Prečo zamestnávatelia musia teraz venovať pozornosť kalifornskému zákonu o ochrane spotrebiteľa



<div _ngcontent-c17 = "" insidehtml = "

Kalifornskí zákonodarcovia prešli v roku 2018 zásadným zákonom o ochrane súkromia, ktorý poskytuje rozsiahle nové ochrany spotrebiteľov a prenikne na územie, na ktoré sa vzťahuje ďalekosiahle všeobecné nariadenie o ochrane údajov Európskej únie alebo GDPR.

Niektorí nazvali „GDPR Lite“ Zákon o ochrane osobných údajov v Kaliforniialebo CCPA, dáva spotrebiteľom právo vedieť, aké osobné údaje sa zhromažďujú, ako sa budú používať a či sa s nimi bude obchodovať, kupovať, predávať alebo opätovne používať. Vďaka tomu môžu zákazníci vymazať svoje osobné informácie a oslobodiť ich od predaja.

Sčasti podporený Porušenie systému Equifax ktorý odhalil osobné informácie 147 miliónov Američanov v roku 2017, zákon bol rýchlo zbalený a zahŕňal množstvo technických problémov a nezodpovedané otázky. Najmä zamestnávatelia sa zaujímali o to, či sa ich pracovníci podľa zákona budú považovať za spotrebiteľov – a čo to pre nich znamenalo, keď zbierali a spravovali citlivé údaje z previerok a iných činností.

Teraz máme niekoľko odpovedí.

V októbri Kalifornská vláda Gavin Newsom podpísala niekoľko pozmeňujúcich a doplňujúcich návrhov – vrátane Zhromaždenie 1355 a Zhromaždenie 25 – ktoré objasňujú, ako sa CCPA uplatňuje na pracovnú silu. Aj keď aktualizácie ponúkajú pre pracoviská určité výnimky, stále existujú kroky, ktoré musia zamestnávatelia prijať, aby splnili požiadavky CCPA, a to už v januári 2020. Z tohto dôvodu musia zamestnávatelia venovať pozornosť.

Kto musí dodržiavať CCPA?

Zákon o ochrane osobných údajov sa nevzťahuje na každú spoločnosť. Podniky, ktoré sa nachádzajú v Kalifornii a mimo nej, sa musia riadiť Zákon o ochrane spotrebiteľa v Kalifornii ak patria do jednej alebo viacerých z týchto kategórií:

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Hrubé ročné príjmy majú viac ako 25 miliónov dolárov.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Kupujú, prijímajú alebo predávajú osobné informácie 50 000 alebo viac spotrebiteľov, domácností alebo zariadení.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Z predaja osobných informácií spotrebiteľov získavajú 50% alebo viac svojich ročných príjmov.

Zahŕňajú sa informácie o kontrole na pozadí?

Údaje o kontrole pozadia boli pôvodne súčasťou rozsahu pôsobnosti zákona o ochrane súkromia. Od legislatívneho zasadnutia v roku 2019 už nie je.

V znení AB 1355, zákon teraz vyníma činnosti povolené federálne Zákon o spravodlivom úverovom spravodajstvealebo FCRA. Zahŕňa to previerky osôb, ktoré vykonáva spravodajská agentúra pre spotrebiteľov, vykonávané na žiadosť zamestnávateľa v súlade s agentúrou FCRA.

AB 1355 tiež zjednodušuje výnimku verejných záznamov CCPA na pokrytie všetkých informácií, ktoré sú „zákonne sprístupnené“ z federálnych, štátnych alebo miestnych vládnych záznamov.

Agentúra FCRA je dlhodobé nariadenie, ktoré stanovuje požiadavky na spôsob, akým zamestnávatelia a agentúry poskytujúce informácie o spotrebiteľoch spracúvajú údaje o spotrebiteľoch, najmä správy o pozadí. Poskytuje spotrebiteľom ako záujemcom o zamestnanie oznámenie o tom, ako sa ich údaje použijú, a stanovuje sporové konanie na opravu presnosti alebo úplnosti informácií oznámených potenciálnym zamestnávateľom.

