Kalifornijska ustawa o prawach prywatności (CPRA): Czy jesteś gotowy na CCPA 2.0?
Opublikowany: 2020-12-01
W maju 2020 r. grupa zajmująca się ochroną prywatności Californians for Consumer Privacy ogłosiła, że zebrała 900 000 podpisów, aby dodać California Privacy Rights Act (znaną również jako CPRA, CCPA 2.0, Proposition 24 lub Prop 24) do głosowania z listopada 2020 r.
3 listopada 56% Kalifornijczyków głosowało za CPRA w wyborach powszechnych. Ustawa ma na celu zrewidować i zastąpić kalifornijską ustawę o ochronie prywatności konsumentów (CCPA), gdy wejdzie ona w życie 1 stycznia 2023 r.
Krótko mówiąc, prawo rozszerza prawa użytkowników do prywatności w celu dostosowania do RODO, nakłada dodatkowe obowiązki na firmy i ustanawia pierwszy organ rządowy zajmujący się wdrażaniem i egzekwowaniem prywatności w USA, Kalifornijską Agencję Ochrony Prywatności (CPPA) .
CCPA wywarła już znaczący wpływ poza Kalifornią, stając się standardem ochrony danych w całych Stanach Zjednoczonych. Dlatego ustawa ta musi być uważnie obserwowana — może mieć wpływ na firmy, nawet jeśli nie mają siedziby w Kalifornii. Poniżej przedstawiamy kluczowe kwestie, które marketerzy powinni wiedzieć, aby rozpocząć przygotowania do nowych wymagań dotyczących zgodności.
Nowa Agencja ds. Egzekwowania Prywatności
Po wejściu w życie ogólnego rozporządzenia o ochronie danych (RODO), UE wyznaczyła organ ochrony danych do egzekwowania przepisów. Stany Zjednoczone nie mają porównywalnego uprawnienia do narzucania nowych praw do prywatności konsumentów.
W tym miejscu wkracza Kalifornijska Agencja Ochrony Prywatności (CPPA). Jej rolą jest wyjaśnianie nowych wytycznych, nakładanie grzywien i przeprowadzanie przesłuchań w sprawie naruszeń prywatności.
Nowe prawa konsumentów i koncepcje PII
CPRA wprowadza nowe koncepcje (które już istnieją w UE dzięki RODO) do krajobrazu prywatności danych w Kalifornii.
Oto niektóre z nich wyjaśnione:
- Prawo do sprostowania – Przyznanie konsumentom prawa do poprawiania niedokładnych danych osobowych.
- Prawo do ograniczenia – Przyznanie konsumentom prawa do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych.
- „Wrażliwe” informacje umożliwiające identyfikację osoby – Zgodnie z nowym prawem niektóre rodzaje informacji, takie jak numery PESEL, numery paszportów, dokładna lokalizacja geograficzna, informacje biometryczne itp. będą oznaczone jako „wrażliwe”.
Co się zmieniło?
CCPA 2020
- Dobrze wiedzieć
- Prawo do usunięcia
- Prawo do rezygnacji ze sprzedaży stronom trzecim
- Prawo do niedyskryminacji
Domyślnie włącza wrażliwe dane osobowe do szerszego regulowanego zbioru danych, ale nie nakłada odrębnych wymogów i zakazów dotyczących poufnych danych osobowych (innych niż zwiększone wymogi weryfikacyjne).
CPRA 2023
- Dobrze wiedzieć
- Prawo do usunięcia
- Prawo do rezygnacji ze sprzedaży i udostępniania stronom trzecim
- Prawo do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych
- Prawo do sprostowania
- Prawo do dostępu do informacji o zautomatyzowanym podejmowaniu decyzji
- Prawo do rezygnacji z technologii automatycznego podejmowania decyzji
- Prawo do ograniczenia wrażliwych danych osobowych
- Obowiązki audytowe
- Prawo do niedyskryminacji
Nakłada osobne wymagania i ograniczenia na wrażliwe PI:
- Wymagania dotyczące ujawniania informacji
- Wymogi dotyczące rezygnacji z wykorzystywania i ujawniania
- Standard zgody na wykorzystanie i ujawnienie
- Wymagania dotyczące ograniczenia celu
Nowa definicja sprzedaży danych osobowych
CPRA określi w nowy sposób, co firmy mogą zrobić z danymi osobowymi, które zbierają od mieszkańców Kalifornii. Zgodnie z CCPA sprzedaż została zdefiniowana jako „wymiana danych w celu uzyskania pewnego rodzaju wynagrodzenia”, definicja uznawana przez wielu za zbyt niejasną. CPRA rozwiązuje ten problem, dzieląc udostępnianie i sprzedaż danych osobowych osób na dwie różne kategorie.
