قانون حقوق الخصوصية في كاليفورنيا (CPRA): هل أنت مستعد لـ CCPA 2.0؟
نشرت: 2020-12-01
في مايو 2020 ، أعلنت مجموعة كاليفورنيا للدفاع عن الخصوصية من أجل خصوصية المستهلك أنها جمعت 900000 توقيع لإضافة قانون حقوق الخصوصية في كاليفورنيا (المعروف أيضًا باسم CPRA أو CCPA 2.0 أو Proposition 24 أو Prop 24) إلى اقتراع نوفمبر 2020.
في 3 نوفمبر ، صوت 56٪ من سكان كاليفورنيا لصالح CPRA في الانتخابات العامة. يهدف القانون إلى مراجعة قانون خصوصية المستهلك في كاليفورنيا (CCPA) والنجاح فيه ، بمجرد دخوله حيز التنفيذ في 1 يناير 2023.
باختصار ، يوسع القانون حقوق خصوصية المستخدم لتتماشى مع اللائحة العامة لحماية البيانات ، ويفرض واجبات إضافية على الشركات ، ويؤسس أول سلطة حكومية مخصصة لتطبيق الخصوصية وإنفاذها في الولايات المتحدة ، وهي وكالة حماية الخصوصية في كاليفورنيا (CPPA) .
كان لقانون خصوصية المستهلك في كاليفورنيا (CCPA) بالفعل تأثير كبير خارج كاليفورنيا ، حيث أصبح معيارًا لخصوصية البيانات في جميع أنحاء الولايات المتحدة. لهذا السبب يجب مراقبة مشروع القانون هذا عن كثب - فقد يؤثر على الأعمال التجارية حتى لو لم يكن مقرها في كاليفورنيا. فيما يلي حددنا النقاط الرئيسية التي يحتاج المسوقون إلى معرفتها لبدء التحضير لمتطلبات الامتثال الجديدة.
وكالة إنفاذ الخصوصية الجديدة
عندما دخلت اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ ، عين الاتحاد الأوروبي هيئة حماية البيانات لإنفاذ القوانين. لا تملك الولايات المتحدة سلطة مماثلة لفرض حقوق خصوصية المستهلك الجديدة.
هذا هو المكان الذي تأتي فيه وكالة حماية الخصوصية في كاليفورنيا (CPPA). ويتمثل دورها في توضيح الإرشادات الجديدة ، وفرض الغرامات ، وعقد جلسات استماع حول انتهاكات الخصوصية.
حقوق المستهلك الجديدة ومفاهيم PII
تقدم CPRA مفاهيم جديدة (موجودة بالفعل في الاتحاد الأوروبي بفضل اللائحة العامة لحماية البيانات) إلى مشهد خصوصية البيانات في كاليفورنيا.
فيما يلي شرح لبعض منها:
- الحق في التصحيح - منح المستهلكين الحق في تصحيح المعلومات الشخصية غير الدقيقة.
- الحق في التقييد - منح المستهلكين الحق في تقييد استخدام والكشف عن المعلومات الشخصية الحساسة.
- معلومات التعريف الشخصية "الحساسة" - بموجب القانون الجديد ، سيتم تمييز أنواع معينة من المعلومات ، مثل أرقام الضمان الاجتماعي وأرقام جوازات السفر والموقع الجغرافي الدقيق والمعلومات البيومترية وما إلى ذلك ، على أنها "حساسة".
ما الذي تغير؟
CCPA 2020
- الحق في المعرفة
- الحق في الحذف
- الحق في الانسحاب من مبيعات الطرف الثالث
- الحق في عدم التمييز
يتضمن ضمنيًا PI حساسًا في مجموعة بيانات منظمة أوسع نطاقًا ، لكنه لا يفرض متطلبات وحظرًا منفصلًا على PI الحساس (بخلاف متطلبات التحقق المتزايدة).
CPRA 2023
- الحق في المعرفة
- الحق في الحذف
- الحق في الانسحاب من مبيعات الطرف الثالث ومشاركته
- الحق في تقييد الاستخدام والإفصاح عن PI الحساسة
- حق التصحيح
- الحق في الوصول إلى المعلومات حول اتخاذ القرار الآلي
- الحق في الانسحاب من تقنية صنع القرار الآلي
- الحق في تقييد PI الحساسة
- التزامات التدقيق
- الحق في عدم التمييز
يفرض متطلبات وقيود منفصلة على PI الحساسة:
- متطلبات الختام
- متطلبات الانسحاب من الاستخدام والإفصاح
- معيار الموافقة على التمكين للاستخدام والإفصاح
- متطلبات تحديد الغرض
تعريف جديد لبيع المعلومات الشخصية
ستحدد CPRA ما قد تفعله الشركات بالمعلومات الشخصية التي تجمعها من سكان كاليفورنيا بطريقة جديدة. بموجب CCPA ، تم تعريف البيع على أنه "تبادل البيانات لنوع ما من المقابل المالي" ، وهو تعريف يعتبره الكثيرون غامضًا للغاية. تقوم CPRA بتسوية هذه المشكلة عن طريق تقسيم مشاركة المعلومات الشخصية للأشخاص وبيعها إلى فئتين مختلفتين.
