25 марта 2024 автор Майкл Эванс
Всем, кто работает в недвижимости, стоит учесть - CPRA здесь, и он значительно меняет правила игры. Поднимаясь над CCPA, это новое законодательство возвращает вам контроль над вашей личной информацией.
Что ж, как все это влияет на успешное управление бизнесом недвижимости? Задумывались, как сохранить ясность данных и избежать штрафов?
Не переживайте. Я помогу разобраться в основах и покажу, как добиться соответствия вашего бизнеса CPRA. Вперед!
Оглавление:
- Что такое Закон о правах на конфиденциальность в Калифорнии (CPRA)?
- Требования CPRA для бизнеса
- Расширенные права потребителей в CPRA
- Исполнение и штрафы за несоответствие CPRA
- Шаги к достижению соответствия CPRA
- Влияние CPRA на данные сотрудников и B2B
- Заключение
Что такое Закон о правах на конфиденциальность в Калифорнии (CPRA)?
Закон о правах на конфиденциальность в Калифорнии (CPRA) существенно меняет подход к защите вашей персональной информации.
Эта новая законом конфиденциальности предоставляет жителям Калифорнии больше контроля над тем, как компании собирают, используют и делят их данные.
Однако, вот в чем дело:
CPRA не является просто копией Закона о конфиденциальности потребителей Калифорнии (CCPA).
Он поднимает конфиденциальность потребителей на совершенно новый уровень.
Ключевые различия между CCPA и CPRA
Так чем же отличается CPRA от своего предшественника?
Для начала, CPRA вводит новые права, такие как возможность исправлять неверную персональную информацию и ограничивать использование чувствительных данных.
Он также продлил исключения для данных сотрудников и B2B до 1 января 2023 года.
Кроме того, CPRA учреждает Агентство по защите конфиденциальности в Калифорнии, чтобы обеспечивать соблюдение закона и штрафовать компании, которые его не соблюдают.
Когда CPRA вступает в силу?
Пометьте ваши календари, друзья.
CPRA было утверждено избирателями Калифорнии 3 ноября 2020 года, но большинство его положений вступили в силу только с 1 января 2023 года.
Также предусмотрен 12-месячный период отслеживания, начинающийся с 1 января 2022 года.
Кому необходимо соблюдать CPRA?
Не каждой компании нужно беспокоиться о CPRA.
Он применяется к коммерческим организациям, которые ведут бизнес в Калифорнии и соответствуют любому из следующих критериев:
- Общий годовой доход более $25 миллионов
- Покупают, продают или делятся персональной информацией более 100,000 жителей или домохозяйств Калифорнии
- Получают 50% или более годового дохода от продажи или распространения персональной информации жителей Калифорнии
Если ваш бизнес подпадает под одну из этих категорий, пора серьезно задуматься о соблюдении CPRA.
Требования CPRA для бизнеса
Итак, давайте поговорим о том, что бизнесу нужно делать, чтобы оставаться на правильной стороне CPRA.
Дело не только в том, чтобы повесить на веб-сайт общую политику конфиденциальности и успокоиться на этом.
CPRA предъявляет довольно специфические требования к обработке персональной информации.
Определение персональной информации в CPRA
Первое и главное: что именно считается персональной информацией в CPRA?
Закон охватывает любую информацию, которая идентифицирует, относится к или могла бы разумно быть связана с конкретным потребителем или домохозяйством.
Это включает очевидные вещи, такие как имена и адреса электронной почты, а также такие вещи, как IP-адреса, биометрические данные, и даже выводы, сделанные на основе другой персональной информации.
Категории чувствительной персональной информации
CPRA делает шаг дальше, вводя новую категорию "чувствительной персональной информации".
В это входят:
- Номера социального страхования
- Номера водительских прав
- Номера паспортов
- Информация о финансовых счетах
- Точные данные местоположения
- Расовая или этническая принадлежность
- Религиозные или философские убеждения
- Членство в профсоюзе
- Содержание почтовых, электронных сообщений и текстовых сообщений
- Генетические данные
Компании должны быть особенно осторожными при сборе и использовании этой информации.
