CPRA คืออะไร? California Privacy Rights Act: พื้นฐานและภาพรวม

CPRA จะส่งผลกระทบต่อความเป็นส่วนตัวและสิทธิของผู้บริโภคในอีกหลายปีข้างหน้า ในเดือนพฤศจิกายน 2020 ผู้มีสิทธิเลือกตั้งในแคลิฟอร์เนียได้อนุมัติพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนียปี 2020 หรือที่เรียกว่า CPRA นี่คือการแก้ไขพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) ที่ผู้ลงคะแนนอนุมัติในปี 2018

CPRA ได้แก้ไข ขยาย และชี้แจงสิทธิ์ความเป็นส่วนตัวสำหรับผู้อยู่อาศัยในแคลิฟอร์เนีย และได้รับแรงบันดาลใจจากนโยบาย GDPR ของสหภาพยุโรปในหลากหลายวิธี

ตัวอย่างเช่น CPRA สร้างหน่วยงานบังคับใช้ใหม่ ก่อนหน้านี้ CCPA บังคับใช้โดยสำนักงานอัยการสูงสุดแห่งแคลิฟอร์เนีย อย่างไรก็ตาม ในสหภาพยุโรป GDPR ถูกบังคับใช้โดยหน่วยงานคุ้มครองข้อมูล – และตอนนี้ แคลิฟอร์เนียก็มีหน่วยงานคุ้มครองความเป็นส่วนตัวในแคลิฟอร์เนีย (CPPA) ด้วย

หน่วยงานนี้จะได้รับอำนาจในการสืบสวน บังคับใช้ และกำหนดกฎเกณฑ์ ที่สำคัญกว่านั้นสำหรับธุรกิจ หน่วยงานนี้ไม่จำเป็นต้องอนุญาตให้มีระยะเวลาการรักษา 30 วัน และตอนนี้บทลงโทษสำหรับการละเมิดนโยบายบางอย่างอาจสูงถึง 7,500 ดอลลาร์ต่อการละเมิดหนึ่งครั้ง นั่นคือเพิ่มขึ้น 3 เท่า

CPRA คืออะไร? CPRA อธิบาย

วัตถุประสงค์ของ CPRA คือการกำหนดและขยายกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) เพื่อเสริมสร้างสิทธิของผู้ที่อาศัยอยู่ในแคลิฟอร์เนีย ช่วยให้ผู้บริโภคมีโอกาสเลือกไม่ใช้และต้องมีการจัดการความเป็นส่วนตัวของข้อมูลจากธุรกิจโดยเจตนา

เมื่อมีข้อมูลมากมาย คุณอาจถูกทิ้งให้สงสัยว่ามีอะไรเปลี่ยนแปลงไปและมีความสำคัญต่อธุรกิจของคุณอย่างไร คุณไม่ได้อยู่คนเดียว แม้ว่าศักยภาพที่ดีจะเพิ่มขึ้น 3 เท่า แต่ธุรกิจของคุณมีเวลาจนถึงวันที่ 1 มกราคม 2023 ซึ่งเป็นเวลาที่เพิ่มขึ้นสำหรับการปฏิบัติตามข้อกำหนด นี่คือสิ่งที่ บริษัทจำเป็นต้องรู้เกี่ยว กับ CPRA

California Privacy Rights Act อธิบาย: สิ่งที่ธุรกิจของคุณต้องรู้

CCPA เป็นกฎหมายความเป็นส่วนตัวที่เน้นผู้บริโภคที่เข้มงวดที่สุดของสหรัฐอเมริกาอยู่แล้ว CPRA นำทุกอย่างไปสู่อีกขั้น – และทำให้มีความท้าทายมากขึ้นสำหรับการผ่อนปรนในอนาคต เว้นแต่นโยบายทั้งหมดจะถูกเพิกถอน

