CCPA

Что такое CCPA?

Команда Калифорнийский закон о защите прав потребителей (CCPA) государственный закон, который усиливает права потребителей на конфиденциальность и регулирует сбор, использование и продажу личной информации компаниями, работающими в Калифорнии. CCPA — это ответ Калифорнии на GDPR Европейского союза. Он предоставляет потребителям право на доступ, удаление, исправление и т. д. для обеспечения прозрачности и подотчетности в практике работы с данными.

Обзор CCPA

• Закон: Закон о конфиденциальности потребителей в Калифорнии
• Регион: Калифорния
• Подписано: 28-06-2018
• Дата вступления в силу: 01-01- 2020
• Промышленность: Все отрасли, которые ведут бизнес в Калифорнии

Персональные данные в соответствии с CCPA

CCPA определяет персональную информацию как любую информацию, которая идентифицирует субъекта данных, а также ту информацию, которая может быть обоснованно связана с конкретным субъектом данных.

Прямые идентификаторы: Имя, адрес, электронная почта, номер телефона, номер социального страхования, номер водительских прав, номер паспорта, сетевой идентификатор и т. д.

Косвенные идентификаторы: IP-адрес, история просмотров, записи о покупках, данные геолокации, данные о состоянии здоровья, биометрические данные, аудиозаписи, образовательная информация, информация о трудоустройстве, выводы, сделанные на основе собранных данных (например, привычки в отношении расходов, политические взгляды), и другие данные, которые в совокупности могут идентифицировать человека.

Ключевые компоненты CCPA

Закон Калифорнии о защите прав потребителей (CCPA) основан на нескольких основных компонентах, которые в совокупности создают его всеобъемлющую структуру защиты данных. Эти компоненты охватывают

• XNUMX. Права субъекта данных
• Принципы защиты данных
• Требования к соблюдению
• Обработка запросов данных
• правоприменение
• Обновления политики конфиденциальности

Принцип защиты данных

Принципы защиты данных Закона Калифорнии о защите прав потребителей (CCPA) основываются на следующих основных положениях:

• Ограничение цели: Собранная PII должна использоваться только для конкретных целей, раскрытых потребителю во время сбора. Предприятия не могут использовать ее в не связанных с этим целях без дополнительного согласия.
• Минимизация данных: Предприятия могут собирать только разумно необходимые PII для своих заявленных целей. Сбор чрезмерных или нерелевантных данных вызывает проблемы с конфиденциальностью и увеличивает риски соответствия.
• Безопасность данных: Предприятия должны применять разумные меры безопасности для защиты PII от несанкционированного доступа, раскрытия, изменения или уничтожения. Эти меры включают шифрование, контроль доступа, регулярные оценки безопасности и многое другое.
• Прозрачность: Компании должны быть прозрачны в отношении собираемой ими PII, ее целей и любых третьих лиц, с которыми они делятся данными. Им также нужны механизмы, позволяющие потребителям осуществлять свои права и решать проблемы.
• Ответственность: Предприятия несут ответственность за соблюдение требований CCPA, включая реагирование на запросы потребителей и обеспечение соблюдения закона сторонними поставщиками услуг.

Права в соответствии с CCPA

CCPA предоставляет жителям Калифорнии различные права в отношении их персональных данных:

• Право на информирование
• Право на доступ
• Право на удаление
• Право на исправление
• Право на ограничение использования
• Право на отказ от продажи
• Право на недискриминацию

Кто должен соблюдать

CCPA применяется к предприятиям, которые:

• Ведите бизнес в Калифорнии.
• Собирайте личные данные жителей Калифорнии.
• Иметь годовой валовой доход свыше 25 миллионов долларов.
• Ежегодно покупайте или продавайте личные данные 50,000 XNUMX и более жителей Калифорнии.
• Получать 50% или более своего валового дохода от продажи персональных данных жителей Калифорнии.

