Często zadawane pytania dotyczące CCPA i CPRA

Czego się dowiesz

Zapoznaj się z często zadawanymi pytaniami dotyczącymi CCPA (California Consumer Privacy Act) i CPRA (California Privacy Rights Act).

Czym jest CCPA?

CCPA to ustawa, która weszła w życie 1 stycznia 2020 r. i reguluje sposób, w jaki firmy przetwarzają dane osobowe mieszkańców Kalifornii.

CCPA jest odpowiedzią na postrzeganą lukę w ochronie prywatności w Stanach Zjednoczonych. Firmy, które przetwarzają dane osobowe mieszkańców Kalifornii, są zobowiązane do informowania mieszkańców o praktykach firmy w zakresie prywatności i prawach mieszkańców do prywatności, w tym o prawie do:

• Dowiedz się, jakie dane osobowe gromadzi na ich temat firma i w jaki sposób są one wykorzystywane.
• Usuń zebrane dane osobowe (z pewnymi wyjątkami)
• Zrezygnuj ze sprzedaży swoich danych osobowych
• Brak dyskryminacji za korzystanie z praw wynikających z CCPA

Czym jest CPRA?

CPRA to ustawa, która zmienia i rozszerza wymogi CCPA, w tym:

• Dodanie kategorii "wrażliwych danych osobowych" 
• Ustanowienie prawa do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych
• Ustanowienie prawa do poprawiania niedokładnych danych osobowych
• Rozszerzenie wymogu rezygnacji "Nie sprzedawaj" na "udostępnianie" danych osobowych do celów reklamy międzykontekstowej (lub stron trzecich).

CPRA wchodzi w życie 1 stycznia 2023 r.

Kto musi przestrzegać przepisów CCPA i CPRA?

Przedsiębiorstwa

Większość wymogów CCPA i CPRA ma zastosowanie do "firm", zdefiniowanych jako firmy, które zbierają dane osobowe konsumentów w Kalifornii samodzielnie lub za pośrednictwem dostawców. 

CCPA ma zastosowanie do firm, które spełniają którykolwiek z poniższych warunków:

• Obsługuje dane osobowe mieszkańców Kalifornii
• "Prowadzi działalność gospodarczą" w Kalifornii (w tym kontaktuje się z osobami znajdującymi się w Kalifornii za pośrednictwem handlu elektronicznego, interaktywnej witryny lub aplikacji).
• Spełnia co najmniej jeden z poniższych progów:
• Ma roczne przychody brutto większe niż 25 milionów USD
• Kupuje, otrzymuje lub sprzedaje dane osobowe 50 000 lub więcej mieszkańców Kalifornii, gospodarstw domowych lub urządzeń rocznie.
• Uzyskuje 50 procent lub więcej swoich rocznych przychodów ze "sprzedaży" danych osobowych mieszkańców Kalifornii (tj. sprzedaż obejmuje ujawnianie, udostępnianie, przekazywanie lub komunikowanie danych osobowych stronom trzecim w zamian za wynagrodzenie pieniężne lub inne wartościowe wynagrodzenie).

CPRA zmienia to zastosowanie w następujący sposób:

• Spełnia co najmniej jeden z poniższych progów:
• Posiadał roczny przychód brutto większy niż 25 milionów dolarów w ubiegłym roku
• Kupuje, sprzedaje lub udostępnia dane osobowe 100 000 lub więcej mieszkańców Kalifornii lub gospodarstw domowych rocznie.
• Uzyskuje 50 procent lub więcej swoich rocznych przychodów ze sprzedaży lub udostępniania danych osobowych mieszkańców Kalifornii (udostępnianie obejmuje ujawnianie, udostępnianie, przekazywanie lub przekazywanie danych osobowych stronom trzecim w celu wzajemnej reklamy behawioralnej, niezależnie od tego, czy jest to płatne, czy nie).

