Pihak Ketiga dan Undang-Undang Privasi Konsumen California (CCPA)

Dalam lingkungan data yang terus berubah saat ini, bisnis di mana pun bergantung pada kemitraan dengan pihak ketiga untuk membantu mendorong upaya bisnis mereka. Ekonomi berbasis data kami memungkinkan organisasi untuk membangun keterlibatan pelanggan, meningkatkan wawasan konsumen, dan menumbuhkan pendapatan, tetapi dengan pembatasan baru yang diberlakukan CCPA pada organisasi, apakah penggunaan data pihak ketiga sudah ketinggalan zaman? Untungnya, bagi banyak organisasi, mematuhi pembatasan dalam CCPA ini hanyalah masalah mengidentifikasi vendor pihak ketiga Anda, mendefinisikan hubungan tersebut dalam kontrak, dan menerapkan proses untuk mematuhi aturan opt-out of sale yang baru.

Untuk memulai, organisasi perlu memahami bagaimana CCPA mendefinisikan pihak ketiga. Menurut Bagian 1798.140 (w) "Pihak ketiga" berarti orang yang bukan salah satu dari berikut ini:

1. Bisnis yang mengumpulkan informasi pribadi dari konsumen dengan judul ini.
2. Seseorang yang kepadanya bisnis mengungkapkan informasi pribadi konsumen untuk tujuan bisnis sesuai dengan kontrak tertulis, dengan ketentuan kontrak tersebut:
   1. Melarang orang yang menerima informasi pribadi dari:
      1. Menjual informasi pribadi.
      2. Menyimpan, menggunakan, atau mengungkapkan informasi pribadi untuk tujuan apa pun selain untuk tujuan khusus melakukan layanan yang ditentukan dalam kontrak, termasuk menyimpan, menggunakan, atau mengungkapkan informasi pribadi untuk tujuan komersial selain dari menyediakan layanan yang ditentukan dalam kontrak .
      3. Menyimpan, menggunakan, atau mengungkapkan informasi di luar hubungan bisnis langsung antara orang tersebut dan bisnis.
   2. Mencakup sertifikasi yang dibuat oleh orang yang menerima informasi pribadi bahwa orang tersebut memahami batasan dalam sub-ayat (A) dan akan mematuhinya.

Ini berbeda dengan “penyedia layanan”, yang didefinisikan CCPA sebagai badan hukum yang “ memproses informasi atas nama bisnis dan bisnis yang mengungkapkan informasi pribadi konsumen untuk tujuan bisnis sesuai dengan kontrak tertulis ” . Ini berarti organisasi bisnis itu sendiri dan penyedia layanannya yang menggunakan data seperti yang diinstruksikan tidak dianggap sebagai pihak ketiga. Namun, banyak organisasi lain yang bertukar data dengan bisnis akan termasuk dalam kategori pihak ketiga.

Agar organisasi dapat menentukan cara menangani hubungan vendor ini, mereka harus memulai dengan membuat daftar semua vendor dan pihak ketiga yang menerima data dari organisasi. Seperti yang disebutkan di blog kami sebelumnya tentang CCPA vs. GDPR , memiliki peta data yang ada dari persiapan GDPR akan membantu dalam proses ini. Peta data harus mencakup semua organisasi tempat bisnis Anda berbagi data, serta tujuan berbagi data. Ini akan mengharuskan Anda untuk mempertimbangkan semua area fungsional organisasi Anda juga, mulai dari teknik hingga SDM hingga keuangan. Sepertinya perusahaan Anda membagikan data di luar pengembangan produk saja untuk menjalankan bisnis sehari-hari, yang perlu dipertanggungjawabkan.

Setelah Anda memahami ke mana data Anda dikirim ke luar organisasi, Anda perlu meninjau kontrak dengan organisasi tersebut untuk menilai hak yang dimiliki mitra/vendor atas data dan menentukan apakah Penilaian Dampak Privasi tambahan akan diperlukan. Dapatkah pihak ketiga menggunakan data hanya untuk tujuan memberikan layanan yang ditunjuk kepada organisasi Anda atau apakah mereka dapat bertindak sebagai pengontrol dan menentukan apa yang dapat dilakukan dengan data tersebut (Penting juga untuk dicatat bahwa meskipun CCPA tidak memiliki bahasa pengontrol/pemroses (tidak seperti GDPR), mungkin membantu untuk mengidentifikasi pengontrol dan pemroses dalam kontrak sehingga Anda tahu siapa pembuat keputusan dalam hal data yang dibagikan di antara organisasi)? Jika yang terakhir, organisasi Anda mungkin perlu mengungkapkan hubungan ini dengan konsumen Anda, serta menawarkan mereka opsi untuk "menyisih" dari penjualan data mereka.