กล่าวอีกนัยหนึ่ง คุณต้องการทำให้ธุรกิจของคุณอยู่ในรูปแบบ CPRA ไม่มีการย้อนเวลากลับไปในนโยบายความเป็นส่วนตัวนี้ แต่มีแนวโน้มว่าหลายรัฐจะเริ่มใช้นโยบายที่คล้ายคลึงกัน

มาพูดถึงพื้นฐานกัน

คุณต้องปฏิบัติตาม CPRA เมื่อใด

บทบัญญัติว่าด้วยสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 ส่วนใหญ่จะไม่มีผลบังคับใช้จนถึงวันที่ 2 มกราคม 2023 อย่างไรก็ตาม ข้อมูลส่วนบุคคลที่รวบรวมในหรือหลังวันที่ 1 มกราคม 2022 จะเป็นส่วนหนึ่งของการขยายส่วน “สิทธิ์ในการรู้”

ธุรกิจของคุณจะต้องอนุญาตให้ผู้บริโภค "มีสิทธิที่จะรู้" ว่าคุณได้รวบรวมข้อมูลใดเกี่ยวกับพวกเขา และจะนำข้อมูลดังกล่าวกลับไปใช้กับข้อมูลใดๆ ที่คุณรวบรวมโดยเริ่มตั้งแต่วันที่ 1 มกราคม 2022 อย่างไร

ใครบ้างที่ต้องปฏิบัติตาม CPRA?

ไม่ใช่ทุกคน และอันที่จริง นี่เป็นหนึ่งในพื้นที่ที่ CPRA ผ่อนปรนมากกว่า CCPA ดั้งเดิมจริงๆ

ใน CCPA ธุรกิจที่มีจำนวนผู้บริโภครวม 50,000 รายขึ้นไปจำเป็นต้องปฏิบัติตาม ใน CPRA จำนวนนั้นจะเพิ่มเป็นสองเท่า CPRA ใช้กับธุรกิจที่มีผู้บริโภคมากกว่า 100,000 คนเท่านั้น

หากคุณเป็นบริษัทที่มีลูกค้ามากกว่า 100,000 ราย CPRA จะมีผลบังคับใช้กับคุณหากคุณสร้างรายได้อย่างน้อย 50% ต่อปีจากการขายหรือแบ่งปันข้อมูลส่วนบุคคลของผู้บริโภค (PI) นี่เป็นอีกหนึ่งการปรับปรุงใน CPRA เมื่อเปรียบเทียบกับ CCPA ใน CCPA จะครอบคลุมเฉพาะการขายข้อมูลส่วนบุคคลของผู้บริโภคเท่านั้น ใน CPRA นั้นขยายไปสู่ ​​"การแบ่งปัน" ซึ่งหมายถึงกับบุคคลที่สาม

CPRA แนะนำกฎระเบียบใหม่อะไรบ้าง?

CPRA จำนวนมากเป็นการปรับเปลี่ยน CCPA แต่ประเด็นสำคัญประการหนึ่งในการแนะนำคือ "ข้อมูลส่วนบุคคลที่ละเอียดอ่อน" ตอนนี้จะเป็นชุดข้อมูลที่มีการควบคุมในรัฐแคลิฟอร์เนีย

ข้อมูลส่วนบุคคลที่ละเอียดอ่อนสำหรับ CPRA รวมถึง:

1. ตัวระบุของรัฐบาล: ตัวอย่าง ได้แก่ หมายเลขประกันสังคมและใบขับขี่
2. ข้อมูลบัญชีการเงินและข้อมูลเข้าสู่ระบบ: ตัวอย่าง ได้แก่ หมายเลขบัตรเครดิตหรือบัตรเดบิตพร้อมข้อมูลรับรองการเข้าสู่ระบบ
3. ตำแหน่งทางภูมิศาสตร์ที่แม่นยำ
4. เชื้อชาติ ชาติพันธุ์ ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพ
5. เนื้อหาของการสื่อสารที่ไม่เปิดเผยต่อสาธารณะ: ตัวอย่าง ได้แก่ อีเมล อีเมล และข้อความ
6. ข้อมูลทางพันธุกรรม ไบโอเมตริกซ์ หรือข้อมูลด้านสุขภาพ
7. ข้อมูลชีวิตทางเพศหรือรสนิยมทางเพศ

