خرید vpn خوب

راهنمای به روز شما برای CCPA 2.0

قانون حقوق حفظ حریم خصوصی در کالیفرنیا (CPRA) یک قانون تمدید حقوق خصوصی مصرف کننده کالیفرنیا (CCPA) است. این آخرین ابتکار رای گیری برای حفظ حریم خصوصی مصرف کنندگان از کالیفرنیایی ها برای حفظ حریم خصوصی مصرف کننده است ، یک شرکت غیر انتفاعی به رهبری سلین و آلاستر مکتاگارت است. CPRA هنوز قانونی نیست ، اما انتظار می رود که در انتخابات آینده نوامبر توسط رأی دهندگان تصویب شود ، پس از آن تأثیر عمده ای بر کلیه شرکتهایی که با داده های مربوط به شهروندان کالیفرنیا کار می کنند تأثیر بگذارد: یعنی بیشتر شرکت هایی که دارای یک وب سایت هستند.

لطفا توجه داشته باشید: این راهنما آخرین به روزرسانی در 17 اوت 2020.

دریافت راهنمای ضروری رایگان سازگاری و مقررات حفاظت از داده های ایالات متحده

در این راهنما توضیح خواهیم داد که CPRA چیست؟ ، این برای تجارت شما چه معنی دارد و چگونه می توانید در راستای پیروی از این مقررات جدید عمل کنید. به طور خاص ، ما این موضوع را پوشش خواهیم داد:

نقد و بررسی سریع: قانون حقوق حفظ حریم خصوصی در کالیفرنیا چیست؟

تصویر که شامل کسانی است که تحت تأثیر CPRA قرار گرفته اند

CPRA به نام "CCPA 2.0" خوانده شده است زیرا آن را روشن و گسترش می دهد برخی از مقررات موجود در قانون حفظ حریم خصوصی کالیفرنیا. همچنین توسط همان گروه از شهروندان نگران پیشنهاد شده است.

در ماه مه سال 2020 ، گروه حمایت از حریم خصوصی "کالیفرنیا برای امنیت مصرف کننده" همه را غافلگیر کرد وقتی اعلام کردند که 900،000 امضا جمع آوری کرده اند تا CPRA را در نوامبر 2020 رأی دهند. . نظرسنجی های اولیه انجام شده در اکتبر 2019 نشان می دهد که تقریباً 9 از 10 رای دهنده کالیفرنیا برای حمایت از معیار رای گیری در مورد حمایت از حریم خصوصی اطلاعات شخصی مصرف کنندگان ، "بله" رأی خواهند داد. اگر این امر صادق باشد ، پس CPRA – که فقط به رأی اکثریت برای تصویب لازم است – در ماه نوامبر پشتیبانی چشمگیر خواهد داشت.

CPRA قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا ("CCPA") را که در آغاز به مرحله اجرا گذاشته شد ، گسترش داده و اصلاح می کند. از سال 2020. CCPA در حال حاضر تأثیر چشمگیری در خارج از مرزهای کالیفرنیا داشته است و به یک استاندارد حقوقی برای حفظ حریم خصوصی داده ها در سراسر ایالات متحده تبدیل شده است. به همین دلیل است که لایحه CPRA از نزدیک مورد بررسی قرار خواهد گرفت – این امر می تواند بدون توجه به اینکه به کالیفرنیا نزدیک هستید ، تأثیر بزرگی بر تجارت شما بگذارد.

CPRA چیزهای جدیدی را به صحنه حریم خصوصی داده ها می آورد. بیایید نگاهی به مفاد جدید بیندیشیم ، و چگونگی مقایسه CCPA 2.0 با سلف خود.

CPRA: یک گام به سمت نسخه آمریکایی GDPR

لیستی از تغییرات مهم CPRA از CCPA [19659009] از بسیاری جهات ، CPRA قوانین حفظ حریم خصوصی را در کالیفرنیا به آنچه که در GDPR برای شهروندان اروپایی ارائه می شود نزدیک می کند. الزامات GDPR در هنگام اجرای قانون حفظ حریم خصوصی به طور گسترده ای به عنوان "استاندارد طلا" در نظر گرفته می شود ، و فعالان در کالیفرنیا به وضوح از این مدل استفاده می کنند.

