Закон Калифорнии о защите персональных данных потребителей (CCPA)

Общие сведения о CCPA

Закон Калифорнии о конфиденциальности потребителей (CCPA) является первым всеобъемлющим законом о конфиденциальности в США. Он предоставляет несколько прав на конфиденциальность для потребителей Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, Общий регламент по защите данных (GDPR), подобный потребительским правам субъекта данных (DSR), "отказ" для определенных передач данных и требование "согласие" для несовершеннолетних.

CCPA применяется только к компаниям, которые занимаются бизнесом в Калифорнии и удовлетворяют одному или нескольким из следующих: (1) иметь валовой годовой доход более $ 25 млн, или (2) получить более 50% своего годового дохода от продажи Калифорнии личной информации потребителя, или (3) купить, продать или поделиться личной информацией более чем 50 000 калифорнийских потребителей ежегодно.

CCPA вступил в силу 1 января 2020 года. Принудительное применение генеральным прокурором Калифорнии (AG) началось 1 июля 2020 года.

Калифорнийская группа доступности применяет CCPA и имеет право выдавать штрафы за несоответствие. CCPA также предоставляет частное право на действия, которое ограничивается нарушениями данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Корпорация Майкрософт и CCPA

Для коммерческих клиентов, которые занимаются бизнесом в Калифорнии, корпорация Майкрософт выступает в качестве "поставщика услуг" в отношении наших онлайн-служб и профессиональных услуг. Условия условий использования веб-служб (OST) и дополнительного приложения microsoft Professional Services Data Protection (MSDPA) уже соответствуют требованиям к поставщикам услуг в соответствии с CCPA и, как правило, достаточно для того, чтобы клиенты могли продолжать передавать данные в наши веб-службы. Таким образом, никаких дополнительных изменений в договоре не требуется, чтобы клиенты могли полагаться на Корпорацию Майкрософт в качестве поставщика услуг в рамках CCPA.

Как указано в ost, корпорация Майкрософт соблюдает все законы и нормативные акты, применимые к ее предоставлению веб-служб, включая CCPA.

Затрагиваемые облачные платформы и службы Майкрософт

Как подготовиться к соответствию CCPA при использовании продуктов и служб Майкрософт

Вот несколько шагов, которые можно выполнить, чтобы подготовиться к CCPA:

  • Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках программы конфиденциальности CCPA.
  • Создайте процесс для эффективного реагирования на запросы на доступ субъектов данных (DSAR) с помощью средства "Запросы субъектов данных".
  • Настройте метки и политики для обнаружения, классификации & меток и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
  • Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.

Вопросы и ответы

Как CCPA повлияет на мою компанию?

Многие права CCPA, предоставляемые калифорнийцам, похожи на права, предоставляемые GDPR, включая запросы на раскрытие информации и права субъекта данных (DSR), такие как доступ, удаление и переносимость. Таким образом, клиент может обращаться к нашим уже существующим решениям GDPR, чтобы помочь им в соответствии с CCPA.

Чтобы начать работу с CCPA, следует сосредоточиться на обнаружении информации, определении способа совместного использования персональных данных, управлении способом ее использования, ее защите и наличии официальной программы реагирования на нарушения безопасности данных.

Чем различаются GDPR и CCPA?

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

  • Обязательства по прозрачности и раскрытию информации,
  • Права потребителей на доступ, удаление и получение копии данных,
  • Определение "поставщиков услуг", аналогичное тому, как GDPR определяет "обработчиков" с аналогичным договорным обязательством, и
  • Определение "предприятия", которое включает определение "контроллеров" в GDPR.

Самое большое различие в CCPA — это основное требование, позволяющее отказаться от продажи данных третьим лицам (при этом "продажа" широко определена для предоставления общего доступа к данным для рассмотрения).

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

CCPA требует регулируемых предприятий, которые собирают, передают и продают личную информацию, среди прочего:

  • предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
  • Предоставьте более подробные сведения о раскрытии информации в политике конфиденциальности в отношении источников, бизнес-целей и категорий собираемых персональных данных, включая способ продажи или передачи этих категорий другим организациям.
  • Включите права DSR на доступ, удаление и переносимость для определенных частей персональных данных, собранных вами.
  • Включите элемент управления, который позволит потребителям отказаться от продажи данных потребителя. Тем не менее, передачи освобожденным сущностям, таким как поставщики услуг, будут разрешены.
  • Для несовершеннолетних, в возрасте до 16 лет, включите процесс согласия, чтобы никакая продажа личной информации несовершеннолетнего не могла произойти без активного согласия на продажу.
  • Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Как CCPA применяется к детям?

  • CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
  • Для детей в возрасте от 13 до 16 лет CCPA налагает новое обязательство по получению согласия на согласие от ребенка.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы