Czym jest kalifornijska ustawa o prawach prywatności (CPRA)?

Opublikowany: 2020-06-25

Zanim kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) rozpoczęła nawet fazę egzekwowania, obrońcy prywatności zaproponowali zaostrzenie jej za pomocą surowszych kar. California Privacy Rights and Enforcement Act z 2020 r. został złożony w celu stworzenia ogólnostanowej inicjatywy głosowania jesienią.

Aktualizacja 28 września 2021 r. – Kalifornijska Agencja Ochrony Prywatności poszukuje komentarzy na temat CPRA, w szczególności 8 punktów omówionych w tym artykule CPRA.

 >>> Zbliżające się seminarium internetowe IAB dotyczące zestawu narzędzi do zapewnienia zgodności i gotowości do CPRA. Zestaw narzędzi CPRA zawiera listę kontrolną czynności do wykonania, język umowy CPRA i wiele innych.

Co to jest CPRA?

Ustawa CPRA (California Privacy Rights Act) jest rozszerzeniem CCPA (California Consumer Privacy Act) wdrożonej 1 stycznia 2020 r. CPRA ma na celu ochronę większej liczby rodzajów informacji o prywatności, zapewnia dodatkowe prawa konsumentom, ustanawia organ nadzoru i szczegółowe prawa specyficzne dla nieletnich.

Ta sama grupa, która przeforsowała agendę CCPA, Californians for Consumer Privacy, złożyła ponad 900 000 podpisów, aby zakwalifikować CPRA do głosowania w listopadzie 2020 roku.

Co to jest CCPA?

CCPA przyznaje konsumentom z Kalifornii określone prawa dotyczące gromadzenia, wykorzystywania, przechowywania i sprzedaży danych osobowych przez firmy. Jest to najbardziej rygorystyczny jak dotąd zestaw przepisów dotyczących prywatności w Stanach Zjednoczonych. Egzekwowanie ustawy CCPA przez firmę California AG rozpoczęło się 1 lipca 2020 r. Przyznaje użytkownikom online sześć kluczowych praw:

  • Prawo do informacji, jakie dane osobowe są gromadzone
  • Prawo do informacji, czy (i w jaki sposób) ich dane osobowe są udostępniane lub sprzedawane
  • Prawo do rezygnacji ze sprzedaży danych osobowych
  • Prawo dostępu do swoich informacji
  • Prawo do usunięcia swoich danych osobowych (z wyjątkami)
  • Prawo do niedyskryminacji za korzystanie ze swoich praw

Zgodnie z ustawą sprzedaż nie ogranicza się do transakcji stricte finansowych. CCPA przyznaje konsumentom prawa do wszelkich danych, które są wykorzystywane do tego, co uważa się za wartościowe. California AG orzekł, że obejmuje takie elementy, jak wymiana danych w celu kierowania lub wyświetlania reklam.

Zgodnie z CCPA dane osobowe znacznie wykraczają poza takie elementy, jak imię i nazwisko użytkownika, adres, numer telefonu lub dane biometryczne, takie jak odciski palców. Obejmuje również pliki cookie i historię przeglądania, adresy IP, identyfikatory reklam mobilnych (MAIDS), dane geolokalizacyjne, identyfikatory urządzeń lub inne interakcje z reklamami, witrynami internetowymi lub aplikacjami.

Aby uzyskać więcej informacji na temat CCPA, odwiedź Megalistę zasobów, list kontrolnych i wskazówek dotyczących CCPA.

Czym różni się CPRA od CCPA?