องค์กรที่รวบรวม ขาย หรือแบ่งปันข้อมูลนี้จะต้องเปิดเผยว่าพวกเขากำลังทำเช่นนั้น และอนุญาตให้ผู้บริโภคเลือกเข้าร่วมและเลือกไม่ใช้

สิทธิใหม่ล่าสุดที่กำหนดโดย CPRA

• สิทธิ์ในการแก้ไข
• สิทธิ์ในการเข้าถึงข้อมูลเกี่ยวกับการตัดสินใจโดยอัตโนมัติ
• สิทธิ์ในการเลือกไม่ใช้เทคโนโลยีการตัดสินใจอัตโนมัติ
• ภาระหน้าที่ในการตรวจสอบ

CPRA หมายถึงอะไรสำหรับโปรแกรมความเป็นส่วนตัวของข้อมูลของคุณ?

หากคุณเป็นธุรกิจที่มีลูกค้ามากกว่า 100,000 รายหรือมีข้อมูลของผู้บริโภคมากกว่า 100,000 ราย และคุณใช้ข้อมูลนั้นเพื่อการตลาดหรือการโฆษณา หรือเพื่อสร้างรายได้ให้กับธุรกิจของคุณ CPRA มีความหมายหลายประการสำหรับโปรแกรมความเป็นส่วนตัวของข้อมูลของคุณ

ความยินยอมและนโยบายการเลือกไม่รับที่กำลังดำเนินการ

ระเบียบการยินยอมมีความเข้มแข็งใน CPRA โดยเฉพาะสำหรับผู้เยาว์ ซึ่งหมายความว่าในการเก็บรวบรวมข้อมูลของผู้ใช้ พวกเขาต้องให้ความยินยอมอย่างชัดแจ้งโดยรู้ว่าจะใช้ข้อมูลของตนอย่างไรและเป็นระยะเวลาเท่าใด

นอกจากนี้ ผู้บริโภคสามารถร้องขอได้ และธุรกิจจำเป็นต้องยืนยัน การเลือกไม่ใช้โปรแกรมเฉพาะ รวมถึงการลบข้อมูล แม้ว่าจะได้รับความยินยอมก่อนหน้านี้ก็ตาม

สำหรับองค์กร การใช้เครื่องมืออย่างเช่น แพลตฟอร์มข้อมูลลูกค้า (CDP) จะทำให้สิ่งที่ผู้บริโภคเลือกเป็นแบบอัตโนมัติ สิ่งที่พวกเขาเลือกไม่ใช้ และการลบข้อมูลเมื่อมีการร้องขอ สิ่งนี้จะทำให้ภาระหน้าที่ในการตรวจสอบที่นำมาใช้ในร่างกฎหมายนี้ง่ายขึ้นมากสำหรับองค์กรในการจัดการ เนื่องจาก CDP ช่วยให้ปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวและการกำกับดูแลของ ข้อมูล

สิทธิ์ในการเข้าถึงข้อมูล

ภายใต้ CPRA ผู้บริโภคมีสิทธิ์ที่จะดูว่าคุณเก็บรวบรวมข้อมูลใดบ้าง และข้อมูลที่ส่งผลต่อประสบการณ์ส่วนบุคคลของพวกเขากับแบรนด์ของคุณเป็นอย่างไร ในความเป็นจริง ผู้บริโภคสามารถขอคำอธิบายที่มีความหมายของตรรกะที่เกี่ยวข้องกับกระบวนการตัดสินใจสำหรับแคมเปญอัตโนมัติ โฆษณา และอื่นๆ จำเป็นต้องมีแผนความเป็นส่วนตัวของข้อมูล

