الأطراف الثالثة وقانون خصوصية المستهلك في كاليفورنيا (CCPA)

في بيئة البيانات المتغيرة باستمرار اليوم ، تعتمد الشركات في كل مكان على الشراكات مع أطراف ثالثة للمساعدة في دفع جهود أعمالهم. يسمح اقتصادنا المعتمد على البيانات للمؤسسات ببناء مشاركة العملاء ، وزيادة رؤية المستهلك وزيادة الإيرادات ، ولكن مع القيود الجديدة التي تفرضها CCPA على المؤسسات ، هل استخدام بيانات الطرف الثالث أصبح شيئًا من الماضي؟ لحسن الحظ ، بالنسبة للعديد من المؤسسات ، سيكون الامتثال لهذا التقييد في CCPA مجرد مسألة تحديد موردي الطرف الثالث ، وتحديد تلك العلاقات في العقود ، وتنفيذ العمليات للامتثال لقواعد الانسحاب الجديدة من البيع.

للبدء ، ستحتاج المؤسسات إلى فهم كيفية تعريف CCPA للأطراف الثالثة. وفقًا للقسم 1798.140 (ث) ، يُقصد بـ "طرف ثالث" شخصًا ليس أيًا مما يلي:

1. النشاط التجاري الذي يجمع المعلومات الشخصية من المستهلكين تحت هذا العنوان.
2. شخص تكشف له الشركة عن المعلومات الشخصية للمستهلك لغرض تجاري بموجب عقد مكتوب ، بشرط أن يكون العقد:
   1. يحظر على الشخص الذي يتلقى المعلومات الشخصية من:
      1. بيع المعلومات الشخصية.
      2. الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الكشف عنها لأي غرض بخلاف الغرض المحدد لأداء الخدمات المحددة في العقد ، بما في ذلك الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الكشف عنها لغرض تجاري بخلاف تقديم الخدمات المحددة في العقد .
      3. الاحتفاظ بالمعلومات أو استخدامها أو الكشف عنها خارج علاقة العمل المباشرة بين الشخص والنشاط التجاري.
   2. تتضمن شهادة صادرة عن الشخص الذي يتلقى المعلومات الشخصية بأن الشخص يفهم القيود الواردة في الفقرة الفرعية (أ) وسوف يلتزم بها.

لا ينبغي الخلط بين هذا وبين "مقدم الخدمة" ، الذي يعرفه قانون حماية خصوصية المستهلك على أنه كيان قانوني " يعالج المعلومات نيابة عن شركة والتي تفصح لها الشركة عن المعلومات الشخصية للمستهلك لغرض تجاري بموجب عقد مكتوب " . هذا يعني أن مؤسسة الأعمال نفسها ومقدمي الخدمات التابعين لها الذين يستخدمون البيانات وفقًا للتعليمات لا يعتبرون أطرافًا ثالثة. ومع ذلك ، فإن العديد من المنظمات الأخرى التي تتبادل البيانات مع شركة تقع ضمن فئة الطرف الثالث.

لكي تحدد المؤسسات كيفية التعامل مع علاقات الموردين هذه ، سوف تحتاج إلى البدء بإنشاء قائمة بجميع الموردين والأطراف الثالثة التي تتلقى البيانات من المؤسسة. كما هو مذكور في مدونتنا السابقة حول CCPA مقابل GDPR ، فإن وجود خريطة بيانات حالية من الاستعدادات للائحة العامة لحماية البيانات (GDPR) يجب أن يكون مفيدًا في هذه العملية. يجب أن تتضمن خريطة البيانات جميع المؤسسات التي يشارك عملك البيانات معها ، بالإضافة إلى الغرض من مشاركة البيانات. سيتطلب منك أيضًا التفكير في جميع المجالات الوظيفية لمؤسستك ، من الهندسة إلى الموارد البشرية إلى التمويل. من المحتمل أن تشارك شركتك البيانات خارج تطوير المنتج فقط من أجل إجراء الأعمال اليومية ، والتي يجب حسابها.

بمجرد أن تفهم المكان الذي يتم إرسال بياناتك إليه خارج المؤسسة ، ستحتاج إلى مراجعة العقود مع تلك المنظمات لتقييم الحقوق التي يتمتع بها الشريك / البائع في البيانات وتحديد ما إذا كانت هناك حاجة إلى تقييمات تأثير الخصوصية الإضافية. هل يمكن للطرف الثالث استخدام البيانات فقط لأغراض تزويد مؤسستك بخدمات معينة أم أنها قادرة على العمل كمراقب وتحديد ما يمكن فعله بالبيانات (من المهم أيضًا ملاحظة أنه على الرغم من عدم وجود CCPA لغة وحدة التحكم / المعالج (على عكس الناتج المحلي الإجمالي) ، قد تساعد في تحديد وحدات التحكم والمعالجات في العقود حتى تعرف من هو صانع القرار عندما يتعلق الأمر بالبيانات التي يتم مشاركتها بين المؤسسات)؟ إذا كان هذا هو الأخير ، فمن المحتمل أن تحتاج مؤسستك إلى الكشف عن هذه العلاقة مع عملائك ، بالإضافة إلى تقديم خيار لهم "لإلغاء الاشتراك" في بيع بياناتهم.

هنا حيث يمكن أن تصبح الأمور خادعة وتعطل الكثير من العلاقات التجارية القائمة على البيانات. نظرًا للتعريف الواسع لبيانات "البيع" بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، سيتعين على المؤسسات حقًا مراجعة علاقات البائعين / الشركاء لتحديد من قد يقومون ببيع البيانات وما إذا كانوا سيحتاجون إلى إضافة ميزة "إلغاء الاشتراك" إلى موقعة على الإنترنت. للتذكير ، وفقًا للقسم 1798.140 (t) ، "بيع" أو "بيع" أو "بيع" أو "بيع" ، يعني:

1. بيع المعلومات الشخصية للمستهلك أو تأجيرها أو الإفراج عنها أو الإفصاح عنها أو نشرها أو إتاحتها أو نقلها أو نقلها بأي طريقة أخرى شفهيًا أو كتابيًا أو بوسائل إلكترونية أو غيرها من المعلومات الشخصية للمستهلك من قبل الشركة إلى شركة أخرى أو طرف ثالث مقابل مقابل نقدي أو أي اعتبارات أخرى ذات قيمة .
2. لأغراض هذا العنوان ، لا تبيع الشركة المعلومات الشخصية عندما:
   1. يستخدم المستهلك أو يوجه الشركة للإفصاح عن المعلومات الشخصية عمدًا أو يستخدم الأعمال للتفاعل عن قصد مع طرف ثالث ، بشرط ألا يبيع الطرف الثالث أيضًا المعلومات الشخصية ، ما لم يكن هذا الكشف متسقًا مع أحكام هذا العنوان. يحدث التفاعل المتعمد عندما ينوي المستهلك التفاعل مع الطرف الثالث ، من خلال واحد أو أكثر من التفاعلات المتعمدة. لا يمثل التمرير فوق جزء معين من المحتوى أو كتمه أو إيقافه مؤقتًا أو إغلاقه نية المستهلك في التفاعل مع طرف ثالث.
   2. يستخدم النشاط التجاري أو يشارك معرّفًا للمستهلك الذي اختار عدم بيع المعلومات الشخصية للمستهلك لأغراض تنبيه الأطراف الثالثة بأن المستهلك قد اختار عدم بيع المعلومات الشخصية للمستهلك.
   3. يستخدم النشاط التجاري أو يشارك المعلومات الشخصية لمقدم الخدمة عن المستهلك والتي تكون ضرورية لأداء أغراض تجارية إذا تم استيفاء الشرطين التاليين: الخدمات التي يؤديها مزود الخدمة نيابة عن الشركة ، بشرط أن يقوم مزود الخدمة بذلك أيضًا لا تبيع المعلومات الشخصية.
      1. قدمت الشركة إشعارًا بأن المعلومات التي يتم استخدامها أو مشاركتها في شروطها وأحكامها تتفق مع القسم 1798.135.
      2. لا يقوم مزود الخدمة كذلك بجمع أو بيع أو استخدام المعلومات الشخصية للمستهلك باستثناء ما هو ضروري لأداء الغرض التجاري.
   4. تنقل الأعمال إلى طرف ثالث المعلومات الشخصية للمستهلك كأصل يمثل جزءًا من عملية اندماج أو استحواذ أو إفلاس أو أي معاملة أخرى يفترض فيها الطرف الثالث السيطرة على كل الأعمال التجارية أو جزء منها بشرط استخدام تلك المعلومات أو تمت مشاركتها بشكل متوافق مع الأقسام 1798.110 و 1798.115. إذا قام طرف ثالث بتغيير ماديًا في كيفية استخدام أو مشاركة المعلومات الشخصية للمستهلك بطريقة لا تتوافق جوهريًا مع الوعود التي تم التعهد بها في وقت الجمع ، فيجب عليه تقديم إشعار مسبق بالممارسة الجديدة أو التي تم تغييرها إلى المستهلك. يجب أن يكون الإشعار بارزًا وقويًا بما يكفي لضمان أن المستهلكين الحاليين يمكنهم بسهولة ممارسة خياراتهم بما يتوافق مع القسم 1798.120. لا تسمح هذه الفقرة الفرعية لأي شركة بإجراء تغييرات مادية وأثر رجعي في سياسة الخصوصية أو إجراء تغييرات أخرى في سياسة الخصوصية الخاصة بها بطريقة تنتهك قانون الممارسات غير العادلة والمخادعة (الفصل 5 (بدءًا بالقسم 17200) من الجزء 2 من القسم 7 من قانون الأعمال والمهن).