Serwis usługodawca dostawca i kontrahenci 

Aby zostać uznanym za usługodawcę dostawca, osoba fizyczna lub prawna musi:

• Przetwarzaj dane osobowe w imieniu firmy 
• Bądź związany pisemną umową, która nakłada pewne ograniczenia i obowiązki w zakresie wykorzystywania danych osobowych, w tym nie dalej:

• • Zbieranie
  • Sprzedaż
  • Wykorzystywanie danych osobowych z wyjątkiem sytuacji, gdy jest to konieczne do realizacji celu biznesowego

Podobnie jak w przypadku usługodawcy dostawcy, wyjątek dotyczący sprzedaży lub udostępniania ma również zastosowanie do wykonawców w ramach CPRA. Kontrahenci to osoby lub podmioty, którym dane osobowe są udostępniane przez firmę na podstawie pisemnej umowy, która nakłada podobne ograniczenia i obowiązki, jakie mają zastosowanie do usługodawcy dostawcy. Wykonawcy muszą również posiadać zaświadczenie, że rozumieją ograniczenia i będą ich przestrzegać.

Pamiętaj, że ujawnienie danych przez firmę usługodawcy dostawcy lub kontrahentowi nie jest uważane za sprzedaż lub udostępnianie, jeśli jest to konieczne do realizacji celu biznesowego.

Co jest klasyfikowane jako naruszenie dóbr osobistych?

CCPA definiuje dane osobowe bardzo szeroko, obejmując informacje, które identyfikują, opisują lub mogą być powiązane z konkretnym konsumentem lub gospodarstwem domowym. W praktyce ta szeroka definicja oznacza, że informacje takie jak dane kontaktowe, dane transakcji, adresy protokołu internetowego (IP), identyfikatory urządzeń mobilnych, dane strumienia kliknięć i szczegóły zamówienia mogą wchodzić w zakres definicji danych osobowych zawartej w CCPA i podlegać wymogom CCPA.

CPRA tworzy nową kategorię danych osobowych, "wrażliwe dane osobowe" i zapewnia konsumentom nowe prawo do ograniczenia wykorzystywania i ujawniania ich wrażliwych informacji. 

Wrażliwe dane osobowe zgodnie z CPRA obejmują: 

• Numer ubezpieczenia społecznego
• Numer prawa jazdy 
• Numer paszportu
• poświadczenia konta
• Precyzyjna geolokalizacja
• Pochodzenie rasowe lub etniczne
• Przekonania religijne
• Dane biometryczne
• Duńczyk genetyczny
• Zdrowie Duńczyka 
• Informacje dotyczące życia seksualnego lub orientacji seksualnej konsumenta
• Treść poczty, wiadomości e-mail i wiadomości tekstowych konsumenta, chyba że firma jest zamierzonym odbiorcą komunikacji 

Co muszę zrobić, aby się przygotować?

CCPA i CPRA są złożonymi przepisami. Niniejszy artykuł przedstawia kluczowe obowiązki wynikające z CCPA i CPRA, które mogą odnosić się do korzystania z serwisu Klaviyo, ale nie uwzględnia wszystkich wymogów, które mogą mieć zastosowanie do Twojej firmy. Skontaktuj się ze swoim radcą prawnym, aby uzyskać szczegółowe porady. 

Jeśli CCPA i CPRA mają zastosowanie do Twojej firmy, powinieneś rozważyć następujące prawa i ujawnienia.

Zawiadomienie

Twoja firma musi mieć politykę prywatności na swojej stronie internetowej, która jest dostępna we wszystkich punktach, w których gromadzisz dane osobowe, takich jak formularz rejestracyjny. Polityka ta powinna obejmować między innymi

• Kategorie danych osobowych, które gromadzi, sprzedaje i w inny sposób ujawnia w celach biznesowych
• Kategorie źródeł danych osobowych 
• Biznesowe lub komercyjne cele gromadzenia lub sprzedaży danych osobowych
• Opis następujących praw konsumentów i wyznaczonych metod składania wniosków:
• Prawo do usunięcia danych osobowych
• Prawo dostępu do kategorii i określonych fragmentów danych osobowych
• Prawo do rezygnacji ze sprzedaży lub udostępniania danych osobowych
• Prawo do niepodejmowania działań odwetowych

CPRA rozszerza tę listę praw konsumentów o: 

