Третьи стороны и Закон Калифорнии о конфиденциальности потребителей (CCPA)

В сегодняшней постоянно меняющейся среде данных компании во всем мире полагаются на партнерские отношения с третьими сторонами, чтобы способствовать развитию своего бизнеса. Наша экономика, основанная на данных, позволяет организациям налаживать взаимодействие с клиентами, повышать осведомленность потребителей и увеличивать доходы, но с новыми ограничениями, которые CCPA налагает на организации, осталось ли в прошлом использование сторонних данных? К счастью, для многих организаций соблюдение этого ограничения в CCPA будет просто вопросом идентификации ваших сторонних поставщиков, определения этих отношений в контрактах и ​​внедрения процессов для соблюдения новых правил отказа от продажи.

Для начала организациям необходимо понять, как CCPA определяет третьи стороны. Согласно Разделу 1798.140 (w) «Третье лицо» означает лицо, которое не является одним из следующих:

1. Компания, которая собирает личную информацию от потребителей под этим названием.
2. Лицо, которому компания раскрывает личную информацию потребителя для деловых целей в соответствии с письменным контрактом, при условии, что контракт:
   1. Запрещает лицу получать личную информацию от:
      1. Продажа личной информации.
      2. Сохранение, использование или раскрытие личной информации для любых целей, кроме конкретной цели оказания услуг, указанных в контракте, включая сохранение, использование или раскрытие личной информации в коммерческих целях, отличных от предоставления услуг, указанных в контракте. .
      3. Сохранение, использование или раскрытие информации вне прямых деловых отношений между человеком и компанией.
   2. Включает подтверждение, сделанное лицом, получающим личную информацию, о том, что это лицо понимает ограничения в подпункте (A) и будет их соблюдать.

Это не следует путать с «поставщиком услуг», который CCPA определяет как юридическое лицо, которое « обрабатывает информацию от имени компании и которому компания раскрывает личную информацию потребителя для деловых целей в соответствии с письменным контрактом ». . Это означает, что сама бизнес-организация и ее поставщики услуг, использующие данные в соответствии с инструкциями, не считаются третьими сторонами. Однако многие другие организации, обменивающиеся данными с бизнесом, попадают в категорию сторонних.

Чтобы организации могли определить, как управлять этими отношениями с поставщиками, им нужно будет начать с создания списка всех поставщиков и третьих лиц, получающих данные от организации. Как упоминалось в нашем предыдущем блоге, посвященном CCPA и GDPR , наличие существующей карты данных, подготовленной в ходе подготовки GDPR, должно быть полезным в этом процессе. Карта данных должна включать все организации, с которыми ваш бизнес обменивается данными, а также цель обмена данными. Это потребует от вас рассмотрения всех функциональных областей вашей организации, от инженерии до HR и финансов. Скорее всего, ваша компания обменивается данными не только с разработкой продукта, но и для повседневной работы, которую необходимо учитывать.

Как только вы поймете, куда ваши данные отправляются за пределы организации, вы захотите просмотреть контракты с этими организациями, чтобы оценить права партнера / поставщика на данные и определить, потребуются ли дополнительные оценки воздействия на конфиденциальность. Может ли третья сторона использовать данные только для целей предоставления вашей организации определенных услуг или они могут действовать в качестве контролера и определять, что можно делать с данными (также важно отметить, что, хотя CCPA не имеет язык контроллера / процессора (в отличие от GDPR), он может помочь идентифицировать контроллеры и процессоры в контрактах, чтобы вы знали, кто принимает решения, когда дело доходит до обмена данными между организациями)? В последнем случае вашей организации, вероятно, потребуется раскрыть эти отношения с вашими потребителями, а также предложить им возможность «отказаться» от продажи своих данных.

