Strony trzecie i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA)

W dzisiejszym, ciągle zmieniającym się środowisku danych, firmy na całym świecie polegają na partnerstwie z podmiotami zewnętrznymi, aby wspierać ich działania biznesowe. Nasza gospodarka oparta na danych pozwala organizacjom budować zaangażowanie klientów, zwiększać wiedzę o konsumentach i zwiększać przychody, ale czy nowe ograniczenia, które CCPA nakłada na organizacje, czy korzystanie z danych stron trzecich należy już do przeszłości? Na szczęście dla wielu organizacji przestrzeganie tego ograniczenia w CCPA będzie po prostu kwestią identyfikacji dostawców zewnętrznych, zdefiniowania tych relacji w umowach i wdrożenia procesów zgodnych z nowymi zasadami rezygnacji ze sprzedaży.

Na początek organizacje będą musiały zrozumieć, w jaki sposób CCPA definiuje strony trzecie. Zgodnie z sekcją 1798.140 (w) „Osoba trzecia” oznacza osobę, która nie jest żadną z poniższych:

1. Firma, która zbiera dane osobowe od konsumentów pod tym tytułem.
2. Osoba, której przedsiębiorstwo ujawnia dane osobowe konsumenta w celach biznesowych na podstawie pisemnej umowy, pod warunkiem, że umowa:
   1. Zabrania osobie otrzymującej dane osobowe od:
      1. Sprzedaż danych osobowych.
      2. Zatrzymywanie, wykorzystywanie lub ujawnianie danych osobowych w jakimkolwiek celu innym niż określony cel świadczenia usług określonych w umowie, w tym zatrzymywanie, wykorzystywanie lub ujawnianie danych osobowych w celu handlowym innym niż świadczenie usług określonych w umowie .
      3. Przechowywanie, wykorzystywanie lub ujawnianie informacji poza bezpośrednią relacją biznesową między daną osobą a firmą.
   2. Obejmuje oświadczenie złożone przez osobę otrzymującą dane osobowe, że dana osoba rozumie ograniczenia w punkcie (A) i będzie ich przestrzegać.

Nie należy tego mylić z „dostawcą usług”, którego CCPA definiuje jako podmiot prawny, który „ przetwarza informacje w imieniu firmy i któremu firma ujawnia dane osobowe konsumenta w celach biznesowych zgodnie z pisemną umową ” . Oznacza to, że sama organizacja biznesowa i jej dostawcy usług, którzy korzystają z danych zgodnie z instrukcjami, nie są uważani za strony trzecie. Jednak wiele innych organizacji wymieniających dane z firmą należałoby do kategorii osób trzecich.

Aby organizacje mogły określić, jak obsługiwać te relacje z dostawcami, muszą zacząć od utworzenia listy wszystkich dostawców i stron trzecich, które otrzymują dane od organizacji. Jak wspomnieliśmy na naszym poprzednim blogu na temat CCPA a RODO , w tym procesie pomocne powinno być posiadanie istniejącej mapy danych z przygotowań do RODO. Mapa danych powinna obejmować wszystkie organizacje, którym Twoja firma udostępnia dane, a także cel udostępniania danych. Będzie to wymagało uwzględnienia wszystkich obszarów funkcjonalnych Twojej organizacji, od inżynierii przez HR po finanse. Prawdopodobnie Twoja firma udostępnia dane poza samym rozwojem produktu, aby prowadzić codzienną działalność, co należy uwzględnić.

Gdy już zrozumiesz, dokąd Twoje dane są wysyłane poza organizację, będziesz chciał przejrzeć umowy z tymi organizacjami, aby ocenić prawa partnera/sprzedawcy do danych i ustalić, czy będą wymagane dodatkowe oceny wpływu na prywatność. Czy strona trzecia może wykorzystywać dane wyłącznie w celu świadczenia Twojej organizacji wyznaczonych usług lub czy jest w stanie działać jako administrator i określić, co można zrobić z danymi (Ważne jest również, aby pamiętać, że chociaż CCPA nie ma język administratora/podmiotu przetwarzającego (w przeciwieństwie do RODO), może pomóc w identyfikacji administratorów i podmiotów przetwarzających w umowach, dzięki czemu wiesz, kto jest decydentem, jeśli chodzi o dane udostępniane między organizacjami)? Jeśli tak jest, Twoja organizacja prawdopodobnie będzie musiała ujawnić tę relację swoim konsumentom, a także zaoferować im opcję „zrezygnowania” ze sprzedaży ich danych.

Tutaj sprawy mogą się skomplikować i zakłócić wiele relacji biznesowych opartych na danych. Ze względu na szeroką definicję „sprzedaży” danych w CCPA, organizacje będą naprawdę musiały przejrzeć swoje relacje z dostawcami/partnerami, aby ustalić, komu mogą „sprzedawać” dane i czy będą musiały dodać funkcję „Rezygnacja” do ich stronie internetowej. Przypominamy, że zgodnie z sekcją 1798.140 (t) „Sprzedaj”, „sprzedaż”, „sprzedaż” lub „sprzedana” oznacza:

