النظير الأمريكي للائحة العامة لحماية البيانات: ما تحتاج إلى معرفته عن CCPA

هناك المزيد والمزيد من نظائرها في القانون العام لحماية البيانات في العالم. في الآونة الأخيرة ، تم تطوير مشروع قانون مماثل في الهند ، والآن الولايات المتحدة في خط. أخذت كاليفورنيا مثالاً من أوروبا ، حيث وافقت على قانونها الخاص الذي يحكم قواعد العمل مع البيانات الشخصية للمستخدمين.

سيدخل قانون خصوصية المستهلك في كاليفورنيا ، أو CCPA ، حيز التنفيذ في 1 يناير 2020. بعد ذلك ، سننظر في الأحكام الرئيسية للقانون ، التي تم تطويرها واعتمادها في غضون أسبوع فقط.


/ صورة Ryan Brisco PD

من يقع تحت القانون

القانون الجديد ليس قاسياً مثل التوجيه الأوروبي ، لكنه لا يزال ينطوي على تغييرات كبيرة في حياة الأعمال. لكل مستخدم إنترنت في كاليفورنيا الحق في أن يطلب من الشركة المعلومات التي جمعتها عنه وقائمة بالأطراف الثالثة التي علمت بها.

بناءً على نفس القانون ، يمكن للمستخدم الآن رفع دعوى قضائية ضد منظمة استفادت بشكل غير قانوني من PD أو فشلت في تلبية أي من طلباته في الوقت المحدد.

تغطي CCPA الشركات التي تعالج البيانات الشخصية لسكان كاليفورنيا (يمكن للمقيمين أن يكونوا داخل الولاية وخارجها) ويتلقون ما لا يقل عن 25 مليون دولار من الإيرادات السنوية. ولكن هناك فارق بسيط: إذا كان دخل الشركة أقل ، ولكنه يخزن البيانات الشخصية لأكثر من 50 ألف شخص ، فإن نشاطها يقع تحت SSRA.

ينظم القانون الجديد أيضًا أنشطة الشركات التي تحصل على أكثر من نصف الربح (بغض النظر عن الحجم) من بيع PD. لا يهم موقع المنظمة: لا يهم إذا كانت موجودة في كاليفورنيا أو خارج الولاية.

ما يعتبر بيانات شخصية

المعرّفات الشخصية هي أي معرّفات ، وقياسات حيوية ، وتحديد الموقع الجغرافي ، وتاريخ النشاط على الإنترنت ومعلومات حول التوظيف أو التعليم. بشكل عام ، أي بيانات يمكن أن تحدد هوية الشخص تصل إلى هناك.

في الوقت نفسه ، توجد صيغ غامضة للغاية في القانون. على سبيل المثال ، قد يشتمل المعرّف الشخصي على معلومات حول عائلة المستخدم. أيضًا ، حيث يقوم PD بتصنيف أي معلومات تسمح لك بتجميع ملفات تعريف المستخدمين: سواء كانت نفسية أو سلوكية ، إلخ.

حقوق المستخدم

بموجب القانون ، يتلقى المستخدم مجموعة "تقليدية" من الحقوق:

• حق الوصول. يمكن للمستخدم إرسال طلب والحصول على جميع المعلومات التي جمعتها الشركة عنه ؛
• الحق في النسيان. قد يطلب المستخدم إزالة المعلومات عن نفسه من خوادم الشركة وخوادم الأطراف الثالثة ؛
• الحق في المعرفة. عند الطلب ، يجب على الشركة الكشف عن أغراض جمع البيانات الشخصية ومصادرها ؛
• الحق في الرفض. يمكن للمستخدمين رفض نقل بياناتهم إلى أطراف ثالثة.

هنا يكمن اختلاف مهم عن اللائحة العامة لحماية البيانات - وفقًا للتوجيه الأوروبي ، تحتاج الشركة إلى الحصول على موافقة المستخدم لمعالجة PD. بموجب قانون ولاية كاليفورنيا ، تحتاج المؤسسة إلى معالجة الطلبات من المستخدمين فقط.

