CCPA/CPRA – תקנות הגנת הפרטיות של קליפורניה

הגנה על הפרטיות בקליפורניה היא דרישת שוק – California Consumer Privacy Act

אם הארגון שלכם פועל מול לקוחות/משתמשים בקליפורניה, CCPA/CPRA מחייבים שקיפות, שליטה וביצוע בפועל.

CCPA (וחבילת העדכונים CPRA) מגדירים זכויות לצרכנים וחובות ברורות לעסקים: החל מהודעות פרטיות וניהול “מכירה/שיתוף” של מידע, ועד מנגנונים מסודרים לטיפול בבקשות צרכן.

מה זה CCPA ומה השתנה ב-CPRA

CCPA/CPRA – חוקי הפרטיות המרכזיים בארה״ב ברמת מדינה (State)

CCPA נכנס לתוקף כחקיקה אופרטיבית החל מ-1 בינואר 2020, ו-CPRA עדכן/הרחיב את הדרישות והזכויות החל מ-1 בינואר 2023.
ה-CCPA – California Consumer Privacy Act מעניק לתושבי קליפורניה שליטה רחבה על מידע אישי שנאסף עליהם.

ה-CPRA הוא California Privacy Rights Act ואינו “חוק חדש”, אלא תיקון והרחבה של ה-CCPA וכולל זכויות חדשות כמו תיקון מידע לא מדויק והגבלת שימוש בנתונים רגישים.

על מי זה חל (Applicability)

האם אתם “Business” לפי החוק?
החובה חלה על עסקים “שעושים עסקים בקליפורניה” ועומדים באחד מספי ההגדרה.
לפי ההגדרה בחוק (כפי שתוקן ב-CPRA), עסק ייחשב “Business” אם הוא עושה עסקים בקליפורניה ומקיים אחד מאלה:

• הכנסות שנתיות מעל $25M (מותאם אינפלציה)
• קנייה/מכירה/שיתוף של מידע אישי של 100,000+ צרכנים/משקי בית בשנה
• 50%+ מההכנסות ממכירה/שיתוף מידע אישי

זכויות הצרכן שחייבים לאפשר

זכויות ליבה + זכויות שהתווספו עם CPRA
לא מספיק “מדיניות פרטיות”, חייבים להוכיח מנגנון שעובד בזמן אמת.
בין הזכויות המרכזיות:

• Right to Know / Access
  לדעת אילו קטגוריות/פריטים נאספו, מקורות, מטרות וצדדים שלישיים
• Right to Delete
  בקשה למחיקת מידע (בכפוף לחריגים)
• Right to Opt-Out of Sale/Sharing
  עצירת “מכירה או שיתוף” של מידע, כולל דרישת קישור ברור “Do Not Sell or Share My Personal Information”
• Right to Correct
  תיקון מידע לא מדויק (נוסף עם CPRA)
• Right to Limit Sensitive PI
  הגבלת שימוש/גילוי במידע אישי רגיש (נוסף עם CPRA)

מה הארגון חייב לעשות בפועל

דרישות ביצועיות שחוזרות בכל ביקורת/בדיקה
בדרך כלל נדרשים: שקיפות, שליטה, ותהליכי DSAR מדידים, בהתאם למודל העסק והדאטה:

• Notice at Collection + Privacy Policy: פירוט קטגוריות מידע, מטרות, “מכירה/שיתוף”, צדדים שלישיים ועוד.
• ערוצי בקשות צרכן (DSAR): לפחות 2 שיטות (או אימייל בלבד לעסק אונליין בלבד עם קשר ישיר) לטיפול בבקשות מידע/מחיקה/תיקון.
• SLA לטיפול בבקשות: מענה לבקשה מאומתת תוך 45 יום, עם אפשרות הארכה פעם אחת ב-45 יום נוספים; ובבקשת Opt-Out—תגובה עד 15 ימי עסקים.
• הטמעת “Do Not Sell/Share” + תמיכה ב-GPC (במקרים רלוונטיים)

ניהול ספקים, שיתוף מידע ומודל “Service Provider”

הסכמים ובקרות מול צד ג’ – המקום שבו הכי קל ליפול
החוק מבדיל בין Business לבין ספקי שירות, וקובע דרישות חוזיות ותפעוליות.
כאשר אתם עובדים עם מעבדים/ספקים (שיווק, אנליטיקה, ענן, תמיכה, סליקה וכו’) נדרשים מנגנוני שליטה: מיפוי זרימות מידע, צמצום הרשאות, הגדרות שימוש מותר, ותיקוף שהספקים אכן פועלים בהתאם לסטטוס שלהם (Service Provider/Contractor) ולתנאים החוזיים. (יישום מדויק תלוי היקף ושימושים בפועל).

