GDPR مقابل CCPA: كل شيء يتعلق بقانون خصوصية المستهلك في كاليفورنيا لعام 2020 (وكيف يتراكم ضد القانون العام لحماية البيانات (GDPR))
نشرت: 2019-06-12
اللائحة العامة لحماية البيانات ('GDPR') وقانون خصوصية المستهلك في كاليفورنيا لعام 2018 ('CCPA') (الذي تم تعديله تقنيًا بواسطة قانون مجلس الشيوخ في كاليفورنيا 1121 (SB-1121)) ، كلاهما يهدف إلى ضمان حماية قوية للأفراد فيما يتعلق بياناتهم الشخصية وتنطبق على الشركات التي تجمع بيانات المستهلك أو تستخدمها أو تشاركها ، سواء تم الحصول على المعلومات عبر الإنترنت أو دون الاتصال بالإنترنت.
اللائحة العامة لحماية البيانات ، التي دخلت حيز التنفيذ في 25 مايو 2018 ، هي واحدة من أكثر قوانين حماية البيانات شمولاً في العالم حتى الآن. في غياب قانون خصوصية فيدرالي شامل في الولايات المتحدة ، يعتبر CCPA أحد أهم التطورات التشريعية المتعلقة بالخصوصية. مثل القانون العام لحماية البيانات (GDPR) ، من المتوقع أن يكون تأثير قانون خصوصية المستهلك في كاليفورنيا (CCPA) عالميًا ، نظرًا لوضع كاليفورنيا كخامس أكبر اقتصاد عالمي. ستدخل CCPA حيز التنفيذ في 1 يناير 2020 ، لكن بعض الأحكام الواردة في CCPA تتطلب من المنظمات تزويد المستهلكين بمعلومات حول فترة الـ 12 شهرًا السابقة ، وبالتالي قد تكون الأنشطة للامتثال لـ CCPA ضرورية في وقت أقرب من تاريخ السريان.
القانونان متشابهان فيما يتعلق بتعريفهما لمصطلحات معينة ؛ إنشاء تدابير حماية إضافية للأفراد دون سن 16 عامًا ؛ وإدراج حقوق الوصول إلى المعلومات الشخصية. ومع ذلك ، فإن قانون حماية خصوصية المستهلك CCPA يختلف عن اللائحة العامة لحماية البيانات في نواحٍ هامة ، لا سيما فيما يتعلق بنطاق التطبيق ؛ طبيعة ومدى قيود المجموعة ؛ والقواعد المتعلقة بالمساءلة.
الالئحة العامة لحماية البيانات وقانون حماية خصوصية المستهلك: مقارنة للشركات
المادة 4 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.140
موضوعات البيانات ، المُعرَّفة على أنها أشخاص محددين أو قابلين للتحديد تتعلق بهم البيانات الشخصية.
يُعرف المستهلكون بأنهم من سكان كاليفورنيا وهم إما:
- في ولاية كاليفورنيا لغير الأغراض المؤقتة أو المؤقتة.
- مقيم في كاليفورنيا ولكنه موجود حاليًا خارج الولاية لغرض مؤقت أو مؤقت.
يشمل المستهلكون:
- عملاء السلع والخدمات المنزلية.
- الموظفين.
- المعاملات بين الشركات.
في حين لا ينطبق القانون العام لحماية البيانات (GDPR) أو قانون حماية خصوصية المستهلك (CCPA) على الأشخاص الاعتباريين ، فإن كلاهما ينطبق على الأشخاص الطبيعيين ، ولكن مع اختلاف في طريقة تعريفهم. ينص قانون CCPA بوضوح على أنه ينطبق على سكان كاليفورنيا ، بينما يستخدم القانون العام لحماية البيانات (GDPR) مصطلحًا أكثر غموضًا "مواضيع بيانات الاتحاد الأوروبي" دون تسمية أي متطلبات إقامة أو جنسية. تحمي CCPA أيضًا البيانات التي يمكن ربطها بأسرة معينة ، وليس فقط بالفرد كما تفعل اللائحة العامة لحماية البيانات (GDPR).
