GDPR กับ CCPA: ทุกอย่างเกี่ยวกับกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนียปี 2020 (และสอดคล้องกับ GDPR อย่างไร)

GDPR มาตรา 4, CCPA 1798.140

เจ้าของข้อมูล หมายถึง บุคคลที่ระบุตัวตนหรือระบุตัวตนได้ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล

ผู้บริโภค หมายถึงผู้อยู่อาศัยในแคลิฟอร์เนียที่:

• ในแคลิฟอร์เนียเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ชั่วคราวหรือชั่วคราว
• มีภูมิลำเนาอยู่ในแคลิฟอร์เนียแต่ปัจจุบันอยู่นอกรัฐเพื่อวัตถุประสงค์ชั่วคราวหรือชั่วคราว

ผู้บริโภค ได้แก่

• ลูกค้าสินค้าและบริการในครัวเรือน
• พนักงาน.
• ธุรกรรมระหว่างธุรกิจกับธุรกิจ

แม้ว่า GDPR และ CCPA จะไม่มีผลบังคับใช้กับบุคคลตามกฎหมาย ทั้งสองมีผลบังคับใช้กับบุคคลธรรมดา แต่มีความแตกต่างในวิธีการที่กำหนดไว้ CCPA ระบุไว้อย่างชัดเจนว่ามีผลบังคับใช้กับผู้อยู่อาศัยในแคลิฟอร์เนีย ในขณะที่ GDPR ใช้คำว่า “เจ้าของข้อมูลในสหภาพยุโรป” ที่คลุมเครือกว่าโดยไม่ระบุชื่อถิ่นที่อยู่หรือข้อกำหนดด้านสัญชาติใดๆ CCPA ยังปกป้องข้อมูลที่สามารถเชื่อมโยงกับครัวเรือนใดครัวเรือน หนึ่ง ไม่ใช่แค่บุคคลเช่นเดียวกับ GDPR

GDPR มาตรา 3, CCPA 1798.140

ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล:

• ก่อตั้งขึ้นในสหภาพยุโรปที่ประมวลผลข้อมูลส่วนบุคคลในบริบทของกิจกรรมของการจัดตั้งสหภาพยุโรป โดยไม่คำนึงว่าการประมวลผลข้อมูลจะเกิดขึ้นภายในสหภาพยุโรปหรือไม่
• ไม่ได้จัดตั้งขึ้นในสหภาพยุโรปที่ประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในสหภาพยุโรปที่เกี่ยวข้องกับการเสนอสินค้าหรือบริการในสหภาพยุโรป หรือติดตามพฤติกรรมของพวกเขา

นิติบุคคลที่แสวงหาผลกำไรใดๆ ที่ทำธุรกิจในแคลิฟอร์เนียที่เป็นไปตามข้อใดข้อหนึ่งต่อไปนี้:

• มีรายได้รวมมากกว่า 25 ล้านเหรียญ
• ซื้อ รับ ขาย หรือแบ่งปันข้อมูลส่วนบุคคลของผู้บริโภค ครัวเรือน หรืออุปกรณ์มากกว่า 50,000 รายทุกปีเพื่อวัตถุประสงค์ทางการค้า
• มีรายได้ 50 เปอร์เซ็นต์ขึ้นไปต่อปีจากการขายข้อมูลส่วนบุคคลของผู้บริโภค

ขอบเขตของ GDPR กว้าง: ใช้กับทุกองค์กร ตั้งแต่ธุรกิจไปจนถึงสถาบันสาธารณะและภาคส่วนที่ไม่แสวงหากำไร ในขณะเดียวกัน CCPA ได้จำกัดการบังคับใช้กับบริษัทที่แสวงหาผลกำไรที่ตรงตามข้อกำหนดที่ชัดเจนมาก

ในส่วนที่เกี่ยวกับที่ตั้งทางภูมิศาสตร์ GDPR จะใช้กับบริษัทใดๆ ที่ประมวลผลข้อมูลของเจ้าของข้อมูลในสหภาพยุโรป ไม่ว่าจะอยู่ที่ใดก็ตาม CCPA ไม่ชัดเจนในประเด็นนี้: บริษัทที่อยู่ภายใต้เขตอำนาจศาลจะต้อง "ทำธุรกิจในแคลิฟอร์เนีย" แต่ไม่ได้ชี้แจงว่าบริษัทต้องตั้งอยู่ในรัฐหรือบรรลุเกณฑ์ผลกำไรบางประการจึงจะมีคุณสมบัติดังกล่าว

GDPR มาตรา 4, CCPA 1798.140

ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับเจ้าของข้อมูลที่ระบุหรือระบุตัวได้ GDPR ห้ามมิให้ประมวลผลข้อมูลส่วนบุคคลในหมวดหมู่พิเศษที่กำหนดไว้ เว้นแต่จะมีเหตุผลที่ถูกต้องตามกฎหมายในการประมวลผล

