Закон Калифорнии о защите персональных данных потребителей (CCPA)

  • Статья

Обзор CCPA

Закон о конфиденциальности потребителей в Калифорнии (CCPA) — это первый комплексный закон о конфиденциальности в США. Он предоставляет различные права на конфиденциальность для потребителей в Калифорнии. Предприятия, регулируемые документом CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общий регламент по защите данных (GDPR), такие как права субъектов данных потребителей (DSR), отказ от передачи определенных данных и требование согласия для несовершеннолетних.

CCPA применяется только к компаниям, которые выполняют бизнес в Калифорнии, которые удовлетворяют одному или нескольким из следующих условий: (1) имеют валовый годовой доход более 25 млн долл. США или (2) получают более 50 % годового дохода от продажи персональных данных потребителей в Калифорнии или (3) купить, продать или поделиться личной информацией более 50 000 потребителей Калифорнии ежегодно.

CCPA вступает в силу 1 января 2020 г. Однако принудительное применение генерального защитника Калифорнии (AG) начнется 1 июля 2020 г.

Группа доступности Калифорнии принудительно применяет CCPA и будет иметь разрешения на выдачу штрафов за несоответствие требованиям. CCPA также предоставляет частное право на действие, которое ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Корпорация Майкрософт и CCPA

Для коммерческих клиентов, которые выполняют бизнес в Калифорнии, корпорация Майкрософт будет выполнить роль "поставщика услуг" в отношении нашего предложения веб-служб и профессиональных услуг. Условия условий использования веб-служб (OST) и microsoft Professional Services Data Protection Addendum (MSDPA) уже соответствуют требованиям для поставщиков услуг в рамках CCPA и, как правило, достаточно, чтобы клиенты могли продолжать передавать данные в наши веб-службы. Таким образом, для клиентов не требуется никаких дополнительных договорных изменений, чтобы они могли полагаться на Корпорацию Майкрософт как поставщика услуг в рамках CCPA.

Как описано в OST, корпорация Майкрософт соблюдает все законы и нормативные акты, применимые к ее подготовке веб-служб, включая CCPA.

Службы облачных & платформ Майкрософт в области действия

Как подготовиться к соответствию требованиям CCPA при использовании продуктов и служб Майкрософт

Чтобы приступить к работе с CCPA, выполните следующие действия.

  • Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках программы конфиденциальности CCPA.
  • Создайте процесс эффективного реагирования на запросы доступа субъекта данных (DSA) с помощью средства запросов субъекта данных.
  • Настройка меток и политик для обнаружения, & классификации меток и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
  • Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.

Вопросы и ответы

Как CCPA повлияет на мою компанию?

Многие права CCPA, которые ccPA предоставляет калифорнии, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и разрешение субъекта данных (DSR), такие как доступ, удаление и переносимость. Таким образом, клиент может просмотреть уже существующие решения GDPR, чтобы помочь ему в обеспечении соответствия требованиям CCPA.

Чтобы начать работу с CCPA, необходимо сосредоточиться на обнаружении информации, определении способа совместного использования персональных данных, управлении ее использованием, способах ее защиты и наличии формальной программы реагирования на нарушение безопасности данных.

Чем различаются GDPR и CCPA?

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

  • Обязательства по прозрачности и раскрытию,
  • права потребителя на доступ, удаление и получение копии данных;
  • Определение "поставщиков услуг", аналогично тому, как GDPR определяет "обработчики" с аналогичным договорным обязательством и
  • Определение "предприятия", охватывающее определение GDPR "контроллеров".

Основное различие в CCPA заключается в том, что основное требование заключается в том, чтобы отказаться от продажи данных третьим лицам (при этом "продажа" широко определена для включения общего доступа к данным для ценных аспектов).

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

Для CCPA требуются регулируемые компании, которые собирают, переносит и продают персональные данные, помимо прочего:

  • предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
  • Предоставьте более подробные сведения в политике конфиденциальности, касающиеся источников, бизнес-целей и категорий собираемых персональных данных, включая способ продажи или передачи этих категорий другим сущностям.
  • Включите права DSR на доступ, удаление и переносимость для определенных частей персональных данных, собранных вами.
  • Включите элемент управления, который позволит потребителям отказаться от продажи данных потребителя. Однако передача в исключенные сущности, такие как поставщики услуг, будет разрешена.
  • Для несовершеннолетних( до 16 лет) включите процедуру согласия, чтобы не было возможности продажи персональных данных несовершеннолетних без активного согласия на продажу.
  • Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Как CCPA применяется к детям?

  • CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
  • Для детей от 13 до 16 лет CCPA накладывает новое обязательство по предоставлению согласия от дочернего пользователя.

Использование диспетчера соответствия требованиям Microsoft Purview для оценки рисков

Диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы