Калифорния заменила CCPA, приняв Закон Калифорнии о правах на конфиденциальность («CPRA»). CPRA вносит поправки в Закон Калифорнии о защите прав потребителей («CCPA»). Lazarus Alliance будет напрямую координировать работу с вашей организацией, чтобы запланировать оценку по Закону Калифорнии о правах на конфиденциальность (CPRA). Наши оценщики помогут определить уровень сертификации на основе конкретных бизнес-требований вашей компании.

Важными частями являются:

Предприятия будут обязаны соблюдать новые правила, если они обслуживают жителей Калифорнии и имеют годовой доход не менее 25 миллионов долларов.
Предприятия, которые получают 50% или более своего годового дохода от продажи или разделение персональные данные потребителей.
К компаниям, которые в соответствии с CCPA классифицируются как «сторонние поставщики» и «поставщики услуг», CPRA теперь добавляет «подрядчика» как отдельный класс регулируемых организаций.
Предприятия любого размера, имеющие персональные данные не менее 100,000 XNUMX человек или получающие более половины своих доходов от продажи персональных данных.

Для поддержки исполнения CPRA в Калифорнии было создано Агентство по защите конфиденциальности Калифорнии («Агентство конфиденциальности»). Агентство по защите конфиденциальности будет иметь полную административную власть, полномочия и юрисдикцию для внедрения и исполнения CCPA и CPRA. Агентство уполномочено налагать штраф в размере 2,500 долларов за каждое нарушение CPRA или 7,500 долларов за каждое преднамеренное нарушение или каждое нарушение с участием несовершеннолетнего. До этого акта исполнение CCPA осуществлялось Офисом генерального прокурора Калифорнии.

CPRA отменяет положение CCPA о 30-дневном уведомлении и устранении нарушения, однако Агентство по защите конфиденциальности имеет право по своему усмотрению предоставить предприятию срок для устранения предполагаемого нарушения, принимая во внимание отсутствие намерения нарушать CPRA и добровольные усилия по устранению предполагаемого нарушения до получения уведомления о жалобе.

Поговорите с одним из наших Кибервизоры™

Только факты ...

Что такое защищенный бизнес?

CPRA изменяет определение «бизнеса» в CCPA, изменяя, какие субъекты подпадают под действие закона. С одной стороны, CPRA увеличивает порог сбора CCPA с 50,000 100,000 потребителей или домохозяйств до 50 XNUMX и удаляет устройства из этого числа. Это изменение принесет облегчение малому бизнесу. С другой стороны, CPRA расширяет охват, чтобы включить субъекты, которые получают XNUMX% или более своего годового дохода от продажи или разделение Персональные данные потребителей теперь защищены, независимо от того, получают ли они денежную компенсацию. В то время как акт разделение Добавлена личная информация потребителя, порог в 50% остается неизменным. Другие изменения включают совместные предприятия или партнерства и самосертифицирующиеся организации.

Наконец, в дополнение к категориям «сторонних поставщиков» и «поставщиков услуг» в соответствии с CCPA, CPRA добавляет «подрядчика» как отдельный класс регулируемых субъектов. Подрядчик — это третья сторона, которой бизнес предоставляет доступ к личной информации потребителей для деловых целей. Как и в случае с поставщиками услуг, подрядчики теперь должны заключать письменный договор и соглашаться принимать соответствующие меры для защиты охватываемых электронных данных.

Что такое конфиденциальная личная информация?

Одним из самых значительных изменений в CCPA является создание новой классификации персональной информации — конфиденциальной персональной информации. Это подкатегория PI, которая включает:

Номера социального страхования, водительских прав, удостоверения личности штата или паспорта
Информация о финансовом счете
Точная геолокация
Расовый или этнический
Сексуальная жизнь или сексуальная ориентация
Религиозные или философские верования
Членство в профсоюзе
Непубличная коммуникация
Генетические, биометрические и медицинские данные

Сбор конфиденциальной личной информации требует дополнительных требований к раскрытию, отказу и использованию. Особый подход включает предоставление потребителям права ограничивать раскрытие и использование конфиденциальной личной информации, за исключением случаев, когда это необходимо для предоставления услуг. Компании должны предоставить на своем веб-сайте ссылку под названием «Ограничить использование моей конфиденциальной личной информации» в дополнение к требуемой CCPA ссылке отказа, чтобы потребители могли воспользоваться этим правом.

