أصعب تشريع لحماية البيانات في الولايات المتحدة ينطبق على الشركات في كل مكان. تحمي CCPA البيانات الشخصية للمستهلكين في كاليفورنيا ، أينما تتم معالجتها. نفسر كيف.
CCPA
دخل قانون خصوصية المستهلك في كاليفورنيا (CCPA) حيز التنفيذ في 1 يناير 2020 ، مع بدء التنفيذ في 1 يوليو 2020. وهو يوفر حقوقًا معينة للمستهلكين فيما يتعلق بمعلومات التعريف الشخصية الخاصة بهم (PII). يفرض التزامات على الشركات لحماية البيانات الشخصية ، ودعم حقوق المستهلك فيما يتعلق ببياناتهم ، ويضع قيودًا على ما يمكن أن تفعله الشركة بالبيانات.
يُعرف باسم أقوى تشريعات حماية البيانات في الولايات المتحدة. هناك العديد من أوجه التشابه مع اللوائح الأوروبية العامة لحماية البيانات. بشكل ملحوظ ، تمامًا كما يمكن تطبيق اللائحة العامة لحماية البيانات (GDPR) على الأنشطة التجارية خارج أوروبا ، لا يقتصر قانون CCPA على الأنشطة التجارية الواقعة داخل كاليفورنيا. كلتا المجموعتين من اللوائح تأخذ وجهة نظر تتمحور حول الشخص. إنها تحمي بيانات وحقوق الأفراد بغض النظر عن موقع الشركة التي لديها البيانات. إذا ، هذا هو ، عملك يقع ضمن نطاق CCPA.
تنطبق GPDR على جميع المنظمات. مع CCPA هناك معايير التأهيل. إذا قمت بمطابقتها يجب أن تمتثل للقانون. هذا هو الحال سواء كنت مقيمًا في كاليفورنيا أو في أي مكان آخر بالولايات المتحدة أو في أي مكان آخر في العالم. وتكفي الاختلافات بين قانون خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) لإجبار شركة مؤهلة ومتوافقة مع اللائحة العامة لحماية البيانات (GDPR) على اتخاذ خطوات للامتثال لقانون CCPA - وبالتالي لا تحصل الشركات الأوروبية المؤهلة على تصريح مرور مجاني.
ما هي الشركات ضمن النطاق؟
قبل أن نتمكن من الإجابة بأننا بحاجة إلى إخراج بعض التعريفات من الطريق.
المستهلك يعني الشخص الطبيعي المقيم في كاليفورنيا. إنهم "يستهلكون" السلع أو الخدمات من الشركات. إن معلومات تحديد الهوية الشخصية الخاصة بهم هي التي يحميها القانون. تعريف معلومات التعريف الشخصية أوسع بموجب قانون خصوصية المستهلك في كاليفورنيا مما هو عليه بموجب القانون العام لحماية البيانات (GDPR). يتضمن:
- الاسم الحقيقي للمستهلك أو الاسم المستعار أو العنوان البريدي أو المعرف الشخصي الفريد أو عنوان IP للمعرف عبر الإنترنت أو عنوان البريد الإلكتروني أو اسم الحساب أو رقم الضمان الاجتماعي أو رقم رخصة القيادة أو رقم جواز السفر أو أي معرفات فريدة أخرى مشابهة.
- المعلومات التجارية بما في ذلك سجلات الممتلكات الشخصية أو المنتجات أو الخدمات التي تم شراؤها أو الحصول عليها أو النظر فيها ، وتاريخ أو اتجاهات الشراء الأخرى. تم اعتباره يعني أنه كان هناك تفاعل بين الشركة والمستهلك ، لكن المستهلك لم يشتري في النهاية السلع أو الخدمات التي اعتبرها يشتريها.يمكن أن يؤدي التسوق في جميع أنحاء العالم إلى ترك فتات الخبز الرقمية وفيرة تقريبًا كما لو تم الشراء.
- معلومات المقاييس الحيوية والبيانات الجغرافية المهنية ومعلومات نشاط الشبكة الإلكترونية بما في ذلك - على سبيل المثال لا الحصر - سجل التصفح وسجل البحث والمعلومات المتعلقة بتفاعل المستهلك مع موقع ويب أو تطبيق أو إعلان.
