บุคคลที่สามและพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA)

ในสภาพแวดล้อมข้อมูลที่เปลี่ยนแปลงตลอดเวลาในปัจจุบัน ธุรกิจทุกหนทุกแห่งอาศัยความร่วมมือกับบุคคลที่สามเพื่อช่วยขับเคลื่อนความพยายามทางธุรกิจของพวกเขา เศรษฐกิจที่ขับเคลื่อนด้วยข้อมูลของเราช่วยให้องค์กรต่างๆ สามารถสร้างการมีส่วนร่วมของลูกค้า เพิ่มข้อมูลเชิงลึกของผู้บริโภค และเพิ่มรายได้ แต่ด้วยข้อจำกัดใหม่ที่ CCPA ใช้กับองค์กร การใช้ข้อมูลของบุคคลที่สามกลายเป็นอดีตไปแล้วหรือไม่ โชคดีสำหรับหลายองค์กร การปฏิบัติตามข้อจำกัดนี้ใน CCPA เป็นเพียงเรื่องของการระบุผู้จำหน่ายบุคคลที่สามของคุณ การกำหนดความสัมพันธ์เหล่านั้นภายในสัญญา และการดำเนินการตามกระบวนการเพื่อให้สอดคล้องกับกฎการเลือกไม่ขายใหม่

ในการเริ่มต้น องค์กรจะต้องเข้าใจว่า CCPA กำหนดบุคคลที่สามอย่างไร ตาม มาตรา 1798.140 (ญ) “บุคคล ภายนอก ” หมายถึงบุคคลที่ไม่มีลักษณะดังต่อไปนี้:

1. ธุรกิจที่รวบรวมข้อมูลส่วนบุคคลจากผู้บริโภคภายใต้ชื่อนี้
2. บุคคลที่ธุรกิจเปิดเผยข้อมูลส่วนบุคคลของผู้บริโภคเพื่อวัตถุประสงค์ทางธุรกิจตามสัญญาเป็นลายลักษณ์อักษร โดยมีเงื่อนไขว่าสัญญา:
   1. ห้ามผู้ที่ได้รับข้อมูลส่วนบุคคลจาก:
      1. ขายข้อมูลส่วนตัว.
      2. การเก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์เฉพาะของการให้บริการที่ระบุไว้ในสัญญา รวมถึงการเก็บรักษา การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการค้านอกเหนือจากการให้บริการที่ระบุไว้ในสัญญา .
      3. การเก็บรักษา ใช้ หรือเปิดเผยข้อมูลภายนอกความสัมพันธ์ทางธุรกิจโดยตรงระหว่างบุคคลและธุรกิจ
   2. รวมถึงการรับรองที่ทำโดยบุคคลที่ได้รับข้อมูลส่วนบุคคลซึ่งบุคคลนั้นเข้าใจข้อจำกัดในอนุวรรค (A) และจะปฏิบัติตาม

ไม่ต้องสับสนกับ "ผู้ให้บริการ" ซึ่ง CCPA กำหนดให้เป็นนิติบุคคลที่ " ประมวลผลข้อมูลในนามของธุรกิจและธุรกิจเปิดเผยข้อมูลส่วนบุคคลของผู้บริโภคเพื่อวัตถุประสงค์ทางธุรกิจตามสัญญาเป็นลายลักษณ์อักษร " . ซึ่งหมายความว่าองค์กรธุรกิจเองและเป็นผู้ให้บริการที่ใช้ข้อมูลตามคำแนะนำไม่ถือเป็นบุคคลที่สาม อย่างไรก็ตาม องค์กรอื่นๆ จำนวนมากที่แลกเปลี่ยนข้อมูลกับธุรกิจอาจจัดอยู่ในหมวดหมู่บุคคลที่สาม