هذه طريقة طويلة حقًا للقول إن المؤسسة قد لا تتلقى بالضرورة مدفوعات مقابل معلومات شخصية ، ومع ذلك لا يزال من الممكن اعتبارها "بيعًا" للبيانات. كمثال في سياق البريد الإلكتروني ، قد يجعل المرسل المعلومات التي تم جمعها حول المشتركين (من خلال التتبع أو الجمع عبر الإنترنت) متاحة لمؤسسة تحليلات تابعة لجهة خارجية لتوفير رؤية ديموغرافية مفصلة. لا يتم تبادل أي أموال ، حيث يضيف الطرف الثالث البيانات المقدمة من قبل مرسل البريد الإلكتروني إلى قاعدة البيانات الأكبر الخاصة به. نظرًا لأن الطرف الثالث يحصل الآن على البيانات لاستخدامه الخاص أو لاستخدام عملاء آخرين ، فإنه يندرج تحت مظلة الطرف الثالث على النحو المحدد في CCPA ، على الرغم من عدم تبادل الأموال. هذا يعني أن مرسل البريد الإلكتروني سيحتاج إلى تزويد مشتركيه بطريقة سهلة لإلغاء الاشتراك في تمرير بياناتهم إلى هذا الطرف الثالث. إضافة طبقة أخرى من التعقيد ، سيتعين على المؤسسات التواصل مع جميع الأطراف الثالثة عندما يمارس المستهلك حقوقه ، مما يتطلب عادةً من المنظمات تنفيذ تدابير تقنية لضمان عملية سلسة.

إذن أين يترك ذلك مؤسستك؟ على الرغم من أنها قد تبدو عملية شاقة حقًا ، إلا أن كل ما ورد ذكره ضروري لضمان امتثال مؤسستك والشركات التي تعمل معها بمجرد دخول قانون CCPA حيز التنفيذ. قد تصل الغرامات إلى 7500 دولارًا أمريكيًا لكل انتهاك متعمد ، مما قد يؤدي إلى غرامات بالملايين للمنظمات التي لا تلتزم بالامتثال. لا أحد يريد أن يواجه غرامة تصل إلى عدة ملايين من الدولارات لإهماله التأكد من أن علاقات الطرف الثالث مزروعة.

يستمر قانون CCPA في التطور ، ولكن من المهم لمؤسستك أن تبدأ في تنظيم عملية إدارة البائع لكي تكون مستعدًا عندما تدخل حيز التنفيذ. على الرغم من أن هذه هي آخر مشاركة مجدولة في سلسلة CCPA الخاصة بنا ، إلا أننا سنواصل نشر المنشورات المخصصة مع وضع اللمسات الأخيرة على القانون ، لذا ترقبوا ذلك!