این امر به ویژه در رابطه با یک بخش از این قانون صادق است. با تصویب GDPR ، سازمانی به نام سازمان حفاظت از داده ها را برای اجرای قوانین تأسیس كرد. ایالات متحده دارای یک مقام مشابه نیست که فقط به اجرای حقوق حریم خصوصی مصرف کننده اختصاص یابد. CPRA با تأسیس آژانس حفاظت از حریم خصوصی کالیفرنیا ("CPPA") این مشکل را حل می کند. CPPA به مجازاتهای خوب مجاز خواهد بود ، جلساتی در مورد نقض حریم خصوصی و روشن شدن دستورالعملهای حفظ حریم خصوصی به شما داده می شود.

این گفته است ، بین CCPA و GDPR اختلافات عمده ای وجود دارد ، و باید در صورت کاربرد با آنها آشنا باشید.

چه کسی CPRA را تحت تأثیر قرار می دهد؟

همانطور که پیشنهاد شد ، CPRA در مورد مشاغل مشابه CCPA موجود اعمال می شود. این آیین نامه فقط در مورد شرکت هایی که در کالیفرنیا مشاغل کار می کنند ، انجام می شود که یک یا چند معیار زیر را برآورده می کنند:

  • درآمد سالانه ناخالص بیش از 25 میلیون دلار داشته باشید ، یا
  • بیش از 50 درصد درآمد سالانه خود را از فروش بدست آورید. اطلاعات شخصی مصرف کننده کالیفرنیا ، یا
  • سالانه اطلاعات شخصی بیش از 50،000 مصرف کننده کالیفرنیا را بخرید ، بفروشید یا به اشتراک بگذارید.

اگر این موارد مربوط به تجارت شما باشد ، شما باید تا 1 ژوئیه 2020 مطابقت داشته باشید. CCPA از اول ژانویه سال 2020 به اجرا درآمد ، دادستان کل كالیفرنیا (AG) از ماه ژوئیه اجرای قانون را آغاز می كند.

عدم رعایت CCPA به احتمال زیاد با جریمه هایی كه توسط دادستان كل اعمال می شود مجازات خواهد شد. CCPA همچنین "حق اقدام خصوصی" را ارائه می دهد که به نقض داده ها محدود شده است. طبق حق اقدام عملی ، خسارت می تواند بین 100 تا 750 دلار در هر حادثه برای هر مصرف کننده باشد. کالیفرنیا AG همچنین می تواند CCPA را به طور کامل با توانایی اعمال مجازات مدنی حداکثر از 2500 دلار در هر تخلف یا 7500 دلار برای هر تخلف عمدی اجرا کند.

چگونه می تواند بر مشاغل تأثیر بگذارد؟

CPRA می تواند مهم باشد. تأثیر بر مشاغل که در رده های بالا قرار می گیرند. این قانون حقوق مصرف کننده موجود را اصلاح کرده و حقوق جدید اعطا می کند ، از جمله:

  • حق تصحیح
  • حق محدود کردن استفاده و افشای اطلاعات شخصی حساس
  • و حق خودداری از "به اشتراک گذاری". که CPRA به اشتراک گذاشتن اطلاعات شخصی برای تبلیغات رفتاری متقابل صرف نظر از اینکه مبادله ای در نظر گرفته شود در نظر می گیرد.

CPRA همچنین:

  • شركتها را ملزم می كند تا با همه اشخاصی كه تجارت در آن اطلاعات شخصی را فاش می كند ، قرارداد ببندند.
  • دوره "درمان" 30 روزه CCPA

این مفاد جدید ممکن است برای مشاغل که قبلاً در تلاش برای دستیابی به انطباق با CCPA هستند ، بسیار خطرناک به نظر برسد. با این حال ، در واقعیت ، این مقررات جدید قانون حفظ حریم خصوصی در کالیفرنیا را با قوانین حفظ حریم خصوصی در سراسر جهان مطابقت می دهد و احتمالاً تا دهه آینده در سراسر ایالات متحده استاندارد خواهد شد. بنابراین ، دستیابی به مطابقت با CPRA ، سازمانها را در موقعیتی عالی قرار می دهد که می تواند امنیت داده ها و حریم خصوصی را تضمین کند.