CPRA zawiera sześć kluczowych rozszerzeń CCPA, idąc dalej zarówno w zakresie praw konsumenckich, jak i ograniczeń biznesowych:

  • CPRA ustanawia nową kategorię wrażliwych danych osobowych (SPI)
  • Dodaje ograniczenia śledzenia
  • Ustanawia szersze prawa regresowe dla konsumentów
  • Dodaje szczególne zabezpieczenia dla nieletnich
  • Zapewnia konsumentom „prawo do sprostowania” danych osobowych
  • Ustanawia Kalifornijską Agencję Ochrony Prywatności

Dodatkowe prawa konsumenta w ramach CPRA

Nowa kategoria wrażliwych danych osobowych (SPI)

  • Numer ubezpieczenia społecznego
  • Prawa jazdy
  • Paszporty
  • Religia
  • Wyścig
  • Członkostwo unijne
  • Komunikacja personalna
  • Dane genetyczne i inne informacje zdrowotne
  • Informacje o życiu seksualnym lub orientacji seksualnej

Ograniczenia dotyczące śledzenia

CPRA wzmacnia również język o geolokalizacji. Dałoby to konsumentom możliwość uniemożliwienia firmom śledzenia geolokalizacji konsumenta w większości celów – w tym reklamowych – w promieniu około 250 akrów.

Szersze prawa prawne

Daje także konsumentom szersze prawa. Oprócz egzekwowania kar nakładanych przez państwo, dałoby konsumentom prawo do pozwania firm za zaniedbania w ochronie danych bez konieczności udowadniania i faktycznej straty finansowej. Zgodnie z CPRA, jeśli firma zaniedbuje proaktywną ochronę Twojego SPI lub elementów, takich jak hasło do poczty e-mail, możesz mieć możliwość pozwania.

Dodatkowe zabezpieczenia dla nieletnich

CCPA zabrania sprzedaży jakichkolwiek danych osobowych osób poniżej 17 roku życia bez wyraźnej zgody. W przypadku dzieci poniżej 13 roku życia wymaga zgody rodziców. Zgodnie z kalifornijską ustawą o prawach prywatności witryny muszą pytać o wiek użytkownika, wymagają zgody na włączenie (zamiast rezygnacji) i trzykrotnie zwiększają grzywny za naruszenia.

Prawo do sprostowania

CCPA umożliwia konsumentowi zażądanie usunięcia danych osobowych i rezygnację z zezwolenia firmom na sprzedaż danych osobowych, ale nie zezwala na korekty. CPRA umożliwiłaby konsumentom zażądanie korekty przechowywanych danych, jeśli są one niedokładne.

Kalifornijska Agencja Ochrony Prywatności

Kluczowym lokatorem CPRA jest utworzenie Kalifornijskiej Agencji Ochrony Prywatności, która ma nadzorować prywatność i działać jako rzecznik konsumentów. Inicjatywa głosowania żąda 10 milionów dolarów z ogólnego funduszu stanowego. „To finansowanie”, proponuje inicjatywa, „odpowiadałoby mniej więcej takiej samej liczbie pracowników zajmujących się egzekwowaniem prywatności, jak FTC (Federalna Komisja Handlu) musi pilnować całego kraju”.

Do kogo stosuje się CPRA?

Organizacje nie muszą znajdować się w Kalifornii, aby mieć na nie wpływ. Zarówno CCPA, jak i CPRA miałyby zastosowanie do firm prowadzących interesy z mieszkańcami Kalifornii.

Jakie są kluczowe daty dla CPRA?

Zakładając, że inicjatywa przejdzie proces weryfikacji podpisów, CPRA odbędzie się w stanowym głosowaniu 3 listopada 2020 r. Może zostać uchwalona przez zwykłą większość wyborców Kalifornii.

W przypadku uchwalenia kilka postanowień wchodzi w życie natychmiast, w tym utworzenie i finansowanie Kalifornijskiej Agencji Ochrony Prywatności. Należą do nich następujące sekcje:

  • 1798,145(m) i (n)
  • 1798.160
  • 1798,185
  • 1798.199.10-.40
  • 1798.199.95

Możesz przeczytać szczegóły tutaj.

Większość ustawy wejdzie w życie dopiero 1 stycznia 2023 r.

Inne kluczowe daty

  • 1 lipca 2021: data rozpoczęcia procesu tworzenia przepisów
  • 1 stycznia 2022 r.: rozpoczyna się 12-miesięczny proces „spojrzenia wstecz”. Chociaż CPRA nie wejdzie w życie w pełni do 1 stycznia 2023 r., będzie miała zastosowanie do danych osobowych zebranych od stycznia 2022 r. z pewnymi wyjątkami, takimi jak prawo do dostępu i poprawiania.
  • 1 lipca 2022: Ostateczny termin przyjęcia przepisów
  • 1 stycznia 2023: Data wejścia w życie i wygaśnięcie niektórych zwolnień

Ideą tej złożonej osi czasu jest zapewnienie prawodawcom i administratorom czasu na sfinalizowanie wytycznych. Daje to również organizacjom czas na dostosowanie się.

