介绍
加州消费者隐私法案(CCPA)规定了公司如何收集,商店和加入加利福尼亚消费者的个人信息,并授予加州消费者对其个人信息的进入和控制权的新权利。因为CCPA是广泛的,但它不仅适用于加利福尼亚州的实体,而是在加利福尼亚州以外的许多实体。对于具有父级兄弟姐妹关系的组织,确定每个组织是否受CCPA对CCPA合规性添加一层复杂性。
首先,您必须确定您的任何一个实体是否直接受CCPA。您应该为每个实体回答这些问题:
首先,实体是否处理加州居民的个人信息?请记住:个人信息的定义非常广泛。个人信息包括与特定人员有关的任何数据,包括名称,地址,高度,重量,偏好等。
如果答案是否定的,则此实体可能不需要根据其直接活动遵守CCPA。新法律仅适用于加利福尼亚州的业务的公司,或以其他方式处理加利福尼亚州的个人信息。
但是,如果答案是肯定的,则需要回答下一个问题。
其次,下列任何一项适用于实体:(1)每年收入超过2500万美元,(2)它每年处理来自加利福尼亚州的50,000人,设备或家庭的个人数据,或(3)销售加州居民信息至少有一半的收入?如果这三项申请,实体可能不需要根据其直接活动遵守CCPA。请记住,有一些例外情况,所以与律师与律师说话很重要。但是,如果这三种方案中的任何一个都适用,那么您需要回答下一个问题。
第三,实体是利润吗?如果答案是否定的,那么实体可能不需要遵守CCPA。CCPA仅适用于营利性企业;但是,如果您的非营利性代表营利实体处理信息,则存在重要的例外。在那种情况下,您的组织需要遵守新法律。
如果您对所有三个问题的回答是肯定的,那么该实体可能需要根据自己的活动遵守CCPA。然而,即使没有直接进入该测试的实体也可能需要根据他们与遵守的实体/ IE的关系来遵守。
请查看为您生成结果的问题的免费自动化版本点击这里对于CCPA适用性测验。您可以为每个实体重试它。
子公司组织和CCPA
对于附属公司来说,这种关系可能是决定某些组织是否需要遵守的决定因素。首先,您必须确定父附属关系是否符合CCPA对控制的定义。如果公司拥有(或者有投票权)超过50%的突出股份的任何类别的其他商家投票安全;以任何方式控制选举这项业务的大多数董事;或者有权行使该业务的“控制影响”的“控制影响”,该公司有资格作为CCPA下的控股或母公司。
如果父母或附属公司直接缴纳CCPA,则另一个组织间接遵守CCPA,如果他们分享共同的品牌。根据CCPA,普通品牌是指共享名称,SEVICEMARK或商标。
如果子公司直接受CCPA(即,如果您对上述三个问题回答“是”),它的控制或母公司只有在分享普通品牌时才会受到CCPA的影响。同样,如果父母实体直接受CCPA,并与另一家控股公司共享共同的品牌,则控制公司间接受CCPA的影响,也必须遵守。(见CAL。CIV。代码秒。1798.140(c))。通过这种方式,在加利福尼亚州以外经营的子公司和父母组织可能会发现通过其附属公司的行动来发现自己被纳入CCPA监管制度。
'兄弟姐妹'组织和CCPA
那些不直接受CCPA的父母组织呢?有一些子公司直接受CCPA和其他子公司的外国代附属公司那些父母,如上述部分所述,必须遵守CCPA。但是,本身不直接受CCPA的子公司不必遵守。这是因为他们的母体组织间接地,而不是直接,而不是CCPA。这些“兄弟姐妹”的组织直接受CCPA豁免。只有当父组织直接由CCPA控制时,所有兄弟姐妹都必须遵守。
这对数据意味着什么?
如果父组织易于CCPA,则必须实施隐私和安全协议即可遵守。如果它直接易感,其所有子公司都必须这样做。如果父母间接敏感,则可能有利于在所有子公司的所有子公司中滚动这些隐私和安全变化,即使是那些不需要遵守CCPA的隐私权。该决定主要取决于公司的组织方式以及它们共享数据的程度。当前分享个人信息数据的附属实体需要检查违反CCPA的要求,如果家庭内的任何实体由CCPA监管。为了简化共享,将所有实体带入合规可能是最佳解决方案。
假设的例子1:
Mega ABC有多个子公司。它控制并股票与这些子公司的一些但并非所有人股票。Mega ABC收入超过2500万美元,收集加州消费者的个人信息,是一个营利性的组织。CCPA直接适用于它。
Mega ABC的两个子公司每年处理超过50,000多名加利福尼亚州消费者的个人信息,是营利组织,因此它们也直接易于CCPA。
Mega ABC控制五个子公司,它分享了不直接易于CCPA的共同品牌。由于Mega ABC对他们的控制和共同品牌,它们间接易于CCPA,并且必须遵守。
Mega ABC的其他子公司并不直接易于CCPA,不需要遵守它,因为它们不与Mega ABC分享普通品牌。
假设的例子2:
全球钢铁供应(SSW)有三个子公司。它控制并股票与这些子公司的一些但并非所有人股票。全球钢铁供应不会收集加州消费者的个人信息,因此不直接易于CCPA。
全球钢铁供应有三个子公司它控制和股票品牌。其中一位子公司SSW-USA处理超过50,000多名加利福尼亚州消费者的个人信息,是营利性的。SSW-USA直接易于CCPA,使全球钢材供应间接易于CCPA。两个实体必须遵守。
另外两家钢铁供应全球子公司,IT控制和股份与SSW-Europe和SSW-Asia,不处理任何加州消费者的个人信息。它们并不直接易于CCPA。虽然SSW必须遵守,但由于其与SSW-USA的关系,SSW-Europe和SSW-Asia只是SSW的兄弟姐妹,不需要遵守。
结论
对于那些需要遵守的父母和附属机构,加州消费者隐私法下的隐私要求可分为四个主要部分:(1)披露,(2)消费者请求,(3)数据映射,和(4)训练。在特定情况下适用的法律下还有其他较小的义务,但这四个部分涵盖了大多数新法律。看我们CCPA隐私页面要了解我们如何帮助您自动化这四项责任。
免责声明:本出版物由六菲菲,LLC编写,为读者提供有关加州消费者隐私法的读者的信息。它不旨在为特定情况提供法律建议或创建律师 - 客户关系。六菲菲,LLC没有提供法律建议。
