CCPA חוק הגנת פרטיות הצרכן בקליפורניה
אחרי ה- GDPR, מגיע תורו של ה- CCPA – חוק הגנת פרטיות הצרכן בקליפורניה
במאי 2018 נכנסו לתוקף תקנות הגנת המידע הכלליות האירופאיות המוכרות בשמן GDPR, וחוללו שינוי עמוק בכל האופן בו חברות עסקיות נדרשות להתנהל בכל הקשור למידע של היחידים (אנשים) השונים מולם הם פועלים – לקוחות, עובדים, ספקים, שותפים עסקיים וכו'.
הרגולציה האירופאית היוותה למעשה רק סנונית ראשונה בגל של חקיקה וביטוי ראשוני למגמה ההולכת וגוברת של החמרת הכללים הקשורים בניהול מידע של אנשים, הן בהיבטים של כיצד מנהלים ומגנים על המידע (אבטחה) והן בהיבטים של השימוש במידע (פרטיות).
לכל המאמרים על רגולציית הגנת הפרטיות GDPR
לקבלת מידע אודות החובות שנקבעו במסגרת ה-GDPR
למאמר המפרט אודות הסמכת GDPR בארגון
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
כחלק ממגמה הזו, בראשון לינואר 2020 נכנס לתוקף חוק פרטיות הצרכן בקליפורניה CCPA – California Consumer Privacy Act. החל במצבים מסוימים ובדומה ל- GDPR, גם על פעילות המבוצעת על ידי גורמים מחוץ לקליפורניה, לרבות עסקים ישראליים.
חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2011 ומאז אנו מספקים ללקוחותינו שירותים מתחום אבטחת המידע בשלושה אספקטים:
- משפטי – בדיקת חשיפת הארגון לרגולציות מתחום הגנת הפרטיות: GDPR, HIPAA, CCPA, תקנות הגנת הפרטיות ועוד.
- ארגון ושיטות עבודה – סקירת נהלי הארגון בתחום אבטחת המידע ושיטות העבודה הנהוגות בחברה, כגון: מדיניות החלפת סיסמאות, נהלי IT, כניסה וגריעת עובדים מהמערכות.
- טכנולוגי – סקירת מערכות הארגון, מוצרי התוכנה בארגון, החולשות הקיימות במוצרי ומערכות החברה, מיפוי זרימת המידע בכל תחנה ותחנה ונכסי המידע הקיימים במערכות.
אנו ב-Nextep יצרנו מתודולוגיה המשלבת את כלל ההיבטים: משפטי, טכנולוגי וארגון ושיטות, לצורך מתן מענה מקיף 360° לעמידה בדרישות החוק וחיזוק מודעות העובדים בנושא אבטחת המידה והגנת הפרטיות.
בין לקוחותינו נמנים חברות טכנולוגיות מהבכירות במשק מתחום הפינטק, אדטק, מדיקל, SMB, תאגידים, רשויות, לקוחות מוסדיים ועוד.
אז מה זה CCPA בעצם?
ה- CCPA כולל שורה של כללים והגבלות החלים על שימוש במידע אישי של תושבי קליפורניה. גם כאן ההגדרה של מידע אישי הינה רחבה ביותר, וכוללת כל מידע המאפשר זיהוי של אדם מסוים, כגון שם, כתובת, מזהה אינטרנטי לרבות IP וכו'.
על מי חל חוק הגנת פרטיות הצרכן בקליפורניה?
בדומה ל- GDPR, גם ה- CCPA אינו מגביל את תחולתו רק לעסקים שמקום מושבם בקליפורניה, אלא חל על כל עסק, בכל מקום בעולם, האוסף מידע אישי ועומד באחד התנאים הבאים:
- היקף הכנסות ברוטו של למעלה מ- 25 מיליון דולר בשנה;
- איסוף של מידע הנוגע ל- 50,000 בני אדם או יותר;
- גוף שלפחות חצי מעיסוק הליבה שלו ומקור הרווח שלו כרוך במכירה או ניצול של מידע אישי.
מבנה הפרויקט:
אז למה החוק משנה לי כאן בישראל?
ראשית, ייתכן ואתה כפוף בצורה ישירה ל- CCPA תחת אחד הכללים האמורים.
שנית, ייתכן ותידרש לספק התחייבויות שונות הקשורות באבטחת מידע והגנת הפרטיות על ידי שותפים עסקיים, לקוחות וכו', הכפופים הם בעצמם לחוק. זאת מכיוון שבדומה לרגולציה האירופאית, גם ה-CCPA חל בצורה עקיפה דרך הדרישות הנוגעות לעבודה עם ספקי משנה החתומים על התחייבויות מסוימות הקשורות באבטחת מידע והגנת פרטיות.
ועל כן אנו כבר רואים כיום כיצד חלק לא מבוטל מלקוחותינו, נדרשים לחתום על הסכמים והתחייבויות שונות בקשר לאופן פעילותם, על ידי לקוחותיהם ושותפים עסקיים הכפופים ל- CCPA.
השירותים שאנו מספקים ללקוחותינו בהקשר זה, מאפשרים להם לחתום על התחייבויות אלו בצורה שקטה ובטוחה.
החובות שנקבעו במסגרת ה-CCPA
מעבר לתחולה הרחבה שלו, ה- CCPA כולל שורה של חובות וכללים, שחלקם דומים לאלו הקבועים ב- GDPR וחלקם שונים.
כך למשל, שתי מערכות הרגולציה דורשות, כי איסוף של מידע יבוצע רק לאחר שניתן על כך גילוי מפורש וברור לאדם שפרטיו נאספים. עם זאת, היקף הגילוי והפרטים שצריך למסור שונים בין ה- GDPR ובין ה- CCPA. בדומה, גם ה- CCPA וגם ה- GDPR קובעים זכויות שונות לאדם שפרטיו נאספו – מחיקה, תיקון וכו'.
עם זאת, החפיפה גם בתחום זה אינה שלמה, וה- CCPA כולל לדוגמא זכות של מושא המידע לדרוש כי בית העסק לא ימכור ולא יעביר בנסיבות מסוימות את המידע שלו לצד ג'.
חשוב לציין כי ה- CCPA אמנם נכנס לתוקף בינואר 2020, אולם עדיין נערכים בו תיקונים, ועוד בסוף אפריל 2019 נערכו בו שינויים כאלה ואחרים, וככל הנראה ייערכו עוד בעתיד, ועל כן חשוב להישאר בקשר עם מומחה רלוונטי לתחום ולשמור על מידע עדכני.
לסיכום, החל מינואר 2020 ה- CCPA הצטרף לשורת החוקים שנחקקו בעולם בשנים האחרונות בתחום הגנת הפרטיות ואבטחת המידע:
ה- GDPR, ה- ePrivacy באנגליה וה- PECR באיחוד האירופי, תקנות הגנת הפרטיות (אבטחת מידע) בישראל, העדכונים והתוספות לרגולציה הקשורה בהגנה על מידע רפואי בארה"ב (HIPAA, HITECH וכו'). כל אלו יש להדגיש, הנן רק סנוניות ראשונות בגל החקיקה הנוכחי, העתיד לשנות בצורה מהותית את האופן בו כל גורם עסקי מנהל את המידע הנשמר במערכותיו.
לכל המאמרים על תקנות הגנת הפרטיות
להחליט כיצד לבצע פרויקט CCPA זה לא פשוט כלל, אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!!!
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.