六菲特+营销
世界领先技术的专业知识
律师事务所,通过周到的技术可访问。
CCPA介绍
2016年,欧洲联盟通过了一般数据保护条例或GDPR。欧盟法律规定了公司如何处理欧洲的个人信息。它还授予欧洲人访问,删除和更正数据的新权利。法律于2018年5月25日生效。
GDPR是隐私法的海洋变迁。它成为世界上最繁琐的,一般适用的隐私法。一种调查普华永道,77%的企业预计将支付超过100万美元来遵守新欧盟法律。
2018年7月,加利福尼亚州通过了一个类似的法律,称为加州消费者隐私法或CCPA。与GDPR一样,CCPA规定了公司如何处理个人信息。CCPA授予加州消费者的新权利,进入和删除他们的数据,同时对收集,存储和销售加利福尼亚州的个人信息的实体限制。
许多美国商业预计支出金额类似于他们在GDPR遵守所进入CCPA合规性的情况。
CCPA将于2020年1月1日生效,许多不受GDPR影响的美国企业将不得不遵守CCPA。国际隐私专业人士协会(IAPP)估计,美国有超过50万家企业需要遵守这项新法律,仅在加州就有超过10万家企业需要遵守。
随着截止日期快速接近,营销人员很重要,营销人员了解CCPA需要什么以及如何遵守。以下白皮书简要概述(1)谁需要遵守CCPA,(2)法律所需的内容,以及(3)罚款是非融合的。请记住以下内容不是法律建议。这只是法律信息。有关如何遵守CCPA的具体建议,请咨询律师。
CCPA申请了谁?
难以确定CCPA是否适用于您的业务。法律是复杂的,有各种因素确定贵公司是否必须遵守。幸运的是,律师事务所的隐私专家威尔逊Sonsini Goodrich&Rosati将这些因素蒸馏成三个简单的问题,包括大多数公司。
首先,您的公司是否处理加利福尼亚州居民的个人信息?
请记住:个人信息的定义非常广泛。个人信息包括与特定人员有关的任何数据,包括名称,地址,高度,重量,偏好等。
如果答案是否定,您的业务可能不需要遵守CCPA。新法律仅适用于加利福尼亚州的业务的公司,或以其他方式处理加利福尼亚州的个人信息。
但是,如果答案是肯定的,则需要回答下一个问题。
其次,下列任何一项适用于您的公司:(1)您每年收入超过2500万美元,(2)您每年处理50,000人,设备或家庭的个人数据,或(3)您销售加州居民信息的至少一半收入?
如果没有任何在这三种申请中,贵公司可能不需要遵守CCPA。记住,也有一些例外情况,所以一定要找律师确认。然而,如果这三种情况中的任何一种确实适用,那么您需要回答下一个问题。
第三,你的公司是营利性的吗?
如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA仅适用于营利性企业;但是,如果您的非营利性代表营利实体处理信息,则存在重要的例外。在那种情况下,您的组织需要遵守新法律。
如果你对这三个问题的回答都是肯定的,那么你的业务很可能需要符合CCPA的要求——你还有很多工作要做。以下部分概述了法律规定的主要义务。
请查看这些问题的自动版本,请为您生成结果点击这里。
CCPA的要求是什么?