ข้อมูลส่วนบุคคลที่ระบุ เกี่ยวข้องกับ อธิบาย สามารถเชื่อมโยงกับหรืออาจมีการเชื่อมโยงอย่างสมเหตุสมผล ทั้งทางตรงและทางอ้อมกับผู้บริโภคหรือครัวเรือนโดยเฉพาะ

GDPR ใช้กับข้อมูลส่วนบุคคลทุกประเภท ในขณะที่ CCPA ใช้กับข้อมูลที่ไม่ครอบคลุมโดยกฎหมายความเป็นส่วนตัวของรัฐบาลกลางที่มีอยู่ เช่น กฎหมาย Gramm-Leach-Bliley (GLBA) หรือกฎหมายว่าด้วยการเคลื่อนย้ายและรับผิดชอบข้อมูลด้านสุขภาพ (HIPAA)

GDPR มาตรา 4, CCPA 1798.140

ข้อมูลนามแฝงถือเป็นข้อมูลส่วนบุคคล ข้อมูลที่ไม่ระบุชื่อไม่ถือเป็นข้อมูลส่วนบุคคล

CCPA ไม่ได้จำกัดความสามารถของธุรกิจในการรวบรวม ใช้ เก็บรักษา ขาย หรือเปิดเผยข้อมูลผู้บริโภคที่ไม่ระบุตัวตนหรือรวมกัน อย่างไรก็ตาม CCPA กำหนดเกณฑ์สูงสำหรับการอ้างสิทธิ์ข้อมูลนั้นถูกแยกการระบุหรือรวมเข้าด้วยกัน ข้อมูลนามแฝงอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลภายใต้ CCPA เนื่องจากยังคงสามารถเชื่อมโยงกับผู้บริโภคหรือครัวเรือนเฉพาะได้

คำจำกัดความของ “การใช้นามแฝง” ภายใต้ GDPR และ CCPA มีความคล้ายคลึงกันมากในการประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถนำมาประกอบกับบุคคลที่ระบุหรือระบุตัวตนได้โดยไม่ต้องใช้ข้อมูลเพิ่มเติมโดย วางมาตรการทางเทคนิคและองค์กรซึ่งเก็บข้อมูลเพิ่มเติมที่จำเป็นสำหรับการระบุแยกจากกัน

GDPR มาตรา 13, CCPA 1798.100

ผู้ควบคุมข้อมูลต้องให้ข้อมูลโดยละเอียดเกี่ยวกับการรวบรวมข้อมูลส่วนบุคคลและกิจกรรมการประมวลผลข้อมูล ประกาศต้องมีข้อมูลเฉพาะขึ้นอยู่กับว่าข้อมูลถูกรวบรวมโดยตรงจากเจ้าของข้อมูลหรือบุคคลที่สาม

ธุรกิจต้องแจ้งให้ผู้บริโภคทราบเกี่ยวกับ:

• หมวดหมู่ข้อมูลส่วนบุคคลที่รวบรวม
• วัตถุประสงค์การใช้งานที่ตั้งใจไว้สำหรับแต่ละหมวดหมู่

ทั้ง GDPR และ CCPA กำหนดให้องค์กรต้องเปิดเผยสิ่งที่พวกเขาทำกับข้อมูลส่วนบุคคลที่รวบรวม อย่างไรก็ตาม CCPA กำหนดให้บริษัทต่างๆ เปิดเผยการขายข้อมูลและกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลในช่วง 12 เดือนที่ผ่านมา ในขณะที่ GDPR ไม่มีข้อจำกัดดังกล่าว

GDPR มาตรา 24 CCPA 1798.150

GDPR กำหนดให้ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสม เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสมกับความเสี่ยง

CCPA ไม่ได้กำหนดข้อกำหนดด้านความปลอดภัยของข้อมูลโดยตรง อย่างไรก็ตาม มันสร้างสิทธิในการดำเนินการสำหรับการละเมิดข้อมูลบางอย่างที่เป็นผลมาจากการละเมิดหน้าที่ของธุรกิจในการดำเนินการและคงไว้ซึ่งหลักปฏิบัติด้านความปลอดภัยและขั้นตอนที่เหมาะสมกับความเสี่ยงที่เกิดขึ้นจากกฎหมายแคลิฟอร์เนียที่มีอยู่

• หมวดหมู่ข้อมูลส่วนบุคคลที่รวบรวม
• วัตถุประสงค์การใช้งานที่ตั้งใจไว้สำหรับแต่ละหมวดหมู่

มีความคล้ายคลึงกันอย่างมากในแนวทางทางกฎหมายแม้ว่ามาตรการรักษาความปลอดภัยที่เหมาะสมอาจแตกต่างกันไปตามขอบเขตตามสถานการณ์ขององค์กรและการตีความของหน่วยงานกำกับดูแล