Inými slovami, FCRA spĺňa rovnaké ciele, aké má dosiahnuť nový zákon v Kalifornii. Preto zákonodarcovia v AB 1355 vyňali činnosti schválené agentúrou FCRA a podľa CCPA odsúhlasili všetky povinnosti týkajúce sa dodržiavania predpisov, pokiaľ ide o previerky osôb.

Zamestnávatelia si dávajte pozor: Zodpovednosť za dodržiavanie predpisov zostáva

To, že previerky osôb sú vyňaté z kalifornského zákona o ochrane súkromia, neznamená, že zamestnávatelia môžu nový zákon ignorovať. Zamestnávatelia sú stále povinní plniť nasledujúce povinnosti súvisiace s dodržiavaním predpisov v rámci CCPA.

· & Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Oznámenia o ochrane osobných údajov zamestnancov

Od 1. januára 2020 musia zamestnávatelia poskytovať zamestnancom oznámenia o ochrane osobných údajov, ktoré popisujú, aké osobné informácie sa budú zhromažďovať a ako sa budú používať „v mieste zberu alebo pred ním.“ & Nbsp;

Osobné informácie sa podľa rozsiahlej definície zákona týkajú „informácií, ktoré identifikujú, týkajú sa, opisujú, môžu sa spájať s konkrétnym spotrebiteľom alebo domácnosťou alebo by sa mohli primerane, priamo alebo nepriamo, spájať“.

Prakticky to znamená, že musíte prinajmenšom zmeniť zásady ochrany osobných údajov svojej spoločnosti pred začiatkom roka tak, aby boli v súlade s CCPA, a mali by ste o tejto zmene informovať zamestnancov. & Nbsp;

· & Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Primerané bezpečnostné opatrenia

Kalifornia už má zákon z roku 2002, ktorý od spoločností vyžaduje, aby informovali spotrebiteľov o porušení údajov. CCPA podporuje tento zákon a umožňuje obyvateľom Kalifornie hľadať 100 až 750 dolárov za každý prípad zákonnej škody, keď porušenie vedie k odcudzeniu určitých citlivých osobných údajov, pretože spoločnosť nepodnikla príslušné kroky, aby tomu zabránila.

Aj keď niektorí dúfali, AB 25 v tejto časti zákona zamestnávateľovi nezdarí. S účinnosťou od 1. januára 2020 by mohli zamestnávatelia čeliť nákladným škodám až do výšky 750 dolárov v prípade pokút, ak dôjde k odcudzeniu dôležitých údajov o zamestnancoch a nepodnikli žiadne kroky na ich ochranu.

· & Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Požiadavky na žiadosť o prístup a vymazanie

Zamestnávatelia dostanú čiastočnú jednoročnú úplatu, aby sa mohli pripraviť na to, aby poskytovali zamestnancom, uchádzačom o zamestnanie a nezávislým dodávateľom právo na prístup a vymazanie osobných údajov, ktoré sa používajú z dôvodov na pracovisku, bez odvetných opatrení. Pracovníci budú mať tiež právo vedieť, či sa ich osobné údaje zverejňujú alebo predávajú tretím stranám, rozhodnúť sa o odpredaji ich osobných údajov a požadovať kópiu všetkých osobných údajov, ktoré im spoločnosť uložila. & nbsp; Pokiaľ sa AB 25 ďalej nezmení a doplní, zamestnávatelia budú dočasne oslobodení od dodržiavania týchto ustanovení CCPA, ale malo by sa očakávať, že budú dodržiavať účinné od 1. januára 2021.

5 krokov na prípravu na CCPA

Prípravy na dodržiavanie zákona o ochrane osobných údajov v Kalifornii by mali vyzerať veľmi podobne ako snahy pripraviť sa na GDPR pred niekoľkými rokmi. Zamestnávatelia musia začať od nadácie až po hlboké pochopenie rámcov spoločnosti na ochranu osobných údajov, aké údaje sa zhromažďujú, ako sú archivované a prístupné, ako sa dajú nahlásiť jednotlivcom a na požiadanie vymazať.

