Terțe părți și Legea privind confidențialitatea consumatorilor din California (CCPA)

În mediul de date în continuă schimbare de astăzi, companiile de pretutindeni se bazează pe parteneriate cu terțe părți pentru a-și ajuta eforturile de afaceri. Economia noastră bazată pe date permite organizațiilor să construiască implicarea clienților, să crească perspectivele consumatorilor și să crească veniturile, dar cu noile restricții pe care CCPA le aplică organizațiilor, utilizarea datelor de la terți este o chestiune din trecut? Din fericire, pentru multe organizații, respectarea acestei restricții din CCPA va fi pur și simplu o chestiune de identificare a furnizorilor dvs. terți, definirea relațiilor respective în cadrul contractelor și implementarea proceselor pentru a respecta noile reguli de renunțare la vânzare.

Pentru început, organizațiile vor trebui să înțeleagă modul în care CCPA definește părțile terțe. Conform secțiunii 1798.140 (w), „terț” înseamnă o persoană care nu este una dintre următoarele:

1. Compania care colectează informații personale de la consumatori sub acest titlu.
2. O persoană căreia compania îi dezvăluie informațiile personale ale unui consumator în scopuri comerciale în temeiul unui contract scris, cu condiția ca contractul:
   1. Interzice persoanei care primește informațiile personale de la:
      1. Vânzarea informațiilor personale.
      2. Păstrarea, utilizarea sau divulgarea informațiilor personale în orice alt scop decât în ​​scopul specific al prestării serviciilor specificate în contract, inclusiv păstrarea, utilizarea sau divulgarea informațiilor personale într-un scop comercial altul decât furnizarea serviciilor specificate în contract .
      3. Păstrarea, utilizarea sau divulgarea informațiilor în afara relației de afaceri directe dintre persoană și afacere.
   2. Include o certificare făcută de persoana care primește informațiile personale că persoana respectivă înțelege restricțiile de la litera (A) și le va respecta.

Acest lucru nu trebuie confundat cu un „furnizor de servicii”, pe care CCPA îl definește ca o entitate juridică care „ prelucrează informații în numele unei companii și căreia compania îi dezvăluie informațiile personale ale unui consumator în scopuri comerciale în conformitate cu un contract scris ” . Aceasta înseamnă că organizația de afaceri în sine și furnizorii de servicii care utilizează date conform instrucțiunilor nu sunt considerați terți. Cu toate acestea, multe alte organizații care fac schimb de date cu o companie ar intra în categoria terților.

Pentru ca organizațiile să determine cum să gestioneze aceste relații cu furnizorii, vor trebui să înceapă prin crearea unei liste cu toți furnizorii și terții care primesc date de la organizație. Așa cum am menționat în blogul nostru anterior privind CCPA vs. GDPR , existența unei hărți de date existente din pregătirile GDPR ar trebui să fie de ajutor în acest proces. Harta datelor ar trebui să includă toate organizațiile cu care compania dvs. partajează date, precum și scopul partajării datelor. Vă va cere să luați în considerare și toate domeniile funcționale ale organizației dvs., de la inginerie la resurse umane până la finanțare. Este probabil ca compania dvs. să partajeze date în afara dezvoltării doar a produselor pentru a desfășura activități zilnice, care trebuie luate în considerare.

După ce ați înțeles unde sunt trimise datele dvs. în afara organizației, veți dori să examinați contractele cu aceste organizații pentru a evalua drepturile pe care partenerul / furnizorul le are asupra datelor și pentru a determina dacă vor fi necesare evaluări suplimentare ale impactului confidențialității. Poate terțul să utilizeze datele numai în scopul furnizării organizației dvs. de servicii desemnate sau este capabil să acționeze ca operator și să determine ce se poate face cu datele (Este de asemenea important să rețineți că, deși CCPA nu are limbajul controlorului / procesorului (spre deosebire de GDPR), vă poate ajuta să identificați operatorii și procesatorii în contracte, astfel încât să știți cine este factorul de decizie atunci când vine vorba de partajarea datelor între organizații)? Dacă este din urmă, organizația dvs. va trebui probabil să dezvăluie această relație cu consumatorii dvs., precum și să le ofere o opțiune de a „renunța” la vânzarea datelor lor.

Aici lucrurile ar putea deveni complicate și ar putea perturba o mulțime de relații de afaceri bazate pe date. Datorită definiției largi a „vânzării” datelor în baza CCPA, organizațiile vor trebui cu adevărat să își revizuiască relațiile dintre vânzător / partener pentru a determina cui ar putea „vinde” date și dacă vor trebui să adauge funcția „Renunțare” la site-ul lor web. Ca memento, conform secțiunii 1798.140 (t) „Vindeți”, „vindeți”, „vindeți” sau „vindeți” înseamnă:

1. vânzarea, închirierea, eliberarea, dezvăluirea, difuzarea, punerea la dispoziție, transferul sau comunicarea în alt mod oral, în scris sau prin mijloace electronice sau prin alte mijloace, a informațiilor personale ale unui consumator de către companie către o altă companie sau către o terță parte în scopuri monetare sau de altă natură .
2. În sensul acestui titlu, o companie nu vinde informații personale atunci când:
   1. Un consumator utilizează sau direcționează afacerea să dezvăluie intenționat informații personale sau utilizează afacerea pentru a interacționa intenționat cu o terță parte, cu condiția ca terțul să nu vândă și informațiile personale, cu excepția cazului în care divulgarea ar fi în concordanță cu prevederile acestui titlu. O interacțiune intenționată apare atunci când consumatorul intenționează să interacționeze cu terța parte, prin una sau mai multe interacțiuni deliberate. Plasarea, mutarea, întreruperea sau închiderea unui anumit conținut nu constituie intenția consumatorului de a interacționa cu o terță parte.
   2. Compania folosește sau partajează un identificator pentru un consumator care a renunțat la vânzarea informațiilor personale ale consumatorului în scopul de a avertiza terții că consumatorul a renunțat la vânzarea informațiilor personale ale consumatorului.
   3. Compania folosește sau partajează cu un furnizor de servicii informațiile personale ale unui consumator care sunt necesare pentru realizarea unui scop comercial dacă sunt îndeplinite ambele condiții: servicii pe care furnizorul de servicii le efectuează în numele companiei, cu condiția ca și furnizorul de servicii să să nu vândă informațiile personale.
      1. Compania a notificat că informațiile sunt utilizate sau partajate în termenii și condițiile sale, în conformitate cu secțiunea 1798.135.
      2. Furnizorul de servicii nu colectează, nu vinde sau folosește în continuare informațiile personale ale consumatorului, cu excepția cazului în care este necesar pentru a îndeplini scopul afacerii.
   4. Compania transferă către o terță parte informațiile personale ale unui consumator ca activ care face parte dintr-o fuziune, achiziție, faliment sau altă tranzacție în care terțul își asumă controlul asupra întregii sau unei părți a afacerii, cu condiția ca informațiile să fie utilizate sau partajat în mod consecvent cu secțiunile 1798.110 și 1798.115. În cazul în care o terță parte modifică în mod material modul în care folosește sau împărtășește informațiile personale ale unui consumator într-o manieră care este în mod material incompatibilă cu promisiunile făcute în momentul colectării, acesta va furniza consumatorului o notificare prealabilă a practicii noi sau modificate. Notificarea trebuie să fie suficient de proeminentă și robustă pentru a se asigura că consumatorii existenți își pot exercita cu ușurință alegerile în conformitate cu secțiunea 1798.120. Acest paragraf nu autorizează o companie să facă modificări materiale, retroactive ale politicii de confidențialitate sau să facă alte modificări în politica lor de confidențialitate într-un mod care ar încălca Legea privind practicile neloiale și înșelătoare (capitolul 5 (începând cu secțiunea 17200) din partea 2 a diviziei 7 din Codul afacerilor și profesiilor).

Acesta este un mod foarte lung de a spune că o organizație poate să nu primească neapărat plata în schimbul informațiilor personale, totuși ar putea fi considerată în continuare o „vânzare” de date. De exemplu, în contextul e-mailului, expeditorul poate pune la dispoziția unei organizații terțe de analiză informații colectate despre abonații săi (prin urmărire sau colectare online) pentru a oferi informații demografice detaliate. Nu se face schimb de bani, deoarece terțul adaugă datele furnizate de expeditorul de e-mail la baza lor de date mai mare. Deoarece terțul obține acum datele pentru utilizarea sa proprie sau a altor clienți, acestea ar intra sub umbrela terților, astfel cum este definită de CCPA, în ciuda faptului că nu s-au schimbat bani. Acest lucru înseamnă că expeditorul de e-mail ar trebui să ofere abonaților un mod ușor de a renunța la transmiterea datelor către acest terț. Adăugând un alt nivel de complexitate, organizațiile vor trebui să comunice tuturor părților terțe atunci când un consumator își exercită drepturile, cerând de obicei organizațiilor să implementeze măsuri tehnice pentru a asigura un proces lin.

Deci, de unde pleacă asta organizația ta? Deși poate părea un proces cu adevărat plictisitor, tot ceea ce este menționat este imperativ pentru a vă asigura că organizația dvs. și companiile cu care lucrați sunt conforme odată cu intrarea în vigoare a CCPA. Amenzile ar putea ajunge la 7500 USD pentru fiecare încălcare intenționată, ceea ce ar putea duce la amenzi în milioane pentru organizațiile care nu sunt respectate. Nimeni nu dorește să se confrunte cu o amendă de milioane de dolari pentru neglijarea pentru a se asigura că relațiile lor cu terții sunt butonate.

CCPA continuă să evolueze, dar este important ca organizația dvs. să înceapă să organizeze procesul de gestionare a furnizorilor pentru a fi pregătit atunci când va intra în vigoare. Deși aceasta este ultima postare programată din seria noastră CCPA , vom continua să publicăm postări ad hoc pe măsură ce legea este finalizată, așa că rămâneți la curent!