- معلومات مهنية وتعليمية وتوظيفية.
العمل يعني مؤسسة يكون فيها كل ما يلي صحيحًا:
- هي مؤسسة ذات ملكية فردية أو شراكة أو شركة ذات مسؤولية محدودة أو مؤسسة أو جمعية أو كيان قانوني آخر منظم وتدار من أجل الربح المالي للمالكين أو المساهمين. بمعنى ، إنها منظمة تعمل قانونًا تعمل لكسب المال.
- إما أنها تجمع البيانات الشخصية للمستهلكين ، أو يقوم شخص آخر بجمعها نيابة عن المنظمة.
- إما بمفرده أو مع آخرين ، فهو يحدد أغراض ووسائل معالجة البيانات الشخصية للمستهلكين. أي ، ما هي البيانات التي يتم جمعها وكيف ستتم معالجتها.
- تعمل في ولاية كاليفورنيا.
من المثير للدهشة أن عبارة "تقوم بأعمال تجارية في كاليفورنيا" لم يتم تعريفها في القانون. ومع ذلك ، فقد تم تعريفه بموجب قانون الشركات في كاليفورنيا على أنه يعني "الدخول في معاملات متكررة ومتتالية لأعمالها في هذه الولاية ، بخلاف التجارة بين الولايات أو التجارة الخارجية."
بموجب قوانين الضرائب في ولاية كاليفورنيا ، تم تطبيقه على الشركات التي تمارس نشاطًا تجاريًا عبر الإنترنت دون أي وجود مادي في كاليفورنيا. شركة مقرها خارج كاليفورنيا ولديها خوادم ويب مستضافة في ولاية ثالثة أخرى ، والتي تستقبل 50 ألف زائر على شبكة الإنترنت من سكان كاليفورنيا ، قد تكون في نطاق قانون خصوصية المستهلك في كاليفورنيا. ولا يلزم أن يكون موقعًا للتجارة الإلكترونية. إذا كان الموقع يتتبع أي معلومات للزائر فيما يتعلق بالمستهلكين أو يدفع بإعلانات مستهدفة إليهم ، فقد يكون ذلك كافيًا لدفعهم إلى فئة "القيام بأعمال تجارية في كاليفورنيا".
العمل في نطاق قانون خصوصية المستهلك في كاليفورنيا إذا تحقق أي مما يلي.
- لديها إجمالي إيرادات سنوية أكبر من USD 25 ، 000 ، 000.
- يشتري أو يستقبل لأغراض تجارية ، أو يبيع أو يشارك لأغراض تجارية ، البيانات الشخصية لـ 50 ألف أو أكثر من المستهلكين أو الأسر أو الأجهزة سنويًا. يتم تضمين الأجهزة لأنها مملوكة للمستهلك ويستخدمها ويمكن استخدام المعلومات حول الجهاز للمساعدة في التعرف على المستهلك.
- تحصل على 50 بالمائة أو أكثر من إيراداتها السنوية من بيع البيانات الشخصية للمستهلكين.
الشفافية والإشعارات
CCPA تجعل من الإجباري تضمين معلومات محددة في سياسة الخصوصية الخاصة بك. يتضمن هذا وصفًا لحقوق المستهلكين بموجب CCPA ، مثل حقهم في طلب:
- ما هي البيانات الشخصية وفئات البيانات التي يحتفظ بها النشاط التجاري عنها.
- المصادر التي تم جمع البيانات الشخصية منها.
- الأغراض من جمع أو بيع البيانات الشخصية.
- الجهات الخارجية التي ستتم مشاركة البيانات الشخصية معها. على سبيل المثال ، إذا كنت سمسار تأمين ، فستكون إحدى فئات شركات التأمين.