CCPA下的要求可分为四个主要部分:(1)披露,(2)消费者请求,(3)数据映射,(4)培训。在特定情况下适用的法律下还有其他较小的义务,但这四个部分涵盖了大多数新法律。
一般而言,营销公司收集的个人信息如果营销公司本身是CCPA下的营销业务,则遭到CCPA。在某些情况下,营销人员将被视为有助于国家,而在其他情况下,他们将被定义为CCPA下的服务提供者或第三方。公司在个人信息方面行事的能力将确定CCPA的哪些方面适用。
披露的信息
CCPA要求企业必须向加州居民披露以下信息之前该公司收到他们的个人信息:
•贵公司收集的个人信息;
•您的公司从谁那里收集个人信息;
•贵公司收集个人信息的原因;
•您的公司与谁共享个人信息;
•你的公司出售哪些类别的个人信息;
•您公司与他人分享的个人信息的类别;
•在CCPA下的消费者有哪些权利;和
•谁应该在CCPA下联系他们的权利。
如果公司有一个网站,则披露必须在公司的在线隐私政策中。如果营销公司本身正在进行个人信息,则需要遵守这些披露要求。如果它作为服务提供商相对于信息,其客户端是必须满足披露要求的客户端。营销公司在这种情况下,需要确保与客户的合同履行服务提供商所需的CCPA条款。要了解有关六菲律如何帮助您在CCPA下的隐私政策披露或CCPA合同附录的商业草案的更多信息。点击这里。
消费者请求
CCPA要求公司允许加州消费者要求提供有关的业务:(1)提供有关他们所收集的个人信息的资料以及他们与其个人信息分享的个人信息,(2)删除其个人信息,或(3)不销售他们的个人信息。公司必须为消费者提供至少两种方式来提出请求:通过电话和他们的网站。公司有45天的时间来回应法律下的每项要求。然而,这一截止日期可以在某些情况下延长至90天。法律要求公司能够提供返回前12个月的数据。
CCPA下的请求要求通常被认为是法律中最繁琐的部分。除了预先更改隐私政策、合同和其他文档外,企业还必须创建一个流程,通过该流程,消费者可以要求企业披露他们拥有的关于消费者的哪些数据,这些数据是如何共享的,他们是如何获得这些信息的,以及如何允许消费者要求企业删除或停止分享他们的个人信息。除了一些例外情况,企业有义务尊重这些要求。
要了解更多关于SixFifty在帮助公司管理消费者需求方面所做的工作,点击这里。
数据映射
数据映射不是CCPA的明确要求。但是,为了创建强大的请求管理系统,并确保您的公司遵循其他要求,数据映射是CCPA所施加的不成文要求之一。
为了回答消费者访问请求,您公司贵公司收集了哪些信息以及它如何使用它,您需要映射您的数据。CCPA还要求您与服务提供商的合同包括特定元素(您的营销人员实际上可能是许多情况下的服务提供商)。公司必须知道他们所有的服务提供商是谁,以便实施这些新的合同条款,并能够确定哪些实体是第三方,而不是CCPA下的服务提供商(与第三方与服务提供商相反的信息共享,而是对待服务提供商。as the ‘sale’ of information under the CCPA). If marketing firms are acting as either third parties or service providers with respect to personal information, they still have to honor deletion or no-sale requests from consumers that come in from their vendees or companies that sold them personal information. Data maps are, in those situations, important to all types of companies dealing with the CCPA.
除了是实现CCPA合规的必要步骤之外,数据地图还将使您的公司能够真正了解您拥有哪些数据,以及您如何使用或不使用这些数据。许多公司发现他们有自己不需要或使用的个人信息,从而使自己暴露在不必要的安全风险中,而CCPA对违反安全规定的罚款又加剧了这种风险。
要了解有关六个步骤的更多信息,以帮助公司映射数据,点击这里。
训练
CCPA要求公司制定一项政策,对其组织中涉及(1)遵守CCPA、(2)公司隐私实践和(3)处理消费者请求的任何人进行培训。CCPA的培训必须每年更新,并教导员工如何根据法律的要求处理消费者的个人信息,特别是如何根据CCPA回应消费者的要求。为了了解更多关于SixFifty在帮助公司培训员工方面所做的工作,点击这里。
什么是不合规的处罚
CCPA下的处罚分为两类:(1)监管违规行为和(2)数据违规行为。违法行为的诉讼可以通过律师或消费者在民事诉讼中提出。
违反监管
公司每次违反CCPA最高可被罚款2,500美元,每次“故意”违反最高可被罚款7,500美元。故意违反行为包括公司知道根据法律应该采取但选择不采取的任何行为。一些专家推测,违反规定的情况将按人均计算,就像加州最高法院在其他案件中计算违反规定的情况一样。根据这一理论,如果一家企业无视CCPA的信息披露要求,加州总检察长可能会对每个访问该公司网站的消费者处以7500美元的罚款——这可能是一个惊人的数额。Facebook在加州约有2460万用户;如果被发现违反了CCPA,它可能面临最高约616亿美元的非故意CCPA违规罚款和1847亿美元的故意罚款。预计司法部长将对这一点作进一步澄清。
安全违规
根据《个人资料保护条例》,如果公司没有采取“合理”的保安措施来保护个人资料,公司将被罚款750美元,每条记录都是根据《个人资料保护条例》遗失的。该公司还可以根据个人数据泄露给消费者造成的实际损失,以金额较高的为准。CCPA是一部独特的法律,因为它赋予公民这种私人的“行动权”。
结论
2018年加利福尼亚州消费者隐私法案是美国历史上最重要的隐私法之一。它将以比任何诉讼隐私法规更深刻的方式影响更多的企业。制造商应开始提前准备以满足新法律的要求。