انه حي! الاستعداد للوائح CPRA والتشريع الجديد لخصوصية البيانات

نشرت: 2023-02-23

تعمل تشريعات خصوصية البيانات على بناء الزخم: فواتير خصوصية أكثر شمولاً تم اقتراحها وتمريرها على مستوى الولاية أكثر من أي وقت مضى. لكن لا يوجد أي منها على نطاق واسع مثل ما سيحدث في ولاية كاليفورنيا.

دخل قانون حقوق الخصوصية في كاليفورنيا (CPRA) حيز التنفيذ في 1 يناير 2023 ، وسيبدأ التنفيذ في 1 يوليو 2023. يمثل قانون حماية الخصوصية في كاليفورنيا (CPRA) توضيحًا وتوسيعًا لقانون خصوصية المستهلك الأصلي في كاليفورنيا (CCPA) ؛ معًا ، سيشكلون أكثر قوانين الخصوصية صرامة في الدولة.

إذن ماذا يعني ذلك لعملك؟ أولاً ، إذا كانت إستراتيجيتك التسويقية معرضة لخطر عدم الامتثال وقمت بأي نشاط تجاري (بما في ذلك المبيعات عبر الإنترنت) في ولاية كاليفورنيا ، فأنت بحاجة إلى نقل الخصوصية إلى أعلى قائمة أولوياتك.

قبل أن نذهب إلى أبعد من ذلك ، يرجى ملاحظة أن المحتوى الموجود في هذه المدونة يجب اعتباره إبلاغًا و / أو رأيًا ، وليس نصيحة قانونية. استشر القسم القانوني في جميع القرارات المتعلقة بالامتثال.

نظرة عامة: CPRA مقابل CCPA وغيرها من قوانين خصوصية البيانات تدخل حيز التنفيذ في عام 2023

ربما تكون على دراية بسلسلة من المواعيد النهائية المتغيرة والجداول الزمنية المعدلة حول CPRA التي تم الإعلان عنها في نهاية عام 2022 ، لكنهم لا يغيرون التقويم المحدد مسبقًا للتنفيذ. لذلك دعونا نبدأ العمل.

كان CPRA إجراء اقتراع ظهر إلى الوجود بسبب وجود مناطق رمادية في CCPA الأصلية التي تركت العديد من الأسئلة دون إجابة ، لا سيما حول تحديد معلومات التعريف الشخصية (PII) وأنواع مختلفة من جمع البيانات.

الجدول الزمني لتشريعات الخصوصية في كاليفورنيا: CCPA إلى CPRA

عجلة سلكية

قوانين الخصوصية الأخرى للولاية خارج كاليفورنيا والتي تدخل حيز التنفيذ في عام 2023 هي:

  • قانون خصوصية كولورادو (CPA): يسري اعتبارًا من 1 يوليو 2023
  • قانون كونيتيكت بشأن خصوصية البيانات الشخصية والمراقبة عبر الإنترنت (CTDPA): يسري اعتبارًا من 1 يوليو 2023
  • قانون خصوصية المستهلك في ولاية يوتا (UCPA): يسري اعتبارًا من 31 ديسمبر 2023
  • قانون حماية بيانات المستهلك في فرجينيا (CDPA): يسري اعتبارًا من 1 يناير 2023

مثل CPRA ، تحتوي جميع قوانين الولاية هذه على أحكام لحقوق المستهلك ، بالإضافة إلى تفسيراتها الخاصة لما يشكل معلومات شخصية حساسة. لكن من المهم جدًا معرفة أنهم جميعًا مختلفون. لا يوجد حل واحد يناسب الجميع للامتثال للخصوصية عبر الولايات.

هذا هو المكان الذي يأتي فيه القسم القانوني الخاص بك. تحتاج إلى إنشاء اتصال منتظم مع فريقك القانوني للبقاء في طليعة القواعد واللوائح الجديدة التي قد تؤثر على عملك هذا العام وفي المستقبل.

التغييرات: قامت CPRA بتعديل اللوائح المتعلقة بمعلومات التعريف الشخصية ومشاركة البيانات

في حين أن CPRA سارية المفعول بالفعل ، لن يتم إصدار القواعد النهائية المستندة إلى اللوائح المعدلة حتى وقت ما في أبريل 2023 بعد تأخير قصير من قبل وكالة حماية الخصوصية في كاليفورنيا (CPPA).