- أن يتم حذف بياناتهم الشخصية من قبل الشركة. هذا ممكن فقط في بعض الحالات. هناك تسعة استثناءات ، ويجب إخبار المستهلك بما هي عليه. على سبيل المثال ، إذا كان المستهلك في منتصف عقد مع الشركة ولديه التزامات مالية تجاهه ، فإن للشركة مصلحة مشروعة في الاحتفاظ ببياناتهم الشخصية حتى يتم مسح التزاماتهم المالية تجاهها.
- فئات بيانات المستهلك الشخصية التي باعها النشاط التجاري.
- لمن تم بيع البيانات الشخصية ، حسب الفئة ، لكل مشترٍ للبيانات.
- لمن تمت مشاركة البيانات (ولم يتم بيعها) لغرض تجاري. في مثال وسيط التأمين لدينا ، ستكون هذه قائمة بشركات التأمين التي تمت مشاركة البيانات الشخصية للمستهلك معها ، للسماح لشركات التأمين هذه بتقديم عروض أسعار التأمين.
يجب أيضًا إبلاغ المستهلك بأن له الحق في عدم التعرض للتمييز بسبب ممارسته أي حق من حقوقه بموجب CCPA. يجب أن يحصلوا على نفس الأسعار والسلع والخدمات مثل أي مستهلك آخر.
يجب توفير طريقتين للمستهلكين لتقديم الطلبات أو لممارسة حقوقهم ، بما في ذلك الرقم المجاني. إذا كان نشاطك التجاري يعمل حصريًا عبر الإنترنت وله علاقة مباشرة بالمستهلك ، فلن تحتاج إلى تقديم رقم مجاني. بدلاً من ذلك ، يجب عليك تقديم عنوان بريد إلكتروني لتقديم الطلبات ، ووسيلة لإرسال الطلبات من خلال موقع الويب نفسه.
جميع الشركات تجمع بعض المعلومات عن عملائها. المعلومات التي يتم جمعها عبر الإنترنت يجب أن تكون مصحوبة بإشعارات. تحتاج إلى إبلاغ المستهلكين بـ:
- فئات البيانات الشخصية التي سيتم جمعها.
- الأغراض التي من أجلها سيتم استخدام فئات البيانات الشخصية.
- جمع أي فئات إضافية من المعلومات أو استخدامات أخرى للبيانات التي ستحدث بعد إجراء عمليات الكشف الأولية. بعبارة أخرى ، إذا كنت ستجمع المزيد من البيانات باستخدام البيانات التي تم توفيرها ، فيجب عليك التصريح عنها مسبقًا قبل جمع البيانات الأصلية. وبالمثل ، إذا كنت ستجري أنواعًا أخرى من المعالجة بمجرد جمع البيانات الإضافية ، فيجب عليك إبلاغ المستهلك.
إذا كنت تبيع بيانات شخصية أو تكشف عنها بأي طريقة أخرى ، فيجب عليك تحديد فئات البيانات الشخصية التي تم بيعها أو مشاركتها في آخر 12 شهرًا. إذا لم يتم بيع أي بيانات شخصية أو مشاركتها ، فأنت بحاجة إلى ذكر هذه الحقيقة.
لا تبيع معلوماتي الشخصية
يجب أن تقدم رابطًا واضحًا وواضحًا على موقع الويب الخاص بك بعنوان "لا تبيع معلوماتي الشخصية". يجب أن يسمح هذا للمستخدم بالتسجيل بحيث لا يمنح موافقته ولا يشترك في بيع أو مشاركة بياناته الشخصية.يجب أن يكون هذا الرابط متاحًا بدون تسجيل أو إنشاء حساب على الموقع.
يجب تضمين رابط آخر "لا تبيع معلوماتي الشخصية" في سياسة الخصوصية الخاصة بك.
العقوبات
هناك عقوبات مدنية قدرها 2 و 500 دولار أمريكي لانتهاكات عدم الامتثال لقانون CCPA أو 7500 دولار أمريكي لكل انتهاك لاحق يسمى الانتهاك المتعمد ، لأنك لم تقم بإصلاح المشكلة الأولية. والجدير بالذكر أن قانون حماية خصوصية المستهلك CCPA يوفر أيضًا للمدعين من القطاع الخاص رفع دعوى قضائية مدنية ضد الشركة للحصول على تعويضات تتراوح بين 100 دولار أمريكي و 750 دولارًا أمريكيًا لكل مستهلك متضرر ، أو الأضرار الفعلية أيهما أكبر.