เพื่อให้องค์กรสามารถกำหนดวิธีจัดการกับความสัมพันธ์กับผู้ขายเหล่านี้ พวกเขาจะต้องเริ่มต้นด้วยการสร้างรายชื่อผู้ขายทั้งหมดและบุคคลที่สามที่ได้รับข้อมูลจากองค์กร ตามที่กล่าวไว้ในบล็อกก่อนหน้าของเราเกี่ยวกับ CCPA กับ GDPR การมีแผนที่ข้อมูลที่มีอยู่จากการเตรียม GDPR น่าจะมีประโยชน์ในกระบวนการนี้ แผนผังข้อมูลควรรวมถึงองค์กรทั้งหมดที่ธุรกิจของคุณกำลังแบ่งปันข้อมูลด้วย เช่นเดียวกับวัตถุประสงค์ในการแบ่งปันข้อมูล คุณจะต้องพิจารณาขอบเขตการทำงานทั้งหมดขององค์กรของคุณด้วย ตั้งแต่วิศวกรรม ทรัพยากรบุคคล ไปจนถึงการเงิน มีแนวโน้มว่าบริษัทของคุณจะแบ่งปันข้อมูลนอกเหนือจากการพัฒนาผลิตภัณฑ์เพียงอย่างเดียวเพื่อดำเนินธุรกิจในแต่ละวัน ซึ่งจำเป็นต้องนำมาพิจารณา

เมื่อคุณเข้าใจว่าข้อมูลของคุณถูกส่งไปที่ใดนอกองค์กร คุณจะต้องทบทวนสัญญากับองค์กรเหล่านั้นเพื่อประเมินสิทธิ์ที่คู่ค้า/ผู้จำหน่ายมีต่อข้อมูลและพิจารณาว่าจำเป็นต้องมีการประเมินผลกระทบต่อความเป็นส่วนตัวเพิ่มเติมหรือไม่ บุคคลที่สามสามารถใช้ข้อมูลเพื่อวัตถุประสงค์ในการให้บริการที่กำหนดแก่องค์กรของคุณเท่านั้นหรือสามารถทำหน้าที่เป็นผู้ควบคุมและกำหนดสิ่งที่สามารถทำได้กับข้อมูล (โปรดทราบด้วยว่าแม้ว่า CCPA จะไม่มี ภาษาของผู้ควบคุม/ตัวประมวลผล (ต่างจาก GDPR) อาจช่วยในการระบุผู้ควบคุมและผู้ประมวลผลในสัญญา เพื่อให้คุณรู้ว่าใครเป็นผู้มีอำนาจตัดสินใจในเรื่องข้อมูลที่แชร์ระหว่างองค์กร) หากเป็นอย่างหลัง องค์กรของคุณอาจต้องเปิดเผยความสัมพันธ์นี้กับผู้บริโภคของคุณ รวมทั้งเสนอทางเลือกในการ "ไม่รับ" การขายข้อมูลของตน

นี่คือสิ่งที่อาจยุ่งยากและขัดขวางความสัมพันธ์ทางธุรกิจที่ขับเคลื่อนด้วยข้อมูลจำนวนมาก เนื่องจากคำจำกัดความกว้างๆ ของข้อมูล "การขาย" ภายใต้ CCPA องค์กรต่างๆ จะต้องตรวจสอบความสัมพันธ์ระหว่างผู้ขาย/คู่ค้าของตนจริงๆ เพื่อกำหนดว่าตนอาจ "ขาย" ข้อมูลให้กับใคร และหากจำเป็นต้องเพิ่มคุณลักษณะ "การเลือกไม่ใช้" ลงใน เว็บไซต์ของพวกเขา เพื่อเป็นการเตือนความจำ ตาม มาตรา 1798.140 (ท) “ขาย” “ขาย” “ขาย” หรือ “ขายแล้ว” หมายความว่า