Ограничения на сбор и использование данных
CPRA запрещает компаниям собирать персональную информацию без необходимости.
Они должны уведомлять потребителей о категориях собираемой персональной информации и целях ее использования.
Если компания хочет собирать дополнительные категории персональной информации или использовать их для новых целей, она должна обновить свои уведомления о конфиденциальности.
CPRA также требует, чтобы компании ограничивали сбор, использование, хранение и распространение персональной информации в пределах того, что разумно необходимо и пропорционально для достижения целей, ради которых она была собрана.
Внедрение разумных мер безопасности
Сбор персональной информации - это большая ответственность, и CPRA требует, чтобы компании относились к ней серьезно.
Это означает внедрение разумных мер безопасности для защиты персональной информации от несанкционированного доступа, уничтожения, использования, изменения или раскрытия.
Что считается "разумным", будет зависеть от характера бизнеса и чувствительности информации.
Но, по крайней мере, компании должны шифровать персональную информацию, ограничивать доступ тех, кто в ней нуждается, и регулярно следить за инцидентами безопасности.
Закон о правах на конфиденциальность в Калифорнии (CPRA) усиливает правила конфиденциальности, предоставляя калифорнийцам больше контроля над своими данными. Он вводит новые права и учреждает специальное агентство для их обеспечения. С 1 января 2023 года, если ваш бизнес достаточно крупный или активно работает с личной информацией, вам необходимо укрепить свои меры по защите данных.
Расширенные права потребителей в CPRA
CPRA расширяет права, которые уже были предоставлены потребителям в рамках CCPA. Это означает, что жители Калифорнии теперь имеют еще больший контроль над своей персональной информацией.
Давайте подробнее рассмотрим некоторые ключевые права, которые были расширены или добавлены:
Право на удаление персональной информации
Согласно CPRA, потребители могут требовать от компаний удалять их персональную информацию. Это право уже присутствовало в CCPA, но CPRA делает шаг вперед.
Теперь компании обязаны сообщать своим поставщикам и подрядчикам о необходимости удаления персональной информации потребителя из их записей. Это обеспечивает удаление данных не только из компании, которая их собрала.
Право на исправление неточных данных
CPRA вводит новое право для потребителей: право требовать от компаний исправления любой неточной персональной информации о них. Это значительное дополнение, которое позволяет лицам удостоверяться, что данные, используемые для принятия решений о них, являются точными.
Когда потребитель подает доказуемый запрос на исправление своей информации, компания должна использовать разумные коммерческие усилия для исправления неточных данных и инструктировать своих поставщиков услуг и подрядчиков выполнить необходимые исправления.
Право знать о сборе и распространении данных
Потребители имеют право требовать от компании информацию о том, какую персональную информацию они собрали, а также категории источников, из которых эта информация была собрана. Они также могут попросить компании раскрыть конкретные части собранной персональной информации.
Кроме того, потребители могут запросить информацию о том, как их данные распространяются. Это включает категории третьих лиц, с которыми компания делится персональной информацией, а также категории самой информации, которой делятся.
Право отказаться от распространения данных
CPRA расширяет право CCPA на отказ от продажи персональной информации, чтобы включать распространение информации. Это означает, что потребители могут указывать компаниям, чтобы они не распространяли их данные третьим лицам для целей поведенческой рекламы.
Компании должны предоставить на своих веб-сайтах четкую и заметную ссылку с названием "Не продавать или делиться моей персональной информацией", чтобы позволить потребителям воспользоваться этим правом. Они также должны уважать глобальные сигналы контроля конфиденциальности, указывающие на выбор потребителя отказа.
Эти расширенные права дают калифорнийцам беспрецедентный контроль над своей персональной информацией. Пользуясь этими правами, лица могут ограничивать сбор и распространение своих данных и гарантировать, что используемая информация является точной.
Исполнение и штрафы за несоответствие CPRA
CPRA не только расширяет права потребителей, но и учреждает новое агентство по обеспечению соблюдения и увеличивает штрафы для компаний, которые не соблюдают закон.
