CCPA如何影响户外零售商

在2018年5月,户外行业的许多公司必须遵守欧洲的一般数据保护条例(GDPR)。欧盟法律规定了公司如何处理欧洲的个人信息。它还授予欧洲人访问,删除和更正数据的新权利。

GDPR是隐私法的一个巨大变化。它成为世界上最繁琐、最普遍适用的隐私法。一个调查PricewaterHouseCoopers发现,77%的企业预计将支付超过100万美元来遵守GDPR。

2018年7月,加州通过了一项类似的法律,名为《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)。与GDPR一样,CCPA也监管公司如何处理个人信息。CCPA赋予加州消费者访问和删除其数据的新权利,同时对收集、存储和出售加州人个人信息的实体进行了限制。许多企业预计,要达到CCPA的要求,需要花费与GDPR合规类似的金额。

根据户外产业协会的数据,仅在加州,2017年户外产业就产生了920亿美元的消费者支出。此外,有近70万加州人从事户外行业——比葡萄酒、电影和电视行业加起来还要多。户外零售商和服务提供商不应低估CCPA将对他们收集、处理和存储消费者数据的方式产生的影响。

CCPA于2020年1月1日生效,而许多户外公司,包括不容易受到GDPR的户外公司将不得不遵守它。国际隐私专业人士协会(IAPP)估计,美国超过500,000辆业务,仅包括加州在加利福尼亚超过100,000多名企业,需要遵守。

随着截止日期快速接近,户外行业成员很重要,了解CCPA所需的内容以及如何遵守。以下白皮书简要概述(1)谁需要遵守CCPA,(2)法律所需的内容,以及(3)罚款是非融合的。请记住以下内容不是法律建议。这只是法律信息。CCPA有特定的雕刻,将适用于制造商。有关如何遵守CCPA的具体建议,请咨询律师。

CCPA申请了谁?

很难确定CCPA是否适用于你的业务。法律是复杂的,有各种因素决定你的公司是否必须遵守。幸运的是,Wilson Sonsini Goodrich & Rosati律师事务所(Wilson Sonsini Goodrich & Rosati)的隐私专家将这些因素归纳为三个简单的问题,涵盖了大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?记住:个人信息的定义非常宽泛。个人信息包括与特定个人有关的任何数据,包括姓名、地址、身高、体重、偏好等(点击此处了解有关个人信息的更多信息。

如果答案是否定,您的业务可能不需要遵守CCPA。新法律仅适用于加利福尼亚州的业务的公司,或以其他方式处理加利福尼亚州的个人信息。如果您的公司直接销售加州消费者或以其他方式追踪加州消费者的活动(例如,使用Trails或Geocaching的跟踪应用程序或通过网站分析跟踪他们的在线活动),您应该回答“是”问题。

如果你的回答是肯定的,你还需要回答下一个问题。

其次,下列任何一项适用于您的公司:(1)您每年收入超过2500万美元,(2)您每年处理50,000人,设备或家庭的个人数据,或(3)您销售加州居民信息的至少一半收入?如果没有任何在这三个适用中,您的公司可能会做需要遵守CCPA。请记住,它是收入2500万美元的问题,而不是利润。有一些例外情况(例如一家公司股票品牌通过父母或子公司),因此与律师交谈很重要,以了解某些人。但是,如果这三种方案中的任何一个适用,则需要回答下一个问题。

第三,是贵公司的利润吗?如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA仅适用于营利性企业;如果您的非营利性代表营利实体处理信息,则存在重要的例外。在那种情况下,您的组织需要遵守新法律。

如果您对所有三个问题的回答是肯定的,那么您的业务可能需要遵守CCPA - 您有很多工作。以下部分概述了法律下的主要义务。

请查看这些问题的自动版本,请为您生成结果点击这里

CCPA需要什么?

CCPA下的消费者隐私要求可分为四个主要部分:(1)披露,(2)消费者要求,(3)选择退出,(4)培训。在特定情况下适用的法律下还有其他较小的义务,但这四个部分涵盖了大多数新法律。

1.披露

CCPA要求企业必须向加州居民披露以下信息该公司收到他们的个人信息:

  • 贵公司收集的个人信息;
  • 你的公司从谁那里收集个人信息;
  • 为什么贵公司收集个人信息;
  • 您的公司与谁共享个人信息;
  • 贵公司销售的个人信息的哪些类别;
  • 您公司否则与他人分享的个人信息的一类;
  • 消费者在CCPA下享有哪些权利;和
  • 谁应该在CCPA下联系他们的权利。

