无论您的业务在其核心交易,您都可能依靠第三方来帮助日常运营。当涉及到几乎任何方面的业务运营时,它们可能是一个很好的选择,为您提供更多时间来管理最重要的元素,同时将这些元素外包,这些元素不一定需要内部审查。但是,依靠第三方也意味着您需要关注加州消费者隐私法(“CCPA”)根据2020年1月1日生效的新要求。正如目前所在的那样,CCPA承诺立即影响您与第三方的谈判协议,特别是如果您目前向他们销售数据。在本文中,我们将阐明(1)CCPA如何定义第三方;(2)使用第三方供应商的企业所需的要求;(3)如何确保您的业务符合这些要求。如果您不确定您的业务是否需要遵守CCPA,请务必采取我们的免费CCPA适用性测验在继续下面之前。
CCPA如何定义第三方
第1798.140(W)条CCPA在负面地定义第三方,就是说,法律告诉我们第三方不是什么。具体而言,第三方是人或组织,这些人或组织不是以下内容的:
1.收集CCPA下的消费者个人信息的业务(所以第三方不是您的组织,如果您的组织是收集信息);
要么
2.商业披露消费者的个人信息,以依据为书面合同而披露了商业目的的个人信息,规定了非常具体的规定。
根据“选项(2),管理党使用个人信息的合同必须禁止其中:
1.个人信息;
2.除了执行合同中规定的服务的具体目的以外的任何目的,留下,使用或披露个人信息;和
3.在人和业务之间的直接业务关系之外保留,使用或披露信息。
此外,收到个人信息的第三方必须证明他们理解上述限制,并将遵守它们。属于选项(2)的供应商通常被称为服务提供商。
了解CCPA对第三方的要求
在门外,CCPA第1798.115(d)部分限制了第三方的能力转售他们获得的个人信息。它要求他们为消费者明确通知其信息的销售,并为他们提供选择退出该销售的能力(好奇关于谁在CCPA下担任消费者?我们涵盖了这一点这里。)第1798.120节(A-B)提供有关消费者通知权的更多详细信息,并选择退出销售个人信息。当您的业务从消费者收到验证的信息访问请求时,必须提供以下个性化信息:
1.业务收集了关于消费者的个人信息的类别和特定部分;
2.个人信息的类别销售关于消费者的业务;
3.销售消费者个人信息的第三方类别(由每个第三方的个人信息类别);和
4.商业披露商业宗旨的业务披露的个人信息的类别。
CCPA 1798.110(c)。
Importantly, third parties are defined and treated differently from service providers, which the CCPA notes are entities that only “process[] information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract.” This means that both your business and its service providers that use data as instructed are not necessarily considered third parties under the CCPA. However, how these vendors are defined really matters because your business is required to make the disclosures noted above with regard to third parties, but the same requirement does not apply to service providers. Conversely, businesses must require service providers to delete personal information when a consumer requests the business to do so, but they do not have the same requirement with regard to third parties.
如果您没有与您的服务提供商合同,则可能在CCPA下作为第三方视为第三方。为了避免成为法律下的第三方,合同必须包含收到个人信息的党理解要求并将遵守它们的认证。未能包含认证意味着您与服务提供商共享的信息将被视为销售,并根据您允许消费者选择与这些供应商共享信息的要求。
此外,根据加州法律的标题1.81,如果您发现违反了与第三方分享个人信息的通知和选择权,一家有限的客户已经能够为实际和法定损害带来民事诉讼。for the business’s own direct marketing purposes (the Shine the Light Act). Thus, it is in your company’s best interest to ensure that your contracts with third parties and service providers not only use the appropriate language under the CCPA’s definitions, but also that you develop risk management strategies with regard to third-party use of your consumers’ personal information. Below, we share some more thoughts on how to begin developing such a plan.
CCPA下的第三方遵守情况
一旦您了解哪些供应商作为第三方的资格和CCPA下的新要求,您可以开始遵守遵守措施。首先,您需要确定您目前提供的三方提供个人信息,以便审查任何相关合同并进行任何必要的变更。其次,您希望确保贵公司有适当的风险管理政策和程序,以便处理同一供应商。与这些第三方的沟通渠道也可以确保如果发生违规或未授权的销售,则可以快速有效地解决此事。为了帮助您确定与您共享消费者信息的第三方,您将首先想要创建列表或数据映射,这些列表或数据映射涵盖您组织收集和共享的所有数据或个人信息。
彻底的数据映射对于帮助识别您的第三方供应商并将其与服务提供商区分开来。这将帮助您确定哪些合同需要实施新的CCPA所需的合同条款,以限制您披露信息并限制您的业务责任。如果您的业务尚未这样做,则oW是开始创建新合同和在必要时重新谈判的过程的最佳时间。同样,您的组织应计划在任何新合同中包含CCPA所需的条款,这些合同涉及前转基础的分享,转移或销售个人信息。六菲律的隐私可以为您提供自动化工具,以便加州规则改变时及时更新。要了解有关SixFifty如何帮助您的公司加快CCPA合规性的信息,请访问www.advancedpw.com/solution/clpa.或者用六份安排演示这里。
***免责声明:本出版物由六菲菲,LLC编写,为加州消费者隐私法案提供读者感兴趣的信息。它不旨在为特定情况提供法律建议或创建律师 - 客户关系。六菲菲,LLC没有提供法律建议。***