چه موقع CPRA وارد اثر می شود؟

اگر این لایحه تصویب شود ، مشاغل بیش از یک سال برای آماده سازی این لایحه از اول ژانویه 2023 به طور فنی به قانون تبدیل می شود و در تاریخ 1 ژوئیه 2023 قابل اجرا خواهد بود. با این حال این لایحه برای هرگونه اطلاعات شخصی که توسط شرکت ها در تاریخ 1 ژانویه 2022 جمع آوری شده اعمال می شود. CPRA همچنین مستثنیات موقت CCPA را گسترش می دهد. برای داده های B2B و منابع انسانی تا اول ژانویه 2023.

یک سال و نیم برای آماده سازی برای مقررات جدید حفظ حریم خصوصی ممکن است مدت زمان طولانی برای شما و شما به نظر برسد ، اما این قوانین جدید می توانند به سرعت در سازمان های بزرگ پیچیده شوند. بنابراین ، بیایید به مفاد لایحه جدید ، و چگونگی تهیه آن بپردازیم.

CCPA vs CPRA: New Terminology

علاوه بر تهیه و وضوح ، CPRA برخی مفاهیم کاملاً جدید را به حریم شخصی داده معرفی می کند. کالیفرنیا در اینجا تعداد کمی از مفاهیم GDPR وجود دارد که به واژگان حریم خصوصی ایالات متحده با CPRA اضافه می شوند:

  • حق تصحیح – به روزرسانی و اضافه کردن به حق مصرف کننده برای تصحیح اطلاعات شخصی نادرست.
  • حق محدود کردن – اعطای حق به مصرف کنندگان حق محدود کردن استفاده و افشای اطلاعات شخصی حساس خود (مشابه حق فراموش شدن).
  • اطلاعات حساس شخصی قابل شناسایی – همه شخصاً نیست اطلاعات قابل شناسایی ("PII") برابر با قانون جدید ایجاد می شود. انواع خاصی از اطلاعات ، مانند شماره تأمین اجتماعی شما ، یک تمایز "حساس" را به همراه خواهد داشت.

حقوق جدید مصرف کننده باید به عنوان "درخواست های قابل تأیید" ارائه شود ، همانطور که در CCPA برای تعیین حق حذف و افشا تعیین شده است ، با اشاره به موارد زیر:

نحوه آماده سازی برای سازگاری CPRA

اگرچه هنوز CPRA هنوز نیاز به تأیید رأی دهندگان دارد ، امری اجتناب ناپذیر است که تصویب شود. بنابراین ، اکنون باید آماده سازی برای آن را شروع کنید. در اینجا توصیه های ما در مورد کار در جهت انطباق است:

اطلاعات مربوط به حریم خصوصی فعلی و شیوه های پردازش داده را جمع آوری کنید.

اولین قدم برای درک بهتر کار شما در حال حاضر است. CPRA معیار دیگری را برای سنجش پیشرفت کار شما ارائه می دهد. اگر GDPR و CCPA قبلاً فعالیت شما را برای انجام نقشه برداری از داده ها ، ارزیابی فاصله و سایر پروژه های مشابه تحت فشار قرار نداده اند ، CPRA دلیل دیگری برای انجام این کار است. علاوه بر این ، این پروژه ها گاهی اوقات بسیار طولانی تر از آنچه تصور می شود طول می کشد ، بنابراین غیرقابل منطقی نیست که سالها پیش از برنامه شروع کنیم.

ادامه با پروژه های انطباق CCPA

CCPA قانونی است که در عمل مگر اینکه اصلاح شود CPRA و گذشته از چند اصلاحیه خاص ، تلاشهای CCPA كسب و كار را به انطباق CPRA نزدیك می كند.