Postupujte takto:

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Získajte tieto oznámenia o ochrane osobných údajov. Do 1. januára musia zamestnávatelia zabezpečiť, aby oznámenia o ochrane osobných údajov boli v súlade s CCPA a boli pripravené na použitie.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Zabezpečte údaje o zamestnancoch. Zákon neupresňuje „primerané bezpečnostné postupy“, ale zamestnávatelia sa môžu ujať vedenia Správa o porušovaní údajov z Kalifornie za rok 2016, ktorá odporúča minimálne 20 opatrení určených v Centre pre internetovú bezpečnosť Kritické bezpečnostné kontroly za efektívnu kybernetickú obranu,

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Zaviesť prístupové a vymazávacie systémy. Keď sa pripravia na požiadavku poskytnúť pracovníkom a ostatným svoje osobné informácie a možnosť ich vymazať, pracoviská budú musieť do roku 2021 zaviesť systémy, aby dodržiavali toto pravidlo, a mali by zvážiť, či môžu znížiť množstvo informácií. zhromažďujú sa, takže je menej náročné plniť mandát.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Oslovte predajcov tretích strán. Každý externý poskytovateľ ľudských zdrojov a personálna spoločnosť budú musieť spĺňať nové pravidlá, inak by zamestnávateľ mohol niesť zodpovednosť. Uistite sa, že sú na maximálnej rýchlosti.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Nezabudnite na nezávislých dodávateľov. Kalifornská Zhromaždenie 5, spustené používateľom Dynamex Operations West, Inc. vs Vrchný súd v Los Angeles, limity, ktoré môžu zamestnávatelia klasifikovať ako nezávislých dodávateľov. Kalifornský zákon o ochrane súkromia je iba ďalším dôvodom na zabezpečenie toho, aby nezávislí dodávatelia na vašom výplatnom listine boli riadne klasifikovaní a aby im bola poskytnutá zákonná ochrana.

● & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp;Nenechajte strážiť. Zákonodarcovia by mohli na nasledujúcom legislatívnom zasadnutí prehodnotiť AB 25 alebo zvážiť ďalšie zmeny a doplnenia CCPA, preto je dobré zostať na vrchole nových návrhov a diskusií.

Aj keď sa ich spoločnosti nenachádzajú v Kalifornii, všetci zamestnávatelia by si mali tieto nové pravidlá ochrany osobných údajov vziať na vedomie. Pokiaľ ide o zákony, zlatý štát je často trendom. Keď sa ďalšia legislatívna sezóna zahrieva v celej krajine, pravdepodobne bude nasledovať viac štátov.

">

Kalifornskí zákonodarcovia prešli v roku 2018 zásadným zákonom o ochrane súkromia, ktorý poskytuje rozsiahle nové ochrany spotrebiteľov a prenikne na územie, na ktoré sa vzťahuje ďalekosiahle všeobecné nariadenie o ochrane údajov Európskej únie alebo GDPR.

Niektorí nazvali „GDPR Lite“ Zákon o ochrane osobných údajov v Kaliforniialebo CCPA, dáva spotrebiteľom právo vedieť, aké osobné údaje sa zhromažďujú, ako sa budú používať a či sa s nimi bude obchodovať, kupovať, predávať alebo opätovne používať. Vďaka tomu môžu zákazníci vymazať svoje osobné informácie a oslobodiť ich od predaja.

Sčasti podporený Porušenie systému Equifax ktorý odhalil osobné informácie 147 miliónov Američanov v roku 2017, zákon bol rýchlo zbalený a zahŕňal množstvo technických problémov a nezodpovedané otázky. Najmä zamestnávatelia sa zaujímali o to, či sa ich pracovníci podľa zákona budú považovať za spotrebiteľov – a čo to pre nich znamenalo, keď zbierali a spravovali citlivé údaje z previerok a iných činností.

Teraz máme niekoľko odpovedí.

V októbri Kalifornská vláda Gavin Newsom podpísala niekoľko pozmeňujúcich a doplňujúcich návrhov – vrátane Zhromaždenie 1355 a Zhromaždenie 25 – ktoré objasňujú, ako sa CCPA uplatňuje na pracovnú silu. Aj keď aktualizácie ponúkajú pre pracoviská určité výnimky, stále existujú kroky, ktoré musia zamestnávatelia prijať, aby splnili požiadavky CCPA, a to už v januári 2020. Z tohto dôvodu musia zamestnávatelia venovať pozornosť.

Kto musí dodržiavať CCPA?

