עמידה ב-CCPA/CPRA – תקנות הפרטיות של קליפורניה

פרטיות בקליפורניה היא דרישת שוק – California Consumer Privacy Act

אם הארגון שלכם פועל מול לקוחות/משתמשים בקליפורניה, CCPA/CPRA מחייבים שקיפות, שליטה וביצוע בפועל.

CCPA (וחבילת העדכונים CPRA) מגדירים זכויות לצרכנים וחובות ברורות לעסקים: החל מהודעות פרטיות וניהול “מכירה/שיתוף” של מידע, ועד מנגנונים מסודרים לטיפול בבקשות צרכן. אינפוגארד מלווה אתכם בתהליך יישומי שמחבר משפטי-טכנולוגי-תפעולי—כדי לעמוד בדרישות, לצמצם חשיפה, ולהרוויח אמון.

מה זה CCPA ומה השתנה ב-CPRA

CCPA/CPRA – חוקי הפרטיות המרכזיים בארה״ב ברמת מדינה

CCPA נכנס לתוקף כחקיקה אופרטיבית החל מ-1 בינואר 2020, ו-CPRA עדכן/הרחיב את הדרישות והזכויות החל מ-1 בינואר 2023.
ה-CCPA (California Consumer Privacy Act) מעניק לתושבי קליפורניה שליטה רחבה על מידע אישי שנאסף עליהם. ה-CPRA (שאושר במשאל עם ב-2020) אינו “חוק חדש”, אלא תיקון והרחבה של ה-CCPA—כולל זכויות חדשות כמו תיקון מידע לא מדויק והגבלת שימוש בנתונים רגישים.

למי זה חל (Applicability)

האם אתם “Business” לפי החוק?
החובה חלה על עסקים “שעושים עסקים בקליפורניה” ועומדים באחד מספי ההגדרה.
לפי ההגדרה בחוק (כפי שתוקן ב-CPRA), עסק ייחשב “Business” אם הוא עושה עסקים בקליפורניה ומקיים אחד מאלה:

• הכנסות שנתיות מעל $25M (מותאם אינפלציה)
• קנייה/מכירה/שיתוף של מידע אישי של 100,000+ צרכנים/משקי בית בשנה
• 50%+ מההכנסות ממכירה/שיתוף מידע אישי

זכויות הצרכן שחייבים לאפשר

זכויות ליבה + זכויות שהתווספו עם CPRA
לא מספיק “מדיניות פרטיות”, חייבים להוכיח מנגנון שעובד בזמן אמת.
בין הזכויות המרכזיות:

• Right to Know / Access
  לדעת אילו קטגוריות/פריטים נאספו, מקורות, מטרות וצדדים שלישיים
• Right to Delete
  בקשה למחיקת מידע (בכפוף לחריגים)
• Right to Opt-Out of Sale/Sharing
  עצירת “מכירה או שיתוף” של מידע, כולל דרישת קישור ברור “Do Not Sell or Share My Personal Information”
• Right to Correct
  תיקון מידע לא מדויק (נוסף עם CPRA)
• Right to Limit Sensitive PI
  הגבלת שימוש/גילוי במידע אישי רגיש (נוסף עם CPRA)

מה הארגון חייב לעשות בפועל

דרישות ביצועיות שחוזרות בכל ביקורת/בדיקה
שקיפות, שליטה, ותהליכי DSAR מדידים.
בדרך כלל נדרשים (בהתאם למודל העסק והדאטה):

• Notice at Collection + Privacy Policy: פירוט קטגוריות מידע, מטרות, “מכירה/שיתוף”, צדדים שלישיים ועוד.
• ערוצי בקשות צרכן (DSAR): לפחות 2 שיטות (או אימייל בלבד לעסק אונליין בלבד עם קשר ישיר) לטיפול בבקשות מידע/מחיקה/תיקון.
• SLA לטיפול בבקשות: מענה לבקשה מאומתת תוך 45 יום, עם אפשרות הארכה פעם אחת ב-45 יום נוספים; ובבקשת Opt-Out—תגובה עד 15 ימי עסקים.
• הטמעת “Do Not Sell/Share” + תמיכה ב-GPC (במקרים רלוונטיים)

