חוק פרטיות הצרכן בקליפורניה (CCPA) נכנס לתוקפו ב-1.1.20. על פי החוק, לצרכן יש את הזכות לקבל מידע אודות אופן הטיפול במידע השייך לו, כלומר כיצד המידע האישי נאסף, אופן השימוש בו והאם ואיך המידע משותף או נמכר.
זכות הגישה
לצרכן יש את הזכות לקבל גישה למתן המידע השייך לו
- הקטגוריות של המידע האישי הנאסף במהלך 12 החודשים האחרונים;
- פיסות מידע ספציפיות שנאספו על הצרכן;
- סיווג המקורות מהן אסף העסק את המידע;
- המטרות לאיסוף או מכירת המידע;
- קטגוריות של צדדים שלישיים איתם משותף המידע האישי;
- הקטגוריות של המידע האישי שנמכרו והקטגוריות של צדדים שלישיים אליהם נמכר המידע האישי;
- קטגוריות המידע האישי שנחשפו למטרות עסקיות.
הזכות לניידות
הזכות לניידות מחייבת עסקים לאפשר לצרכן להעביר מידע אישי לגורם אחר בקלות וללא כל מכשול, תוך הגשת בקשות לקבלת המידע בדרך אלקטרונית, ללא עלות, והדבר צריך להתבצע תוך 45 יום מהבקשה.
תקופת זמן זו עשויה להתארך ב -45 יום נוספים, במידת הצורך באופן סביר, ובתנאי שנשלחה לצרכן הודעה על ההארכה בפרק הזמן הראשון של 45 הימים .
הגילויים שנמסרו במילוי הבקשה אמורים לכסות את התקופה של 12 חודשים שקדמה לקבלת הבקשה.
פורמט מסירה: על עסקים להגיב באמצעות דואר רגיל או בפורמט אלקטרוני (כגון דואר אלקטרוני, הורדת קבצים וכו ‘). אם הוא מועבר באופן אלקטרוני, החוק מחייב כי המידע חייב להיות מועבר בפורמט קל לשימוש ומאפשר העברת מידע לגוף אחר ללא מפריע.
חריגים ומגבלות:
- הצרכנים מורשים לכל היותר 2 בקשות במשך 12 חודשים.
- מקרים בודדים של עיבוד חד פעמי אינם נכללים אם המידע לא נמכר או נשמר על ידי העסק או משמש לשם זיהוי אחר של האדם אחר.
אין צורך בתגובה אם העסק לא אסף מידע על הצרכן המדובר בפועל.
הזכות להימחק
הזכות למחוק – מידע אישי שבידי עסקים ו/או צדדים שלישיים
CCPA מעניקה לצרכנים את הזכות לבקש מחיקה של כל מידע אישי שנאסף עליהם.
כאשר מתקבלת בקשת מחיקה, יש למחוק את המידע האישי של הצרכן ולהורות לכל ספקי השירות הקשורים למחוק גם הם את המידע האישי של הצרכן מרשומותיהם.
יש לספק לצרכן שתי שיטות או יותר להגשת בקשה כאמור, לדוגמא, מספר טלפון ללא תשלום, ואם קיים אתר אינטרנט לעסק, אז כתובתו.
יש לעשות מאמצים סבירים כדי לוודא כי מגיש הבקשה הוא הצרכן עליו נאסף המידע, או שהוא מורשה לבקש מידע זה בשם הצרכן כמפורט לעיל.
הבקשה צריכה להיות ללא עלות, והתייחסות לבקשה תינתן תוך 45 יום מיום הגשת הבקשה של הצרכן. תקופת זמן זו עשויה להאריך עוד פעם אחת ב -45 יום נוספים, במידת הצורך באופן סביר, ובתנאי שלצרכן הודעה על ההארכה בפרק הזמן הראשון של 45 הימים .
