ทั้งหมดที่คุณต้องรู้เกี่ยวกับ California Consumer Privacy Act (CCPA)

ในเดือนมกราคม 2020 ได้มีการบังคับใช้กฎหมายความเป็นส่วนตัวของผู้บริโภคฉบับใหม่ ซึ่งส่งผลกระทบต่อผู้บริโภคและบริษัทในแคลิฟอร์เนียทั้งหมดที่ทำธุรกิจหรือให้บริการแก่พวกเขา California Consumer Privacy Act (CCPA) มีความเข้าใจที่กว้างขึ้นเกี่ยวกับสิ่งที่อยู่ภายใต้หมวดหมู่ "ข้อมูลส่วนตัว" และกำหนดข้อจำกัดที่เข้มงวดและซับซ้อนยิ่งขึ้นเมื่อเปรียบเทียบกับข้อบังคับ TCPA

หากคุณส่ง ข้อความหรือทำธุรกิจประเภทอื่น กับลูกค้าในแคลิฟอร์เนีย โปรดอ่านต่อไปเพื่อทำความเข้าใจว่ากฎหมายนี้อาจส่งผลต่อคุณอย่างไร เราขอแนะนำให้คุณปรึกษากับทนายความของคุณเกี่ยวกับการเปลี่ยนแปลงที่จำเป็นในนโยบายความเป็นส่วนตัวและข้อกำหนดในการให้บริการของคุณ เพื่อให้คุณปฏิบัติตามกฎระเบียบเหล่านั้น

กปปส. คืออะไร?

ตาม CCPA ผู้ใช้ในแคลิฟอร์เนียทุกคนมีสิทธิที่จะเรียกร้องรายงานข้อมูลส่วนบุคคลทั้งหมด ที่บริษัทได้เก็บรวบรวมไว้ และรายชื่อบุคคลที่สามทั้งหมดที่ข้อมูลนี้จะถูกแบ่งปันด้วย (ถ้ามี) หากลูกค้าเห็นว่านี่เป็นการละเมิดความเป็นส่วนตัว CCPA จะอนุญาตให้พวกเขายื่นฟ้องคดีแบบ กลุ่มต่อผู้ละเมิด แม้ว่าจะไม่มีการรายงานการละเมิดจริงก็ตาม

CCPA กำหนด "ข้อมูลส่วนตัว" อย่างไร

ในหลาย ๆ ด้าน CCPA มีความคล้ายคลึงกับ GDPR ซึ่งเป็นกฎระเบียบด้านการปกป้องข้อมูลในยุโรป บางคนบอกว่าหากบริษัทปฏิบัติตาม GDPR ก็อยู่ห่างจากการปฏิบัติตาม CCPA อย่างครบถ้วนเพียงไม่กี่ขั้นตอน

ต่อไปนี้คือรายการทั้งหมดของสิ่งที่ถือว่าเป็นข้อมูลส่วนตัวโดย CCPA ตามมาตรา 9 ส่วนย่อย O(1) และ O(2) ของ วุฒิสภา Bill-1121 :

• ตัวระบุ เช่น ชื่อจริง นามแฝง ที่อยู่ไปรษณีย์ ตัวระบุส่วนบุคคลที่ไม่ซ้ำ ที่อยู่ IP ของตัวระบุออนไลน์ ที่อยู่อีเมล ชื่อบัญชี หมายเลขประกันสังคม หมายเลขใบขับขี่ หมายเลขหนังสือเดินทาง หรือตัวระบุอื่นๆ ที่คล้ายคลึงกัน

• ลักษณะของการจำแนกประเภทที่ได้รับการคุ้มครองภายใต้กฎหมายของรัฐแคลิฟอร์เนียหรือรัฐบาลกลาง

• ข้อมูลทางการค้ารวมถึงบันทึกของทรัพย์สินส่วนบุคคล ผลิตภัณฑ์หรือบริการที่ซื้อ ได้รับหรือพิจารณา หรือประวัติการซื้อหรือการบริโภคอื่น ๆ หรือแนวโน้ม