Co się zmieniło?
CCPA 2020
- Ma ponad 25 milionów dolarów rocznych przychodów;
- kupuje lub sprzedaje LUB otrzymuje lub udostępnia w celach komercyjnych dane osobowe ponad 50 000 konsumentów, gospodarstw domowych lub urządzeń; lub
- czerpie co najmniej 50% rocznych przychodów ze sprzedaży konsumenckich PI.
CPRA 2023
- Ma ponad 25 milionów dolarów rocznych przychodów;
- kupuje, sprzedaje lub udostępnia PI ponad 100 000 konsumentów lub gospodarstw domowych; lub
- czerpie co najmniej 50% rocznych przychodów ze sprzedaży lub udostępniania danych osobowych konsumentów.
Więcej praw dla dzieci poniżej 16 roku życia
- Zwiększone kary administracyjne za bezprawne udostępnianie danych osobowych dzieci : Wszelkie naruszenia dotyczące danych osobowych dzieci poniżej 16 roku życia podlegają grzywnie w wysokości 7500 USD za każde naruszenie. Zgodnie z obecną ustawą kara ta była zarezerwowana tylko za umyślne naruszenia. Maksymalna grzywna w wysokości 2500 USD za wszystkie inne nieumyślne działania z udziałem osób powyżej 16 roku życia pozostaje taka sama.
- Wymogi zgody na wyrażenie zgody na udostępnianie danych osobowych dzieci poniżej 16 roku życia: Zgodnie z CPRA konsumenci mogą nie tylko zrezygnować ze sprzedaży swoich danych osobowych, ale także ze sprzedaży ich w szczególności stronom trzecim. Podobnie, CCRA zajmuje się potrzebą zbierania przez przedsiębiorstwa pozytywnej zgody na udostępnianie lub sprzedaż danych osobowych dzieci poniżej 16 roku życia. konsumenta lub rodzica lub opiekuna konsumenta, w celu określenia, że konsument ma mniej niż 13 lat lub co najmniej 13 lat i mniej niż 16 lat.”
Co nowego dla wykonawców? Zobowiązania umowne dostawców usług
CPRA wprowadza termin „kontrahenci”, aby opisać tych, którym przedsiębiorstwo udostępnia dane osobowe konsumenta w celach biznesowych na podstawie pisemnej umowy (podobnie jak „dostawcy usług” CCPA, gdzie odnosi się do osób przetwarzających dane osobowe „ w imieniu” firmy).
Chociaż CCPA była niejednoznaczna w swoich definicjach usługodawców i dostawców usług podwykonawczych, CPRA ustanawia nowe przepisy bardzo wyraźnie. Każdy wykonawca lub usługodawca jest zobowiązany pisemną umową do zachowania przejrzystości w zakresie wszelkiej współpracy z innymi podwykonawcami przetwarzania. Usługodawcy nie mogą dodawać ani przechowywać żadnych innych danych konsumentów, co daje firmom prawo do „podejmowania rozsądnych i odpowiednich kroków” w celu zapewnienia, że dane osobowe nie są pozyskiwane lub wykorzystywane w sposób nieetyczny.
Co marketerzy powinni wiedzieć o CPRA
W 2023 r. marketerzy muszą zwracać większą uwagę na dane, które zbierają i wykorzystują w celu dotarcia do konsumentów, niezależnie od tego, czy są to dane własne, czy zewnętrzne, takie jak informacje o budowaniu odbiorców i kierowaniu wykorzystywane przez reklamodawców. Wszelkie gromadzenie danych, zarówno bezpośrednio, jak i za pośrednictwem innych usługodawców lub wykonawców, będzie wymagało wyraźnej zgody konsumenta . Każde późniejsze wykorzystanie, udostępnianie lub sprzedaż danych osobowych również musi zostać ujawnione.