חריגים ומגבלות:
עסקים אינם נדרשים להיענות לבקשת המחיקה אם יש צורך במידע:
- כדי להשלים את העסקה עליה נאסף המידע האישי;
- למתן טובין או שירות המבוקש על ידי הצרכן, או לביצוע הסכם אחר בין העסק לצרכן;
- לגלות אירועי ביטחון, להגן מפני פעילות זדונית, מטעה, הונאה או בלתי חוקית; או להעמיד לדין את האחראים לפעילות זו;
- ניפוי באגים לזיהוי ותיקון שגיאות;
- לממש דיבור חופשי, או לממש את זכותו של צרכן אחר לדיבור חופשי;
- לציית לחוק הפרטיות בתקשורת האלקטרונית בקליפורניה ( CalECPA );
- למחקר מדעי, היסטורי או סטטיסטי ציבורי או שנבדק על ידי עמיתים לטובת הציבור;
- על מנת לעמוד בהתחייבות משפטית;
- לאפשר שימושים פנימיים בלבד המתאימים באופן סביר לציפיות הצרכן בהתבסס על יחסי הצרכן עם העסק;
- לשימוש פנימי בלבד באופן חוקי התואם את ההקשר בו הצרכן מסר את המידע.
הזכות לביטול הסכמה (הזכות לומר לא למכירת הנתונים שלהם)
לצרכן יש את הזכות לבטל הסכמה שנתן בעניין מכירת מידע אישי ובכך להפסיק את מכירת המידע האישי לצדדים שלישיים, בכל עת.
לעסקים אסור למכור מידע אישי של צרכן שלא מלאו לו 16 שנים מבלי שניתנה הסכמה מפורשת.
עסק רשאי למכור את המידע רק אם:
- הצרכן הוא בין 13 ל -16 והוא נתן את הסכמתו להצטרף.
- הצרכן בן פחות מ 13 שנים וההורה או האפוטרופוס נתן את הסכמתו להצטרפות הקטין.
הזכות לאי-אפליה
מבחינת מחיר או שירות כאשר צרכן מממש זכות פרטיות תחת CCPA.
חל איסור על עסקים להפלות צרכנים בגין מימוש זכויותיהם המוענקות על פי החוק.
צורות אפליה אסורות כוללות:
- שלילת טובין או שירותים לצרכן.
- חיוב מחירים או מחירים שונים עבור סחורות ושירותים, כולל באמצעות הנחות או הטבות אחרות או הטלת קנסות.
- מתן רמה או איכות שונה של מוצרים או שירותים לצרכן, אם הצרכן מממש את זכויות הצרכן תחת תואר זה.
- ההצעה כי הצרכן יקבל מחיר או שער שונים עבור סחורות או שירותים או רמה או איכות שונה של סחורות או שירותים.
חריגים ומגבלות:
- עסק רשאי לגבות או להציע מחירים, מחירים, רמות, איכות מוצרים או שירותים שונים רק במקרים בהם ההבדל קשור באופן סביר לערך שמספק לצרכן על פי נתוני הצרכן.
לדוגמא , עסק מציע הנחה סטנדרטית של 30% על מוצר כתמריץ לרכישה מחדש, חודש לאחר הרכישה הראשונית של הצרכן של אותו מוצר. במהלך תקופה זו, הצרכן מממש את זכותו למחיקה ומבקש למחוק את המידע האישי שלהם. במקרה זה, מכיוון שלעסק אין נתונים צרכניים המראים כי הצרכן רכש בעבר את המוצר, הם לא יכולים להציע באופן סביר את ההנחה הסטנדרטית של 30% לצרכן הספציפי.
- עסק רשאי להציע תמריצים כספיים, לרבות תשלומים לצרכנים כפיצוי, עבור איסוף מידע אישי, מכירת מידע אישי או מחיקת מידע אישי. במקרים כאלה, יש לחשוף תמריצים כספיים כאלה למשתמשים דרך דף הבית של אתר האינטרנט שלך ובמדיניות הפרטיות שלך.
נאסר על עסקים לכפות או להשתמש בתמריץ כספי שאינו מוצדק ובלתי סביר .
על מי חל CCPA
- עסק יהיה כפוף ל- CCPA בהתקיים אחד או יותר מהדברים הבאים:
o לעסק הכנסות שנתיות העולות על 25 מיליון דולר ברוטו.
o רוכש, מקבל או מוכר את המידע האישי של 50,000 צרכנים.
o 50 אחוז או יותר מההכנסות השנתיות נגזרות ממכירת המידע האישי של הצרכנים.
CCPA מטילה חובות עסקיות חדשות
- עסקים הכפופים ל- CCPA חייבים ליידע את הצרכנים טרם איסוף הנתונים.