Вот что вам нужно знать об исполнении и штрафах по CPRA:
Роль агентства по защите конфиденциальности в Калифорнии
CPRA создает новое государственное агентство, Агентство по защите конфиденциальности в Калифорнии (CPPA), которое будет отвечать за обеспечение соблюдения закона. Это передает полномочия по исполнению от офиса генерального прокурора Калифорнии.
CPPA будет иметь право расследовать потенциальные нарушения, предпринимать административные меры по обеспечению правопорядка и назначать штрафы. Оно будет также отвечать за предоставление руководства бизнесам и потребителям по их правам и обязанностям в рамках CPRA.
Штрафы за нарушение CPRA
CPRA значительно увеличивает штрафы для компаний, нарушающих закон. За каждое нарушение компании могут подвергнуться штрафу до $2,500 за нарушение или до $7,500 за умышленное нарушение или нарушения, связанные с персональной информацией несовершеннолетних.
Эти штрафы могут быстро расти, особенно для компаний с большим количеством клиентов из Калифорнии. Кроме этих штрафов, компании также могут быть подвергнуты судебным запретам и другим приказам суда для принудительного соблюдения закона.
Право на частные иски при утечках данных
CPRA расширяет право на частные иски, установленное в рамках CCPA. Жители Калифорнии теперь могут подать гражданский иск против компании, если их не зашифрованная и не редактированная персональная информация подпадает под несанкционированный доступ и кражу, как результат неспособности компании внедрить и поддерживать разумные меры безопасности.
Потребители могут требовать возмещения ущерба в размере от $100 до $750 за инцидент или фактического ущерба, в зависимости от того, что больше. Перед подачей иска потребители должны предоставить компании 30-дневное письменное уведомление, определяющее конкретные положения, которые были предположительно нарушены.
Это право на частные иски создает значительный риск судебных разбирательств для компаний, столкнувшихся с утечками данных. Сейчас важнее, чем когда-либо, чтобы компании внедряли надежные меры безопасности данных для защиты персональной информации.
Механизмы исполнения CPRA и штрафы создают сильные мотивации для компаний соблюдать закон. Учреждая специальное агентство по обеспечению правопорядка и увеличивая потенциальные штрафы, CPRA стремится привлечь компании к ответственности за защиту прав потребителей на конфиденциальность.
Закон о правах на конфиденциальность в Калифорнии (CPRA) усиливает контроль калифорнийцев над личной информацией, добавляя права на исправление данных и отказ от распространения. Он также устанавливает более строгие штрафы за несоблюдение и создает новую агентство по обеспечению соблюдения этих правил. Профессионалам в сфере недвижимости нужно действовать уже сейчас, чтобы оставаться в соответствии.
Шаги к достижению соответствия CPRA
Для обеспечения полного соответствия вашему бизнесу необходимо предпринять несколько ключевых шагов.
Но не волнуйтесь, мы проведем вас через каждый из них.
Проведение инвентаризации и картирования данных
Прежде всего: вам нужно точно знать, какую персональную информацию вы собираете, используете и делитесь. Здесь и нужна инвентаризация и картирование данных.
Согласно Отчету о конфиденциальности на рабочем месте, успешное соблюдение зависит от понимания того, какая информация собирается (включая чувствительную информацию), от кого она собирается, как она собирается, почему она собирается, все цели ее использования, где она хранится, как долго она хранится и с какими третьими сторонами она делится.
Если вы уже сделали это для CCPA, отлично. Но, возможно, вам нужно обновить свое картирование для любых изменений в бизнес-процессах.
Обновление политики конфиденциальности и уведомлений
Далее: ваша политика конфиденциальности и уведомления. Согласно CCPA, вы обязаны предоставлять потребителям (включая сотрудников и подрядчиков) уведомление, раскрывающее категории собираемой персональной информации и способы ее использования.
Но с CPRA вам нужно добавить несколько дополнительных раскрытий в ваши уведомления с января 2023 года. В частности, вам нужно раскрыть:
- Категории собираемой чувствительной персональной информации
- Сроки хранения каждой категории персональной информации
- Продается ли персональная информация или расши
Убедитесь, что ваши политики и уведомления отражают эти изменения и предоставляют потребителям четкие инструкции.