เพื่อให้การทำงานเป็นทีมง่ายขึ้น CDP ก็มีประโยชน์อีกครั้ง โดยเฉพาะอย่างยิ่ง CDP ที่ผสานรวมกับโซลูชัน CRM เครื่องมือเหล่านี้สามารถใช้ร่วมกันเพื่อสร้างการเข้าสู่ระบบและเพจส่วนบุคคลสำหรับผู้บริโภคเพื่อดูข้อมูลทั้งหมดของพวกเขา สิ่งที่พวกเขาอยู่ในสตรีมเป็นผลให้ และจัดการการตั้งค่าข้อมูลของตนเอง

วัตถุประสงค์และข้อจำกัดในการจัดเก็บ

ดังที่ได้กล่าวไว้ก่อนหน้านี้ CPRA ได้รับแรงบันดาลใจจากนโยบาย GDPR ในสหภาพยุโรป ซึ่งรวมถึง:

1. การลดขนาดข้อมูล
2. ข้อจำกัดวัตถุประสงค์
3. ข้อจำกัดในการจัดเก็บ

ข้อกำหนดเหล่านี้หมายความว่าธุรกิจจำเป็นต้องรวบรวมข้อมูลจำนวนน้อยที่สุดที่พวกเขาต้องการ และจำเป็นต้องระบุวัตถุประสงค์ในการรวบรวมข้อมูลของตน (กล่าวคือ จะใช้ข้อมูลอย่างไร) และจะเก็บรักษาไว้นานเท่าใด

ไม่ว่านโยบายที่บริษัทของคุณจะตัดสินใจใช้ คุณจะต้องแน่ใจว่าได้ทำให้นโยบายความเป็นส่วนตัวของคุณพูดกับระบบของคุณโดยอัตโนมัติ ตัวอย่างเช่น หากคุณระบุว่าจะเก็บข้อมูลไว้ในระบบเป็นเวลาสองปี คุณจะต้องลบข้อมูลนั้นโดยอัตโนมัติทันทีที่ 24 เดือนดังกล่าวหมดลง

อีกครั้ง สิ่งนี้จะเป็นประโยชน์อย่างมากสำหรับการตรวจสอบ และรับประกันว่าพนักงานจะไม่เกิดข้อผิดพลาดหรือการหลงลืมโดยเจ้าหน้าที่

ขั้นตอนต่อไปในเชิงรุกเพื่อปฏิบัติตาม California Privacy Rights Act (CPRA)

สำหรับองค์กรที่มีรายได้ต่อปีมากกว่า 25 ล้านดอลลาร์ รวบรวมข้อมูลจากผู้บริโภคมากกว่า 100,00 ราย และทำกำไรอย่างน้อย 50% จากการขายหรือแบ่งปันข้อมูลนั้น ถึงเวลาที่จะได้รับ CDP แล้ว

การรวมศูนย์ข้อมูลลูกค้าจากทุกแหล่งโดยใช้ CDP จะช่วยให้ทีมของคุณกำหนดนโยบายใหม่หลายๆ นโยบายได้โดยอัตโนมัติ ทำให้การตรวจสอบเป็นเรื่องง่าย และทำให้ลูกค้าพึงพอใจ โดยไม่ต้องเพิ่มภาระงานของทีมในด้านการตลาด การขาย การโฆษณา หรือแผนกอื่นๆ

โปรดจำไว้ว่า CPRA เป็นกฎหมายความเป็นส่วนตัวของผู้บริโภคที่แข็งแกร่งที่สุดในสหรัฐอเมริกา แต่จะไม่ใช่กฎหมายสุดท้าย – และการแก้ไขนี้จะไม่เกิดขึ้น ในขณะที่เว็บที่เน้นความเป็นส่วนตัวเป็นหลักยังคงเดินหน้าต่อไปและได้รับแรงฉุด องค์กรต่างๆ จะต้องฉลาดขึ้นและโปร่งใสมากขึ้นเกี่ยวกับสิ่งที่พวกเขารวบรวม เพื่อใคร และใช้งานอย่างไร การลงทุนตอนนี้ช่วยคุณประหยัดค่าปรับและปวดหัวในอนาคต