Californien - at holde med sin tradition som et groundbreaker i privatlivet-relaterede lovgivning i USA - har passeret den strengeste lov datasikkerhed i nationen, den Californien Consumer Privacy Act (CCPA), som vil kunne håndhæves januar 1, 2020, videre.
Indstil til at give forbrugere og brugere i Californien (følgende benævnt ”forbrugere”) større kontrol over deres personlig information, denne lov giver forbrugerne til fem nye rettigheder, og pålægger tilsvarende retlige forpligtelser på virksomheder, der falder ind under anvendelsesområde CCPA.
Men hvad er disse fem rettigheder, og hvad betyder de for forbrugere og virksomheder? Lad os udrede dem nedenfor.
1. Ret til information
Den CCPA giver forbrugerne ved at give dem ret til at vide, ikke blot hvilke personlige oplysninger en virksomhed indsamler om dem, men også, om disse oplysninger deles med tredjeparter.
Denne ret er et centralt begreb i love om privatlivets fred på verdensplan. Bortset fra CCPA, Det kan også ses i EUs Forordning databeskyttelsesdirektivet, Indiens Persondataloven Bill, og Brasiliens Lov databeskyttelsesdirektivet, blandt mange andre.
praktiske implikationer
Hvis du er en virksomhed:
I lyset af denne ret, skal du oprette eller opdatere din hjemmesides fortrolighedspolitik, og erklære følgende i det:
- Kategorier af personlige oplysninger, du indsamler fra forbrugerne (f.eks, identifikatorer såsom navne og email-adresser)
- Formålet med at indsamle disse oplysninger (f.eks, e-mail marketing)
- Kategorier af kilder til disse oplysninger (f.eks, selskabets hjemmeside)
- Hvorvidt og hvorfor denne information deles med tredjeparter (f.eks, at behandle tilmeldinger til nyhedsbreve og levere nyhedsbreve)
- Hvilken type af tredjeparter disse er (f.eks, markedsføring automatisering platforme som MailChimp)
Når du har opdateret din fortrolighedspolitik dokument, ikke lukke det bare endnu! Du bliver nødt til at gøre nogle flere opdateringer, som du vil finde ud senere i denne artikel.
Hvis du er en forbruger:
For at finde ud af, hvilke personlige oplysninger, en virksomhed indsamler om dig, og hvad det gør med disse oplysninger, gennemgå virksomhedens privacy policy. Hvis du ikke kan finde en, du kan indgive en klage til Californien Attorney General (Chhag) kontor.
2. Ret til at anmode om sletning
Teksten til CCPA stater, "Det er næsten umuligt at søge et job, opdrage et barn, køre en bil, eller lave en aftale uden at dele personlige oplysninger." Ja, i den digitale tidsalder, simpelthen at deltage i daglige aktiviteter indebærer overførsel af personlige oplysninger.
For at give forbrugerne mere kontrol over deres privatliv, den CCPA giver forbrugerne er retten til at ansøge om en slette alle personlige oplysninger, den har indsamlet fra dem.
Gjort berømt af den BNPR som retten til ”at blive glemt," den CCPA bringer denne privatliv koncept til USA for første gang.
praktiske implikationer
Hvis du er en virksomhed:
Du skal skrive i din privatlivspolitik hvad en forbruger har brug for at gøre for at få deres personlige oplysninger slettet fra dit system.
Bemærk, at teksten i CCPA specifikt sætninger denne ret som en ret til at anmode om sletning, i stedet for som retten til sletning. Dette er fordi du kan afvise en forbrugers anmodning på grundlag af visse undtagelser, der er defineret i loven.
Gør dig bekendt med disse undtagelser, som du er forpligtet til at forklare dem til forbrugeren, hvis du nægte en anmodning.
Hvis du er en forbruger:
For at finde ud af, hvordan du kan handle på din ret til at anmode om sletning, læse virksomhedens privacy policy. Hvis du ikke kan finde disse oplysninger eller hvis virksomheden ikke reagerer på dig inden for 45 dage, du kan bringe det til opmærksomhed af KAG.
3. Ret til at fravælge af data Sale
Den CCPA bringer til forbrugerne en temmelig unik ret: ret til blot at fortælle en virksomhed, “sælger ikke mine personlige oplysninger.”
Igennem dette “Må ikke sælge min personlige oplysninger” (DNSMPI) bestemmelse, Loven giver forbrugerne ret til at gøre indsigelse mod en virksomhed, der sælger deres personlige oplysninger til en tredjepart.
”Sælg” her betyder ikke, hvad lægfolk normalt tænker det betyder, have meget bredere begrænsninger på, hvordan virksomhederne håndterer data. Den CCPA definitioner af sælge og sælge omfatter “salg, leje, frigivende, afslørende, udbrede, tilgængeliggørelse, overførsel, eller på anden måde kommunikere mundtligt, skriftligt, eller elektronisk eller på anden måde” for en værdifuld gevinst (ikke nødvendigvis den monetære).
Med Nevada også have en tilsvarende bestemmelse i sin nye privacy lov, det er kun et spørgsmål om tid, før klausulen DNSMPI bliver hverdagskost på tværs af staterne.
praktiske implikationer
Hvis du er en virksomhed:
Du er nødt til at inkludere et link på din hjemmeside med titlen “Må ikke sælge min personlige oplysninger.” Forbrugerne skal kunne finde dette link nemt, så placere den et eller andet sted indlysende, ligesom i din hjemmesides sidefod. Du skal også opdatere din privatlivspolitik omfatte instruktioner om DNSMPI proces og en DNSMPI link.