1. sprzedawanie, wynajmowanie, udostępnianie, ujawnianie, rozpowszechnianie, udostępnianie, przekazywanie lub przekazywanie w inny sposób ustnie, pisemnie, drogą elektroniczną lub w inny sposób danych osobowych konsumenta przez firmę innej firmie lub stronie trzeciej w zamian za pieniądze lub inne wartościowe wynagrodzenie .
2. Do celów niniejszego tytułu firma nie sprzedaje danych osobowych, gdy:
   1. Konsument wykorzystuje lub kieruje firmę do celowego ujawnienia danych osobowych lub wykorzystuje firmę do celowej interakcji z osobą trzecią, pod warunkiem, że osoba trzecia nie sprzedaje również danych osobowych, chyba że ujawnienie byłoby zgodne z postanowieniami niniejszego tytułu. Celowa interakcja ma miejsce, gdy konsument zamierza wchodzić w interakcję z osobą trzecią za pośrednictwem jednej lub więcej celowych interakcji. Najechanie kursorem na, wyciszanie, wstrzymywanie lub zamykanie danego fragmentu treści nie stanowi intencji konsumenta do interakcji z osobą trzecią.
   2. Firma wykorzystuje lub udostępnia identyfikator konsumentowi, który zrezygnował ze sprzedaży danych osobowych konsumenta, w celu ostrzeżenia stron trzecich, że konsument zrezygnował ze sprzedaży danych osobowych konsumenta.
   3. Firma wykorzystuje lub udostępnia usługodawcy dane osobowe konsumenta, które są niezbędne do realizacji celów biznesowych, jeśli spełnione są oba poniższe warunki: usługi, które usługodawca wykonuje w imieniu firmy, pod warunkiem, że usługodawca również nie sprzedawać danych osobowych.
      1. Firma poinformowała, że ​​informacje są wykorzystywane lub udostępniane w swoich warunkach zgodnie z sekcją 1798.135.
      2. Usługodawca nie zbiera dalej, nie sprzedaje ani nie wykorzystuje danych osobowych konsumenta, chyba że jest to konieczne do realizacji celu biznesowego.
   4. Firma przekazuje stronie trzeciej dane osobowe konsumenta jako aktywa będące częścią fuzji, przejęcia, bankructwa lub innej transakcji, w której strona trzecia przejmuje kontrolę nad całością lub częścią firmy, pod warunkiem, że informacje są wykorzystywane lub wspólne z sekcjami 1798.110 i 1798.115. Jeżeli osoba trzecia w istotny sposób zmieni sposób, w jaki wykorzystuje lub udostępnia dane osobowe konsumenta w sposób, który jest istotnie niezgodny z obietnicami złożonymi w momencie ich zbierania, powinna wcześniej powiadomić konsumenta o nowej lub zmienionej praktyce. Ogłoszenie powinno być wystarczająco widoczne i solidne, aby zapewnić obecnym konsumentom możliwość łatwego dokonywania wyborów zgodnie z sekcją 1798.120. Niniejszy akapit nie upoważnia firmy do dokonywania istotnych wstecznych zmian w polityce prywatności ani do wprowadzania innych zmian w polityce prywatności w sposób, który naruszałby ustawę o nieuczciwych i wprowadzających w błąd praktykach (rozdział 5 (rozpoczynający się od sekcji 17200) w części 2 działu 7 Kodeksu działalności gospodarczej i zawodów).

To naprawdę długa droga do powiedzenia, że ​​organizacja niekoniecznie musi otrzymywać płatności w zamian za dane osobowe, ale nadal można to uznać za „sprzedaż” danych. Na przykład w kontekście wiadomości e-mail nadawca może udostępnić informacje zebrane o swoich subskrybentach (poprzez śledzenie lub zbieranie online) zewnętrznej organizacji analitycznej, aby zapewnić szczegółowy wgląd demograficzny. Żadne pieniądze nie są wymieniane, ponieważ strona trzecia dodaje dane dostarczone przez nadawcę wiadomości e-mail do swojej większej bazy danych. Ponieważ strona trzecia pozyskuje teraz dane na własny użytek lub na użytek innych klientów, podlegałyby one parasolowi strony trzeciej zgodnie z definicją CCPA, pomimo braku wymiany pieniędzy. Oznacza to, że nadawca wiadomości e-mail musiałby zapewnić swoim subskrybentom łatwy sposób rezygnacji z przekazywania ich danych tej stronie trzeciej. Dodając kolejną warstwę złożoności, organizacje będą musiały komunikować się ze wszystkimi stronami trzecimi, gdy konsument korzysta ze swoich praw, co zwykle wymaga od organizacji wdrożenia środków technicznych w celu zapewnienia płynnego procesu.

Więc gdzie to opuszcza twoją organizację? Chociaż może się to wydawać bardzo żmudnym procesem, wszystko, o czym wspomniano, jest konieczne, aby zapewnić zgodność Twojej organizacji i firm, z którymi współpracujesz, po wejściu w życie ustawy CCPA. Grzywny mogą wynieść do 7500 USD za umyślne naruszenie przepisów, co może skutkować wielomilionowymi grzywnami dla organizacji, które zostały przyłapane na niezgodności. Nikt nie chce zostać ukarany wielomilionową grzywną za zaniedbanie upewnienia się, że jego relacje z osobami trzecimi są dopięte na ostatni guzik.

CCPA wciąż ewoluuje, ale ważne jest, aby Twoja organizacja zaczęła organizować proces zarządzania dostawcami, aby była przygotowana, gdy zacznie on obowiązywać. Chociaż jest to ostatni zaplanowany post w naszej serii CCPA , będziemy nadal publikować posty ad hoc, gdy prawo zostanie sfinalizowane, więc bądź na bieżąco!