عمل كاهش داده ها و شفافیت

حتی در مواردی كه به طور دقیق تصویب نشود ، بهترین عمل برای اجرای كاهش داده ها و استراتژی های دیگر است. برای کاهش خطرات حریم خصوصی شفافیت در مورد نحوه پردازش اطلاعات شخصی نیز مهم است. CPRA ، دقیقاً مانند CCPA ، در صورت نیاز به ترغیب سایر ذینفعان در تجارت از اهمیت سرمایه گذاری منابع در شیوه های حفظ شفافیت و محرمانه تر حفظ حریم خصوصی و اطلاعات ، توجیه دیگری را به لیست اضافه می کند. حتی اگر CPRA نگذرد ، روند گسترده ای از افزایش تعهدات مربوط به حریم خصوصی و پردازش شفاف تر داده های مصرف کننده را تأکید می کند.

یک رویکرد جامع نگر بگیرید

همه این مراحل به شما در آماده سازی برای CPRA کمک می کند ، اما این همان است. تنها دلیل برعهده گرفتن آنها نیست. در نهایت ، شما می خواهید سازمان خود را در هنگام محافظت از داده ها و حریم خصوصی از منحنی جلوتر بکشید ، به طوری که به راحتی قادر به پیروی از قوانین جدید مربوط به حفظ حریم خصوصی باشید. اگر این هدف بعدی شما باشد ، این فرایندها به شما کمک می کنند تا در صورت رعایت سایر قوانین حفظ حریم خصوصی (و به طور خاص GDPR) عمل کنید.

چه چیزی می تواند CPRA را برای من تغییر دهد؟

CPRA نحوه برخورد سازمان ها را تغییر می دهد. با داده های مربوط به شهروندان کالیفرنیا. از مهمترین تغییراتی که قانون وضع کرده است عبارتند از:

تمدید معافیت های کارمندان و B2B

CPRA بلافاصله معافیت CCPA را برای اطلاعات مربوط به کارمندان ، متقاضیان کار و مشاغل به تجارت ("B2B") گسترش می دهد. ) مخاطب. اگر CPRA نگذرد ، این معافیت ها قرار است در تاریخ 1 ژانویه 2021 تحت CCPA غروب خورده باشند.

تغییرات مهم (برای مشاغل کوچک) به تعریف یک تجارت

CPRA در آستانه های بالاتر برای تعریف "ایجاد می کند". تجارت ، "که باید منجر شود بسیاری از مشاغل کوچک خارج از محدوده CPRA قرار بگیرند. متأسفانه ، این تغییر آستانه تا اول ژانویه 2023 به مرحله اجرا نمی رسد. بنابراین ، برخی از مشاغل کوچک ممکن است تا آن زمان به تعهدات تحت CCPA ادامه دهند ، مگر اینکه دادستان کل کالیفرنیا برعکس دستورالعمل صادر کند.

مفهوم جدید " اشتراک گذاری و تبلیغات آنلاین

CPRA "به اشتراک گذاری" اطلاعات شخصی را به عنوان افشای اطلاعات شخصی به شخص ثالث برای "تبلیغات رفتاری متقابل" تعریف می کند ، که این عمل تبلیغات هدفمند با استفاده از اطلاعاتی است که در مورد یک شخص در چندین مشاغل جمع آوری شده است. CPRA تعهدات مشابهی را در مورد فروش بهمراه فروش ، از جمله حق انصراف از شرط و الزام به پیوند "من نمی فروخت یا به اشتراک گذاری اطلاعات شخصی من" قرار می دهد. CPRA در مورد چگونگی امتناع از انعطاف پذیری بیشتری برخوردار است ، اما افزودن "اشتراك" بحث را در مورد اینكه آیا الزامات امتناع برای "فروش" برای تبلیغات رفتاری متقابل اعمال می شود ، خاتمه می بخشد.

اطلاعات شخصی حساس

CPRA مفهوم "اطلاعات شخصی حساس" (دقیقاً مانند GDPR) را معرفی می کند و الزامات افزایش یافته به چنین اطلاعات شخصی ، از جمله حق مصرف کننده برای محدود کردن پردازش اطلاعات شخصی حساس ، الزامات ویژه توجه ، و شرط اضافه کردن پیوند "استفاده از اطلاعات شخصی من حساس" را محدود کنید.