אכיפה, קנסות וחשיפה משפטית

למה זה “כואב בכסף” גם בלי אירוע סייבר
יש גם אכיפה רגולטורית וגם חשיפה בתביעות מסוימות:

• קנסות מנהליים יכולים להגיע לסכומים של אלפי דולרים “לכל הפרה”, כולל הבחנה בין הפרה רגילה/מכוונת/קטינים (הסכומים מעודכנים גם אינפלציונית).
• קיימת זכות תביעה פרטית מוגבלת בהקשר של אירוע אבטחה/דליפה בתנאים מסוימים, עם פיצויים סטטוטוריים בטווח $100–$750 לצרכן לכל אירוע (או נזק בפועל).
• החל מ-1 ביולי 2023 ניתן להגיש תלונות גם ל-California Privacy Protection Agency – CPPA – על הפרות מסוימות.

תהליך עבודה נכון לעמידה ב-CCPA/CPRA – משפטי, טכנולוגי ותהליכי

עמידה ב-CCPA/CPRA היא לא “לסמן וי”, אלא לבנות יכולת תפעולית שמחזיקה לאורך זמן: מדיניות ברורה, זרימת מידע ממופה, ותהליכים שניתנים להוכחה בביקורת. לרוב, תהליך עבודה תקין כולל:

• בדיקת תחולה (Scoping) ומיפוי דאטה: זיהוי מערכות, אתרים/אפליקציות, מקורות איסוף, מטרות שימוש, ושיתופי מידע עם צדדים שלישיים.
• ניתוח פערים (Gap Analysis) מול דרישות החוק: מיפוי מה קיים היום, מה חסר, ובניית תכנית מסודרת לסגירת הפערים לפי סדרי עדיפויות.
• יישום תהליך DSAR מקצה לקצה: ערוצים וטפסים להגשת בקשות, אימות זהות, ניהול תיעוד, זמני תגובה (SLA) ושגרות טיפול עקביות.
• עדכון הודעות פרטיות (Privacy Notices) ומנגנוני בחירה: שקיפות מלאה לגבי איסוף ושימוש, והטמעת רכיבי “Do Not Sell/Share” כשנדרש.
• ניהול ספקים והסכמים: סיווג ספקים לפי תפקיד (למשל Service Provider / Contractor), עדכון נספחים רלוונטיים, והטמעת בקרות הרשאה ושקיפות.
• חיבור לאבטחת מידע: התאמת בקרות הגנה, מינימיזציה של מידע, ניטור, ותיעוד החלטות וחריגים — כדי לצמצם חשיפה ולחזק אחריותיות (Accountability).

NIST כתשתית לאבטחה בעולמות CCPA

רגולציית קליפורניה דורשת אבטחה סבירה, ו NIST נותן מסגרת מוכרת להוכחה ולשיפור מתמשך.

במסגרת דיני קליפורניה קיימת דרישה להטמיע ולתחזק “reasonable security procedures and practices” להגנה על מידע אישי, בהתאם לאופי המידע.
ההרגולטורים כגון CC PA ו CPRA אינן מחייבות לבחור ב NIST, אבל בפועל ארגונים נעזרים ב NIST CSF כדי להגדיר תהליכי ניהול סיכון, בקרות, תגובה לאירועים ושיפור מתמשך, באופן שמחזק את היכולת להראות שהאבטחה אכן “סבירה” ומותאמת סיכון. קריטי לשלב את את זה עם שכבת פרטיות תפעולית, לדוגמה מיפוי זרימות מידע, ניהול ספקים ומוכנות ל DSAR, כדי ליישר קו בין הגנה על פרטיות לאבטחה מידע.

רוצים להתייעץ איתנו על רגולציות ותקינה הקשורות למדיניות פרטיות?

לאורך השנים ביססנו באינפוגארד מומחיות עמוקה בליווי, יישום והסמכה של תקני ISO בתחומי אבטחת המידע והגנת הפרטיות, לצד רגולציות משלימות ודרישות בינלאומיות כגון GDPR, חוק הגנת הפרטיות הישראלי ותיקון 13, PCI-DSS, וביקורות ספקים מורכבות.

השאירו פרטים ומומחי אבטחת המידע שלנו יצרו איתכם קשר