• Prawo do poprawiania niedokładnych informacji
• Prawo do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych
• Prawo do rezygnacji z technologii zautomatyzowanego podejmowania decyzji

CPRA wymaga również od firm uwzględnienia następujących dodatkowych ujawnień:

• Czy dane osobowe danej osoby są sprzedawane lub udostępniane?
• Czas, przez jaki firma zamierza przechowywać każdą kategorię danych osobowych lub kryteria, które zastosuje w celu ustalenia, jak długo będzie przechowywać takie informacje.
• Jeśli firma gromadzi "wrażliwe dane osobowe":
• Oddzielne ujawnienie określające kategorie gromadzonych informacji szczególnie chronionych
• Wykorzystanie i cel niniejszego dokumentu
• Czy takie informacje są sprzedawane lub udostępniane

Prawa do rezygnacji

Konsumenci mają prawo w dowolnym momencie zrezygnować ze sprzedaży swoich danych osobowych stronom trzecim. Twoja firma musi zaprzestać sprzedaży danych osobowych po otrzymaniu wniosku, chyba że konsument udzieli wyraźnej zgody. Firmy muszą odczekać co najmniej 12 miesięcy, zanim poproszą konsumenta o wyrażenie zgody na sprzedaż danych osobowych. Aby włączyć to prawo do rezygnacji, firmy muszą między innymi

• Zapewnij wyraźny i widoczny link na stronie głównej firmy, zatytułowany "Nie sprzedawaj moich danych osobowych". Link powinien włączać konsumenta lub osobę upoważnioną przez konsumenta do rezygnacji ze sprzedaży danych osobowych konsumenta
• Nie wymagaj od konsumenta utworzenia konta w celu nakazania firmie, aby nie sprzedawała danych osobowych konsumenta.

Konsumenci mają również prawo w dowolnym momencie zrezygnować ze sprzedaży ich danych osobowych przez stronę trzecią, która nabyła dane osobowe konsumenta od firmy. Podmiot zewnętrzny musi zaprzestać sprzedaży po otrzymaniu wniosku o rezygnację, chyba że konsument udzieli wyraźnej zgody.

Inne prawa konsumentów

Firmy muszą mieć procesy weryfikacji tożsamości mieszkańca Kalifornii podczas odpowiadania na prośby o dostęp lub usunięcie danych osobowych. Po otrzymaniu wniosku od mieszkańca Kalifornii i potwierdzeniu jego tożsamości, upewnij się, że podczas wypełniania wniosku uwzględniono następujące informacje, aby uszanować jego prawa. 

Prawo do informacji: Konsument może zażądać, aby firma ujawniła gromadzenie i przetwarzanie jego danych osobowych, w tym: 

• Kategorie danych osobowych zebranych o tym konsumencie (w ciągu ostatnich 12 miesięcy)
• Kategorie źródeł, z których zbierane są dane osobowe 
• Biznesowy lub komercyjny cel gromadzenia lub sprzedaży danych osobowych
• Kategorie stron trzecich, którym firma ujawniła dane osobowe
• Kategorie informacji, które firma sprzedaje lub ujawnia stronom trzecim
• Konkretne dane osobowe zebrane na temat tego konsumenta

CPRA modyfikuje i rozszerza to prawo, wymagając:

• Dostarczanie informacji o kategoriach danych osobowych "udostępnianych" stronom trzecim
• Usunięcie 12-miesięcznego ograniczenia wglądu poprzez wymaganie od przedsiębiorstwa dostarczenia więcej niż 12 miesięcy informacji, o ile takie ujawnienie nie byłoby "niemożliwe" lub "wymagałoby nieproporcjonalnego wysiłku" (wymóg ten nie miałby zastosowania do żadnych danych zebranych przez przedsiębiorstwo przed 1 stycznia 2022 r.).