Zákon o ochrane osobných údajov sa nevzťahuje na každú spoločnosť. Podniky, ktoré sa nachádzajú v Kalifornii a mimo nej, sa musia riadiť kalifornským zákonom o ochrane spotrebiteľa, ak patria do jednej alebo viacerých z týchto kategórií:

● Hrubé ročné príjmy majú viac ako 25 miliónov dolárov.

● Kupujú, prijímajú alebo predávajú osobné informácie 50 000 alebo viac spotrebiteľov, domácností alebo zariadení.

● Z predaja osobných informácií spotrebiteľov získavajú 50% alebo viac svojich ročných príjmov.

Zahŕňajú sa informácie o kontrole na pozadí?

Údaje o kontrole pozadia boli pôvodne súčasťou rozsahu pôsobnosti zákona o ochrane súkromia. Od legislatívneho zasadnutia v roku 2019 už nie je.

V znení zákona AB 1355 zákon teraz vylučuje činnosti povolené federálnym zákonom o vykazovaní spravodlivých úverov (FCRA). Zahŕňa to previerky osôb, ktoré vykonáva spravodajská agentúra pre spotrebiteľov, vykonávané na žiadosť zamestnávateľa v súlade s agentúrou FCRA.

AB 1355 tiež zjednodušuje výnimku verejných záznamov CCPA na pokrytie všetkých informácií, ktoré sú „zákonne sprístupnené“ z federálnych, štátnych alebo miestnych vládnych záznamov.

Agentúra FCRA je dlhodobé nariadenie, ktoré stanovuje požiadavky na spôsob, akým zamestnávatelia a agentúry poskytujúce informácie o spotrebiteľoch spracúvajú údaje o spotrebiteľoch, najmä správy o pozadí. Poskytuje spotrebiteľom ako záujemcom o zamestnanie oznámenie o tom, ako sa ich údaje použijú, a stanovuje sporové konanie na opravu presnosti alebo úplnosti informácií oznámených potenciálnym zamestnávateľom.

Inými slovami, FCRA spĺňa rovnaké ciele, aké má dosiahnuť nový zákon v Kalifornii. Preto zákonodarcovia v AB 1355 vyňali činnosti schválené agentúrou FCRA a podľa CCPA odsúhlasili všetky povinnosti týkajúce sa dodržiavania predpisov, pokiaľ ide o previerky osôb.

Zamestnávatelia si dávajte pozor: Zodpovednosť za dodržiavanie predpisov zostáva

To, že previerky osôb sú vyňaté z kalifornského zákona o ochrane súkromia, neznamená, že zamestnávatelia môžu nový zákon ignorovať. Zamestnávatelia sú stále povinní plniť nasledujúce povinnosti súvisiace s dodržiavaním predpisov v rámci CCPA.

· Oznámenia o ochrane osobných údajov zamestnancov

Od 1. januára 2020 musia zamestnávatelia poskytovať zamestnancom oznámenia o ochrane osobných údajov, v ktorých uvedú, aké osobné informácie sa budú zhromažďovať a ako sa použijú „v mieste zberu alebo pred ním“.

Osobné informácie sa podľa rozsiahlej definície zákona týkajú „informácií, ktoré identifikujú, týkajú sa, opisujú, môžu sa spájať s konkrétnym spotrebiteľom alebo domácnosťou alebo by sa mohli primerane, priamo alebo nepriamo, spájať“.

Prakticky to znamená, že musíte prinajmenšom zmeniť zásady ochrany osobných údajov svojej spoločnosti pred začiatkom roka tak, aby boli v súlade s CCPA, a mali by ste o tejto zmene informovať zamestnancov.

· Primerané bezpečnostné opatrenia

Kalifornia už má zákon z roku 2002, ktorý od spoločností vyžaduje, aby informovali spotrebiteľov o porušení údajov. CCPA podporuje tento zákon a umožňuje obyvateľom Kalifornie hľadať 100 až 750 dolárov za každý prípad zákonnej škody, keď porušenie vedie k odcudzeniu určitých citlivých osobných údajov, pretože spoločnosť nepodnikla príslušné kroky, aby tomu zabránila.

