什么是ccpa?

2018年7月,加州通过了一项名为《加州消费者隐私法》(简称CCPA)的法律。CCPA规定了公司如何处理属于加州消费者的个人信息,但它并不仅限于加州公司。CCPA赋予加州消费者访问和删除其数据的新权利,同时对收集、存储和出售加州人个人信息的实体进行了限制。

CCPA于2020年1月1日生效,许多不易欧洲一般数据保护条例(GDPR)的美国企业将不得不遵守CCPA。国际隐私专业人士协会(IAPP)估计,美国超过500,000辆业务,仅包括加州在加利福尼亚超过100,000多个企业,需要遵守新法律。

随着截止日期快速接近,公司必须了解CCPA在其员工方面所需的内容。我们将简要概述(1)谁需要遵守CCPA和(2)法律要求员工培训。请记住以下内容不是法律建议。这只是法律信息。CCPA有特定的雕刻,将适用于某些组织和某些类型的消费者个人信息。有关如何遵守CCPA的具体建议,请咨询律师。

CCPA是否适用于我公司?

很难确定CCPA是否适用于你的业务。法律是复杂的,有各种因素决定你的公司是否必须遵守。幸运的是,Wilson Sonsini Goodrich & Rosati律师事务所(Wilson Sonsini Goodrich & Rosati)的隐私专家将这些因素归纳为三个简单的问题,涵盖了大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?请记住:个人信息的定义非常广泛。个人信息包括与特定人员有关的任何数据,包括名称,地址,高度,重量,偏好,设备ID等。

如果答案是否定的,你的业务可能不需要遵守CCPA。新法律只适用于在加州做生意的公司,或处理加州居民个人信息的公司。(不过,也有一些例外,所以请继续阅读。)

如果你的回答是肯定的,你还需要回答下一个问题。

其次,下列任何一项适用于您的公司:(1)您每年收入超过2500万美元,(2)您每年处理50,000人,设备或家庭的个人数据,或(3)您销售加州居民信息的至少一半收入?如果没有任何在这三个适用中,您的公司可能会做需要遵守CCPA。如果三项中的任何一个适用于您,那么您需要回答下一个问题。

第三,你的公司是营利性的吗?如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA只适用于营利性企业;但是,如果您的非营利组织代表营利性实体处理信息,则有一个重要的例外。在这种情况下,您的组织需要遵守新的法律。

如果您对所有三个问题的回答是肯定的,那么您的业务可能需要遵守CCPA - 您有很多工作。

记住,还有一些额外的规则,所以一定要找律师确认。最主要的一个例外是基于公司之间的关系,即使你自己业务不需要遵守,如果你有一个母公司控制您的组织和与你共享品牌,公司必须遵守,你的生意也会遵守。(还可以应用共享品牌规则的其他方式。点击这里为更多的信息。)

以下部分概述了法律下的主要义务。

请查看这些问题的自动版本,请为您生成结果点击这里

谁需要培训?

结论后,您的业务需要遵守CCPA,您可以分割您需要进入四个主要部分的步骤:(1)披露,(2)消费者请求,(3)选择退出,(4)培训。在特定情况下适用的法律下还有其他较小的义务,但这四个部分涵盖了大多数新法律。

我们将重点放在员工培训上。根据CCPA 1798.130(a)(6),受监管企业有义务为(1)负责处理有关公司隐私做法的消费者咨询的员工以及(2)负责企业CCPA合规的任何人提供CCPA培训。

一个组织的第一步将是确定谁需要接受培训,以便正确地满足CCPA管理下的消费者需求。一般来说,那些不仅要处理CCPA的问题,还要处理公司隐私问题的员工都需要接受这种培训。

对于许多组织来说,这意味着培训处理对他们的收费线路的客户的代表以及那些处理通过电子邮件或其他在线进程的数字请求的人。因为CCPA仅对加州消费者相关,所以只需要培训在其他国家的消费者签订消费者的员工。一些企业可以计划汇集直接向特定员工的所有请求,只有在CCPA上培训该组,同时培训该集团以外的员工不回答隐私或相关问题。

在您的组织中,可能有其他人员不会回答消费者的实际询问,但他们需要接受培训。任何负责组织CCPA符合性的个人都需要培训。

营销,例如,不能启动一个广告宣传活动与外部供应商没有把一个新的正确的CCPA合同规定分享个人信息,所以营销需要通知的法律或合规官,负责公司的政策数据采集的新方法。IT团队的任务可能是根据CCPA的消费者查询实际删除数据,或者在消费者要求访问其个人信息时创建报告。从市场营销到销售,再到客户服务,这些活动都涉及到组织中数据的收集、使用和存储。确定哪些人需要接受教育是建立健全的合规计划的重要部分。

CCPA需要哪些培训?

CCPA使业务负责培训其雇员,以培训CCPA的关键部分,以及如何指导消费者在这些部分下行使其权利。具体而言,需要了解员工:(1)消费者要求企业披露正在收集的内容和针对什么目的的权利(第1798.110节);(2)消费者询问销售或分享哪些个人信息的权利(第1798.115条);(3)对在CCPA下歧视行使隐私权的消费者的企业禁令(第1798.125条);(4)业务的政策披露责任和规则规范如何响应消费者请求(第1798.130条)。

确保员工可以正确直接消费者的最简单方法之一是为您的网站提出CCPA任务隐私通知,并创建一个传播所有相关员工的内部合规策略。