Prawo do usunięcia: Firma musi usunąć informacje konsumenta (z zastrzeżeniem pewnych wyjątków) i powiadomić swojego usługodawcę dostawcę, aby usunął informacje konsumenta. Zgodnie z CPRA firma musi powiadomić swojego usługodawcę dostawcę i kontrahentów, a także powiadomić wszelkie osoby trzecie, którym firma sprzedała lub udostępniła (w celach reklamy kontekstowej) dane osobowe konsumenta, chyba że "okaże się to niemożliwe lub wymaga nieproporcjonalnego wysiłku". Ponadto każdy usługodawca dostawca musi również powiadomić swojego usługodawcę dostawcę o usunięciu informacji o konsumencie. 

Prawo do poprawienia niedokładnych danych osobowych: Po otrzymaniu przez firmę zweryfikowanego wniosku o poprawienie niedokładnych danych osobowych, firma musi dołożyć "uzasadnionych ekonomicznie starań", aby poprawić wspomniane dane osobowe zgodnie z zaleceniami konsumenta. Oczekuje się, że prokurator generalny Kalifornii przedstawi dodatkowe wytyczne dotyczące tego obowiązku.

Należy również pamiętać, że jeśli konsument ma mniej niż 13 lat, przed sprzedażą jego danych osobowych wymagana jest wyraźna zgoda rodzica lub opiekuna (opt-in). Jeśli konsument jest w wieku od 13 do 16 lat, przed sprzedażą jego danych osobowych wymagana jest jego wyraźna zgoda.

Spełnianie żądań konsumentów 

Musisz mieć co najmniej 2 wyznaczone metody składania przez konsumentów wniosków o udzielenie informacji.

Powinny one obejmować co najmniej:

• Bezpłatny numer telefonu (niektóre firmy, które działają wyłącznie online i mają bezpośredni kontakt z konsumentem, od którego zbierają dane osobowe, są zwolnione z wymogu posiadania bezpłatnego numeru telefonu).
• Adres internetowy, jeśli firma posiada stronę internetową 

Wnioski konsumentów muszą zostać rozpatrzone w ciągu 45 dni od otrzymania wniosku, pocztą lub drogą elektroniczną (w formacie umożliwiającym konsumentowi przekazanie go innemu podmiotowi) lub za pośrednictwem konta użytkownika. Czas odpowiedzi może zostać przedłużony o dodatkowe 45 dni, jeśli jest to uzasadnione złożonością i liczbą wniosków, oraz jeśli wnioskodawca zostanie powiadomiony o przedłużeniu (z wyszczególnieniem powodów). Proces składania wniosków musi być również bezpłatny.

Firmy nie są zobowiązane do składania więcej niż dwóch wniosków na konsumenta w okresie 12 miesięcy.

Jaka jest rola Klaviyo w ramach CCPA i CPRA w odniesieniu do serwisu Klaviyo?

Klaviyo nie ma bezpośredniego związku z osobami fizycznymi, których dane osobowe są gromadzone przez naszego klienta i sklep na naszej platformie. Klaviyo służy jako usługodawca dostawca, podczas gdy naszym klientem są firmy, ponieważ przetwarzamy dane osobowe w imieniu naszego klienta.

Klaviyozobowiązania wobec klienta jako usługodawcy dostawcy są określone w naszej Umowie o przetwarzanie danych. 

Co robi Klaviyo, aby włączyć klienta do przestrzegania przepisów?

Klaviyo Klient ma możliwość i narzędzia do spełniania próśb mieszkańców Kalifornii o skorzystanie z ich praw konsumenckich do dostępu, usunięcia lub poprawienia danych osobowych zgodnie z CCPA i CPRA. W szczególności:

• Platforma umożliwia klientowi raportowanie danych osobowych przechowywanych na temat użytkowników końcowych w odpowiedzi na żądania dostępu.
• Platforma umożliwia usunięcie danych osobowych, które przechowuje na temat użytkowników końcowych w odpowiedzi na wnioski o usunięcie oraz korektę niedokładnych danych osobowych na profilu w Klaviyo.
• Klaviyo nie pomaga i ogranicza gromadzenie i przechowywanie wrażliwych danych osobowych, zgodnie z naszymi Zasadami dopuszczalnego użytkowania.

Dodatkowe źródła

• Jak obsługiwać żądania RODO i CCPA
• Kalifornijska ustawa o ochronie prywatności konsumentów
• Informacje o zgodzie w profilach