1. ขาย ให้เช่า ปล่อย เปิดเผย เผยแพร่ ทำให้พร้อมใช้งาน ถ่ายโอนหรือสื่อสารด้วยวาจา เป็นลายลักษณ์อักษร หรือโดยทางอิเล็กทรอนิกส์หรือวิธีการอื่น ข้อมูลส่วนบุคคลของผู้บริโภคโดยธุรกิจไปยังธุรกิจอื่นหรือบุคคลที่สามเพื่อการพิจารณาทางการเงินหรือมูลค่าอื่น ๆ .
2. เพื่อวัตถุประสงค์ของชื่อนี้ ธุรกิจจะไม่ขายข้อมูลส่วนบุคคลเมื่อ:
   1. ผู้บริโภคใช้หรือสั่งให้ธุรกิจจงใจเปิดเผยข้อมูลส่วนบุคคลหรือใช้ธุรกิจเพื่อโต้ตอบกับบุคคลที่สามโดยเจตนา โดยที่บุคคลที่สามจะไม่ขายข้อมูลส่วนบุคคลด้วย เว้นแต่การเปิดเผยนั้นจะสอดคล้องกับข้อกำหนดของชื่อนี้ การโต้ตอบโดยเจตนาเกิดขึ้นเมื่อผู้บริโภคตั้งใจที่จะโต้ตอบกับบุคคลที่สามผ่านการโต้ตอบโดยเจตนาอย่างน้อยหนึ่งครั้ง การวางเมาส์เหนือ การปิดเสียง หยุดชั่วคราว หรือปิดเนื้อหาที่ระบุไม่ถือเป็นเจตนาของผู้บริโภคในการโต้ตอบกับบุคคลที่สาม
   2. ธุรกิจใช้หรือแบ่งปันตัวระบุสำหรับผู้บริโภคที่เลือกที่จะไม่ขายข้อมูลส่วนบุคคลของผู้บริโภคเพื่อวัตถุประสงค์ในการแจ้งเตือนบุคคลที่สามว่าผู้บริโภคได้ยกเลิกการขายข้อมูลส่วนบุคคลของผู้บริโภค
   3. ธุรกิจใช้หรือแบ่งปันกับผู้ให้บริการข้อมูลส่วนบุคคลของผู้บริโภคที่จำเป็นเพื่อดำเนินการตามวัตถุประสงค์ทางธุรกิจหากตรงตามเงื่อนไขทั้งสองต่อไปนี้: บริการที่ผู้ให้บริการดำเนินการในนามของธุรกิจโดยที่ผู้ให้บริการยังทำ ไม่ขายข้อมูลส่วนบุคคล
      1. ธุรกิจได้แจ้งว่ามีการใช้หรือแบ่งปันข้อมูลในข้อกำหนดและเงื่อนไขที่สอดคล้องกับมาตรา 1798.135
      2. ผู้ให้บริการจะไม่รวบรวม ขาย หรือใช้ข้อมูลส่วนบุคคลของผู้บริโภคต่อไป เว้นแต่จำเป็นเพื่อดำเนินการตามวัตถุประสงค์ทางธุรกิจ
   4. ธุรกิจถ่ายโอนข้อมูลส่วนบุคคลของผู้บริโภคไปยังบุคคลที่สามในฐานะสินทรัพย์ที่เป็นส่วนหนึ่งของการควบรวมกิจการ การได้มา การล้มละลาย หรือธุรกรรมอื่น ๆ ที่บุคคลภายนอกถือว่าควบคุมธุรกิจทั้งหมดหรือบางส่วนโดยที่ข้อมูลนั้นถูกใช้หรือ แบ่งปันอย่างสม่ำเสมอกับมาตรา 1798.110 และ 1798.115 หากบุคคลที่สามเปลี่ยนแปลงวิธีการใช้หรือแบ่งปันข้อมูลส่วนบุคคลของผู้บริโภคอย่างเป็นรูปธรรมในลักษณะที่ไม่สอดคล้องกับคำมั่นสัญญาที่ทำไว้ในขณะที่รวบรวม จะต้องแจ้งให้ผู้บริโภคทราบล่วงหน้าเกี่ยวกับแนวทางปฏิบัติใหม่หรือที่เปลี่ยนแปลงไป ประกาศจะต้องมีความชัดเจนและแข็งแกร่งเพียงพอเพื่อให้แน่ใจว่าผู้บริโภคที่มีอยู่สามารถใช้ตัวเลือกของพวกเขาได้อย่างง่ายดายอย่างสม่ำเสมอตามมาตรา 1798.120 อนุวรรคนี้ไม่อนุญาตให้ธุรกิจทำการเปลี่ยนแปลงเนื้อหา นโยบายความเป็นส่วนตัวย้อนหลัง หรือทำการเปลี่ยนแปลงอื่น ๆ ในนโยบายความเป็นส่วนตัวในลักษณะที่จะละเมิดพระราชบัญญัติการปฏิบัติที่ไม่เป็นธรรมและการหลอกลวง (บทที่ 5 (เริ่มด้วยมาตรา 17200) ของส่วนที่ 2 ของหมวด 7 แห่งประมวลกฎหมายธุรกิจและวิชาชีพ)

