חוק הפרטיות לצרכנים בקליפורניה (CCPA) מתחיל ב-1.1.2020

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 4 דקות
שמור ב"תכנים שלי"

ב-1 בינואר 2020, ייכנס לתוקף חוק הפרטיות לצרכנים בקליפורניה, ה- California Consumer Privacy Act  (CCPA). החוק החדש חל גם על אירגונים מחוץ לארצות-הברית, כולל בישראל. הוא מטיל עליהם חובות מורכבות בתחום הגנת הפרטיות. בעוד שחברות רבות ריכזו בשנים האחרונות מאמצים בציות לרגולציה על הגנת מידע באירופה, ה-GDPR, ה-CCPA ישית עליהן דרישות נוספות ושונות, בעלות השלכות טכנולוגיות, משפטיות, אדמיניסטרטיביות ועסקיות. חובות אלה דורשות בחינה מחודשת, התאמות ושינויים בנוהגי הפרטיות של חברות רבות. 

ה-CCPA חל גם על ארגונים מחוץ לארצות הברית
ה-CCPA חל מעבר לגבולות מדינת קליפורניה. החקיקה חלה על כל ארגון למטרות רווח, בין אם מאוגד בקליפורניה, במדינה אחרת בארצות הברית, או אפילו מחוץ לארצות הברית, כולל בישראל, ובלבד שהוא מקיים את כל התנאים להלן:

  1. הארגון פועל למטרת רווח ומקיים עסקים במדינת קליפורניה.
  2. הארגון אוסף או מעבד באופן ישיר או עקיף מידע אישי על יחידים ('צרכנים') תושבי בקליפורניה, והוא קובע, בעצמו או בצוותא עם גורמים נוספים, את מטרות השימוש במידע והאמצעים לעיבוד המידע.
  3. הארגון מקיים אחד או יותר מאלה:
  • הכנסתו השנתית ברוטו עולה על 25 מיליון דולר
  • הוא רוכש, מקבל או מוכר מידע אישי על אודות 50,000 או יותר יחידים המתגוררים בקליפורניה.
  • הוא מפיק למעלה מ-50 אחוז מהכנסתו השנתית ממכירה של מידע אישי אודות יחידים המתגוררים בקליפורניה.

בנוסף, ה-CCPA חל גם על החברה-האם וחברות-בנות של מי שמקיים את התנאים לעיל, אם החברות הללו חולקות את אותו מיתוג מסחרי (שם, סימן מסחר או סימן שירות).

מסירת הודעה לצרכנים
ה-CCPA מחייב את הארגון למסור לצרכנים שורה של הודעות וגילויים על נוהגי הפרטיות שלו:

  1. הודעת פרטיות בעת או לפני איסוף המידע האישי מהצרכן.
  2. מדיניות פרטיות המפרטת את נוהגי הפרטיות של הארגון. יש לעדכן את המדיניות מדי 12 חודשים.
  3. אם הארגון עוסק במכירת מידע אישי, יש למסור לצרכנים הודעה על האפשרות להתנגד למכירת מידע עליהם.
  4. אם הארגון מציע לצרכנים תמריץ כלכלי לעידוד איסוף מידע אישי מהם, שמירתו או מכירה שלו, עליו להודיע לצרכנים על התמריץ.

על המסמכים הללו לכלול רשימה של פריטי מידע הנדרשים לפי ה-CCPA, הנבדלים מזו הנדרשת על-פי ה-GDPR. לדוגמה, יש לתאר את רשימת המידע שנאסף מהצרכן לפי קטגוריות המידע הייחודיות המוגדרות ב-CCPA.

זכויות הצרכנים
ה-CCPA מעניק לצרכנים זכות להגיש לארגון מגוון בקשות בעניין המידע האישי המוחזק עליהם:

1. בקשה לקבל את המידע שלהלן ביחס לשנה שקדמה לבקשת הצרכן:

  • סיווג המידע האישי שנאסף אודות הצרכן המבקש.
  • סיווג המקורות מהם נאסף המידע האישי אודות הצרכן המבקש.
  • המטרות העסקיות או המסחריות לאיסוף.
  • סיווג הצדדים השלישיים אליהם נמסר או נחשף המידע על אותו צרכן.
  • סיווג המידע האישי שהארגון מכר אודות אותו צרכן ופירוט מטרות המכירה.
  • מסירת עותק המידע שאסף הארגון על אותו צרכן

2. כל צרכן רשאי לדרוש את מחיקת המידע עליו. עם זאת, הזכות למחיקה כפופה למספר חריגים, בין היתר כאשר המידע נדרש עבור אספקת מוצר או שירות על פי בקשת הלקוח, ציות לחובה על פי דין, או הגנה מפני פעילות בלתי חוקית.

