。CCPA有特定的雕刻,将适用于制造商。有关如何遵守CCPA的具体建议,请咨询律师。
CCPA适用于谁?
很难确定CCPA是否适用于你的业务。法律是复杂的,有各种因素决定你的公司是否必须遵守。幸运的是,Wilson Sonsini Goodrich & Rosati律师事务所(Wilson Sonsini Goodrich & Rosati)的隐私专家将这些因素归纳为三个简单的问题,涵盖了大多数公司。
首先,您的公司是否处理加利福尼亚州居民的个人信息?
记住:个人信息的定义非常宽泛。个人信息包括与特定个人有关的任何数据,包括姓名、地址、身高、体重、偏好等(点击这里,以了解更多个人资料。)
如果答案是否定的,那么你的生意很可能是否定的不需要遵守CCPA。新法律只适用于在加州做生意的公司,或处理加州居民个人信息的公司。如果您的公司直接销售加州消费者或追踪销售产品/服务的保证或其他信息(由汽车,零件,保修或车辆维护)到加州消费者,您应该回答“对此问题”。
如果你的回答是肯定的,你还需要回答下一个问题。
首先,你的公司是否处理个人信息第二,下列适用于你的公司:(1)你每年收入超过2500万美元,(2)你处理个人数据为50000人,设备,或家庭每年来自加州,或(3)你把至少一半的收入来自销售加州居民的信息吗?
如果没有任何这三种申请中,贵公司很可能都有 不 需要遵守CCPA。请记住,有一些例外情况,所以与律师与律师说话很重要。但是,如果这三种方案中的任何一个都适用,那么您需要回答下一个问题。
第三,你的公司是营利性的吗?
如果答案是否定的,那么您的组织很可能会这样做不需要遵守CCPA。CCPA只适用于营利性企业;但是,如果您的非营利组织代表营利性实体处理信息,则有一个重要的例外。在这种情况下,您的组织需要遵守新的法律。
如果您对这三个问题的回答都是肯定的,那么您的业务很可能需要遵守ccpa,而您还有很多工作要做。以下部分概述了法律规定的主要义务。
要查看自动生成结果的问题版本,请单击在这里.
CCPA的要求是什么?
CCPA下的消费者隐私要求可分为四个主要部分:(1)披露,(2)消费者请求,(3)选择退出,(4)培训。在具体情况下,该法律还有其他较小的义务,但这四个部分涵盖了新法律的大部分内容。
并非AutoDealers收集的所有个人信息都受CCPA的约束。根据“司机隐私保护法”为1994年的“自私法规”收集的个人信息未被CCPA涵盖。但在该法之外的个人信息收集和处理活动,如营销、销售和客户服务,则受CCPA管辖。(为了深入审查属于CCPA删除豁免的信息,点击这里.)
Autodealers还应特别注意AB 1146,这是一项经过加州大会的修正案,现在被参议院审议。AB1146将根据与保修工作或车辆或部件召回的车辆修复有关的车辆修复,豁免新汽车经销商和车辆制造商之间共享的车辆信息。
披露的信息
CCPA要求企业必须向加州居民披露以下信息之前该公司收到他们的个人信息:
•您的公司收集哪些个人信息;
•您的公司从谁那里收集个人信息;
•贵公司收集个人信息的原因;
•您的公司与谁共享个人信息;
•你的公司出售哪些类别的个人信息;
•您的公司与他人共享的个人信息的类别;
•消费者在CCPA下享有哪些权利;和
•消费者应联系哪些人,了解他们在CCPA下的权利。
如果公司有一个网站,则披露必须在公司的在线隐私政策中。要了解有关六菲律如何帮助您的业务草案在CCPA下的隐私政策披露的更多信息,请点击这里。
消费者请求
CCPA要求公司允许加州消费者要求企业(1)授予他们访问其个人信息,(2)删除其个人信息,或(3)提供有关公司谁与其个人信息有关的资料。公司必须为消费者提供至少两种方式来提出请求:通过电话和网站。公司有45天的时间来回应法律下的每项要求。然而,这一截止日期可以在某些情况下延长至90天。法律要求公司能够提供返回前12个月的数据。
CCPA下的请求要求通常被认为是法律中最繁琐的部分。除了前期修改隐私政策、合同和其他文件,业务必须创建一个系统,消费者可以要求企业披露他们对消费者的数据,它是共享的,以及他们如何获得以及删除或停止共享个人信息在一个消费者的要求。因此,请求管理是业务必须及时满足的持续需求。
要了解更多关于SixFifty在帮助公司管理消费者需求方面所做的工作,请点击这里。
数据映射
数据映射不是CCPA的明确要求。但是,为了创建强大的请求管理系统,并确保您的公司遵循其他要求,数据映射是CCPA所施加的不成文要求之一。
为了回答消费者访问请求,您公司贵公司收集了哪些信息以及它如何使用它,您需要映射您的数据。CCPA还要求与第三方服务提供商的合同包括特定的元素 -您作为经销商可能会处理许多第三方,其中一些人将最佳被归类为CCPA下的服务提供商,如果您实施了正确的合同条款.为了实现这些新的合同条款,公司必须知道他们所有的服务提供商是谁。这是一个重要的步骤,因为在CCPA下,与第三方(而不是服务提供商)的信息共享被视为信息的“销售”。
除了实现CCPA合规性的必要步骤外,数据映射将为您的公司提供对您拥有的数据以及使用它的数据的真实愿景。许多公司发现他们有个人信息,他们不需要或使用,从而使自己暴露于不必要的安全风险,该风险由CCPA施加安全漏洞的罚款。
训练
CCPA要求公司制定一项政策,对其组织中涉及(1)遵守CCPA、(2)公司隐私实践和(3)处理消费者请求的任何人进行培训。CCPA的培训必须每年更新,并教导员工如何根据法律的要求处理消费者的个人信息,特别是如何根据CCPA回应消费者的要求。为了了解更多关于SixFifty在帮助公司培训员工方面所做的工作,请点击这里。
什么是不合规的处罚
CCPA下的罚款分为两类:(1)故意违反法律和(2)数据违规行为。违法行为的诉讼可以通过律师或消费者在民事诉讼中提出。
故意违反
公司每次故意违反CCPA可被罚款7500美元。故意违反行为包括公司知道根据法律应该采取但选择不采取的任何行为。一些专家推测,违规行为将根据每个消费者和每天的情况来确定。根据这一理论,如果一家企业无视CCPA的信息披露要求,加州总检察长可能会对每个每天访问该公司网站的消费者处以7500美元的罚款——这可能是一个惊人的数字。预计司法部长将对这一点作进一步澄清。
违反
根据《个人资料保护条例》,如果公司没有采取“合理”的保安措施来保护个人资料,公司将被罚款750美元,每条记录都是根据《个人资料保护条例》遗失的。该公司还可以对每位个人数据泄露的消费者所遭受的实际损失负责。CCPA是一部独特的法律,因为它赋予公民这种私人的“行动权”。
结论
2018年《加州消费者隐私法》是美国历史上最重要的隐私法律之一。它将以一种比任何诉讼中的隐私法规更深远的方式影响更多的企业。制造商应该尽早开始准备,以满足新法律的要求。