Ved behandling af DNSMPI anmodninger, huske den brede definition af sælger. Selv bruger en gratis tredjepartsserviceudbyder (f.eks, sociale medier widgets) kan betegnes som “salg” data, hvis du får “vederlag” til gengæld for at overføre forbrugerdata til denne tjeneste.
Hvis du er en forbruger:
Hvis du ønsker at fravælge salget af dine personlige data, du simpelthen nødt til at klikke på DNSMPI linket af en given hjemmeside og følg instruktionerne. Som med enhver anden ret, hvis du ikke kan finde dette link, du kan klage til KAG.
4. Ret til adgang
Når CCPA bliver eksigibel, forbrugerne vil få ret til at få adgang til de personlige oplysninger, som en virksomhed har om dem.
Det lyder noget der ligner ret til at vide, at vi diskuterede tidligere. Så, hvad er forskellen?
Mens en virksomhed kan overholde ret til at vide ved blot med angivelse af relevante oplysninger (dvs., hvad en virksomhed kan eller kan indsamle) i deres privatlivspolitik, under retten til at få adgang til, de skal give forbrugerne kopier af data.
Med andre ord, ret til at vide vedrører dataindsamling som (eller før) det sker, hvorimod retten til adgang vedrører de faktiske data, der er indsamlet efter den kendsgerning.
Det handler om en forbruger at indsende en anmodning til en virksomhed i henhold til retten til at få adgang til betegnes en Data Emne Anmodning om adgang (primære).
praktiske implikationer
Hvis du er en virksomhed:
For at lette retten til at få adgang, virksomheder har følgende juridiske forpligtelser:
- Foretag ledige mindst to metoder, hvorigennem forbrugerne kan indgive deres DSARs, Herunder
- Svar på hver DSAR inden 45 dage (udvides til en ”rimelig” og annoncerede årsag til en ekstra 45 dage), uden omkostninger for forbrugeren, og i forbrugerens valgte format (dvs., elektronisk eller med post).
- Forklar i din privatlivspolitik hvordan du indsender en DSAR.
– et gratis telefonnummer;
– en hjemmeside adresse (hvis din virksomhed har en hjemmeside).
Din DSAR respons skal forklare følgende (i det mindste):
- Uanset om din virksomhed har personlige oplysninger om, at forbrugernes
- Hvilke kategorier af personlige oplysninger, du har om, at forbrugernes
- Hvorfor denne information er nødvendig for din virksomhed
- Faktiske kopier af oplysninger
Hvis du er en forbruger:
Du (eller nogen du tilladelse til at handle på dine vegne) kan hævde din ret til at få adgang til dine personlige oplysninger op til to gange i en 12-måneders periode fra den samme virksomhed.
Læs en virksomhed privacy policy at finde ud af at indsende en DSAR, og hvis du ikke kan finde disse oplysninger - du gættede det - bringe det til KAG varsel.
5. Ret til lige ydelser og priser
i det væsentlige, denne ret betyder, at en virksomhed ikke kan diskriminere forbrugere, der vælger ud af salget af deres data (eller handle på nogen af deres CCPA rettigheder).
Under CCPA, ”Diskriminere” betyder:
en. Nægter at levere varer eller tjenesteydelser
b. Forudsat varer eller tjenesteydelser af forskellig kvalitet eller pris
c. Hvilket indebærer, at du kan gøre (en) eller (b) bør forbrugeren fravælge
praktiske implikationer
Hvis du er en virksomhed:
Som en virksomhed, mens forbrugerne gøre deres CCPA rettigheder kan ulejlige dig, du kan ikke diskriminere mod dem ved at begrænse deres serviceniveau eller opladning dem en anden pris.
Der er en undtagelse: du kan tilbyde en anden grad af service eller pris ”hvis denne forskel med rimelighed er relateret til den værdi, forudsat at forbrugeren ved forbrugerens data."
Denne undtagelse er temmelig vag - fagfolk compliance, forbrugere, og virksomhedsejere bliver nødt til at vente med at se, hvordan det spiller ud.
Hvis du er en forbruger:
Denne ret giver dig mulighed for at handle på dine CCPA rettigheder uden frygt for en virksomhed gengældelse mod dig.
Oversigt
Med BNPR i 2018 og CCPA i 2020, lovgivning om privatlivets fred på verdensplan er tasking virksomheder med øget gennemsigtighed, ansvarlighed, og brugerkontrol, og giver forbrugerne med flere data rettigheder end nogensinde før.
Uanset om du er en forbruger eller en virksomhed ejer, forståelse af disse rettigheder er i din bedste interesse. Nu hvor du forstår konsekvenserne af CCPA rettigheder gå videre og forberede sig på at handle på dine rettigheder og pligter, så du har de væsentlige opdateringer og systemer på plads i januar 1, 2020.
Om forfatteren: felix Sebastian
Felix Sebastian er administrerende redaktør på termly, hvor han hjælper virksomhedsejere generere fortrolighedspolitik og andre vigtige juridiske dokumenter, implementere bedste forretningspraksis, og overholde transnationale lovgivning om privatlivets fred. Han har specialiseret sig i at skrive og kuratering overholdelse guider og jura oversigter for ejere af små virksomheder. Følg ham på @AcademicEditor