المادة 3 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.140
مراقبو البيانات ومعالجي البيانات:
- تأسست في الاتحاد الأوروبي والتي تعالج البيانات الشخصية في سياق أنشطة مؤسسة الاتحاد الأوروبي ، بغض النظر عما إذا كانت معالجة البيانات تتم داخل الاتحاد الأوروبي أم لا.
- لم يتم تأسيسه في الاتحاد الأوروبي الذي يعالج البيانات الشخصية لأصحاب البيانات في الاتحاد الأوروبي فيما يتعلق بتقديم السلع أو الخدمات في الاتحاد الأوروبي ، أو مراقبة سلوكهم.
أي كيان ربحي يمارس نشاطًا تجاريًا في كاليفورنيا ، ويلبي أحد العناصر التالية:
- لديها إيراد إجمالي أكبر من 25 مليون دولار.
- يشتري أو يستقبل أو يبيع أو يشارك المعلومات الشخصية لأكثر من 50000 مستهلك أو أسرة أو جهاز سنويًا لأغراض تجارية.
- تستمد 50 بالمائة أو أكثر من إيراداتها السنوية من بيع المعلومات الشخصية للمستهلكين.
نطاق القانون العام لحماية البيانات (GDPR) واسع: فهو ينطبق على جميع المؤسسات ، من الشركات إلى المؤسسات العامة والقطاع غير الربحي. وفي الوقت نفسه ، قيدت CCPA قابليتها للتطبيق على الشركات الربحية التي تفي بمتطلبات واضحة للغاية.
فيما يتعلق بالموقع الجغرافي ، ينطبق القانون العام لحماية البيانات (GDPR) على أي شركة تعالج بيانات موضوعات بيانات الاتحاد الأوروبي ، أينما كانوا. قانون CCPA غير واضح بشأن هذه النقطة: يجب أن تكون الشركات الواقعة ضمن ولايتها القضائية "تمارس نشاطًا تجاريًا في كاليفورنيا" ، ولكنها لا توضح ما إذا كان يجب أن تكون الشركة موجودة في الولاية أو تفي بحدود ربح معينة للتأهل على هذا النحو.
المادة 4 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.140
البيانات الشخصية هي أي معلومات تتعلق بموضوع بيانات محدد أو قابل للتحديد. يحظر القانون العام لحماية البيانات معالجة فئات خاصة محددة من البيانات الشخصية ما لم يتم تطبيق مبرر قانوني للمعالجة.
المعلومات الشخصية التي تحدد هوية مستهلك أو أسرة معينة ، أو تتعلق بها ، أو تصفها ، أو يمكن أن ترتبط بها ، أو يمكن أن ترتبط بشكل معقول ، بشكل مباشر أو غير مباشر ، بمستهلك أو أسرة معينة.
ينطبق القانون العام لحماية البيانات (GDPR) على جميع فئات البيانات الشخصية ، بينما ينطبق قانون خصوصية المستهلك في كاليفورنيا (CCPA) فقط على البيانات التي لا تغطيها قوانين الخصوصية الفيدرالية الحالية مثل قانون Gramm-Leach-Bliley (GLBA) أو قانون نقل المعلومات الصحية والمساءلة (HIPAA).
المادة 4 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.140
تعتبر البيانات ذات الأسماء المستعارة بيانات شخصية. البيانات المجهولة لا تعتبر بيانات شخصية.
لا يقيد قانون خصوصية المستهلك في كاليفورنيا (CCPA) قدرة الشركة على جمع أو استخدام أو الاحتفاظ أو بيع أو الكشف عن معلومات المستهلك مجهولة الهوية أو المجمعة. ومع ذلك ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يؤسس شريطًا عاليًا للمطالبة بأن البيانات غير محددة الهوية أو مجمعة. قد يتم تصنيف البيانات ذات الأسماء المستعارة على أنها معلومات شخصية بموجب قانون خصوصية المستهلك في كاليفورنيا لأنها تظل قادرة على الارتباط بمستهلك أو أسرة معينة.
