Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA): готовы ли вы к CCPA 2.0?
Опубликовано: 2020-12-01
В мае 2020 года группа по защите конфиденциальности Californians for Consumer Privacy объявила, что они собрали 900000 подписей, чтобы добавить Калифорнийский закон о правах на конфиденциальность (также известный как CPRA, CCPA 2.0, Предложение 24 или Предложение 24) в бюллетень для голосования в ноябре 2020 года.
3 ноября 56% калифорнийцев проголосовали за CPRA на всеобщих выборах. Закон призван пересмотреть и заменить Калифорнийский закон о конфиденциальности потребителей (CCPA), как только он вступит в силу 1 января 2023 года.
Короче говоря, закон расширяет права пользователей на конфиденциальность в соответствии с GDPR, налагает дополнительные обязанности на бизнес и учреждает первый государственный орган, занимающийся реализацией и обеспечением соблюдения конфиденциальности в США, Калифорнийское агентство по защите конфиденциальности (CPPA) .
CCPA уже оказала значительное влияние за пределами Калифорнии, став стандартом конфиденциальности данных на всей территории США. Вот почему за этим законопроектом нужно внимательно следить — он может повлиять на предприятия, даже если они не базируются в Калифорнии. Ниже мы изложили ключевые моменты, которые необходимо знать маркетологам, чтобы начать подготовку к новым требованиям соответствия.
Новое агентство по обеспечению соблюдения конфиденциальности
После вступления в силу Общего регламента по защите данных (GDPR) ЕС назначил Управление по защите данных для обеспечения соблюдения законов. У США нет сопоставимых полномочий для введения новых прав потребителей на неприкосновенность частной жизни.
Именно здесь вступает в действие Калифорнийское агентство по защите конфиденциальности (CPPA). Его роль заключается в разъяснении новых правил, наложении штрафов и проведении слушаний о нарушениях конфиденциальности.
Новые права потребителей и концепции PII
CPRA вводит новые концепции (которые уже существуют в ЕС благодаря GDPR) в ландшафт конфиденциальности данных в Калифорнии.
Вот некоторые из них, объяснение:
- Право на исправление . Предоставление потребителям права на исправление неточной личной информации.
- Право на ограничение — предоставление потребителям права ограничивать использование и раскрытие конфиденциальной личной информации.
- «Конфиденциальная» личная информация . Согласно новому закону, определенные типы информации, такие как номера социального страхования, номера паспортов, точное географическое местоположение, биометрическая информация и т. д., будут помечены как «конфиденциальные».
Что изменилось?
ССРА 2020
- Право знать
- Право на удаление
- Право на отказ от сторонних продаж
- Право на недискриминацию
Неявно включает конфиденциальные личные данные в более широкий регулируемый набор данных, но не налагает отдельных требований и запретов на конфиденциальные личные данные (кроме повышенных требований к проверке).
КПРА 2023
- Право знать
- Право на удаление
- Право на отказ от продажи и обмена третьими лицами
- Право на ограничение использования и раскрытия конфиденциальных персональных данных
- Право на исправление
- Право на доступ к информации об автоматизированном принятии решений
- Право на отказ от автоматизированной технологии принятия решений
- Право на ограничение конфиденциальных персональных данных
- Обязательства по аудиту
- Право на недискриминацию
Налагает отдельные требования и ограничения на конфиденциальные PI:
- Требования к раскрытию информации
- Требования отказа от использования и раскрытия информации
- Стандарт добровольного согласия на использование и раскрытие информации
- Требования к ограничению цели
Новое определение продажи личной информации
CPRA по-новому определит, что компании могут делать с личной информацией, которую они собирают у жителей Калифорнии. В соответствии с CCPA продажа определяется как «обмен данными за какое-либо финансовое вознаграждение», что многие считают слишком расплывчатым. CPRA решает эту проблему, разделяя обмен и продажу личной информации людей на две разные категории.
Что изменилось?
ССРА 2020
- Имеет годовой доход более 25 миллионов долларов;
- покупает или продает, ИЛИ получает или делится в коммерческих целях, PI более 50 000 потребителей, домохозяйств или устройств; или же
- получает не менее 50% годового дохода от продажи потребительских ИП.
КПРА 2023
- Имеет годовой доход более 25 миллионов долларов;
- покупает, продает или делится PI более 100 000 потребителей или домохозяйств; или же
- получает не менее 50% годового дохода от продажи или обмена потребительскими PI.
Больше прав для детей до 16 лет
- Увеличение административных штрафов за незаконный обмен личной информацией детей . Любые нарушения, связанные с личной информацией детей младше 16 лет, влекут за собой штраф в размере 7500 долларов США за каждое нарушение. Согласно действующему закону, это наказание было зарезервировано только за умышленные нарушения. Максимальный штраф в размере 2500 долларов США за все другие непреднамеренные действия с участием лиц старше 16 лет остается прежним.