ما الذي تغير؟
CCPA 2020
- لديها 25 + مليون دولار في الإيرادات السنوية ؛
- يشتري أو يبيع ، أو يتلقى أو يشارك لأغراض تجارية تجارية ، PI لأكثر من 50000 مستهلك أو أسرة أو أجهزة ؛ أو
- تستمد ما لا يقل عن 50٪ من الإيرادات السنوية من بيع PI للمستهلكين.
CPRA 2023
- لديها 25 + مليون دولار في الإيرادات السنوية ؛
- يشتري أو يبيع أو يشارك PI لأكثر من 100000 مستهلك أو أسرة ؛ أو
- تستمد ما لا يقل عن 50٪ من الإيرادات السنوية من بيع أو مشاركة PI للمستهلكين.
المزيد من الحقوق للأطفال دون سن 16
- زيادة الغرامات الإدارية على مشاركة المعلومات الشخصية للأطفال بشكل غير قانوني : أي انتهاكات تتعلق بالمعلومات الشخصية للأطفال دون سن 16 عامًا تخضع لغرامة قدرها 7500 دولار لكل انتهاك. بموجب القانون الحالي ، تم حجز هذه العقوبة فقط للانتهاكات المتعمدة. يظل الحد الأقصى للغرامة البالغة 2500 دولار أمريكي لجميع الأفعال غير المقصودة التي تشمل أشخاصًا تزيد أعمارهم عن 16 عامًا كما هي.
- متطلبات الموافقة على الاشتراك لمشاركة المعلومات الشخصية للأطفال دون سن 16 عامًا : بموجب قانون حماية الطفل (CPRA) ، لا يمكن للمستهلكين فقط إلغاء الاشتراك في بيع PI الخاص بهم ، ولكن أيضًا إلغاء الاشتراك في بيعها لأطراف ثالثة على وجه التحديد. وبالمثل ، تتناول CCRA حاجة الشركات إلى جمع الموافقة الإيجابية للمشاركة أو بيع PI للأطفال دون سن 16 عامًا. كما تطالب CPRA بوضع قواعد جديدة "لوضع مواصفات فنية لإشارة تفضيل إلغاء الاشتراك التي تسمح المستهلك ، أو الوالد أو الوصي على المستهلك ، لتحديد أن عمر المستهلك أقل من 13 عامًا أو 13 عامًا على الأقل وأقل من 16 عامًا ".
ما الجديد بالنسبة للمقاولين؟ الالتزامات التعاقدية لمقدمي الخدمة
تقدم CPRA مصطلح "المقاولون" لوصف أولئك الذين تتيح لهم الشركة المعلومات الشخصية للمستهلك لغرض تجاري وفقًا لعقد مكتوب (على غرار "مقدمي الخدمات" في CCPA ، حيث تشير إلى الأشخاص الذين يعالجون المعلومات الشخصية " نيابة عن "شركة).
في حين أن قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) كان غامضًا في تعريفه لمقدمي الخدمات ومقدمي الخدمات الفرعية ، فإن CPRA تضع القواعد الجديدة بوضوح شديد. يلتزم أي مقاول أو مزود خدمة بموجب عقد مكتوب بالشفافية بشأن أي تعاون مع المعالجات الفرعية الأخرى. لا يجوز لمقدمي الخدمات إضافة أو الاحتفاظ بأي بيانات مستهلك أخرى ، مما يمنح الشركات الحق في "اتخاذ خطوات معقولة ومناسبة" لضمان عدم الحصول على المعلومات الشخصية أو استخدامها بشكل غير أخلاقي.
ما يحتاج المسوقون لمعرفته حول CPRA
بحلول عام 2023 ، يحتاج المسوقون إلى إيلاء اهتمام أكبر للبيانات التي يجمعونها ويستخدمونها للوصول إلى المستهلكين ، سواء كانت بيانات الطرف الأول أو بيانات الطرف الثالث ، مثل بناء الجمهور ومعلومات الاستهداف التي يستخدمها المعلنون. سيتطلب أي جمع للبيانات ، سواء كان ذلك بشكل مباشر أو من خلال مقدمي خدمة أو مقاولين آخرين ، موافقة صريحة من المستهلك . يجب أيضًا الكشف عن أي استخدام أو مشاركة أو بيع لاحق للمعلومات الشخصية.