GDPR มาตรา 12 – มาตรา 21 , CCPA 1798.120

ขยาย สิทธิส่วนบุคคล :

• เข้าถึงข้อมูลของพวกเขา
• มีการแก้ไขความไม่ถูกต้อง
• ลบข้อมูล;
• ป้องกันการตลาดแบบตรง
• ป้องกันการตัดสินใจและการสร้างโปรไฟล์โดยอัตโนมัติ
• การพกพาข้อมูล

ขยาย สิทธิส่วนบุคคล :

• เข้าถึงข้อมูลของพวกเขา
• มีการแก้ไขความไม่ถูกต้อง
• ลบข้อมูล;
• ป้องกันการตลาดแบบตรง
• ป้องกันการตัดสินใจและการสร้างโปรไฟล์โดยอัตโนมัติ
• การพกพาข้อมูล

ในขณะที่ GDPR กำหนดให้องค์กรต้องได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลสำหรับการประมวลผลข้อมูลและการเข้าถึงข้อมูลโดยบุคคลที่สาม CCPA อนุญาตให้เจ้าของข้อมูลเลือกไม่ขายข้อมูลของตนและกำหนดให้ธุรกิจต้องมีลิงก์ที่มองเห็นได้ด้านบน ของโฮมเพจเพื่อจุดประสงค์นี้

ทั้ง GDPR และ CCPA ให้สิทธิ์ในการเคลื่อนย้ายข้อมูล กล่าวคือ เพื่อให้ผู้บริโภคได้รับข้อมูลส่วนบุคคลในรูปแบบที่ใช้กันทั่วไป คอมพิวเตอร์สามารถอ่านได้ จากนั้นจึงส่งต่อไปยังหน่วยงานอื่นได้

GDPR ก้าวไปอีกขั้นในทิศทางนี้ ทำให้องค์กรอยู่ภายใต้ภาระหน้าที่ในการถ่ายโอนข้อมูลของเจ้าของข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่นเมื่อมีการร้องขอ

ภายใต้ CCPA ธุรกิจจำเป็นต้องให้ข้อมูลแก่ผู้บริโภคในรูปแบบอิเล็กทรอนิกส์ในรูปแบบที่พร้อมใช้งานเท่านั้น

แม้ว่าสิทธิในการลบข้อมูลของ GDPR จะมีข้อยกเว้นที่โดดเด่นบางประการ เช่น ข้อมูลที่จำเป็นสำหรับการใช้สิทธิ์ในการแสดงออกหรือข้อมูลที่จำเป็นสำหรับการปฏิบัติตามกฎหมายของประเทศสมาชิกสหภาพยุโรปหรือสหภาพยุโรป CCPA ได้ขยายข้อยกเว้นเหล่านี้ให้กว้างขึ้นโดยไม่ได้รวมเฉพาะคำพูดและข้อมูลอย่างอิสระ จำเป็นสำหรับสัญญา แต่ที่โดดเด่นที่สุดคือการใช้งานภายในที่เข้ากันได้กับบริบทที่ผู้บริโภคให้ข้อมูล

GDPR มาตรา 8 , CCPA 1798.120

อายุตามค่าเริ่มต้นของ GDPR สำหรับการยินยอมคือ 16 แม้ว่ากฎหมายของแต่ละประเทศสมาชิกอาจลดอายุลงเหลือไม่ต่ำกว่า 13 ปี

บุคคลที่มีหน้าที่รับผิดชอบของผู้ปกครองต้องให้ความยินยอมสำหรับเด็กที่มีอายุต่ำกว่าเกณฑ์ เด็กจะต้องได้รับประกาศเกี่ยวกับความเป็นส่วนตัวที่เหมาะสมกับวัย

ข้อมูลส่วนบุคคลของเด็กอยู่ภายใต้ข้อกำหนดด้านความปลอดภัยที่เพิ่มขึ้น

CCPA ห้ามขายข้อมูลส่วนบุคคลของผู้บริโภคที่อายุต่ำกว่า 16 ปีโดยไม่ได้รับความยินยอม

เด็กอายุ 13-16 ปีสามารถให้ความยินยอมได้โดยตรง เด็กอายุต่ำกว่า 13 ปีต้องได้รับความยินยอมจากผู้ปกครอง

GDPR เน้นการคุ้มครองพิเศษสำหรับเด็ก และให้ข้อกำหนดเฉพาะสำหรับการปกป้องข้อมูลส่วนบุคคลของเด็กเมื่อประมวลผลเพื่อให้บริการสังคมข้อมูล

CCPA สร้างกฎพิเศษสำหรับเด็กเกี่ยวกับ "การขาย" ข้อมูลส่วนบุคคล อย่างไรก็ตาม กฎนี้ไม่จำกัดเฉพาะบริการสังคมข้อมูล