موارد جدید اعلامیه در نقطه مجموعه

علاوه بر الزامات CCPA موجود برای اخطار یک نقطه از مجموعه ، CPRA به یک تجارت نیز نیاز دارد. برای اطلاع مصرف کنندگان ، در یا قبل از جمع آوری ، موارد زیر را در مورد موارد زیر: آیا اطلاعات به فروش می رسد یا به اشتراک گذاشته می شود. اطلاعات مربوط به دسته های حساس از اطلاعات شخصی که جمع آوری می شوند (در زیر مراجعه کنید)؛ و چه مدت اطلاعات شخصی حفظ می شود.

شرایط جدید برای موافقت نامه های ارائه دهنده خدمات

CPRA الزامات توافقات با ارائه دهندگان خدمات را ارائه می دهد که اطلاعات شخصی را به نمایندگی از مشاغل پردازش می کنند. CPRA به توافق نامه هایی نیاز دارد که شرایط خاصی را در بر بگیرد. به عنوان مثال ، این توافق نامه باید استفاده از اطلاعات شخصی را فقط برای اهداف محدود و مشخص محدود کند ، باید از حقوق بازرسی و غیره برای تجارت برخوردار باشد.

حق گسترش فعالیت شخصی

CPRA همچنین بر اهمیت اجرای امنیت تأکید می کند. برای محافظت از اطلاعات شخصی مصرف کنندگان با گسترش دامنه حق اقدام خصوصی. حق اقدام شخصی CCPA فقط درصورتی اعمال می شود كه نقض اطلاعات شخصی بدون رمز و رمز نشده آنگونه كه در اساسنامه اخطار نقض كالیفرنیا تعریف شده است (كه بسیار محدودتر از تعریف CCPA از اطلاعات شخصی است) ، و CCPA اجازه می دهد سی و دوره درمان روز بعد از نقض. حق اقدام عملی CPRA مفهوم اطلاعات شخصی را طبق تعریف کال حفظ می کند. مدنی کد 1798.150 but اما دامنه را با درج آدرس های ایمیل هنگام همراه با یک رمز عبور (یا معادل آن) که امکان دسترسی به یک حساب کاربری را فراهم می کند ، گسترش می دهد. علاوه بر این ، CPRA "اجرای و نگهداری از رویه ها و رویه های معقول امنیتی مطابق بند 1798.81.5 را در پی نقض قانون درمانی با توجه به آن نقض نمی کند" ، به گونه ای که تجارت می تواند از دادخواست خصوصی اجتناب کند. این تغییر دور از دوره درمانی ارائه شده تحت CCPA ، این احتمال را دارد كه ریسك دادرسی را برای مشاغل مشمول نقض داده ها به میزان قابل توجهی افزایش دهد.

بهبود معافیت آزمایشات بالینی

علاوه بر گسترش معافیت برای اطلاعات مربوط به کارمندان و B2B ، CPRA به طور کلی معافیت های مختلف (مانند HIPAA ، GLBA) از CCPA را با چند پیشرفت حفظ می کند. به عنوان مثال ، CPRA توضیح می دهد كه معافیت آزمایشی كلینیكی در مواردی انجام می شود كه یك كارآزمایی بالینی یا مطالعه دیگر تحقیقات بیولوژیك مطابق با قاعده معمول انجام شود. (همانطور که تحت CCPA قرار دارد ، معافیت فقط در مواردی اعمال می شود که مطالعه منوط به قانون معمول باشد و این سؤال را ایجاد می کند که چگونه CCPA برای مطالعاتی که مطابق با آن باشند ، اما مطابق قانون عادی نیست) اعمال می شود.)

آژانس حفاظت از حریم خصوصی کالیفرنیا

CPRA اولین آژانس دولتی ایالتی ایالات متحده را که برای اجرای حریم خصوصی ، آژانس محافظت از حریم خصوصی کالیفرنیا ، اختصاص داده شده است ، برای پیاده سازی و اجرای CPRA ایجاد خواهد کرد. آژانس در ابتدا با 5 میلیون دلار در سال های 2020-2021 و 10 میلیون دلار در سال برای تأمین سرمایه گذاری تأمین می شود.

