Dritte und der California Consumer Privacy Act (CCPA)

In der sich ständig ändernden Datenumgebung von heute verlassen sich Unternehmen überall auf Partnerschaften mit Drittanbietern, um ihre Geschäftsaktivitäten voranzutreiben. Unsere datengesteuerte Wirtschaft ermöglicht es Unternehmen, Kundenbindung aufzubauen, Verbrauchereinblicke zu verbessern und Einnahmen zu steigern. Aber gehört die Verwendung von Daten von Drittanbietern mit den neuen Beschränkungen, die der CCPA Unternehmen auferlegt, der Vergangenheit an? Glücklicherweise bedeutet die Einhaltung dieser Einschränkung im CCPA für viele Unternehmen lediglich die Identifizierung Ihrer Drittanbieter, die Definition dieser Beziehungen innerhalb von Verträgen und die Implementierung von Prozessen zur Einhaltung der neuen Opt-out-of-Sale-Regeln.

Um zu beginnen, müssen Organisationen verstehen, wie der CCPA Dritte definiert. Gemäß Abschnitt 1798.140 (w) bezeichnet ein „Dritter“ eine Person, die keiner der folgenden Personen ist:

1. Das Unternehmen, das unter diesem Titel personenbezogene Daten von Verbrauchern erhebt.
2. Eine Person, der das Unternehmen die personenbezogenen Daten eines Verbrauchers für geschäftliche Zwecke gemäß einem schriftlichen Vertrag offenlegt, sofern der Vertrag:
   1. Verbietet es der Person, die personenbezogenen Daten zu erhalten von:
      1. Verkauf der persönlichen Daten.
      2. Speicherung, Verwendung oder Offenlegung der personenbezogenen Daten zu anderen Zwecken als dem spezifischen Zweck der Erbringung der im Vertrag angegebenen Dienstleistungen, einschließlich der Speicherung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Erbringung der im Vertrag genannten Dienstleistungen .
      3. Aufbewahren, Verwenden oder Offenlegen der Informationen außerhalb der direkten Geschäftsbeziehung zwischen der Person und dem Unternehmen.
   2. Beinhaltet eine Bestätigung der Person, die die personenbezogenen Daten erhält, dass die Person die Einschränkungen in Unterabsatz (A) versteht und diese einhalten wird.

Dies ist nicht zu verwechseln mit einem „Dienstleister“, den der CCPA als juristische Person definiert, die „ Informationen im Auftrag eines Unternehmens verarbeitet und dem das Unternehmen gemäß einem schriftlichen Vertrag die personenbezogenen Daten eines Verbrauchers für geschäftliche Zwecke offenlegt “. . Dies bedeutet, dass die Unternehmensorganisation selbst und ihre Dienstleister, die Daten weisungsgemäß verwenden, nicht als Dritte gelten. Viele andere Organisationen, die Daten mit einem Unternehmen austauschen, fallen jedoch in die Kategorie der Drittanbieter.

Damit Organisationen bestimmen können, wie diese Lieferantenbeziehungen zu handhaben sind, müssen sie zunächst eine Liste aller Lieferanten und Drittanbieter erstellen, die Daten von der Organisation erhalten. Wie in unserem vorherigen Blog zum CCPA vs. DSGVO erwähnt , sollte eine vorhandene Datenkarte aus den DSGVO-Vorbereitungen in diesem Prozess hilfreich sein. Die Datenzuordnung sollte alle Organisationen enthalten, mit denen Ihr Unternehmen Daten teilt, sowie den Zweck der Datenfreigabe. Es erfordert, dass Sie alle Funktionsbereiche Ihres Unternehmens berücksichtigen, vom Engineering über das Personalwesen bis hin zum Finanzwesen. Es ist wahrscheinlich, dass Ihr Unternehmen Daten außerhalb der Produktentwicklung weitergibt, um das Tagesgeschäft abzuwickeln, das berücksichtigt werden muss.