Aj keď niektorí dúfali, AB 25 v tejto časti zákona zamestnávateľovi nezdarí. S účinnosťou od 1. januára 2020 by mohli zamestnávatelia čeliť nákladným škodám až do výšky 750 dolárov v prípade pokút, ak dôjde k odcudzeniu dôležitých údajov o zamestnancoch a nepodnikli žiadne kroky na ich ochranu.

· Požiadavky na žiadosť o prístup a vymazanie

Zamestnávatelia dostanú čiastočnú jednoročnú úplatu, aby sa mohli pripraviť na to, aby poskytovali zamestnancom, uchádzačom o zamestnanie a nezávislým dodávateľom právo na prístup a vymazanie osobných údajov, ktoré sa používajú z dôvodov na pracovisku, bez odvetných opatrení. Pracovníci budú mať tiež právo vedieť, či sa ich osobné údaje zverejňujú alebo predávajú tretím stranám, rozhodnúť sa o odpredaji ich osobných údajov a požadovať kópiu všetkých osobných údajov, ktoré im spoločnosť uložila. Pokiaľ sa AB 25 ďalej nezmení a doplní, zamestnávatelia budú dočasne oslobodení od dodržiavania týchto ustanovení CCPA, ale malo by sa očakávať, že budú v súlade s účinnosťou od 1. januára 2021.

5 krokov na prípravu na CCPA

Prípravy na dodržiavanie zákona o ochrane osobných údajov v Kalifornii by mali vyzerať veľmi podobne ako snahy pripraviť sa na GDPR pred niekoľkými rokmi. Zamestnávatelia musia začať od nadácie až po hlboké pochopenie rámcov spoločnosti na ochranu osobných údajov, aké údaje sa zhromažďujú, ako sú archivované a prístupné, ako sa dajú nahlásiť jednotlivcom a na požiadanie vymazať.

Postupujte takto:

Získajte tieto oznámenia o ochrane osobných údajov. Do 1. januára musia zamestnávatelia zabezpečiť, aby oznámenia o ochrane osobných údajov boli v súlade s CCPA a boli pripravené na použitie.

Zabezpečte údaje o zamestnancoch. Zákon neupresňuje „primerané bezpečnostné postupy“, ale zamestnávatelia sa môžu ujať vedenia Správa o porušovaní údajov z Kalifornie za rok 2016, ktorá odporúča minimálne 20 opatrení určených v Centre pre internetovú bezpečnosť Kritické bezpečnostné kontroly za efektívnu kybernetickú obranu,

Zaviesť prístupové a vymazávacie systémy. Keď sa pripravia na požiadavku poskytnúť pracovníkom a ostatným svoje osobné informácie a možnosť ich vymazať, pracoviská budú musieť do roku 2021 zaviesť systémy, aby dodržiavali toto pravidlo, a mali by zvážiť, či môžu znížiť množstvo informácií. zhromažďujú sa, takže je menej náročné plniť mandát.

Oslovte predajcov tretích strán. Každý externý poskytovateľ ľudských zdrojov a personálna spoločnosť budú musieť spĺňať nové pravidlá, inak by zamestnávateľ mohol niesť zodpovednosť. Uistite sa, že sú na maximálnej rýchlosti.

Nezabudnite na nezávislých dodávateľov. Kalifornská Zhromaždenie 5, spustené používateľom Dynamex Operations West, Inc. vs Vrchný súd v Los Angeles, limity, ktoré môžu zamestnávatelia klasifikovať ako nezávislých dodávateľov. Kalifornský zákon o ochrane súkromia je iba ďalším dôvodom na zabezpečenie toho, aby nezávislí dodávatelia na vašom výplatnom listine boli riadne klasifikovaní a aby im bola poskytnutá zákonná ochrana.

Nenechajte strážiť. Zákonodarcovia by mohli na nasledujúcom legislatívnom zasadnutí prehodnotiť AB 25 alebo zvážiť ďalšie zmeny a doplnenia CCPA, preto je dobré zostať na vrchole nových návrhov a diskusií.

Aj keď sa ich spoločnosti nenachádzajú v Kalifornii, všetci zamestnávatelia by si mali tieto nové pravidlá ochrany osobných údajov vziať na vedomie. Pokiaľ ide o zákony, zlatý štát je často trendom. Keď sa ďalšia legislatívna sezóna zahrieva v celej krajine, pravdepodobne bude nasledovať viac štátov.