Di sinilah hal-hal bisa menjadi rumit dan mengganggu banyak hubungan bisnis berbasis data. Karena definisi luas "menjual" data di bawah CCPA, organisasi benar-benar harus meninjau hubungan vendor/mitra mereka untuk menentukan kepada siapa mereka dapat "menjual" data dan apakah mereka perlu menambahkan fitur "Menyisih" ke situs web mereka. Sebagai pengingat, menurut Bagian 1798.140 (t) “Jual,” “jual,” “jual,” atau “terjual,” berarti:

1. menjual, menyewakan, melepaskan, mengungkapkan, menyebarkan, menyediakan, mentransfer, atau berkomunikasi secara lisan, tertulis, atau dengan elektronik atau cara lain, informasi pribadi konsumen oleh bisnis ke bisnis lain atau pihak ketiga untuk pertimbangan moneter atau berharga lainnya .
2. Untuk tujuan judul ini, bisnis tidak menjual informasi pribadi ketika:
   1. Konsumen menggunakan atau mengarahkan bisnis untuk secara sengaja mengungkapkan informasi pribadi atau menggunakan bisnis untuk secara sengaja berinteraksi dengan pihak ketiga, dengan ketentuan pihak ketiga tersebut tidak juga menjual informasi pribadi tersebut, kecuali jika pengungkapan tersebut konsisten dengan ketentuan judul ini. Interaksi yang disengaja terjadi ketika konsumen bermaksud untuk berinteraksi dengan pihak ketiga, melalui satu atau lebih interaksi yang disengaja. Mengarahkan kursor, membisukan, menjeda, atau menutup konten tertentu bukan merupakan niat konsumen untuk berinteraksi dengan pihak ketiga.
   2. Bisnis menggunakan atau membagikan pengidentifikasi untuk konsumen yang telah memilih keluar dari penjualan informasi pribadi konsumen untuk tujuan memperingatkan pihak ketiga bahwa konsumen telah memilih keluar dari penjualan informasi pribadi konsumen.
   3. Bisnis menggunakan atau berbagi informasi pribadi konsumen dengan penyedia layanan yang diperlukan untuk menjalankan tujuan bisnis jika kedua kondisi berikut terpenuhi: layanan yang dilakukan penyedia layanan atas nama bisnis, asalkan penyedia layanan juga melakukannya tidak menjual informasi pribadi.
      1. Bisnis telah memberikan pemberitahuan bahwa informasi yang digunakan atau dibagikan dalam syarat dan ketentuannya sesuai dengan Bagian 1798.135.
      2. Penyedia layanan tidak lagi mengumpulkan, menjual, atau menggunakan informasi pribadi konsumen kecuali diperlukan untuk melakukan tujuan bisnis.
   4. Bisnis mentransfer informasi pribadi konsumen kepada pihak ketiga sebagai aset yang merupakan bagian dari merger, akuisisi, kebangkrutan, atau transaksi lain di mana pihak ketiga mengambil kendali atas semua atau sebagian bisnis asalkan informasi tersebut digunakan atau dibagikan secara konsisten dengan Bagian 1798.110 dan 1798.115. Jika pihak ketiga secara material mengubah cara menggunakan atau membagikan informasi pribadi konsumen dengan cara yang secara material tidak sesuai dengan janji yang dibuat pada saat pengumpulan, pihak ketiga akan memberikan pemberitahuan sebelumnya tentang praktik baru atau yang diubah kepada konsumen. Pemberitahuan tersebut harus cukup menonjol dan kuat untuk memastikan bahwa konsumen yang ada dapat dengan mudah menggunakan pilihan mereka secara konsisten dengan Bagian 1798.120. Subparagraf ini tidak mengizinkan bisnis untuk membuat perubahan kebijakan privasi yang berlaku surut atau membuat perubahan lain dalam kebijakan privasi mereka dengan cara yang akan melanggar Undang-Undang Praktik yang Tidak Adil dan Menipu (Bab 5 (dimulai dengan Bagian 17200) Bagian 2 Divisi 7 Kode Bisnis dan Profesi).

Itu cara yang sangat panjang untuk mengatakan bahwa sebuah organisasi mungkin tidak selalu menerima pembayaran sebagai ganti informasi pribadi, namun masih bisa dianggap sebagai "penjualan" data. Sebagai contoh dalam konteks email, pengirim dapat membuat informasi yang dikumpulkan tentang pelanggannya (melalui pelacakan atau pengumpulan online) tersedia untuk organisasi analitik pihak ketiga untuk memberikan wawasan demografis yang terperinci. Tidak ada uang yang ditukar, karena pihak ketiga menambahkan data yang diberikan oleh pengirim email ke database mereka yang lebih besar. Karena pihak ketiga sekarang memperoleh data untuk digunakan sendiri atau digunakan oleh pelanggan lain, data tersebut akan berada di bawah payung pihak ketiga seperti yang didefinisikan oleh CCPA, meskipun tidak ada uang yang dipertukarkan. Ini berarti pengirim email perlu menyediakan cara mudah bagi pelanggan mereka untuk memilih keluar dari data mereka yang diteruskan ke pihak ketiga ini. Menambahkan lapisan kompleksitas lain, organisasi harus berkomunikasi dengan semua pihak ketiga mereka ketika konsumen menggunakan hak mereka, biasanya mengharuskan organisasi untuk menerapkan langkah-langkah teknis untuk memastikan proses yang lancar.

Jadi di mana itu meninggalkan organisasi Anda? Meskipun ini mungkin tampak seperti proses yang sangat membosankan, semua yang disebutkan sangat penting untuk memastikan organisasi Anda dan perusahaan tempat Anda bekerja patuh setelah CCPA diberlakukan. Denda bisa mencapai $7500 per pelanggaran yang disengaja, berpotensi menghasilkan denda jutaan untuk organisasi yang ketahuan melanggar. Tidak ada yang ingin dihadapkan dengan denda jutaan dolar karena mengabaikan untuk memastikan hubungan pihak ketiga mereka dikancingkan.

CCPA terus berkembang, tetapi penting bagi organisasi Anda untuk mulai mengatur proses manajemen vendor Anda agar siap saat mulai berlaku. Meskipun ini adalah posting terjadwal terakhir dalam seri CCPA kami , kami akan terus menerbitkan posting ad hoc saat undang-undang tersebut selesai, jadi pantau terus!