Sobald Sie wissen, wohin Ihre Daten außerhalb der Organisation gesendet werden, sollten Sie die Verträge mit diesen Organisationen überprüfen, um die Rechte des Partners/Anbieters an den Daten zu bewerten und festzustellen, ob zusätzliche Datenschutzfolgenabschätzungen erforderlich sind. Darf der Dritte die Daten nur zum Zweck der Bereitstellung bestimmter Dienste für Ihre Organisation verwenden oder ist er in der Lage, als Verantwortlicher zu fungieren und zu bestimmen, was mit den Daten getan werden kann (Es ist auch wichtig zu beachten, dass der CCPA zwar keine die Sprache des Verantwortlichen/Auftragsverarbeiters (im Gegensatz zur DSGVO), kann es hilfreich sein, Verantwortliche und Auftragsverarbeiter in Verträgen zu identifizieren, damit Sie wissen, wer der Entscheidungsträger ist, wenn es um die gemeinsame Nutzung von Daten zwischen Unternehmen geht)? Wenn letzteres der Fall ist, muss Ihr Unternehmen diese Beziehung zu Ihren Verbrauchern wahrscheinlich offenlegen und ihnen eine Option anbieten, den Verkauf ihrer Daten abzulehnen.

Hier könnten die Dinge knifflig werden und viele datengesteuerte Geschäftsbeziehungen stören. Aufgrund der weit gefassten Definition des „Verkaufens“ von Daten im CCPA müssen Unternehmen wirklich ihre Lieferanten-/Partnerbeziehungen überprüfen, um festzustellen, an wen sie möglicherweise Daten „verkaufen“ und ob sie die Funktion „Abmelden“ hinzufügen müssen ihrer Webseite. Zur Erinnerung, gemäß Abschnitt 1798.140 (t) bedeutet „Verkaufen“, „Verkaufen“, „Verkaufen“ oder „Verkauft“:

1. Verkauf, Vermietung, Freigabe, Offenlegung, Verbreitung, Bereitstellung, Übertragung oder anderweitige mündliche, schriftliche oder elektronische oder anderweitige Übermittlung personenbezogener Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen Geld- oder andere wertvolle Gegenleistungen .
2. Im Sinne dieses Titels verkauft ein Unternehmen keine personenbezogenen Daten, wenn:
   1. Ein Verbraucher verwendet oder weist das Unternehmen absichtlich an, personenbezogene Daten offenzulegen, oder nutzt das Unternehmen, um absichtlich mit einem Dritten zu interagieren, vorausgesetzt, der Dritte verkauft die personenbezogenen Daten nicht auch, es sei denn, diese Offenlegung würde den Bestimmungen dieses Titels entsprechen. Eine beabsichtigte Interaktion liegt vor, wenn der Verbraucher beabsichtigt, über eine oder mehrere bewusste Interaktionen mit dem Dritten zu interagieren. Das Bewegen der Maus über, Stummschalten, Anhalten oder Schließen eines bestimmten Inhalts stellt nicht die Absicht des Verbrauchers dar, mit einem Dritten zu interagieren.
   2. Das Unternehmen verwendet oder teilt eine Kennung für einen Verbraucher, der sich gegen den Verkauf der personenbezogenen Daten des Verbrauchers entschieden hat, um Dritte darauf hinzuweisen, dass der Verbraucher den Verkauf der personenbezogenen Daten des Verbrauchers abgelehnt hat.
   3. Das Unternehmen verwendet oder teilt mit einem Dienstleister personenbezogene Daten eines Verbrauchers, die für die Erfüllung eines Geschäftszwecks erforderlich sind, wenn beide der folgenden Bedingungen erfüllt sind: Dienstleistungen, die der Dienstleister im Auftrag des Unternehmens erbringt, sofern der Dienstleister dies auch tut die personenbezogenen Daten nicht verkaufen.
      1. Das Unternehmen hat in seinen Geschäftsbedingungen gemäß Abschnitt 1798.135 darauf hingewiesen, dass Informationen verwendet oder weitergegeben werden.
      2. Der Dienstleister erhebt, verkauft oder verwendet die personenbezogenen Daten des Verbrauchers nicht weiter, es sei denn, dies ist zur Erfüllung des Geschäftszwecks erforderlich.
   4. Das Unternehmen überträgt die personenbezogenen Daten eines Verbrauchers als Vermögenswert an einen Dritten, der Teil einer Fusion, Übernahme, Insolvenz oder einer anderen Transaktion ist, bei der der Dritte die Kontrolle über das gesamte oder einen Teil des Unternehmens übernimmt, vorausgesetzt, dass Informationen verwendet werden oder in Übereinstimmung mit den Abschnitten 1798.110 und 1798.115 geteilt. Wenn ein Dritter die Art und Weise, wie er die personenbezogenen Daten eines Verbrauchers verwendet oder weitergibt, wesentlich ändert, die den zum Zeitpunkt der Erfassung gemachten Versprechen nicht entspricht, wird er den Verbraucher vorab über die neue oder geänderte Praxis informieren. Der Hinweis muss ausreichend auffällig und robust sein, um sicherzustellen, dass bestehende Verbraucher ihre Entscheidungen in Übereinstimmung mit Abschnitt 1798.120 leicht treffen können. Dieser Unterabsatz autorisiert ein Unternehmen nicht, wesentliche, rückwirkende Änderungen der Datenschutzrichtlinie oder andere Änderungen an ihrer Datenschutzrichtlinie in einer Weise vorzunehmen, die gegen das Gesetz über unlautere und irreführende Praktiken (Kapitel 5 (beginnend mit Abschnitt 17200) von Teil 2 der Abteilung 7 . verstoßen würde des Gewerbe- und Berufsgesetzbuches).