Каковы новые и расширенные права потребителей на конфиденциальность?

CCPA расширил права жителей Калифорнии, которые вышли далеко за рамки существующих прав потребителей на конфиденциальность в США: право знать, право на доступ, право на удаление и частное право на иск с возмещением ущерба по закону. CPRA расширяет некоторые из этих прав и добавляет новые.

Расширенное право знать/право на доступ. CPRA расширяет это право за пределы обычного 12-месячного периода ретроспективного обзора CCPA, если только это не «невозможно» или не требует «непропорциональных» усилий. CPRA расширяет требование CCPA о предоставлении категорий третьих лиц, которым он раскрывает персональную информацию, включая категории поставщиков услуг и подрядчиков, которым он раскрывает информацию.
Расширенное право на удаление. CCPA предоставляет жителям Калифорнии право требовать от компании удалить их персональные данные, если они больше не нужны для выполнения одной из установленных законом целей. CPRA расширяет это право, требуя от компаний отправлять запрос на удаление третьим лицам, которые купили или получили персональные данные потребителя, так что все стороны должны выполнить запрос.
Право на отказ. CCPA предоставляет потребителям право отказаться от продажи их данных третьим лицам. CPRA расширяет это право, включая разделение личной информации, в дополнение к продаже. Теперь компании должны уведомлять потребителей, когда их информация будет передана, а также уведомлять их об их праве отказаться.
Права несовершеннолетних на участие. CCPA требует, чтобы компании получали согласие несовершеннолетнего гражданина Калифорнии на продажу его личной информации в возрасте до 16 лет. CPRA расширяет это право, обязывая компании ждать 12 месяцев, прежде чем спрашивать у несовершеннолетнего согласия на продажу или передачу его личной информации после того, как несовершеннолетний отказался.

Помимо расширения ряда прав CCPA, CPRA также вводит несколько новых прав потребителей на конфиденциальность:

Право на правильную информациюПотребители Калифорнии теперь имеют право потребовать от компании исправить любую неточную персональную информацию.
Право на ограничение использования и раскрытия конфиденциальной личной информации. Потребители Калифорнии теперь имеют право ограничивать использование и раскрытие конфиденциальной личной информации в целях, необходимых для предоставления услуг или предоставления товаров, разумно ожидаемых средним потребителем. Поставщики услуг и третьи лица также обязаны придерживаться этого ограничения.
Право на доступ к информации об автоматическом принятии решений. Как и GDPR, потребители теперь имеют право на доступ к информации о том, как компании используют технологию автоматизированного принятия решений. CPRA предоставляет потребителям право отказаться от любых автоматизированных процессов принятия решений.
Право на переносимость данныхПотребители Калифорнии теперь имеют право требовать от компаний передачи личной информации другому субъекту в той мере, в которой это технически осуществимо.

Что такое принятие определенных принципов GDPR?

CPRA кодифицировал следующие положения, основанные на GDPR:

Минимизация данных. CPRA ограничивает персональную информацию, собираемую предприятиями, той, которая «разумно необходима и соразмерна достижению целей, для которых была собрана персональная информация». Этот раздел также не позволяет компаниям уклоняться от обязательств CPRA, отправляя персональную информацию за пределы штата или через третьих лиц, подрядчиков или поставщиков услуг. Когда предприятие собирает персональную информацию и передает ее другому субъекту в деловых целях, CPRA также требует заключения соглашения, в котором указываются ограниченные цели данной персональной информации. Получающие стороны также должны соблюдать обязательства CPRA и обеспечивать тот же уровень конфиденциальности, в то время как предприятие, обменивающееся информацией, имеет право предпринимать разумные шаги для обеспечения надлежащей передачи информации.
Цель Ограничение. CPRA разрешает компаниям собирать персональные данные только для «конкретных, явных и законных раскрытых целей», которые заранее раскрываются потребителям.
Ограничение хранения данных. CPRA содержит ограничения по хранению данных, которые, как и GDPR, требуют, чтобы компании раскрывали потребителям «продолжительность времени, в течение которого компания намерена хранить каждую категорию персональной информации, или, если это невозможно, критерии, используемые для определения такого периода...».
Разумная безопасность. CPRA прямо рассматривает вопросы безопасности и нарушений безопасности, что является еще одним положением, вдохновленным GDPR. Если компания нарушает свою обязанность по внедрению и поддержанию надлежащих процедур и практик безопасности, то потребители могут подать гражданский иск о возмещении убытков, получить судебный запрет или деклараторную защиту или любую другую защиту, которую суд сочтет надлежащей.