تتضمن بعض التغييرات في إطار CPRA تعزيز القيود المفروضة على مشاركة البيانات وتقديم إرشادات أوضح حول كيفية استخدام المسوقين لما يعرفه القانون بأنه معلومات شخصية "يحتمل أن تكون حساسة" ، بما في ذلك:

  • رقم الضمان الاجتماعي أو رخصة القيادة
  • بطاقة هوية الدولة أو رقم جواز السفر
  • تفاصيل تسجيل دخول المستهلك
  • تحديد الموقع الجغرافي
  • الحسابات المالية ، بما في ذلك أرقام بطاقات الخصم / الائتمان إلى جانب أي تحقق أو كلمة مرور مرتبطة بالحساب
  • سباق
  • عِرق
  • دِين
  • البيانات الجينية
  • البيانات البيومترية
  • الاتصالات الخاصة
  • التوجه الجنسي
  • معلومات صحية

واحدة من أكبر النقاشات التي أدت إلى CPRA كانت اللغة الغامضة لشرط "عدم البيع" في CCPA. بموجب القانون الجديد ، يتعين على الشركات الآن السماح للمستهلكين بإلغاء الاشتراك في بيع معلوماتهم ومشاركتها مع خيار "عدم بيع أو مشاركة معلوماتي" الإلزامي على مواقع الويب الخاصة بهم.

إذا كنت تشارك البيانات مع طرف ثالث لم يكن مصرحًا له في الأصل ، فأنت ملزم بموجب القانون بالسماح للمستخدمين بإلغاء الاشتراك. هناك جزءان يجب مراعاتهما:

  • الهوية الحقيقية: معلومات التعريف الشخصية للمستخدم (PII) التي يتم التقاطها في الموقع
  • الهوية السلبية: ملفات تعريف الارتباط ومعرفات المتصفح ، أو أي شيء يتتبع المستخدمين تلقائيًا

بينما يتم الانتهاء من اللوائح الحالية ، يمكنك توقع لوائح إضافية في المستقبل. القسم 1798.185 من CPRA يخول CPPA "للحصول على مشاركة عامة واسعة واعتماد لوائح لتعزيز أغراض هذا العنوان (CPRA)." يوفر ذلك مجالًا واسعًا للقواعد والقيود الإضافية ، بدءًا من إضافة فئات جديدة من المعلومات الشخصية المتعلقة بخصوصية البيانات إلى إنشاء إجراءات جديدة تتعلق بمشاركة المعلومات الشخصية وإلغاء الاشتراك في بيع البيانات الشخصية.

مقارنة بالقوانين التي ستدخل حيز التنفيذ في الولايات الأربع الأخرى ، تقدم كاليفورنيا أكثر الحماية القانونية لخصوصية بيانات المستهلك إلى حد بعيد. لكن تذكر: الامتثال في كاليفورنيا لا يعني تلقائيًا الامتثال في أي مكان آخر.

حقوق خصوصية المستهلك بموجب تشريعات الولايات المختلفة

OneTrust

الآثار: ما يمكن توقعه من تطبيق CPRA

بموجب CCPA ، ظل الإنفاذ علامة استفهام كبيرة ، لكن توقع أن تزيد كاليفورنيا من حدة التوتر مع CPRA. يجب أن تكون الغرامة البالغة 1.2 مليون دولار التي تم التعامل بها مع سيفورا لانتهاكها CCPA في عام 2022 بمثابة طلقة تحذير للعلامات التجارية التي اعتقدت أنها يمكن أن تتزلج.

في حال لم تكن متأكدًا مما إذا كانت ولاية كاليفورنيا جادة ، يجب أن يكون إنشاء CPPA علامة واضحة ؛ سيتولى المدعي العام في كاليفورنيا (AG) الإشراف على الامتثال والقواعد المستقبلية والعقوبات على انتهاكات القانون. كما تلغي CPRA فترة "العلاج" التي تبلغ 30 يومًا قبل تغريمها بسبب انتهاك ، وتترك الأمر لتقدير AG و / أو CPPA بناءً على نية المنظمة (أو عدم وجودها) لخرق القانون.

CPRA مقابل CCPA إنفاذ

OneTrust

ليس من المؤكد كيف سيتم تطبيق التنفيذ في الولايات الأربع حيث يدخل التشريع حيز التنفيذ لأول مرة ؛ ما نعرفه هو أن التنفيذ والعقوبات سيكونان مختلفين في كل ولاية. سواء في كاليفورنيا أو في أي مكان آخر ، ستكون هناك عواقب على الانتهاكات التي يمكن أن تضر بعملك ماليًا وتعرض سمعتك لدى عملائك للخطر.

الامتثال CPRA: كيفية العمل مع فريقك القانوني

ما يمكن أن تفعله العلامات التجارية الآن هو التصرف كما لو أن اللوائح النهائية والإنفاذ ساري المفعول بالفعل. إذا لم تكن متأكدًا مما يعنيه ذلك ، فاتصل بفريقك القانوني وابحث عن طرق يمكنك من خلالها العمل معًا للتأكد من امتثال عملك.