طلبات بيانات المستهلك
عندما يريد المستهلك ممارسة حق يمنحه الوصول إلى بياناته الشخصية ، يجب عليك الرد في غضون 45 يومًا من تلقي "طلب يمكن التحقق منه". هذا يعني أنه يجب تسجيل الطلب في مكان ما ، ويجب عليك التأكد من أن المستهلك الذي قدم الطلب هو بالفعل هذا المستهلك.إذا أرسلت تفاصيل الشخص "أ" إلى الشخص "ب" ، فقد أجريت للتو معاملة غير متوافقة.
إذا كان الطلب معقدًا بشكل غير عادي أو كنت تتعامل مع عدد كبير من الطلبات ، فيمكنك تمديد 45 يومًا بـ 90 يومًا أخرى. إذا قمت بذلك ، يجب عليك إبلاغ المستهلك خلال فترة 45 يومًا الأولى وتزويدهم بالأسباب التي أدت إلى التمديد.
تحتاج إلى توفير البيانات الخاصة بفترة الـ 12 شهرًا السابقة من تاريخ استلام الطلب. يجب إرجاع البيانات "بتنسيق سهل الاستخدام" مثل PDF أو في شكل مطبوع. لا يمكنك أن تتوقع أن يحصل المستهلك على نفس نوع البرامج التي تستخدمها للمعالجة فقط لتحميل بياناتهم لرؤيتها. يجب أن يكونوا قادرين على إرسال المعلومات التي يتلقونها منك إلى أي شخص يحلو لهم ، ويجب أن يكون الجميع قادرين على فتح المستند وقراءته "دون عائق."
يجب أن تكون البيانات "مكتوبة". لذلك إذا تم ترميز البيانات - يمكنك تخزين التواريخ كأرقام لليوم اليولياني - يجب إعادة تحويلها إلى كلمات وتواريخ.
يمكنك إعادة البيانات إليهم من خلال حسابهم مع الشركة ، أو عن طريق البريد ، أو البريد الإلكتروني حسب اختيار المستهلك.
وبعد كل ذلك ، لا يمكنك تحصيل رسوم للتعامل مع طلبات البيانات.
كيفية التحضير
قد يبدو هذا محيرًا ، وكان مجرد النقاط البارزة. هناك الكثير ممتلئًا في CCPA. من أين تبدأ
ما لم تكن قد فعلت واحدة مؤخرًا ، فإن أول شيء يجب عليك فعله هو تمرين تعيين البيانات. وتسمى هذه أيضًا تمارين تنسيق البيانات. تحتاج إلى تحديد وتوثيق نطاق والغرض من جمع البيانات وأنشطة المعالجة. يتضمن:
- بالضبط ، ما هي المعلومات الشخصية التي تجمعونها؟
- كيف يتم استخدام هذه المعلومات في الأعمال التجارية؟
- أين يتم تخزين هذه المعلومات؟
- ما هي تدفقات العمل التي تنقل البيانات الشخصية حول عملك ، وخارجها إلى الشركاء؟
- مع من تشارك البيانات الشخصية ولماذا؟
- ما هي السياسات الداخلية المعمول بها لديك والتي تحكم استخدام البيانات الشخصية وحمايتها؟ هل ما زالت كافية؟
بدون معرفة سبب جمع البيانات الشخصية والبيانات التي تجمعها والأنظمة التي يتم تخزينها فيها ، ستجد صعوبة بالغة في حماية البيانات الشخصية والاستجابة لطلبات الوصول إلى البيانات أو طلبات حذف البيانات. ولكن إذا كان لديك مجموعة موثقة من المواقع لكل نوع من البيانات ، وإجراء يوجه الموظف خلال عملية جمع البيانات ، يصبح طلب الوصول إلى البيانات قابلاً للإدارة وليس مرهقًا.
