Питер С. Фогель и Челси Хиллиард
29 ноября 2019 года 4:00 утра по тихоокеанскому времени
Эта история была первоначально опубликована 3 октября 2019 года и представлена вам сегодня как часть нашей серии «Лучшие из новостей ДЭХ».
Хотя не каждый бизнес Соединенных Штатов будет затронут, новый Калифорнийский закон о защите прав потребителей, или CCPA, почти наверняка будет иметь последствия для многих предприятий за пределами Калифорнии.
Начиная с 1 января 2020 года, соответствующие предприятия будут подчиняться стандартам конфиденциальности и безопасности данных, которые в настоящее время требуются только 28 государствам-членам Европейского союза. Учитывая риск несоблюдения, для компаний целесообразно сейчас потратить время на анализ и анализ того, распространяется ли на них CCPA, и если да, то какие изменения необходимо внести в их деятельность и защиту личной информации или PI.
Содержание статьи
Что требуется CCPA?
На протяжении многих лет в штате Калифорния частная жизнь имеет большое значение. На самом деле, в 1972 году люди проголосовали за внесение поправок в Конституцию Калифорнии, чтобы включить «право на неприкосновенность частной жизни» в качестве основного конституционного права.
Подумайте о том, где мир был с компьютерами в 1972 году, не говоря уже об отсутствии Интернета, мобильных приложений или Facebook! Конечно, поскольку Калифорния долгое время была ведущим штатом в области информационных технологий, электронной коммерции и социальных сетей, кажется разумным, что это будет первый штат, в котором будет создан более высокий стандарт защиты ПИ.
Это еще более понятно, учитывая международный охват Общего регламента конфиденциальности ЕС, который вступил в силу в мае 2018 года, что накладывает тяжелое бремя на компании по всему миру в отношении обработки данных ИП резидентов ЕС.
Не углубляясь слишком глубоко в GDPR, на момент написания этой колонки ни один суд США не рассматривал вопрос о том, применяется ли GDPR к предприятиям США или в какой степени. Если не что иное, можно задать вопрос: как юридические обязательства ВПРП применяются в других странах? Очевидно, что это вопрос к другому дню и другому столбцу.
Какие предприятия должны соответствовать?
CCPA определяет «бизнес» как организацию, которая ведет бизнес в Калифорнии (независимо от того, поддерживает ли компания физическое присутствие в штате) и соответствует одному из следующих трех порогов:
- Имеет годовой валовой доход свыше 25 млн. Долларов США;
- Ежегодно покупает, получает для коммерческих целей, продает или делится в коммерческих целях, отдельно или в комбинации, персональную информацию 50000 или более потребителей, домашних хозяйств или устройств; или
- Получает 50 или более процентов своего годового дохода от продажи личной информации потребителям.
Предполагая, что ваш бизнес не подпадает под одну из этих категорий, вы теоретически должны быть «безопасными» для 2020 года. Однако, с кажущимся постоянным потоком предлагаемых поправок к CCPA, пороговые значения может измениться в будущем. Пожалуйста, следите за обновлениями, поскольку, скорее всего, CCPA станет более сложной.
Какая личная информация защищена?
Начиная с 1 января 2020 года компания, на которую распространяется покрытие, будет обязана отслеживать, отслеживать, раскрывать и удалять определенные потребительские ПИ, которые она собирает или передает. Запрос потребителя вызовет у бизнеса обязательство раскрывать «категории и конкретные части личной информации, которые он собирает о потребителе, категории источников, из которых эта информация собирается, бизнес-цели для сбора или продажи информации, а также категории третьих лиц, которым передается информация. "
Кроме того, CCPA предоставляет потребителям право требовать удаления их PI. CCPA также защищает несовершеннолетних, требуя, чтобы предприятия получали согласие родителей (несовершеннолетние в возрасте до 13 лет) или утвердительное согласие (несовершеннолетние в возрасте от 13 до 16 лет) до получения их ИП.
Компании также должны будут информировать потребителей об их правах в соответствии с CCPA путем предоставления ссылок на их веб-сайтах, аналогично ссылкам «отписаться», встроенным в электронные письма.