Das ist ein sehr langer Weg, um zu sagen, dass eine Organisation möglicherweise nicht unbedingt eine Zahlung im Austausch für personenbezogene Daten erhält, aber dennoch als „Verkauf“ von Daten betrachtet werden kann. Als Beispiel im E-Mail-Kontext kann ein Absender Informationen, die über seine Abonnenten gesammelt wurden (durch Tracking oder Online-Sammlung), einer externen Analyseorganisation zur Verfügung stellen, um detaillierte demografische Einblicke zu erhalten. Es wird kein Geld ausgetauscht, da der Drittanbieter die vom E-Mail-Versender bereitgestellten Daten seiner größeren Datenbank hinzufügt. Da der Dritte nun die Daten für den eigenen Gebrauch oder den Gebrauch anderer Kunden beschafft, würde er trotz fehlendem Geldwechsel unter den Drittparteien-Schirm im Sinne des CCPA fallen. Dies bedeutet, dass der Absender der E-Mail seinen Abonnenten eine einfache Möglichkeit bieten muss, die Weitergabe ihrer Daten an diesen Dritten zu deaktivieren. Hinzu kommt, dass Unternehmen alle ihre Drittparteien mitteilen müssen, wenn ein Verbraucher von seinen Rechten Gebrauch macht, was in der Regel von Unternehmen verlangt, technische Maßnahmen zu ergreifen, um einen reibungslosen Prozess zu gewährleisten.

Wo bleibt also Ihre Organisation? Auch wenn es wie ein wirklich mühsamer Prozess erscheinen mag, ist alles Erwähnte unerlässlich, um sicherzustellen, dass Ihre Organisation und die Unternehmen, mit denen Sie zusammenarbeiten, konform sind, sobald CCPA in Kraft tritt. Die Geldbußen können bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß betragen, was möglicherweise zu Geldbußen in Millionenhöhe für Unternehmen führt, die bei der Nichteinhaltung der Vorschriften erwischt werden. Niemand möchte mit einer Geldstrafe in Höhe von mehreren Millionen Dollar konfrontiert werden, weil er es versäumt hat, sicherzustellen, dass seine Beziehungen zu Dritten zugeknöpft sind.

CCPA entwickelt sich weiter, aber es ist wichtig, dass Ihr Unternehmen damit beginnt, Ihren Lieferantenverwaltungsprozess zu organisieren, um vorbereitet zu sein, wenn er in Kraft tritt. Obwohl dies der letzte geplante Beitrag in unserer CCPA-Reihe ist , werden wir weiterhin Ad-hoc-Beiträge veröffentlichen, wenn das Gesetz abgeschlossen ist, also bleiben Sie dran!