如果公司有一个网站,则披露必须在公司的在线隐私政策中。要了解有关六次菲律的更多信息,可以帮助您的业务草案隐私政策披露和其他CCPA文件,点击这里

2.消费者请求

CCPA要求公司允许加州消费者要求涉及的业务:(1)提供关于他们收集了什么个人信息以及他们与谁分享了他们的个人信息的信息,(2)删除他们的个人信息,或(3)不出售他们的个人信息。公司必须提供至少两种方式让消费者提出要求:通过电话和通过公司网站。根据该法律,公司有45天时间对每项请求做出回应。法律要求公司能够提供过去12个月的数据。

CCPA下的请求要求通常被认为是法律中最繁琐的部分。除了预先更改隐私政策、合同和其他文档外,企业还必须创建一个流程,通过该流程,消费者可以要求企业披露他们拥有的关于消费者的哪些数据,这些数据是如何共享的,他们是如何获得这些信息的,以及如何允许消费者要求企业删除或停止分享他们的个人信息。除了一些例外情况,企业有义务尊重这些要求。

加利福尼亚州设有办事处,员工,承包商或代理商的户外行业公司应该观看ab25进展,加州参议院审议的修正案。AB 25最初旨在豁免所有员工信息,从CCPA的监管中豁免所有员工信息,但修正案已更改其参数。如果it is passed in its current form, businesses will have to allow employees to make consumer requests as described above (with the exception that businesses will not have to delete employees’ personal information) during the year 2020. On January 1, 2021, the amendment would sunset and employee data would be fully susceptible to the regulation of the CCPA. For those companies that are primarily business-to-business, their heaviest compliance lift may be in regard to employee information.

要了解有关六次步骤的更多信息,以帮助公司管理其消费者请求,点击这里

3.数据映射

数据映射不是CCPA的明确要求。但是,为了创建强大的请求管理系统,并确保您的公司遵循其他要求,数据映射是CCPA所施加的不成文要求之一。

为了回答消费者的访问请求,您的公司收集了消费者的哪些信息以及如何使用这些信息,您需要映射您的数据。CCPA还要求您与第三方服务提供商的合同包含特定的元素。为了实现这些新的合同条款,公司必须知道他们所有的服务提供商是谁。这是一个重要的步骤,因为在CCPA下,与第三方(而不是服务提供商)的信息共享被视为信息的“销售”。

除了实现CCPA合规性的必要步骤外,数据映射将为您的公司提供对您拥有的数据以及使用它的数据的真实愿景。许多公司发现他们有个人信息,他们不需要或使用,从而使自己暴露于不必要的安全风险,该风险由CCPA施加安全漏洞的罚款。

4.培训

CCPA要求公司在涉及(1)符合CCPA的组织中培训任何人的政策,(2)本公司的隐私实践以及(3)处理消费者请求。CCPA培训必须每年更新,并根据法律的要求教授员工如何处理消费者的个人信息,特别是关于应对CCPA下的消费者请求。要了解有关六次步骤的更多信息,以帮助公司培训员工,点击这里

什么是不合规的处罚

CCPA下的处罚分为两类:(1)监管违规行为和(2)数据违规行为。违法行为的诉讼可以通过律师或消费者在民事诉讼中提出。

1.违反监管

每股违反CCPA的公司可能会受到最高2,500美元的惩罚,每年的违规行为达到7,500美元。故意违规包括公司知道它应该根据法律承担的任何行动,而是选择。有些专家猜测,违规行为将在加利福尼亚最高法院在其他案件中计算违规行为的方式确定。在这一理论下,如果企业忽视了CCPA下的披露要求,加州司法部长可能对访问该公司网站的每个消费者来施加7,500美元的罚款 - 可能是一个潜在的惊人金额。预计律师将进一步澄清这一点。

2.安全违规行为

根据CCPA,如果公司没有采用“合理”的安全措施来保护个人信息,则公司可以在CCPA下的数据违约中罚款750美元。The company can also be charged with the actual loss experienced by each consumer who had their personal data compromised, whichever amount is higher.The CCPA is a unique law in that it grants citizens this private ‘right of action,’ which means that, instead of waiting to see how the California Attorney General handled a security breach CCPA violation, individual California consumers have the right to sue companies directly for such a breach.

结论

2018年加利福尼亚州消费者隐私法案是美国历史上最重要的隐私法之一。它将以比任何诉讼隐私法规更深刻的方式影响更多的企业。户外行业应开始尽早准备,以满足新法律的要求。要了解有关SixFifty如何帮助您的公司加快CCPA合规性的信息,请访问sixfifty.com/solutions/clpa..要查看一个有助于将您的业务纳入合规的时间表,点击这里

免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。