إذا كان من الممكن أن تكون مؤتمتة أو مؤتمتة جزئيًا ، فهذا أفضل كثيرًا. بالطبع ، قبل أن تتمكن من التفكير في الأتمتة ، ما زلت بحاجة إلى معرفة سبب وماذا وأين عمليات معالجة بياناتك الشخصية.
راجع الضمانات التقنية الخاصة بك
تتجنب تشريعات حماية البيانات إدراج أنواع معينة من الحماية التي يجب عليك استخدامها لحماية البيانات الشخصية. يمكن أن تصبح أي حلول ينص عليها عفا عليها الزمن ، وما هو مناسب لشركة ما لتنفيذه لن يكون مناسبًا لآخر. لكن يجب حماية البيانات الشخصية بشكل كافٍ. تأكد من اتباع هذه الاحتياطات القياسية:
- البيانات قيد النقل: يمكن معالجة ذلك باستخدام SSL / TLS و VPNs والحلول الأخرى التي تؤمن الاتصالات بين نقاط النهاية.
- البيانات الباقية: تأكد من حماية قواعد البيانات وأي مجموعات أخرى من البيانات الشخصية الموجودة على شبكاتك ، وتشفيرها إن أمكن ، ووضع قيود على وصولها وفقًا لأدوار الموظفين. تحتاج إلى تقليل إنشاء جداول بيانات عشوائية تحتوي على بيانات شخصية. كيف يمكنك ضبطهم وإدراجهم في طلبات الوصول إلى البيانات وحذفها؟
- أمن الشبكة: اعتماد أكبر قدر ممكن من أفضل ممارسات الأمان القياسية ، بما يتناسب مع كمية البيانات الشخصية التي تمتلكها ، والمخاطرة المتصورة ، وميزانيتك.
- أمان البريد الإلكتروني: تبدأ معظم هجمات البرامج الضارة برسالة بريد إلكتروني. بالإضافة إلى الحلول التقنية ، تذكر أن موظفيك هم الموجودين في الخطوط الأمامية لفتح البريد الإلكتروني. لا تنس تدريب الموظفين على التوعية بأمن الإنترنت. تقوم بعض خدمات البريد الإلكتروني مثل Microsoft 365 بتسليم البريد الإلكتروني بطريقة آمنة أثناء النقل والراحة.
الوفاء بمسؤوليات الاتصال
تعديل أو إنشاء سياسة الخصوصية الخاصة بك لتتوافق مع CCPA ، وإضافة المعلومات الإلزامية التي يجب عليك تقديمها. استخدم اللغة الإنجليزية البسيطة واجعلها سهلة الوصول والفهم. الارتباك أو الغموض لن يخدم أي طرف جيداً.
أضف الإشعارات المطلوبة إلى النقاط الموجودة على موقع الويب الخاص بك والتي تجمع البيانات الشخصية ، وقم بتوضيحها بنفس القدر.
وثق كيف ستتحقق من أن المستهلك هو حقًا ذلك المستهلك عندما تتلقى طلبات الوصول إلى البيانات أو الحذف. ما الدليل الذي تحتاجه للحصول عليه وكيف تطلبه وما هي المراسلات التي سترسل للمستهلك ليطلبها؟
راجع شركاءك
الشركات التي تشارك البيانات معها يمكن أن تسبب لك مشاكل أيضًا إذا كانت مخالفة لقانون CCPA.
تحتاج إلى النظر في اتفاقيات حماية البيانات ، أو إضافات حماية البيانات للعقود الحالية ، أو العناية الواجبة الصارمة للغاية بشأن الشركات الأخرى التي تشارك البيانات الشخصية معها.
ابحث عن مساعدة احترافية
هذه المقالة ليست بديلاً عن المشورة القانونية الاحترافية، كما أنها لا تنشئ علاقة بين المحامي والموكل ، كما أنها ليست دعوة لتقديم المشورة القانونية. الشيطان في التفاصيل - كما هو الحال دائمًا - والشركات يمكن أن يكون لديها مزيج من حالات الاستخدام.
ابحث عن التوجيه المهني المناسبإذا لم يكن لديك مجموعة المهارات المناسبة في المنزل لتفسير القانون.
