六菲特+制造业

世界领先技术的专业知识
律师事务所,通过周到的技术可访问。

CCPA介绍

2016年,欧洲联盟通过了一般数据保护条例或GDPR。欧盟法律规定了公司如何处理欧洲的个人信息。它还授予欧洲人访问,删除和更正数据的新权利。法律于2018年5月25日生效。

GDPR是隐私法的海洋变迁。它成为世界上最繁琐的,一般适用的隐私法。一种调查普华永道,77%的企业预计将支付超过100万美元来遵守新欧盟法律。

2018年7月,加州通过了一项类似的法律,名为《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)。与GDPR一样,CCPA也监管公司如何处理个人信息。CCPA赋予加州消费者访问和删除其数据的新权利,同时对收集、存储和出售加州人个人信息的实体进行了限制。

许多美国商业预计支出金额类似于他们在GDPR遵守所进入CCPA合规性的情况。

CCPA将于2020年1月1日生效,许多不受GDPR影响的美国企业将不得不遵守CCPA。国际隐私专业人士协会(IAPP)估计,美国有超过50万家企业需要遵守这项新法律,仅在加州就有超过10万家企业需要遵守。

随着截止日期快速接近,制造商必须了解CCPA所需的是什么以及如何遵守。以下白皮书简要概述(1)谁需要遵守CCPA,(2)法律所需的内容,以及(3)罚款是非融合的。请记住以下内容不是法律建议。这只是法律信息。CCPA有特定的雕刻,将适用于制造商。有关如何遵守CCPA的具体建议,请咨询律师。

CCPA申请了谁?

难以确定CCPA是否适用于您的业务。法律是复杂的,有各种因素确定贵公司是否必须遵守。幸运的是,律师事务所的隐私专家威尔逊Sonsini Goodrich&Rosati将这些因素蒸馏成三个简单的问题,包括大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?

请记住:个人信息的定义非常广泛。个人信息包括与特定人员有关的任何数据,包括名称,地址,高度,重量,偏好等(点击这里,以了解更多个人资料。)

如果答案是否定,您的业务可能不需要遵守CCPA。新法律仅适用于加利福尼亚州的业务的公司,或以其他方式处理加利福尼亚州的个人信息。如果您的公司直接销售到加州消费者或跟踪保修或其他联系您为加利福尼亚州消费者制造的产品的信息,您应该为此问题答案。

如果您回答是的,您还需要回答下一个问题。

其次,下列任何一项适用于您的公司:(1)您每年收入超过2500万美元,(2)您每年处理50,000人,设备或家庭的个人数据,或(3)您销售加州居民信息的至少一半收入?

如果没有任何在这三个适用中,您的公司可能不需要遵守CCPA。请记住,有一些例外情况,所以与律师与律师说话很重要。但是,如果这三种方案中的任何一个都适用,那么您需要回答下一个问题。


第三,你的公司是营利性的吗?

如果答案是否定的,那么您的组织很可能会这样做需要遵守CCPA。CCPA仅适用于营利性企业;但是,如果您的非营利性代表营利实体处理信息,则存在重要的例外。在那种情况下,您的组织需要遵守新法律。

如果你对这三个问题的回答都是肯定的,那么你的业务很可能需要符合CCPA的要求——你还有很多工作要做。以下部分概述了法律规定的主要义务。

请查看这些问题的自动版本,请为您生成结果点击这里。

CCPA需要什么?

CCPA的要求可分为四个主要部分:(1)披露,(2)消费者请求,(3)选择退出,(4)培训。在具体情况下,该法律还有其他较小的义务,但这四个部分涵盖了新法律的大部分内容。

并非公司收集的所有个人信息都受CCPA的约束。医疗器械,车辆和其他厂商已经根据隐私法规(如海马或司机隐私保护法等1994年)的其他制造商收集的个人信息未被CCPA涵盖。

汽车制造商还应特别注意ab1146,该修正案已在加州议会通过,目前正在参议院审议。AB1146将免除新汽车经销商和汽车制造商之间共享的车辆信息,当这些信息是根据(或预期)与保修工作有关的车辆维修或车辆或部件召回而共享或保留时。

披露的信息

CCPA要求企业必须向加州居民披露以下信息之前该公司收到他们的个人信息:

•贵公司收集的个人信息;
•您的公司从谁那里收集个人信息;
•贵公司收集个人信息的原因;
•您的公司与谁共享个人信息;
•你的公司出售哪些类别的个人信息;
•您公司与他人分享的个人信息的类别;
•在CCPA下的消费者有哪些权利;和
•消费者应联系哪些人,了解他们在CCPA下的权利。

如果公司有一个网站,则披露必须在公司的在线隐私政策中。要了解有关六菲律如何帮助您的业务草案在CCPA下的隐私政策披露的更多信息,点击这里。

消费者请求

CCPA要求公司允许加州消费者要求企业(1)授予他们访问其个人信息,(2)删除其个人信息,或(3)提供有关公司谁与其个人信息有关的资料。公司必须为消费者提供至少两种方式来提出请求:通过电话和网站。公司有45天的时间来回应法律下的每项要求。然而,这一截止日期可以在某些情况下延长至90天。法律要求公司能够提供返回前12个月的数据。

根据CCPA的请求要求通常被认为是法律的最繁重的部分。除了预期改变隐私政策,合同和其他文件外,业务必须创建一个系统,消费者可以要求企业披露他们对消费者的数据,如何共享,以及它们如何获得to delete or cease sharing the personal information upon a consumer’s request. Request management is therefore an ongoing requirements that businesses must meet in a timely fashion. To learn more about what SixFifty has done to help companies manage their consumer requests,点击这里。


数据映射

数据映射不是CCPA的明确要求。但是,为了创建强大的请求管理系统,并确保您的公司遵循其他要求,数据映射是CCPA所施加的不成文要求之一。

为了回答消费者访问请求,您公司贵公司收集了哪些信息以及它如何使用它,您需要映射您的数据。CCPA还要求您与第三方服务提供商的合同包括特定的元素(您的制造商可能实际上可能是许多情况下的第三方)。公司必须知道他们所有的服务提供商是谁,以便实施这些新的合同条款,并能够确定哪些实体是第三方,而不是CCPA下的服务提供商(与第三方与服务提供商相反的信息共享,而是对待服务提供商。as the ‘sale’ of information under the CCPA).

除了是实现CCPA合规的必要步骤之外,数据地图还将使您的公司能够真正了解您拥有哪些数据,以及您如何使用或不使用这些数据。许多公司发现他们有自己不需要或使用的个人信息,从而使自己暴露在不必要的安全风险中,而CCPA对违反安全规定的罚款又加剧了这种风险。


训练

CCPA要求公司制定一项政策,对其组织中涉及(1)遵守CCPA、(2)公司隐私实践和(3)处理消费者请求的任何人进行培训。CCPA的培训必须每年更新,并教导员工如何根据法律的要求处理消费者的个人信息,特别是如何根据CCPA回应消费者的要求。为了了解更多关于SixFifty在帮助公司培训员工方面所做的工作,点击这里。


什么是不合规的处罚

CCPA下的罚款分为两类:(1)故意违反法律和(2)数据违规行为。违法行为的诉讼可以通过律师或消费者在民事诉讼中提出。

故意违反

公司每次故意违反CCPA可被罚款7500美元。故意违反行为包括公司知道根据法律应该采取但选择不采取的任何行为。一些专家推测,违规行为将根据每个消费者和每天的情况来确定。根据这一理论,如果一家企业无视CCPA的信息披露要求,加州总检察长可能会对每个每天访问该公司网站的消费者处以7500美元的罚款——这可能是一个惊人的数字。预计司法部长将对这一点作进一步澄清。

违反

根据《个人资料保护条例》,如果公司没有采取“合理”的保安措施来保护个人资料,公司将被罚款750美元,每条记录都是根据《个人资料保护条例》遗失的。该公司还可以对每位个人数据泄露的消费者所遭受的实际损失负责。CCPA是一部独特的法律,因为它赋予公民这种私人的“行动权”。

结论

2018年加利福尼亚州消费者隐私法案是美国历史上最重要的隐私法之一。它将以比任何诉讼隐私法规更深刻的方式影响更多的企业。制造商应开始提前准备以满足新法律的要求。

SixFifty可以帮助

六十五是最简单,最实惠的,
以及您的CCPA需求的最佳解决方案。

请求演示 要么报名

免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。