في حالة فقدان أو سرقة بيانات المستخدم ، ستضطر الشركة إلى الدفع من 100 إلى 750 دولارًا لكل ضحية.

إذا أرسل المستخدم شكوى إلى الشركة بشأن انتهاك يتعلق ببياناته الشخصية ، فإن ذلك ملزم بحل المشكلة في غضون شهر. خلاف ذلك ، سيتم تغريمها. الآن هو 7.5 ألف دولار.
ومع ذلك ، بموجب CCRA ، لا يُطلب من الشركات الكشف عن أي حقائق للانتهاكات إذا لم تتلق طلبًا مناظرًا من المستخدمين.

قد لا تزال مبالغ الغرامات والمدفوعات تتغير ، ولكن على أي حال (مع الأخذ في الاعتبار جميع التكاليف الفنية والقانونية) ، يمكن أن تصبح SSRA تهديدًا ماليًا لوجود العديد من الشركات.


/ photo Justin Lim PD

خصومات

فارق بسيط آخر مثير للاهتمام - يحظر القانون على الشركات التمييز ضد المستخدمين الذين يرفضون تقديم بياناتهم الشخصية. ولكن في الوقت نفسه ، يقترح إمكانية إدخال نظام مكافآت لمن وافق.

رسميًا ، هذا يعني (إذا لم يتغير العنصر) أنه يمكن للشركات منح خصومات لأولئك الذين يشاركون بياناتهم مع أطراف ثالثة وتحديد أسعار مختلفة للمستخدمين وفقًا لإعدادات الخصوصية الخاصة بهم.

وهذا لا يخلق سابقة تكنولوجية مثيرة للاهتمام فحسب ، بل يخلق أيضًا سابقة ثقافية: تشكل CCPA بحكم الواقع قواعد لعبة جديدة يمكن للشركات من خلالها شراء المعلومات من المستخدمين الذين استلمتهم سابقًا مجانًا.

في البقايا الجافة

رسمياً ، يدخل القانون حيز التنفيذ في 1 يناير 2020. ولكن بمجرد أن يبدأ العمل ، سيتعين على الشركة على الفور أن تكون قادرة على تزويد المستخدمين بالبيانات التي تم جمعها عنهم على مدى الاثني عشر شهرًا الماضية. وبناءً على ذلك ، فإن الموعد النهائي لتنفيذ جميع الحلول التكنولوجية اللازمة لذلك يأتي قبل عام - أي بعد أربعة أشهر فقط.

مع هذا النهج ، يمكن توقع الدعاوى القضائية الأولى في اليوم الأول من التوجيه. كما كان الحال مع اللائحة العامة لحماية البيانات والدعاوى لفيسبوك وجوجل .


/ صورة كتاب كتالوج CC

عمالقة تكنولوجيا المعلومات الكبار يعارضون هذا القانون تدريجيًا ، ولكن ليس بشكل علني. على وجه الخصوص ، فإنهم يمولون منظمة عامة تقاتل ضدها.

يعتقد الخبراء أن القانون ، الذي تم تبنيه بهذه السرعة ، سيتم تعديله وصياغته في غضون عامين. ومع ذلك ، فإنهم ليسوا متأكدين من أن التغييرات ستكون كبيرة. من المرجح أن تظل النقاط الرئيسية سليمة.

وبالتالي ، فإن SSRA هي الخطوة الأولى نحو فهم جديد تمامًا لأمن المعلومات في أمريكا وتعديل معظم الممارسات التي اعتبرت لسنوات عديدة أساسية وغير متغيرة.

---

PS الوظائف ذات الصلة من مدونة IaaS:

• كيفية التعامل مع PD في السحابة وعدم خرق القانون
• ما يمكن اعتباره PD من وجهة نظر المنظم الروسي
• PD في السحابة: يتحمل العميل وموفر السحابة مسؤولية ذلك

مشاركات PPS Fresh في مدونتنا على حبري:

• كيف يدير موفر السحابة تراخيص البرامج ، ولماذا هناك حاجة إلى blockchain هنا
• بعد ثلاثة أشهر: كيف أثرت اللائحة العامة لحماية البيانات على ملفات تعريف الارتباط