Управление взаимоотношениями с поставщиками
Вы делитесь персональной информацией с любыми поставщиками или подрядчиками услуг? Если да, вам нужно убедиться, что эти отношения соответствуют CPRA.
Это означает заключение контрактов, которые запрещают вашим поставщикам продавать или распространять персональную информацию, использовать ее для любых целей, кроме предусмотренных в контракте, или комбинировать ее с информацией из других источников.
Проверьте ваши контракты с поставщиками и внесите необходимые изменения для обеспечения соблюдения.
Внедрение процессов по обработке запросов субъектов данных
Согласно CPRA, потребители имеют расширенные права на доступ, удаление и исправление своей персональной информации, а также право отказаться от продажи или распространения их информации.
Для соблюдения вам нужно внедрить процессы для обработки этих запросов. Это включает наличие четкого метода для потребителей подавать запросы, проверку личности запрашивающего, и ответ в установленные сроки (обычно 45 дней).
Убедитесь, что ваш персонал обучен новым процедурам и что вы документируете все запросы потребителей и ваши ответы.
Влияние CPRA на данные сотрудников и B2B
Одним из больших вопросов вокруг CPRA является то, как он повлияет на данные сотрудников и B2B данные. Давайте разберемся.
Права сотрудников на конфиденциальность данных
В рамках CCPA были некоторые временные исключения для данных сотрудников. Но они истекли 1 января 2023 года, когда CPRA вступил в силу.
Это означает, что сотрудники, заявители и подрядчики теперь имеют те же права, что и потребители, в рамках CPRA. Это включает право знать, право на удаление, право на отказ и новое право ограничивать раскрытие и исправление персональной информации.
Согласно Отчету о конфиденциальности на рабочем месте, работодатели не смогут дискриминировать или мстить сотрудникам Калифорнии, которые воспользуются этими правами.
Так что если вы еще этого не сделали, начните готовить ваше расширение CPRA прав на ваших сотрудников и обновите свои политики и процедуры соответствующим образом.
Исключения и ограничения B2B данных
А что насчет B2B данных? Исключения CCPA для B2B данных также прекратили свое действие 1 января 2023 года.
После этой даты CPRA будет применяться к персональной информации, собранной в рамках B2B транзакций, с некоторыми ограничениями. Например, бизнесы не обязаны соблюдать запросы на удаление персональной информации, если это необходимо для завершения транзакции или предоставления запрашиваемого продукта или услуги.
Однако B2B контакты все равно будут иметь право отказаться от продажи или распространения своей персональной информации. Поэтому убедитесь, что ваши практики обработки B2B данных соответствуют требованиям CPRA.
Основной вывод? Начните проверку ваших практик обработки данных сотрудников и B2B, чтобы гарантировать соблюдение CPRA. С правильной подготовкой вы будете защищать права на конфиденциальность всех ваших калифорнийских потребителей, сотрудников и деловых контактов.
Начните соответствие с CPRA, картируя обрабатываемую личную информацию, обновляя уведомления о конфиденциальности, убеждаясь, что контракты с поставщиками в порядке, настраивая процессы запросов на права потребителей и готовясь к изменениям в правилах для данных сотрудников и B2B. Это поможет вашему бизнесу в сфере недвижимости оставаться на правильном пути.
Заключение
Конечно, Закон о правах на конфиденциальность в Калифорнии вначале кажется сложным. Однако с небольшой предварительной подготовкой и активными мерами вы обнаружите, что ваш бизнес в сфере недвижимости соответствует всем требуемым нормам и завоевывает доверие клиентов.
Помните, все дело в прозрачности, безопасности и уважении прав потребителей на конфиденциальность. Проводя инвентаризацию данных, обновляя ваши политики и внедряя надежные меры безопасности, вы встанете на правильный путь к соответствию CPRA.
Схватите изменения обеими руками как возможность усилить, как вы ведете свой бизнес, и укрепите связи с клиентами. Будущее недвижимости сосредоточено на конфиденциальности, и с правильным подходом вы будете готовы процветать в этом новом ландшафте.