ارزیابی و ممیزی ریسک

CPRA کالیفرنیا را راهنمایی می کند تا برای صدور آیین نامه هایی که نیاز به مشاغلی را دارد که پردازش اطلاعات شخصی ارائه می دهد " خطر قابل توجهی برای حفظ حریم خصوصی یا امنیت مصرف کنندگان "برای انجام یک حسابرسی سالانه در مورد امنیت سایبری و ارسال ارزیابی خطر به طور منظم به آژانس حفاظت از حریم خصوصی کالیفرنیا. یعنی ، CPRA در اصل مفهوم GDPP DPIA ها را تصویب می کند ، اما با قاطعیت ایجاب می کند که چنین ارزیابی هایی به طور منظم به یک نهاد نظارتی ارسال شود.

آخرین به روز رسانی ها و اخبار CPRA

بروزرسانی – 26 ژوئن ، 2020

CPRA واجد شرایط لیست رای گیری در انتخابات عمومی نوامبر است. بررسی قانون ملی در مورد صلاحیت آراء توضیحات خوبی دارد. کالیفرنیایی ها اکثراً حمایت خود را از این ابتکار اعلام کرده اند و انتظار می رود قانون فراگیر شود.

نظر ما درباره CPRA

در حال حاضر ، CPRA در حال ایجاد وحشت جزئی در میان سازمان هایی است که با داده هایی درباره شهروندان کالیفرنیا سروکار دارند. . تا حدودی دلیل این سردرگمی در مورد تصویب این قانون جدید است و اینکه آیا شرکت ها باید وقت خود را برای تهیه یک قانون حفظ حریم خصوصی داده ها اختصاص دهند که هنوز قانون نیست. سازمان ها پیش از این مقدار قابل توجهی از منابع را برای رعایت CCPA ، GDPR و سایر بخش های قانون اختصاص داده اند ، و در این زمینه ، به نظر می رسد سرمایه گذاری وقت و پول بیشتر در انطباق سوداگرانه احمقانه باشد.

اما در واقعیت کاملاً مطمئن است که CPRA در ماه نوامبر به تصویب می رسد ، و این قانون مستقیماً روی CCPA بنا می شود. در عمل ، این بدان معناست که سازمان ها باید برای گسترش فرآیندهای انطباق CCPA خود ، به منظور روشن شدن توضیحات و برنامه های افزودنی موجود در CPRA ، به کار خود ادامه دهند.

کار در جهت انطباق با CPRA نه تنها از منظر انطباق ضروری است. قرار دادن ابزارهای فنی و مدیریتی مورد نیاز برای مطابقت با CPRA همچنین هنگام رعایت قوانین بیشتر در مورد حفظ حریم خصوصی ، شما را در موقعیت عالی قرار خواهد داد. همچنین به شما کمک می کند تا داده ها و سیستم های خود را در برابر جرایم اینترنتی محافظت کنید.

A Final Word

قانون حفظ حریم خصوصی در سراسر جهان برای یک دهه اکنون پیچیده تر و دستیابی به انطباق با آن دشوارتر شده است. برخی از قوانین قابل توجه شامل قانون Gramm-Leach-Bliley و همچنین قانون حمایت از مصرف کننده کلرادو و سایر قوانین حفظ حریم خصوصی ایالتی و ایالات متحده است. CPRA فقط آخرین تکرار این است. این مسیر از سفر معکوس نمی شود و بنابراین ، در عمل ، همه سازمان ها برای اطمینان از پایداری باید به دنبال رعایت دقیق ترین قانون حفظ حریم خصوصی (در حال حاضر GDPR) باشند.

به همین دلیل ، هنگامی که کار کردید این راهنما ، و آنچه را که برای سازمان شما معنی دارد ، تهیه کرده باشید ، باید از این فرصت استفاده کنید تا درباره قوانین و نگرانی های مربوط به حریم خصوصی داده ها بیشتر بخوانید.