Исключения

Хотя CCPA направлен на всестороннюю защиту конфиденциальности данных, он включает в себя несколько исключений:

• Коммуникации между предприятиями: Данная политика не распространяется на персональные данные, собираемые для корпоративного общения, то есть взаимодействия между предприятиями, а не между компаниями и частными лицами.
• Данные о сотруднике: Информация о сотрудниках, собираемая и используемая исключительно в контексте трудовых отношений, выходит за рамки CCPA. Однако данные, собираемые о кандидатах на работу, подпадают под защиту CCPA.
• Общедоступная информация: Персональные данные, уже доступные в публичных записях, не подпадают под действие правил CCPA.
• Финансовые институты: Информация, регулируемая конкретными федеральными законами, такими как Закон о добросовестной кредитной отчетности (FCRA) или Закон Грэмма-Лича-Блайли (GLBA), освобождается от определенных положений CCPA.
• Исследование: Научные, исторические или статистические исследования могут быть освобождены от требования CCPA об удалении при определенных условиях, таких как информированное согласие и обоснование общественных интересов.
• Информация о владельце транспортного средства: Закон о защите конфиденциальности водителей (DPPA) заменяет CCPA в отношении такой информации, как сведения о владельце транспортного средства, передаваемой дилерами и производителями в целях гарантии или отзыва.
• Сектор здравоохранения: В вопросах, касающихся защищенной медицинской информации (PHI), Закон штата Калифорния о конфиденциальности медицинской информации (CMIA) имеет преимущественную силу по сравнению с CCPA.
• Правоохранительная деятельность: Персональные данные, собираемые и используемые в целях обеспечения соблюдения закона, выходят за рамки CCPA.

Нормативные штрафы

CCPA предусматривает два вида штрафов за несоблюдение:

Штрафы за нарушение: Намеренные нарушения: $7,500 за нарушение, без установленного максимума. Это означает, что штрафы могут быстро увеличиваться в зависимости от количества пострадавших лиц и нарушений.

Непреднамеренные нарушения: $2,500 за правонарушение, с ограничением в $2,500 за случай утечки данных. Это подчеркивает важность превентивных мер для избежания непреднамеренных ошибок.

Потребительские иски: Установленные законом убытки: $100-$750 на каждого пострадавшего потребителя за инцидент или фактически понесенный ущерб (в зависимости от того, что больше). Это дает людям право требовать прямую компенсацию за нарушение конфиденциальности.

Судебный запрет: Суды могут выносить постановления о прекращении незаконной деятельности и предотвращении причинения вреда в будущем.

Орган по обеспечению соответствия CCPA

Основным органом по обеспечению соблюдения Закона о защите прав потребителей Калифорнии является Генеральная прокуратура Калифорнии (CAO). Агентство по защите конфиденциальности Калифорнии начало свою работу в июле 2023 года. Однако CPPA в первую очередь занимается разработкой правил и образованием, переняв большую часть этих обязанностей у CAO. CAO сохраняет за собой правоприменительные полномочия в соответствии с CCPA и другими текущими правовыми обязанностями. Таким образом, хотя CPPA играет все большую роль в обеспечении соблюдения CCPA, Генеральная прокуратура Калифорнии остается основным органом по обеспечению соблюдения этого закона.

В заключение, понимание и соблюдение правил CCPA имеют первостепенное значение для компаний, работающих в Калифорнии или обрабатывающих персональные данные жителей Калифорнии. Методы маскировки данных, такие как анонимизация данных, шифрование данных и редактирование данных, могут значительно снизить риск несоблюдения и утечки данных за счет сокрытия конфиденциальной PII в средах разработки, тестирования и аналитики. Это сводит к минимуму раскрытие конфиденциальной информации, такой как персональные данные (PII), финансовые записи, защищенная медицинская информация, номера социального страхования и т. д., упрощая соблюдение CCPA и повышая безопасность и конфиденциальность данных.