Здесь все может стать сложным и нарушить многие деловые отношения, основанные на данных. Из-за широкого определения данных «продажи» в CCPA организациям действительно придется пересмотреть свои отношения с поставщиками / партнерами, чтобы определить, кому они могут «продавать» данные и нужно ли им добавлять в них функцию «Отказаться». их веб-сайт. Напоминаем, что согласно Разделу 1798.140 (t) «Продать», «продать», «продать» или «продать» означает:

1. продажа, сдача в аренду, выпуск, раскрытие, распространение, предоставление, передача или иное сообщение в устной, письменной, электронной или иной форме личной информации потребителя компанией другому бизнесу или третьему лицу за денежное или иное ценное вознаграждение .
2. Для целей этого заголовка компания не продает личную информацию, если:
   1. Потребитель использует или направляет бизнес для намеренного раскрытия личной информации или использует бизнес для намеренного взаимодействия с третьей стороной, при условии, что третье лицо также не продает личную информацию, если такое раскрытие не будет соответствовать положениям этого раздела. Намеренное взаимодействие происходит, когда потребитель намеревается взаимодействовать с третьей стороной посредством одного или нескольких преднамеренных взаимодействий. Наведение указателя мыши, отключение звука, приостановка или закрытие определенного фрагмента контента не является намерением потребителя взаимодействовать с третьей стороной.
   2. Компания использует или передает идентификатор для потребителя, который отказался от продажи личной информации потребителя, с целью оповещения третьих лиц о том, что потребитель отказался от продажи личной информации потребителя.
   3. Компания использует или передает поставщику услуг личную информацию потребителя, которая необходима для выполнения деловых целей, если выполняются оба следующих условия: услуги, которые поставщик услуг выполняет от имени бизнеса, при условии, что поставщик услуг также выполняет не продавать личную информацию.
      1. Компания предоставила уведомление о том, что информация, используемая или передаваемая в соответствии с его условиями и положениями, соответствует Разделу 1798.135.
      2. Поставщик услуг не собирает, не продает и не использует личную информацию потребителя, за исключением случаев, когда это необходимо для выполнения бизнес-целей.
   4. Компания передает третьей стороне личную информацию потребителя в качестве актива, который является частью слияния, поглощения, банкротства или другой транзакции, в которой третья сторона принимает на себя контроль всего или части бизнеса при условии, что эта информация используется или совместно используются в соответствии с разделами 1798.110 и 1798.115. Если третья сторона существенно изменяет способ использования или передачи личной информации потребителя способом, который материально несовместим с обещаниями, данными во время сбора, она должна предварительно уведомить потребителя о новой или измененной практике. Уведомление должно быть достаточно заметным и четким, чтобы существующие потребители могли легко осуществить свой выбор в соответствии с Разделом 1798.120. Этот подпункт не разрешает компании вносить существенные, ретроактивные изменения в политику конфиденциальности или вносить другие изменения в свою политику конфиденциальности таким образом, чтобы это нарушало Закон о недобросовестной и обманчивой практике (Глава 5 (начиная с Раздела 17200) Части 2 Раздела 7). Кодекса бизнеса и профессий).

Это действительно длинный способ сказать, что организация не обязательно может получать платеж в обмен на личную информацию, но все же это можно рассматривать как «продажу» данных. В качестве примера в контексте электронной почты отправитель может сделать информацию, собранную о своих подписчиках (посредством отслеживания или онлайн-сбора), доступной сторонней аналитической организации, чтобы предоставить подробные демографические данные. Обмен денег не производится, поскольку третья сторона добавляет данные, предоставленные отправителем электронной почты, в свою большую базу данных. Поскольку третья сторона теперь получает данные для собственного использования или использования другими клиентами, она будет подпадать под действие третьей стороны, как это определено CCPA, несмотря на то, что денежный обмен не производится. Это означает, что отправителю электронной почты необходимо предоставить своим подписчикам простой способ отказаться от передачи их данных этой третьей стороне. Добавляя еще один уровень сложности, организации должны будут общаться со всеми своими третьими сторонами, когда потребитель реализует свои права, обычно требуя от организаций реализации технических мер для обеспечения бесперебойного процесса.

Так что же тогда остается для вашей организации? Хотя это может показаться действительно утомительным процессом, все упомянутое необходимо для обеспечения соответствия вашей организации и компаний, с которыми вы работаете, после того, как CCPA вступит в силу. Штрафы могут составлять до 7500 долларов за умышленное нарушение, что может привести к миллионным штрафам для организаций, уличенных в нарушении нормативных требований. Никто не хочет столкнуться с многомиллионным штрафом за то, что не позаботился о том, чтобы его отношения с третьими сторонами были заблокированы.

CCPA продолжает развиваться, но для вашей организации важно начать организовывать процесс управления поставщиками, чтобы быть готовыми, когда он вступит в силу. Хотя это последняя запланированная публикация в нашей серии CCPA , мы продолжим публиковать специальные сообщения по мере завершения работы над законом, так что следите за обновлениями!