تعريف "الاسم المستعار" بموجب القانون العام لحماية البيانات وقانون حماية خصوصية المستهلك (CCPA) مشابه جدًا من حيث أنه يتم معالجة البيانات الشخصية بطريقة لا يمكن أن تُنسب البيانات الشخصية إلى شخص محدد أو يمكن التعرف عليه دون استخدام معلومات إضافية ، من خلال وضع التدابير الفنية والتنظيمية التي تحتفظ بالمعلومات الإضافية اللازمة لتحديد الهوية بشكل منفصل.
المادة 13 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.100
يجب على مراقبي البيانات تقديم معلومات مفصلة حول أنشطة جمع البيانات الشخصية ومعالجة البيانات. يجب أن يتضمن الإشعار معلومات محددة اعتمادًا على ما إذا كانت البيانات قد تم جمعها مباشرة من صاحب البيانات أو من طرف ثالث.
يجب على الشركات إبلاغ المستهلكين بما يلي:
- فئات المعلومات الشخصية التي تم جمعها.
- أغراض الاستخدام المقصود لكل فئة.
يتطلب كل من القانون العام لحماية البيانات وقانون حماية خصوصية المستهلك (CCPA) من المنظمات الكشف عما تفعله بالبيانات الشخصية التي تجمعها. ومع ذلك ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يتطلب من الشركات الكشف عن مبيعات البيانات والأنشطة المتعلقة بمعالجة البيانات في آخر 12 شهرًا ، في حين أن القانون العام لحماية البيانات (GDPR) لا يضع مثل هذه القيود.
المادة 24 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.150
تتطلب اللائحة العامة لحماية البيانات (GDPR) مراقبي البيانات ومعالجي البيانات اتخاذ التدابير الفنية والتنظيمية المناسبة لضمان مستوى الأمان المناسب للمخاطر.
لا تفرض CCPA متطلبات أمان البيانات بشكل مباشر. ومع ذلك ، فإنه ينشئ حقًا في اتخاذ إجراء بشأن بعض انتهاكات البيانات التي تنتج عن انتهاكات واجب الشركة في تنفيذ والحفاظ على ممارسات وإجراءات أمنية معقولة مناسبة للمخاطر الناشئة عن قانون كاليفورنيا الحالي.
- فئات المعلومات الشخصية التي تم جمعها.
- أغراض الاستخدام المقصود لكل فئة.
متشابه إلى حد كبير في النهج القانوني على الرغم من أن التدابير الأمنية المعقولة قد تختلف إلى حد ما وفقًا لظروف المنظمة وتفسير المنظم.
المادة 12 من القانون العام لحماية البيانات (GDPR) - المادة 21 ، قانون حماية المستهلك CCPA 1798.120
حقوق الفرد الموسعة:
- الوصول إلى معلوماتهم ؛
- تصحيح الأخطاء ؛
- تم مسح المعلومات ؛
- منع التسويق المباشر.
- منع صنع القرار الآلي والتنميط ؛
- قابلية نقل البيانات.
حقوق الفرد الموسعة:
- الوصول إلى معلوماتهم ؛
- تصحيح الأخطاء ؛
- تم مسح المعلومات ؛
- منع التسويق المباشر.
- منع صنع القرار الآلي والتنميط ؛
- قابلية نقل البيانات.
بينما يتطلب القانون العام لحماية البيانات (GDPR) من المؤسسات الحصول على موافقة مسبقة من موضوعات البيانات لمعالجة البيانات ووصول طرف ثالث إلى بياناتهم ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يسمح لموضوعات البيانات بإلغاء الاشتراك في بيع بياناتهم ويتطلب من الشركات أن يكون لها رابط مرئي في الأعلى من صفحتهم الرئيسية لهذا الغرض.