هناك طريقتان يمكنك من خلالهما البدء في هذا العمل مع فريقك القانوني:

  • تعيين مستودعات البيانات الخاصة بك: حتى المؤسسات التي لديها عمليات إدارة وتخزين محسّنة للبيانات قد تجد بعض البيانات معزولة داخل مؤسستها. من الأهمية بمكان تطوير خريطة شاملة تحدد البيانات التي يتم تخزينها ، ومكان تخزينها ، والغرض من الصومعة. من الناحية المثالية ، قد تتطلع إلى تفكيك هذه الصوامع ، ولكن الخطوة الأولى هي معرفة مكان البيانات.
  • توفير معلومات شاملة عن حالة الاستخدام: غالبًا ما تسعى الفرق القانونية إلى حظر تدفقات البيانات تمامًا إذا كان بإمكانها خلق مخاطر للمؤسسة. في حالة عدم وجود سياق ، على سبيل المثال ، قد تنصح الفرق القانونية فرقها بتمكين معالجة البيانات المقيدة في حساب إعلانات Google. سينطبق ذلك في الواقع على جميع المقيمين الخاضعين لقوانين البيانات الإقليمية ، وليس فقط أولئك الذين مارسوا حقهم في الانسحاب. على الرغم من أن هذا النهج قد يوفر حماية قانونية مطلقة ، إلا أنه سيؤثر أيضًا على فعالية التسويق (وهذا شيء تحتاج العلامات التجارية إلى فهمه من أجل تحديد التوازن الصحيح بين هذه المقايضات). خط البصر حتى يتمكنوا من الحفاظ على سياسة خصوصية شاملة ومحدثة على موقع الويب الخاص بك والتي تعكس طبيعة كيفية استخدام هذه البيانات اليوم (يمكن أن يتغير الكثير في غضون بضعة أشهر فقط!)
  • احسب التأثير المقدر لإجراءات الامتثال: إذا كنت تحظر جميع عمليات التتبع للمستهلكين في منطقة معينة ، فاحسب النطاق المقدر للتغطية وقدم سيناريوهات مختلفة لفقدان الكفاءة. على سبيل المثال ، إذا كان لديك 100000 عميل سنويًا و 12٪ منهم في كاليفورنيا ، يمكنك استخدام بيانات تكلفة الاكتساب الحالية لعرض تأثير انخفاض كفاءة الوسائط بنسبة 10٪ أو 20٪ (أو أكثر) ). قد يحدث ذلك بسبب زيادة تكلفة الاكتساب أو انخفاض اكتساب العملاء. يمكنك استخدام عملك لمساعدة فرقك على فهم حجم التأثير المالي عند تنفيذ إلغاء الاشتراك العام. نظرًا لصعوبة تقدير هذا التأثير مسبقًا ، فإن هذه الأمثلة الموسعة ستجعل قادة المؤسسات الآخرين أكثر عرضة للانتباه والعمل معك ومع فريقك القانوني لإيجاد حل قابل للتطبيق يضمن للمستهلكين أن يكونوا قادرين على ممارسة حقوقهم مع التخفيف من المخاطر المالية إلى المحصلة النهائية للعلامة التجارية.
  • ناقش دور واستخدام منصة إدارة الموافقة (CMP): إن الطريقة التي يمارس بها المستهلكون حقوقهم في إلغاء الاشتراك في مشاركة البيانات أو إزالة بياناتهم أمر بالغ الأهمية. لا يتم إنشاء جميع حلول CMP على قدم المساواة. بعضها ، مثل CookieBot ، مصمم فقط لحظر ملفات تعريف الارتباط (وبالتالي تتبع الإعلانات) ، في حين أن البعض الآخر ، مثل OneTrust ، يكون أكثر شمولاً. ستحتاج إلى العثور على الحل المناسب لعملك الذي يبقيك في حالة امتثال وأداء تسويقي.
  • توافق مع اللغة التي تستخدمها لتثقيف المستهلكين: ناقش الطرق المختلفة لتثقيف المستهلكين حول استخدام البيانات مع فريقك القانوني. بدون سياق ، قد يفترض العديد من المستهلكين السيناريو الأسوأ. ولكن إذا قدمت أمثلة واضحة لكيفية استخدامك لبياناتهم والحدود التي حددتها ، فقد تجد المستهلكين أكثر انفتاحًا على مشاركة بياناتهم. ليس من المناسب أبدًا تقديم حوافز لمنع المستهلكين من ممارسة حقوقهم ، ولكن يمكن لفريقك القانوني تقديم إرشادات محددة حول ما يمكنك وما لا يمكنك قوله للمستهلكين عندما يخططون لإلغاء الاشتراك.

تذكر: الامتثال ليس اختياريًا. استباق التحديات المستقبلية الآن من خلال التعاون مع القسم القانوني الخاص بك وإيجاد أفضل مسار ممكن للمضي قدمًا.

قم بتنزيل حالة البيانات 2023: يتطلب المسار إلى الربحية الامتثال للخصوصية للتعرف على التشريعات القادمة ومتطلبات الامتثال التي ستؤثر على عملك.

الذكاء الرقمي لخصوصية البيانات