- Требования о согласии на передачу личной информации детей младше 16 лет: в соответствии с CPRA потребители могут не только отказаться от продажи своих персональных данных, но и отказаться от продажи их третьим лицам. Аналогичным образом, CCRA учитывает необходимость получения предприятиями положительного согласия на передачу или продажу персональных данных детей младше 16 лет. потребителю или родителю или опекуну потребителя, чтобы указать, что потребителю меньше 13 лет или как минимум 13 лет и меньше 16 лет».
Что нового для подрядчиков? Договорные обязательства поставщиков услуг
CPRA вводит термин «подрядчики» для описания тех, кому бизнес предоставляет личную информацию потребителя в деловых целях в соответствии с письменным договором (аналогично «поставщикам услуг» CCPA, где он относится к лицам, которые обрабатывают личную информацию « от имени» бизнеса).
В то время как CCPA был двусмысленным в своих определениях поставщиков услуг и поставщиков субуслуг, CPRA очень четко устанавливает новые правила. Любой подрядчик или поставщик услуг связан письменным договором о прозрачности любого сотрудничества с другими субобработчиками. Поставщики услуг не могут добавлять или хранить какие-либо другие данные о потребителях, что дает компаниям право «предпринимать разумные и надлежащие шаги», чтобы гарантировать, что личная информация не будет получена или использована неэтичным образом.
Что нужно знать маркетологам о CPRA
В 2023 году маркетологи должны уделять больше внимания данным, которые они собирают и используют для охвата потребителей, будь то собственные или сторонние данные, например информация о формировании аудитории и таргетинге, используемая рекламодателями. Любой сбор данных, будь то напрямую или через других поставщиков услуг или подрядчиков, потребует явного согласия потребителя . Любое последующее использование, обмен или продажа личной информации также должны быть раскрыты.
Вот что нужно сделать маркетологам, чтобы подготовиться к CPRA:
1. Сделайте прозрачность в своей компании приоритетом
CPRA ясно дает понять, что предприятия должны быть прозрачными в отношении данных, которые они собирают. Если вы уже обращаете внимание на то, как вы собираете данные, где вы их храните, как долго вы их храните и как вы управляете ими на протяжении всего жизненного цикла, сейчас самое время поделиться всеми этими мерами со своими пользователями. В том же духе, в соответствии с CPRA, предприятия будут ограничены в том, как они используют структуры согласия, чтобы подтолкнуть пользователей к совершению определенных действий. Если это то, чем занимается ваш отдел маркетинга, начните анализировать, как вы собираете согласие, чтобы избежать любых темных шаблонов и неявного согласия.
2. Ознакомьтесь с политиками использования файлов cookie и обновлений.
Подобно GDPR, CPRA ограничивает определенные функции обмена данными, которые включают использование файлов cookie. Начните проводить инвентаризацию файлов cookie, существующих на вашем веб-сайте, и обновите свои политики, чтобы убедиться, что они соответствуют последним правилам. Убедитесь, что вы обновили формулировку, включив в нее все новые пункты CPRA — собираете ли вы какие-либо «чувствительные» личные данные? Как пользователи могут отказаться от автоматизированной технологии принятия решений? Убедитесь, что эти соображения понятны потребителям.
3. Просмотрите все контракты с партнерами (включая издателей)
Как компания, связанная с CPRA, вы должны убедиться, что ваши партнеры обеспечивают такой же уровень соблюдения законов о конфиденциальности, как и вы. Внимательно изучите все свои контракты (при необходимости задействуйте юридические), чтобы убедиться, что все пользовательские данные получены с явного согласия и управляются с соблюдением этических норм.
CPRA ограничивает практику продажи данных, особенно когда речь идет об аудитории и поведенческом таргетинге. Убедитесь, что вы изучаете свои партнерские отношения с издателями и отдаете предпочтение тем, которые используют сторонние пулы данных и получают данные в соответствии с этими правилами конфиденциальности.
4. Работайте с экспертом по конфиденциальности
Независимо от того, нанимаете ли вы кого-то или работаете с внешним консультантом или агентством, вам нужен специалист, который поможет вам быть в курсе последних правил. CPRA, вероятно, не последний закон о конфиденциальности данных, который повлияет на ваш бизнес. Фактически, закон устанавливает новые стандарты, которые, вероятно, будут приняты по всей стране в будущем.
Вы готовы?
Теперь, когда законопроект принят, предприятиям необходимо ознакомиться с новыми требованиями соответствия. Закон вступает в силу 1 января 2023 г. и вступает в силу 1 июля 2023 г., но уже с 1 января 2022 г. он может применяться к личной информации, собираемой компаниями.
Такое долгое уведомление о необходимости приспособиться к новым правилам конфиденциальности может показаться чрезмерным, но в крупных организациях все может быстро усложниться, особенно если вы работаете с большим количеством партнеров. Именно поэтому мы рекомендуем начать прямо сейчас.
Есть вопросы? Convert — это инструмент A/B-тестирования, наиболее совместимый с конфиденциальностью на рынке. Наши эксперты знают все тонкости правил конфиденциальности и знают, что нужно для их полного соблюдения — присылайте нам свои вопросы сюда.