Oto, co marketerzy muszą zrobić, aby przygotować się do CPRA:
1. Nadaj priorytet przejrzystości w swojej firmie
CPRA jasno stwierdza, że firmy muszą zachować przejrzystość w zakresie gromadzonych danych. Jeśli już zwracasz uwagę na to, jak zbierasz dane, gdzie je przechowujesz, jak długo je przechowujesz i jak nimi zarządzasz przez cały cykl życia, nadszedł czas, aby udostępnić wszystkie te miary swoim użytkownikom. W tym samym duchu, zgodnie z CPRA, przedsiębiorstwa będą miały ograniczone możliwości korzystania ze struktur zgody, aby skłonić użytkowników do wykonywania określonych działań. Jeśli jest to coś, co robi Twój dział marketingu, zacznij analizować, w jaki sposób zbierasz zgodę, aby uniknąć wszelkich ciemnych wzorców i niejawnej zgody.
2. Przejrzyj pliki cookie i zasady aktualizacji
Podobnie jak RODO, CPRA ogranicza niektóre funkcje udostępniania danych, które obejmują korzystanie z plików cookie. Rozpocznij inwentaryzację plików cookie znajdujących się w Twojej witrynie i zaktualizuj swoje zasady, aby upewnić się, że są zgodne z najnowszymi przepisami. Upewnij się, że zaktualizowałeś swoje słownictwo, aby uwzględnić wszystkie nowe klauzule CPRA – czy zbierasz jakieś „wrażliwe” PI? Jak użytkownicy mogą zrezygnować z technologii automatycznego podejmowania decyzji? Upewnij się, że te uwagi są jasne dla konsumentów.
3. Przejrzyj wszystkie umowy z partnerami (w tym z wydawcami)
Jako firma związana z CPRA musisz upewnić się, że Twoi partnerzy zapewniają taki sam poziom zgodności z przepisami dotyczącymi prywatności, jak Ty. Dokładnie przejrzyj wszystkie swoje umowy (jeśli to konieczne, jeśli to konieczne), aby upewnić się, że wszystkie dane użytkownika są uzyskiwane za wyraźną zgodą i zarządzane w sposób etyczny.
CPRA ogranicza praktyki sprzedaży danych, zwłaszcza jeśli chodzi o targetowanie odbiorców i targetowanie behawioralne. Upewnij się, że sprawdzasz swoje relacje partnerskie z wydawcami i faworyzujesz tych, którzy korzystają z własnych pul danych i uzyskali dane zgodnie z niniejszymi przepisami dotyczącymi prywatności.
4. Pracuj z ekspertem ds. prywatności
Niezależnie od tego, czy zatrudniasz kogoś, czy współpracujesz z zewnętrznym konsultantem lub agencją, potrzebujesz specjalisty, który pomoże Ci być na bieżąco z najnowszymi przepisami. CPRA prawdopodobnie nie jest ostatnią ustawą o ochronie danych, która wpłynie na Twój biznes. W rzeczywistości prawo wyznacza nowe standardy, które prawdopodobnie zostaną w przyszłości przyjęte w całym kraju.
Jesteś gotowy?
Teraz, gdy ustawa przeszła, firmy muszą zapoznać się z nowymi wymaganiami dotyczącymi zgodności. Ustawa wchodzi w życie 1 stycznia 2023 r. i wchodzi w życie 1 lipca 2023 r., ale może już mieć zastosowanie do danych osobowych gromadzonych przez firmy już 1 stycznia 2022 r.
Tak długie wypowiedzenie na dostosowanie się do nowych przepisów dotyczących prywatności może wydawać się przesadne, ale w większych organizacjach sprawy mogą się szybko komplikować, zwłaszcza jeśli współpracujesz z wieloma partnerami. Dlatego zalecamy natychmiastowe rozpoczęcie pracy.
Jakieś pytania? Convert to najbardziej zgodne z prywatnością narzędzie do testowania A/B na rynku. Nasi eksperci znają wszystkie tajniki przepisów dotyczących prywatności oraz tego, czego potrzeba, aby zachować pełną zgodność — wyślij nam swoje pytania tutaj.