- על עסקים ליצור נהליםלצורך מתן מענה לבקשות צרכנים לביטול הסכמתם, ליידע אותם וכן להימחק.
o לבקשות לביטול הסכמה, עסקים חייבים לספק קישור באתר האינטרנט שלהם או אפליקציה לנייד, אשר מאפשר לצרכן לבחור וליידע את העסק שלא למכור את המידע האישי בנוסח הבא: “אל תמכור את המידע שלי”
- על עסקים להיענותלבקשות הצרכנים לדעת, למחוק ולבקש ביטול הסכמה במסגרת הזמן המוקצב
o כפי שהוצע על ידי טיוטת התקנות, עסקים חייבים לטפל בהגדרות פרטיות המאפשרות למשתמשים לאותת לבחירת הצרכן לבטל הסכמה לבקשה לבקשת ביטול הסכמה שהוגשה בתוקף.
- על עסקים לאמתאת זהותם של הצרכנים המבקשים לדעת ולמחוק, בין אם הצרכן מנהל עסק המוגן באמצעות סיסמה או לאו.
CCPA ו- GDPR
חוק פרטיות הצרכן בקליפורניה (CCPA) ותקנות הגנת המידע הכללית של האיחוד האירופי
(GDPR) הן מסגרות משפטיות נפרדות עם היקפים, הגדרות ודרישות שונות.
עסק הכפוף ל- CCPA אשר עומד בדרישות – GDPR עשוי להידרש לעמוד גם בחובות בהתאם לCCPA.
| CCPA | GDPR | |
| היועץ המשפטי לממשלה של מדינת קליפורניה, ארה”ב. | סוכנויות להגנה על נתונים לאומיות (מדינת חבר באיחוד האירופי). | גוף אוכף |
כל עסק למטרות רווח המתמקד בצרכנים בקליפורניה ובכל אחד מאלה :
| ישויות (ללא כוונת רווח או אחרת – כולל ארגונים לא ממשלתיים, יחידים וגופים ציבוריים) שמכוונות לאזרחי האיחוד האירופי, או שממוקמים באיחוד האירופי. | |
| כל מידע הקשור או יכול להיות קשור לצרכן או משק בית מסוים, למעט רשומות ממשלתיות ציבוריות. | כל מידע שיכול להוביל לזיהוי של אדם. | אילו סוגי נתונים מוגנים? |
| רק במקרה של קטינים ובמקרים של ביטול הסכמה קודם. | כן, אלא אם כן חל בסיס חוקי אחר | הסכמה נדרשת לפני העיבוד? |
| כן, יש לספק קישור DNSMPI ולכבד בקשות לביטול הסכמה. | למשתמשים יש גם את הזכות לחזור מההסכמה וגם את הזכות להתנגד לעיבוד (יכול להיות רלוונטי גם במקרים בהם העיבוד מוצדק תוך שימוש בסיס משפטי שאינו הסכמה). | האם עסקים חייבים לתת לצרכנים אפשרות לבטל הסכמה או לבטל הסכמה? |
| לא, הגנות CCPA חלות על צרכנים בלבד. | ה- GDPR לא מבדיל בין הגנות המיושמות על אינטראקציות B2B ו- B2C (עסק לצרכן), הוא פשוט מיישם את ההגנות שלו על ” נבדקים “, המוגדרים כ”אנשים טבעיים הניתנים לזיהוי “המתגוררים באיחוד האירופי. | ההגנות חלות גם על אינטראקציות בין עסקים לעסקים (B2B)? |
| CCPA לא מפרטת דרישות אבטחה ספציפיות אך מעניקה לצרכנים את הזכות המפורשת לתבוע נזקים הנובעים מכישלון של עסק ביישום נוהלי אבטחה מתאימים. | ה- GDPR מחייב גם מבקרים וגם מעבדים ליישם שיטות אבטחה המתאימות לסיכון הספציפי הכרוך בכך. שיטות אבטחה צריכות להיות “עדכניות” ומשמעותן ששיטות האבטחה צריכות להיות בקנה אחד עם הסטנדרטים האחרונים. | דרישות אבטחה? |
| קנסות של עד 7500 דולר לכל הפרה פרטנית . CCPA מעניקה גם לצרכנים את הזכות להגיש תביעה בגין נזיקין. | קנסות של עד 20 מיליון אירו (22 מיליון דולר) או 4% מההכנסות הגלובליות השנתיות – ככל שיהיה גדול יותר, ביקורת וסנקציות פוטנציאליות. ה- GDPR מעניק לנבדקים גם את הזכות לתבוע אם הופרו זכויותיהם. | עונשים של אי ציות? |