Nawet po uchwaleniu pierwotnego CCPA był on kilkakrotnie poprawiany i zmieniano określone fragmenty, takie jak te, które kwalifikują się jako „dane osobowe”. Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) została podpisana w dniu 28 czerwca 2018 r. Firmy otrzymały czas do stycznia 2020 r. na dostosowanie się i otrzymał 6-miesięczny „okres karencji” przed wykonaniem. Od 1 lipca 2020 r. może rozpocząć się egzekwowanie.

Podobny proces zostanie przyjęty przez CPRA.

Co wydawcy muszą wiedzieć o CRPA?

Podobnie jak w przypadku CCPA, CPRA podejmie istotne środki w celu zapewnienia zgodności. Dane osobowe będą mogły być przechowywane i wykorzystywane wyłącznie w określonych i ograniczonych celach dozwolonych przez Ustawy. Rozszerzy to, co jest uważane za dane osobowe, i będzie wymagało wyraźnych powiadomień dotyczących dostarczania reklam, jeśli wydawcy zdecydują się sprzedać informacje lub wykorzystać je do kierowania lub dostarczania reklam cyfrowych.

Lista kontrolna dotycząca zgodności z CCPA będzie musiała zostać zmieniona w celu uwzględnienia rozszerzonych przepisów, jeśli CPRA stanie się prawem. Nawet jeśli przejdzie, będą wytyczne i szczegóły, które zostaną uwzględnione w przyszłym tworzeniu zasad, które nie są dostępne dzisiaj.

Jako platforma zarządzania zgodami (CMP) Admiral monitoruje przepisy dotyczące zgody na prywatność mające wpływ na wydawców internetowych w Stanach Zjednoczonych i na całym świecie. Jeśli masz pytania dotyczące CMP, odwiedź Często zadawane pytania: Zarządzanie zgodami.

Nadchodzi więcej przepisów o ochronie danych

Ponieważ wiadomości o naruszeniu danych, niewłaściwym wykorzystaniu danych konsumentów i prywatności nadal budzą obawy publiczne, podniosło to rangę prywatności danych dla konsumentów. 84% osób biorących udział w badaniu przeprowadzonym przez Cisco zgłosiło chęć większej kontroli nad danymi i ich wykorzystaniem.

Dla wydawców to dopiero początek. Kilkanaście stanów wprowadziło ostatnio przepisy dotyczące ochrony danych i prywatności, w tym Illinois, Maine, Massachusetts, Nevada, New Jersey i Pensylwania. Istnieje również nacisk na tworzenie krajowych przepisów o ochronie danych i utworzenie Agencji Ochrony Danych.

Zgodność z CPRA, CCPA i RODO

Bycie na bieżąco ze wszystkimi przepisami dotyczącymi prywatności i niuansami RODO, CCPA i potencjalnym przejściem CPRA może być koszmarem dla wydawców. Dlatego tak wielu wydawców zwróciło się do Admirała o pomoc z zewnątrz, aby zarządzać prywatnością i zgodą odwiedzających. Jedna z pierwszych w branży platform zarządzania treścią (CMP) zgodnych z IAB, Admiral automatycznie identyfikuje odwiedzających witrynę pochodzących z kalifornijskich adresów IP, zapewnia odwiedzającym interfejs użytkownika umożliwiający rezygnację ze sprzedaży danych i jest kompatybilny z ramami IAB do wysyłania informacji o rezygnacji do dalszych dostawców.

Admiral można zainstalować za pomocą jednego prostego tagu i umożliwić wydawcom rozpoczęcie zarządzania ustawieniami prywatności i zgody odwiedzających po pięciu minutach rejestracji.

Skontaktuj się z Admirałem, aby uzyskać demo już dziś.