Что такое частное право на иск?

Расширение CPRA частного права на иск, возможно, является одним из самых важных положений для предприятий, учитывая недавний рост утечек данных. CCPA предоставляет потребителям Калифорнии частное право подать иск в суд, если их незашифрованная или неотредактированная личная информация становится раскрытой из-за того, что предприятие не приняло разумные меры безопасности. CPRA расширяет это частное право на иск, включая несанкционированный доступ к адресам электронной почты и паролям или контрольным вопросам.

Взгляд в будущее

Это лишь некоторые из изменений, которые CPRA вносит в мир соответствия требованиям к данным и конфиденциальности. Хотя все аспекты CPRA вступят в полную силу только с 1 января 2023 года, компании, ведущие бизнес в Калифорнии, должны начать закладывать внутреннюю основу для соответствия требованиям CPRA в течение 2021 и 2022 годов.

Чтобы подготовиться к CPRA, организации могут предпринять упреждающие шаги, такие как:

Определите, подпадаете ли вы под действие CPRA. Некоторые предприятия, не подпадающие под действие CCPA, попадут под действие CPRA, и наоборот.
Потребительские запросы: Предприятиям следует обеспечить наличие достаточных внутренних процессов для обработки запросов потребителей и определить, как расширить такие процессы, чтобы потребители могли осуществлять новые и расширенные права в соответствии с CPRA.
Обновить политику конфиденциальности. Компаниям следует пересмотреть и рассмотреть, какие обновления следует внести в первоначальное уведомление о сборе данных и уведомление о конфиденциальности веб-сайта, чтобы отразить новые требования, в том числе касающиеся конфиденциальной личной информации и новых/расширенных прав.
Картографирование данных и аудит. Компаниям следует рассмотреть возможность проведения картографирования данных, чтобы определить типы данных, которые хранит организация, как они перемещаются по всей организации, кто имеет доступ к данным и каковы последствия потенциального нарушения.
Обзор соглашений с третьими лицами. Предприятиям следует проводить аудит соглашений с третьими лицами, чтобы определить, необходимо ли дополнение о защите данных для приведения соглашения в соответствие с CPRA.

Наконец, важно помнить, что CCPA по-прежнему в силе и будет действовать до 2023 года. Тем временем Lazarus Alliance готов помочь вашей компании обеспечить соблюдение CCPA и CPRA.

Преимущества работы с Lazarus Alliance...

Снижение затрат

Мы работаем умнее, а не усерднее, чтобы сократить ваши расходы, предоставляя вам доступ к приложению ITAM от Continuum GRC — лучшему программному решению SaaS GRC для аудита, соответствующему требованиям CCPA. Это решение является единственным приложением для оценки, специально разработанным для CPRA и CCPA.

Многолетний опыт работы с нашими клиентами для наших клиентов, а не против них путем расширения масштабов работ и ежегодного повышения цен.

Проактивный, а не реактивный

Мы активно работаем с нашими клиентами, имеющими сертификаты CPRA и CCPA, в течение всего года, чтобы помочь предотвратить угрозы вашей программе соответствия.

Учитывая время и расходы, необходимые для обеспечения соответствия требованиям, вы не хотите рисковать нарушением требований, которое приведет к увеличению ваших расходов и сделает недействительным ваше ценное подтверждение.

От начала до конца в рекордно короткие сроки

Наш проверенный подход и технология оценки CPRA и CCPA значительно улучшают процесс завершения. Мы в среднем сокращаем на 46% традиционное время оценки благодаря нашей методологии критического пути, проактивной философии и использованию Континуум GRC ITAM платформа, у вас есть круглосуточный доступ, что позволяет каждому быстро входить и выходить.

CPRA и CCPA Аудит и оценки; мы готовы, когда вы готовы! Звоните +1 (888) 896-7580 прямо сейчас