איך להגיש ואיך לאמת בקשת צרכן
הארגון נדרש לספק לצרכן דרכים נוחות להגשת בקשה הנוגעת למידע האישי שלו, כולל מספר טלפון חינמי, כתובת דוא"ל וטפסים מקוונים באתר האינטרנט. לפני שהארגון משיב לבקשה, עליו לוודא את זהות הצרכן בהתאם לאמצעים שנקבעו בתקנות שיתקין התובע הכללי של קליפורניה. בנוסף, ארגונים נדרשים לוודא שהגורמים הפנימיים אצלם האמונים על טיפול בבקשות מכירים את דרישות ה-CCPA ואת האופן בו עליהם להדריך את הצרכנים למימוש זכויותיהם.

מכירת מידע אודות צרכנים
ה-CCPA מסדיר מכירת מידע אישי. אם הארגון מוסר מידע אישי בתמורה לכסף או לדבר אחר בעל ערך, יש ליידע את הצרכנים ולתת להם אפשרות להורות שלא למכור את המידע אודותיהם. ארגונים בעלי נוכחות באינטרנט מחויבים להציג קישור קריא ובולט באתר שלהם תחת הכותרת "אל תמכור את המידע האישי שלי", שיאפשר לצרכנים להתנגד למכירת המידע עליהם.

להבדיל ממכירת מידע אודות צרכנים בגירים, מכירה של מידע אישי אודות קטינים שגילם מתחת ל-16 דורשת הסכמה מפורשות, אקטיבית ומראש של הצרכן. בנוסף, מכירה של מידע אישי אודות קטינים שגילם מתחת ל-13 מחייבת הסכמה כזו מהורי הקטין.

ה-CCPA אוסר על ארגונים להפלות צרכנים שבחרו לממש את זכויותיהם. הפליה אסורה כוללת סירוב למתן שירות או מכירת מוצר, גביית מחירים שונים עבור מוצרים או שירותים בשל מימוש זכויות הצרכן, או הצעת מוצר או שירותים באיכות שונה בשל מימוש זכויות הצרכן.

בכפוף לשורה של תנאים, ה-CCPA מאפשר לארגון לתמרץ את הצרכנים להסכים לאיסוף, שמירה או מכירה של מידע אודותיהם. ניתן לעשות כן ככל שהתמריץ קשור במישרין לתועלת שהארגון מפיק מהמידע על הצרכן.

שמירת תיעוד
ארגונים מחויבים להחזיק רשומות על בקשות ופניות צרכנים למימוש זכויותיהם, ועל המענה שנתן הארגון. הארגון נדרש לשמור את הרשומות ל-24 חודשים. ארגונים שקיבלו או חלקו מידע על 4 מיליון או יותר צרכנים מקליפורניה לצורך מסחרי, מחויבים גם לערוך דוח שנתי באשר למספר בקשות הצרכנים והתשובות שהשיב להם הארגון. את הדו"ח יש לפרסם במדיניות הפרטיות של הארגון.

ספקי שירות
ה-CCPA דורש מארגונים לכלול שורה של הוראות חוזיות בהסכמים עם ספקי שירותים. מטרת ההוראות היא לאסור על ספק השירות למכור את המידע האישי או להשתמש בו לכל מטרה מלבד ביצוע השירות שהארגון מזמין ממנו.

אכיפה
לרוב, אמצעי האכיפה של ה-CCPA נתונים בלעדית לתובע הכללי של קליפורניה. החל מה-1 ביולי 2020, הוא רשאי להטיל קנסות בשיעור שנע בין 2,000-7,500 דולר על כל הפרה, לצד דרישה לתיקון ההפרות.

ה-CCPA מעניקה לצרכנים עילת תביעה אזרחית רק במקרה של אירועי אבטחת מידע מסוימים הנובעים מהתרשלות של הארגון ביישום אמצעי אבטחה סבירים להגנה על המידע האישי.

פטורים והחרגות
ה-CCPA כולל חריגים ופטורים שונים. לדוגמה, קיים פטור רחב, אך לא גורף, מחובות ה-CCPA בנוגע למידע שמחזיק ארגון אודות עובדיו, מועמדים לעבודה אצלו, ספקיו וכיו"ב. הפטור תקף רק עד 31 בדצמבר 2020.

פטור נוסף החל לשנה אחת בלבד עוסק בתרחיש של B2B. הפטור מחריג מתחולת ה-CCPA מידע אישי שארגון אוסף או מחזיק על אנשי קשר של לקוחותיו העסקיים של הארגון. בנוסף, על פי דברי ההסבר שפרסם התובע הכללי בקליפורניה, המבוססים על הגדרות ה-CCPA, החוק לא חל על מידע שאינו ניתן לזיהוי או מידע מצרפי (‘de-identified’ or ‘aggregated’ כהגדרתו ב- CCPA).

האמור במאמר זה אינו מתיימר למצות את כל הבטי הנושאים הנסקרים בו. מטרתו היא עדכון כללי בלבד. אין להסתמך על האמור בו כעצה משפטית.