ניהול ספקים, שיתוף מידע ומודל “Service Provider”

הסכמים ובקרות מול צד ג’ – המקום שבו הכי קל ליפול
החוק מבדיל בין Business לבין ספקי שירות, וקובע דרישות חוזיות ותפעוליות.
כאשר אתם עובדים עם מעבדים/ספקים (שיווק, אנליטיקה, ענן, תמיכה, סליקה וכו’) נדרשים מנגנוני שליטה: מיפוי זרימות מידע, צמצום הרשאות, הגדרות שימוש מותר, ותיקוף שהספקים אכן פועלים בהתאם לסטטוס שלהם (Service Provider/Contractor) ולתנאים החוזיים. (יישום מדויק תלוי היקף ושימושים בפועל).

אכיפה, קנסות וחשיפה משפטית

למה זה “כואב בכסף” גם בלי אירוע סייבר
יש גם אכיפה רגולטורית וגם חשיפה בתביעות מסוימות.

• קנסות מנהליים יכולים להגיע לסכומים של אלפי דולרים “לכל הפרה”, כולל הבחנה בין הפרה רגילה/מכוונת/קטינים (הסכומים מעודכנים גם אינפלציונית).
• קיימת זכות תביעה פרטית מוגבלת בהקשר של אירוע אבטחה/דליפה בתנאים מסוימים, עם פיצויים סטטוטוריים בטווח $100–$750 לצרכן לכל אירוע (או נזק בפועל).
• החל מ-1 ביולי 2023 ניתן להגיש תלונות גם ל-California Privacy Protection Agency על הפרות מסוימות.

איך אנחנו באינפוגארד מלווים אתכם לעמידה ב-CCPA/CPRA

פרויקט ממוקד תוצאה – משפטי, טכנולוגי ותהליכי
לא “לסמן וי”, אלא לבנות יכולת עמידה שמחזיקה לאורך זמן.
הליווי שלנו מותאם ספציפית לדאישות של כל ארגון וכולל בדרך כלל:

1. בדיקת תחולה (Scoping) ומיפוי דאטה: מערכות, אתרים/אפליקציות, מקורות, מטרות, שיתוף לצד ג’.
2. Gap Analysis מול דרישות CCPA/CPRA והגדרת תכנית סגירת פערים.
3. יישום DSAR מקצה לקצה: תהליכים, טפסים/ערוצים, אימות זהות, תיעוד, SLA.
4. עדכון Privacy Notices והטמעת רכיבי “Do Not Sell/Share” במידת הצורך.
5. ספקים והסכמים: בדיקת סטטוס ספקים, עדכון נספחים, בקרות הרשאה ושקיפות.
6. חיבור לאבטחת מידע: התאמות בקרות, מינימיזציה, ניטור, ותיעוד החלטות (כדי להקטין חשיפה).

NIST כתשתית לאבטחה בעולמות CCPA

רגולציית קליפורניה דורשת אבטחה סבירה, ו NIST נותן מסגרת מוכרת להוכחה ולשיפור מתמשך.

במסגרת דיני קליפורניה קיימת דרישה להטמיע ולתחזק “reasonable security procedures and practices” להגנה על מידע אישי, בהתאם לאופי המידע.
ההרגולטורים כגון CC PA ו CPRA אינן מחייבות לבחור ב NIST, אבל בפועל ארגונים נעזרים ב NIST CSF כדי להגדיר תהליכי ניהול סיכון, בקרות, תגובה לאירועים ושיפור מתמשך, באופן שמחזק את היכולת להראות שהאבטחה אכן “סבירה” ומותאמת סיכון. אנחנו באינפוגארד משלבים את זה עם שכבת פרטיות תפעולית, לדוגמה מיפוי זרימות מידע, ניהול ספקים ומוכנות ל DSAR, כדי ליישר קו בין פרטיות לאבטחה.

רוצים לדעת אם אתם חייבים CCPA/CPRA ומה הפערים אצלכם?

השאירו פרטים ואנחנו נבצע בדיקת התאמה ראשונית ומפת דרכים קצרה.