В частности, на домашней странице должна быть ссылка «Право отказаться от продажи личной информации», которая позволяет потребителям отказаться, наряду с четким обозначением методов подачи запросов на отказ, включая бесплатный телефон. номера. Конечно, CCPA разрешает потребителям отказаться от продажи своего ИП без предъявления обвинения или штрафа.
Каковы штрафы за несоблюдение?
В CCPA отсутствуют типовые факторы «разумности», что означает, что предприятия придерживаются строгого соответствия. Предприятия должны серьезно относиться к своим обязательствам и соблюдению CCPA.
Для обеспечения соблюдения требований компаниям необходимо иметь полное представление о том, какие данные они собирают, где и как они собирают, как они хранят их, как они их используют и с кем они делятся, а также как они передаются. через их организационную структуру. В ИТ-отрасли это называется «сопоставлением данных».
Соблюдение CCPA и GDPR требует от компаний углубления в свои процессы сбора и управления данными для сопоставления всего жизненного цикла данных PI пользователя. Затем компаниям необходимо будет оценить свою карту данных в сочетании с заявленными политиками, чтобы убедиться, что введены в действие процедуры, позволяющие своевременно и эффективно надлежащим образом идентифицировать, хранить, извлекать и удалять ПИ потребителей.
CCPA очень четко определяет штрафы для предприятий, которые не соблюдают требования. Он предоставляет потребителям право предъявлять претензии за нарушение, а также предусматривает установленные законом штрафы за нарушение. Он предоставляет потребителям следующие права:
- Возмещать убытки на сумму не менее 100 долларов США и не более 750 долларов США за каждого потребителя за инцидент или фактические убытки, в зависимости от того, какая сумма больше;
- судебный запрет или декларативное облегчение; и
- Любая другая помощь, которую суд сочтет необходимой.
Помимо требований потребителей, генеральный прокурор штата Калифорния также может подавать иски в соответствии с CCPA против компаний, которые не могут исправить нарушения в течение 30 дней. Эти предприятия будут подвергаться дополнительным штрафам, в том числе судебному запрету и гражданским штрафам в размере 2500 долларов за нарушение или 7500 долларов за умышленное нарушение. Однако правоприменительные вопросы, скорее всего, будут отложены на шесть месяцев до 1 июля 2020 года.
Суды будут призваны оценить предусмотренные законом убытки путем оценки "серьезности проступка, количества нарушений, продолжительности проступка, продолжительности времени, в течение которого имело место проступок, умышленного проступка подсудимого, а также активы, обязательства и чистая стоимость ответчика. "
В случае возникновения вопросов относительно соблюдения или толкования устава предприятие может запросить мнение генерального прокурора.
Более того, из-за широкого охвата и применения CCPA, закон предоставляет предприятиям надежную гавань на один год для выполнения большинства обязательств в отношении данных о сотрудниках. Это всего лишь одна из многих недавно предложенных поправок к CCPA, внесенных в течение последнего законодательного срока в Калифорнии. Самые последние поправки ожидают окончательного одобрения губернатором. В случае одобрения поправки вступят в силу 1 июля 2020 года. 
Питер Фогель был обозревателем ECT News Network с 2010 года. Он занимается технологиями и законодательством. Фогель является советником в
Foley Gardere, Foley & Lardner LLP, специализируется на кибербезопасности, конфиденциальности и управлении информацией. Он рассматривает судебные процессы и ведет переговоры по облачным контрактам, касающимся электронной коммерции, ERP и Интернета. До практики юриспруденции он получил степень магистра компьютерных наук и был программистом мэйнфреймов. Его
блог охватывает IT и интернет темы.
Написать Петру.
Челси Хиллиард была обозревателем ECT News Network с 2019 года. Являясь сотрудником Foley Gardere, Foley & Lardner LLP, она занимается своей деятельностью
судебная практика по неконкурентным и коммерческим сборам коммерческой тайны Она также помогает клиентам в сложных электронных спорах об обнаружении и была
признан юристом Texas Rising Star в Texas Monthly и главным юристом до 40 лет в D Magazine . Электронная почта Челси.
