Как фирмите могат да спазват Калифорнийския закон за правата за поверителност

Законът за правата на неприкосновеността на личния живот в Калифорния влезе в сила на 1 януари 2023 г., разширявайки защитата на потребителите, предлагана от Закона за защита на личните данни на потребителите в Калифорния. Прилагането на CPRA няма да започне до 1 юли и се прилага само за нарушения, извършени на или след тази дата. На фирмите е даден шестмесечен прозорец, за да се съобразят с този нов закон. Независимо дали даден бизнес трябва да създаде програми за поверителност или сигурност или да актуализира съществуващи програми, за да се съобрази с изискванията, той трябва да следва някои основни стъпки за съответствие. Определете надзора Ако бизнесът е бил обект на Закон за защита на личните данни на потребителите, вероятно също е предмет на ЗКИР. Законът разшири дефиницията за бизнес, за да включи всяка организация с печалба, извършваща бизнес в Калифорния, която събира лична информация на потребителите в Калифорния и има годишни брутни приходи от над 25 милиона долара през предходната година; купува, продава или споделя лична информация на 100 000 потребители или домакинства в Калифорния; или извлича 50% или повече от годишните си приходи от продажба или споделяне на информация. CPRA разшири броя на организациите, подчинени на CCPA, като включи всички бизнеси, които споделят данни. Освен това CPRA вече обхваща и доставчици на услуги, изпълнители и организации на трети страни, които обработват, притежават или получават лична информация на потребители в Калифорния от името на бизнес, съгласно устава. Оценете събраната лична информация CPRA увеличава тежестта върху бизнеса за минимизиране на данните и ограничаване на предназначението. Съответно фирмите трябва да оценят видовете лична информация, която събират, и да определят как използват, споделят и съхраняват тази информация за постигане на бизнес цели. Само лична информация, която е разумно необходима и пропорционална за бизнес цели, трябва да се събира, обработва и запазени. Ако даден бизнес събира чувствителна лична информация, като например номера на социално осигуряване, номера на банкови сметки и пароли или данни за географско местоположение, CPRA добавя допълнителни изисквания, свързани с използването им. Актуализиране на политиката за поверителност Новите изисквания на CPRA също изискват от фирмите да актуализират своите политики за поверителност чрез изискване за идентифициране на категориите трети страни, на които се разкрива и/или продава информация, бизнес целта за събиране и/или продажба на лична информация и категориите източници, от които се събира лична информация. Фирмите вече трябва да информират и потребителите в Калифорния на техните допълнителни права съгласно ЗКИР, включително права за коригиране на неточна лична информация и ограничаване на използването и/или разкриването на чувствителна лична информация, правото на информация относно практиките на бизнес за запазване на данни и правото на отказ от използването на автоматизирани технология за вземане на решения. Тази технология включва автоматизирана обработка на лична информация с цел оценка или прогнозиране на личните аспекти на ефективността на потребителите на работното място, икономическото състояние, здравето, личните предпочитания, интереси, надеждност, поведение, местоположение или движения. Актуализиране на съобщенията за потребителите CPRA също предмет фирми към нови изисквания за уведомяване, включително уведомяване на потребителите в Калифорния за категориите събрана лична информация и целите, за които тази лична информация се събира и/или използва, дали личната информация се продава и/или споделя и продължителността на бизнеса запазва личната информация на потребителите. Ако даден бизнес събира чувствителна лична информация, той трябва да получи съгласието на потребителя, преди да я обработи, и да публикува отделно известие, свързано със събирането и използването на тази информация. Тези известия трябва да се предоставят на потребителите на или преди мястото на събиране и да се свързват директно към конкретни раздели от политиката за поверителност на компанията. Актуализирайте вътрешните политики. Допълнителните задължения, наложени от CPRA, изискват по-голяма комуникация между бизнеса и потребителите, като основно отговарят на потребителите, които упражняват новите им права. Предприятията също трябва да се подготвят да установят вътрешни процеси за предаване на тези искания на доставчици на услуги, изпълнители и други трети страни, с които бизнесът е споделил лична информация. Освен това, като се има предвид целта на CPRA за минимизиране на данните и ограничаване на целта, предприятията вероятно ще трябва да създайте по-подробни политики за съхранение на данни. Те трябва да уточняват целта, за която се събира личната информация и продължителността на съхранението й, и да определят обхват, свързан със събирането и използването на тези данни, който е пропорционален на целите, за които е събрана. И накрая, ЗКИР налага нови задължения за предприятията да извършват оценки на въздействието върху неприкосновеността на личния живот и оценки на въздействието върху защитата на данните. Това ще изисква от фирмите да оценят личната информация, която събират, да идентифицират системите, използвани за събиране и съхраняване на тази информация, и да разрешат всички рискове за защита на данните, така че тази информация да бъде защитена. Създаването на политика за оценка на програмата и практиките за поверителност е от съществено значение при обработката на заявки от Калифорнийската агенция за защита на личните данни и главния прокурор на Калифорния, както и други одити. Актуализиране на договори CPRA изисква актуализиране на шаблони на договори и съществуващи договори с доставчици на услуги и изпълнители. Освен това вече изисква писмени споразумения с трети страни. Актуализирайте уебсайтове и бек-енд системи В допълнение към прилагането на съвместими с CCPA договори за доставчици на услуги с всеки доставчик на бисквитки, етикети и технологии за проследяване за уебсайт, уебсайтът трябва също да спазва глобалния контрол на поверителността сигнал, настройка, която уведомява уебсайтовете за предпочитанията за поверителност на потребителя и заявки за непродаване от потребители. Новите изисквания на CPRA са обширни, но като следва предходните стъпки, бизнесът може да гарантира спазването на новия закон. Тази статия прави не отразяват непременно мнението на Bloomberg Industry Group, Inc., издателят на Bloomberg Law и Bloomberg Tax, или неговите собственици. Пишете за нас: Указания за автора Информация за автора Симран Махал, активен съдец в Hanson Blodgett и сертифициран специалист по поверителност на информацията (CIPP/US ), фокусира практиката си върху съдебни дела и разрешаване на спорове както за публични агенции, така и за бизнеса.

News Dameo