يوفر كل من القانون العام لحماية البيانات (GDPR) وقانون حماية خصوصية المستهلك (CCPA) الحق في إمكانية نقل البيانات: أي تزويد المستهلكين ببياناتهم الشخصية بتنسيق شائع الاستخدام وقابل للقراءة آليًا يمكن نقله بعد ذلك إلى كيان آخر.
يذهب القانون العام لحماية البيانات (GDPR) خطوة إلى الأمام في هذا الاتجاه ، حيث يُلزم المؤسسات بنقل معلومات موضوع البيانات إلى مراقب بيانات آخر عند الطلب.
بموجب قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) ، يُطلب من الشركات فقط تزويد المستهلكين بالمعلومات إلكترونيًا بصيغة سهلة الاستخدام.
في حين أن حق اللائحة العامة لحماية البيانات (GDPR) في المحو له بعض الاستثناءات الملحوظة مثل البيانات اللازمة لممارسة الحق في حرية التعبير أو البيانات اللازمة للامتثال لقانون الاتحاد الأوروبي أو قانون الدول الأعضاء في الاتحاد الأوروبي ، فإن قانون حماية خصوصية المستهلك (CCPA) يوسع هذه الاستثناءات بشكل أكبر من خلال تضمين ليس فقط حرية التعبير والمعلومات مطلوبة للعقود ، ولكن ، على وجه الخصوص ، أيضًا الاستخدامات الداخلية المتوافقة مع السياق الذي قدم فيه المستهلك البيانات.
المادة 8 من القانون العام لحماية البيانات (GDPR) ، قانون حماية خصوصية المستهلك CCPA 1798.120
السن الافتراضي للموافقة في اللائحة العامة لحماية البيانات هو 16 ، على الرغم من أن قانون الدول الأعضاء الفردي قد يخفض السن إلى ما لا يقل عن 13 عامًا.
يجب على الشخص الذي يتحمل مسؤولية الوالدين تقديم الموافقة للأطفال الذين تقل أعمارهم عن سن الرشد. يجب أن يتلقى الأطفال إشعار خصوصية مناسب للعمر.
تخضع البيانات الشخصية للأطفال لمتطلبات أمنية مشددة.
يحظر قانون CCPA بيع المعلومات الشخصية للمستهلك دون سن 16 عامًا دون موافقة.
يمكن للأطفال الذين تتراوح أعمارهم بين 13 و 16 عامًا تقديم الموافقة مباشرة. يحتاج الأطفال دون سن 13 عامًا إلى موافقة الوالدين.
تؤكد اللائحة العامة لحماية البيانات على الحماية الخاصة للأطفال وتوفر أحكامًا محددة لحماية البيانات الشخصية للأطفال عند معالجتها لتوفير خدمات مجتمع المعلومات.
يضع قانون خصوصية المستهلك في كاليفورنيا (CCPA) قاعدة خاصة للأطفال فيما يتعلق بـ "بيع" المعلومات الشخصية ، ولكن هذه القاعدة لا تقتصر على خدمات مجتمع المعلومات.
في حين أن القانون العام لحماية البيانات (GDPR) وقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) يتوافقان من نواحٍ عديدة ، إلا أن هناك اختلافات ملحوظة بين اللائحتين.
غالبًا ما تكون تعريفات الالئحة العامة لحماية البيانات أوسع نطاقاً ، في حين أن قانون خصوصية المستهلك في كاليفورنيا قد اتخذ نهجًا أكثر تحديدًا في نطاقه. ومع ذلك ، لا يعني هذا أنه نظرًا لأن التحويل متوافق مع القانون العام لحماية البيانات (GDPR) ، فلن يكون لدينا خطة عمل مطبقة للامتثال القوي لـ CCPA. سنطبق نفس الصرامة والإعداد لقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) ، مع اقتراب موعد الفرض ، ونبقيك على اطلاع دائم.