นั่นเป็นวิธีที่ยาวมากในการบอกว่าองค์กรอาจไม่จำเป็นต้องได้รับการชำระเงินเพื่อแลกกับข้อมูลส่วนบุคคล แต่ก็ยังสามารถถือเป็น "การขาย" ของข้อมูลได้ ตัวอย่างในบริบทอีเมล ผู้ส่งอาจให้ข้อมูลที่รวบรวมเกี่ยวกับสมาชิกของตน (ผ่านการติดตามหรือการรวบรวมออนไลน์) พร้อมใช้งานสำหรับองค์กรวิเคราะห์บุคคลที่สามเพื่อให้ข้อมูลเชิงลึกด้านประชากรโดยละเอียด ไม่มีการแลกเปลี่ยนเงิน เนื่องจากบุคคลที่สามเพิ่มข้อมูลที่ผู้ส่งอีเมลให้ไว้ในฐานข้อมูลที่ใหญ่ขึ้น เนื่องจากขณะนี้บุคคลที่สามกำลังได้รับข้อมูลเพื่อการใช้งานของตนเองหรือกับลูกค้ารายอื่น ข้อมูลดังกล่าวจึงอยู่ภายใต้กลุ่มบุคคลที่สามตามที่กำหนดโดย CCPA แม้ว่าจะไม่มีการแลกเปลี่ยนเงินก็ตาม ซึ่งหมายความว่าผู้ส่งอีเมลจะต้องให้วิธีง่ายๆ แก่สมาชิกในการเลือกไม่ให้ข้อมูลของตนถูกส่งผ่านไปยังบุคคลที่สามรายนี้ เมื่อเพิ่มความซับซ้อนขึ้นอีกระดับหนึ่ง องค์กรจะต้องสื่อสารกับบุคคลที่สามทั้งหมดเมื่อผู้บริโภคใช้สิทธิ์ของตน โดยทั่วไปแล้วองค์กรจะต้องใช้มาตรการทางเทคนิคเพื่อให้มั่นใจว่ากระบวนการจะราบรื่น

แล้วองค์กรของคุณล่ะ? แม้ว่าอาจดูเหมือนเป็นกระบวนการที่น่าเบื่อหน่ายจริงๆ แต่ทุกสิ่งที่กล่าวถึงมีความจำเป็นเพื่อให้แน่ใจว่าองค์กรของคุณและบริษัทที่คุณทำงานด้วยจะปฏิบัติตามข้อกำหนดเมื่อ CCPA มีผลบังคับใช้ ค่าปรับอาจสูงถึง $7500 ต่อการละเมิดโดยเจตนา ซึ่งอาจส่งผลให้ต้องเสียค่าปรับหลายล้านสำหรับองค์กรที่ไม่ปฏิบัติตาม ไม่มีใครอยากถูกปรับหลายล้านดอลลาร์จากการละเลยเพื่อให้แน่ใจว่าความสัมพันธ์ของบุคคลที่สามของพวกเขาถูกผูกไว้

CCPA ยังคงพัฒนาต่อไป แต่สิ่งสำคัญสำหรับองค์กรของคุณคือต้องเริ่มจัดกระบวนการจัดการผู้ขายของคุณเพื่อเตรียมพร้อมเมื่อมีผลบังคับใช้ แม้ว่านี่จะเป็นโพสต์ตามกำหนดการสุดท้ายใน ซีรี่ส์ CCPA ของ เรา เราจะยังคงเผยแพร่โพสต์เฉพาะกิจต่อไปเนื่องจากกฎหมายได้รับการสรุปผล ดังนั้นโปรดคอยติดตาม!