إليك ما يتعين على المسوقين القيام به للاستعداد لـ CPRA:
1. إعطاء الأولوية للشفافية في شركتك
يوضح CPRA أن الشركات بحاجة إلى أن تكون شفافة بشأن البيانات التي تجمعها. إذا كنت تهتم بالفعل بكيفية جمع البيانات ، ومكان تخزينها ، ومدة الاحتفاظ بها ، وكيف تديرها طوال دورة الحياة بأكملها ، فقد حان الوقت الآن لمشاركة كل هذه الإجراءات مع المستخدمين. على نفس المنوال ، بموجب قانون حماية الطفل ، سيتم تقييد الشركات في كيفية استخدام هياكل الموافقة لدفع المستخدمين نحو القيام بإجراءات معينة. إذا كان هذا شيئًا يقوم به قسم التسويق لديك ، فابدأ في تحليل كيفية جمع الموافقة لتجنب أي أنماط مظلمة وموافقة ضمنية.
2. مراجعة ملفات تعريف الارتباط وسياسات التحديث
على غرار القانون العام لحماية البيانات (GDPR) ، يحد قانون حماية البيانات الشخصية (CPRA) من بعض وظائف مشاركة البيانات التي تتضمن استخدام ملفات تعريف الارتباط. ابدأ في جرد ملفات تعريف الارتباط الموجودة على موقع الويب الخاص بك وقم بتحديث سياساتك للتأكد من أنها تتماشى مع أحدث اللوائح. تأكد من تحديث الكلام الخاص بك ليشمل جميع البنود الجديدة من CPRA - هل تقوم بجمع أي معلومات رئيسية "حساسة"؟ كيف يمكن للمستخدمين الانسحاب من تكنولوجيا صنع القرار الآلي؟ تأكد من أن هذه الاعتبارات واضحة للمستهلكين.
3. مراجعة جميع العقود مع الشركاء (بما في ذلك الناشرون)
بصفتك شركة مرتبطة بـ CPRA ، يجب عليك التأكد من أن شركائك يقدمون نفس المستوى من الامتثال لقوانين الخصوصية كما تفعل أنت. قم بمراجعة جميع العقود الخاصة بك بدقة (تنطوي على قانونية إذا لزم الأمر) لضمان الحصول على جميع بيانات المستخدم من خلال الموافقة الصريحة وإدارتها بشكل أخلاقي.
يحد CPRA من ممارسات بيع البيانات ، خاصة عندما يتعلق الأمر باستهداف الجمهور والسلوك. تأكد من فحص شراكاتك مع الناشرين وتفضيل أولئك الذين يستخدمون مجموعات بيانات الطرف الأول وحصلوا على البيانات التي تلتزم بلوائح الخصوصية هذه.
4. العمل مع خبير الخصوصية
سواء كنت تستأجر شخصًا أو تعمل مع مستشار أو وكالة خارجية ، فأنت بحاجة إلى متخصص لمساعدتك على مواكبة أحدث اللوائح. ربما لا يكون CPRA هو قانون خصوصية البيانات الأخير الذي سيؤثر على عملك. في الواقع ، يضع القانون معايير جديدة من المرجح أن يتم تبنيها على مستوى الدولة في المستقبل.
هل أنت جاهز؟
الآن بعد أن تم تمرير مشروع القانون ، تحتاج الشركات إلى التعرف على متطلبات الامتثال الجديدة. يدخل القانون حيز التنفيذ في 1 يناير 2023 ويصبح قابلاً للتنفيذ في 1 يوليو 2023 ، ولكن يمكن تطبيقه بالفعل على المعلومات الشخصية التي جمعتها الشركات في 1 يناير 2022.
قد يبدو هذا الإشعار الطويل للتكيف مع لوائح الخصوصية الجديدة مبالغًا فيه ، ولكن يمكن أن تتعقد الأمور بسرعة في المؤسسات الأكبر ، خاصة إذا كنت تعمل مع الكثير من الشركاء. لهذا السبب نوصي بالبدء على الفور.
لديك أي أسئلة؟ تحويل هو أداة اختبار A / B الأكثر توافقًا مع الخصوصية في السوق. يعرف خبراؤنا جميع خصوصيات وعموميات لوائح الخصوصية وما يلزم لتكون متوافقًا تمامًا - أرسل إلينا أسئلتك هنا.