• ข้อมูลไบโอเมตริกซ์

• ข้อมูลกิจกรรมทางอินเทอร์เน็ตหรือเครือข่ายอิเล็กทรอนิกส์อื่นๆ ซึ่งรวมถึงแต่ไม่จำกัดเพียง ประวัติการท่องเว็บ ประวัติการค้นหา และข้อมูลเกี่ยวกับปฏิสัมพันธ์ของผู้บริโภคกับเว็บไซต์ แอปพลิเคชัน หรือโฆษณา

• ข้อมูลตำแหน่งทางภูมิศาสตร์

• ข้อมูลเสียง อิเล็กทรอนิกส์ ภาพ ความร้อน การดมกลิ่นหรือข้อมูลที่คล้ายกัน

• ข้อมูลทางวิชาชีพหรือที่เกี่ยวข้องกับการจ้างงาน

• ข้อมูลการศึกษาที่กำหนดเป็นข้อมูลที่ไม่เปิดเผยต่อสาธารณะข้อมูลส่วนบุคคล (PII) ตามที่กำหนดไว้ในพระราชบัญญัติสิทธิการศึกษาของครอบครัวและความเป็นส่วนตัว (20 USC มาตรา 1232g, 34 CFR ส่วนที่ 99)

• การอนุมานจากข้อมูลใด ๆ ที่ระบุในส่วนย่อยนี้เพื่อสร้างโปรไฟล์เกี่ยวกับผู้บริโภคที่สะท้อนถึงความชอบ ลักษณะ แนวโน้มทางจิตวิทยา ความชอบ ความโน้มเอียง พฤติกรรม ทัศนคติ สติปัญญา ความสามารถและความถนัดของผู้บริโภค

ตอนนี้เราได้ให้ภาพรวมโดยสมบูรณ์เกี่ยวกับสิ่งที่ถือเป็น "ข้อมูลส่วนตัว" แล้ว มาดูอีกสองประเด็นของ CCPA ที่เป็นที่สนใจเป็นพิเศษสำหรับธุรกิจ: คำจำกัดความนี้หมายถึง " การขาย " ของข้อมูลส่วนบุคคลและวิธีการ ปฏิบัติตามทั้ง TCPA และ CCPA ในกรณีที่มีการลบข้อมูล

คำจำกัดความของ “การขาย” ภายใต้ CCPA

CCPA มีคำจำกัดความที่ค่อนข้างกว้างของ "การขาย" ว่า "การขาย ให้เช่า ปล่อย เปิดเผย เผยแพร่ ทำให้พร้อมใช้งาน โอน หรือสื่อสารด้วยวาจา เป็นลายลักษณ์อักษร หรือโดยทางอิเล็กทรอนิกส์หรือวิธีการอื่นๆ ข้อมูลส่วนบุคคลของผู้บริโภคโดยธุรกิจ ธุรกิจอื่นหรือบุคคลที่สามเพื่อพิจารณาทางการเงินหรือมูลค่าอื่น ๆ "

สิ่งนี้หมายความว่าแม้ว่าจะไม่มีการแลกเปลี่ยนข้อมูลส่วนบุคคลที่ฝ่ายต่างๆ อาจได้รับประโยชน์ทางการเงิน "การขาย" อาจเกิดขึ้นได้แม้ว่าบริษัทต่างๆ จะแบ่งปันข้อมูลส่วนตัวกับบุคคลที่สามไม่ว่าด้วยเหตุผลใดก็ตาม

การเก็บบันทึกข้อมูลส่วนบุคคล

ตาม TCPA การกระทำหลักซึ่งเป็นการกระทำหลักที่จำกัดการสื่อสารการตลาดทางโทรศัพท์ผ่านการโทรด้วยเสียง ข้อความ SMS และแฟกซ์ ไม่มีบริษัทใดสามารถติดต่อลูกค้าที่อยู่ในสหรัฐฯ เว้นแต่จะได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าให้ทำเช่นนั้น และบันทึก ข้อมูลดังกล่าว ในกรณีที่ลูกค้าร้องขอให้ลบข้อมูลแต่ไม่ได้เลือกไม่รับการตลาดแบบข้อความ การกระทำทั้งสองอาจขัดแย้งกันได้

สำหรับผู้ที่ให้ความยินยอมในการรับข้อความ แต่เลือกที่จะไม่ "ขาย" ข้อมูลของตน ธุรกิจอาจปฏิเสธที่จะลบบันทึกเพื่อปฏิบัติตามภาระผูกพันของ TCPA ทางกฎหมายในการรักษารายการ "ห้ามติดต่อ" ภายใน อ้างถึงบทบัญญัติ "ปฏิบัติตามภาระผูกพันทางกฎหมาย" ใน CCPA ( ส่วนที่ 2, d(8) )

สิ่งที่บริษัทสามารถทำได้เพื่อให้สอดคล้องกับ CCPA

CCPA ให้แนวทางที่สมบูรณ์เกี่ยวกับสิ่งที่ธุรกิจสามารถทำได้เพื่อเคารพ CCPA และผู้ใช้ทั้งหมดที่อยู่ภายใต้ มาตรา 8

แนวทางเหล่านี้ได้แก่ การให้ลูกค้ามี ตัวเลือกในการไม่เข้าร่วมอย่างชัดเจน บนเว็บไซต์ของบริษัทและในนโยบายความเป็นส่วนตัว ซึ่งพวกเขาสามารถปฏิเสธบริษัทต่างๆ ที่จะ "ขาย" ข้อมูลส่วนบุคคลของพวกเขาได้ อย่างไรก็ตาม การเลือกไม่ใช้ไม่ควรกำหนดให้ผู้ใช้ต้องสร้างบัญชี

ในกรณีที่บริษัทใช้บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาดด้วยข้อความ (หรือเหตุผลทางการตลาดอื่นๆ) พวกเขาควรพูดอย่างชัดเจนในนโยบายความเป็นส่วนตัว และให้ข้อมูลที่ครบถ้วนว่าใครเป็นผู้ขายของพวกเขา ซึ่งสอดคล้องกับข้อกำหนดของ GDPR อีกครั้ง คุณจึงสามารถอ้างอิงถึง ข้อความ GDPR ที่เราเสนอได้

หากลูกค้าเลือกที่จะไม่รับ ตามที่ CCPA บริษัทต่างๆ ควรงดเว้นอย่างน้อย 12 เดือนจากการขอให้พวกเขาอนุญาตให้ขายข้อมูลส่วนบุคคลของผู้บริโภค

มันส่งผลต่อคุณอย่างไร?

โดยรวมแล้ว CCPA รับรองว่าข้อมูลส่วนตัวของผู้ใช้ในแคลิฟอร์เนียจะได้รับการดูแลเป็นพิเศษ และมีเป้าหมายที่จะจำกัดโอกาสใด ๆ ที่ความเป็นส่วนตัวของพวกเขาอาจถูกละเมิดหรือข้อมูลของพวกเขาถูกดัดแปลงแก้ไข

ด้วยเหตุนี้ CCPA จึงส่งผลกระทบต่อธุรกิจทั้งหมด ซึ่งในทางใดก็ตาม สื่อสารกับลูกค้าในแคลิฟอร์เนีย รวมถึงการตลาดแบบข้อความ และจะช่วยให้ลูกค้ามีวิธีการมากขึ้นในการควบคุมว่าใครบ้างที่สามารถเข้าถึงข้อมูลส่วนบุคคลของตนได้

โพสต์นี้เป็นข้อมูลสำหรับผู้ใช้ SMSBump เท่านั้น อย่างไรก็ตาม ผู้บริโภคในแคลิฟอร์เนียอาจส่งคำขอตามสิทธิ์ของตนภายใต้ CCPA โดยติดต่อเราที่ [email protected] หรือใช้แบบฟอร์มคำขอนี้ เราจะตรวจสอบคำขอของคุณโดยใช้ข้อมูลที่เชื่อมโยงกับบัญชีของคุณ ซึ่งอาจเป็นอีเมลและหมายเลขโทรศัพท์ของคุณ อาจต้องใช้บัตรประจำตัวประชาชน ลูกค้า SMSBump ยังสามารถกำหนดตัวแทนที่ได้รับอนุญาตเพื่อใช้สิทธิ์เหล่านี้ในนามของพวกเขา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ SMSBump จัดการกับข้อมูลส่วนตัวของคุณ โปรดดูที่ นโยบายความเป็นส่วนตัว ของเรา