सीसीपीए/सीपीआरए अनुपालन: व्यवसायों के लिए कैलिफोर्निया गोपनीयता गाइड

कैलिफ़ोर्निया के गोपनीयता कानून संयुक्त राज्य अमेरिका में सबसे व्यापक हैं - और वे दुनिया भर के उन व्यवसायों पर लागू होते हैं जो विशिष्ट सीमाओं को पूरा करते हैं। कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA, 1 जनवरी, 2020 से प्रभावी) को कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA, 1 जनवरी, 2023 से प्रभावी) द्वारा महत्वपूर्ण रूप से विस्तारित किया गया, जिसने एक समर्पित प्रवर्तन एजेंसी बनाई, नए उपभोक्ता अधिकार पेश किए, और "संवेदनशील व्यक्तिगत जानकारी" को संभालने वाले व्यवसायों के लिए अनुपालन दायित्वों को बढ़ाया। कैलिफ़ोर्निया प्राइवेसी प्रोटेक्शन एजेंसी (सीपीपीए) अब सक्रिय है और सक्रिय रूप से उल्लंघनों की जांच कर रही है, प्रवर्तन जोखिम वास्तविक और बढ़ रहा है।

यह मार्गदर्शिका सीसीपीए/सीपीआरए अनुपालन को प्राप्त करने और बनाए रखने के लिए व्यवसायों को जानने के लिए आवश्यक सभी चीज़ों को शामिल करती है: दायरा सीमाएँ, उपभोक्ता अधिकार, आवश्यक प्रकटीकरण, ऑप्ट-आउट यांत्रिकी, डेटा न्यूनतमकरण दायित्व और सीपीपीए का प्रवर्तन दृष्टिकोण।

मुख्य बातें

• सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो तीन सीमाओं में से किसी एक को पूरा करते हैं - राजस्व, डेटा वॉल्यूम, या डेटा शेयरिंग से राजस्व।
• सीपीआरए के तहत उपभोक्ताओं के पास 11 विशिष्ट अधिकार हैं जिनमें सही करने का अधिकार और संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करने का अधिकार शामिल है
• "बेचें या साझा न करें" ऑप्ट-आउट आपके होमपेज पर एक एकल, स्पष्ट रूप से दिखाई देने वाला लिंक होना चाहिए
• संवेदनशील व्यक्तिगत जानकारी (एसपीआई) प्रसंस्करण को सीमित करने के अधिकार सहित अतिरिक्त दायित्वों को ट्रिगर करती है
• CPPA प्रवर्तन 2023 में सक्रिय हो गया और प्रति जानबूझकर उल्लंघन पर $7,500 तक का जुर्माना लगाया गया
• व्यवसायों को उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए वार्षिक डेटा सुरक्षा मूल्यांकन करना चाहिए
• सेवा प्रदाता अनुबंधों को डाउनस्ट्रीम व्यक्तिगत जानकारी के उपयोग को प्रतिबंधित करना चाहिए
• प्रतिधारण अवधि का खुलासा किया जाना चाहिए और जब बताए गए उद्देश्यों के लिए आवश्यकता न हो तो डेटा हटा दिया जाना चाहिए

---

सीसीपीए/सीपीआरए प्रयोज्यता सीमाएँ

सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो कैलिफोर्निया के उपभोक्ताओं की व्यक्तिगत जानकारी एकत्र करते हैं और निम्नलिखित में से किसी एक को पूरा करते हैं:

1. वार्षिक सकल राजस्व $25 मिलियन से अधिक (पिछले कैलेंडर वर्ष में)
2. हर साल 100,000+ उपभोक्ताओं या परिवारों की व्यक्तिगत जानकारी खरीदता है, बेचता है, प्राप्त करता है या साझा करता है (सीपीआरए ने मूल सीसीपीए सीमा 50,000 से कम कर दी है)
3. उपभोक्ताओं की व्यक्तिगत जानकारी बेचने या साझा करने से 50% या अधिक वार्षिक राजस्व प्राप्त होता है

भौगोलिक दायरा: कानून इस आधार पर लागू होता है कि उपभोक्ता कहां रहते हैं, न कि जहां आपका व्यवसाय स्थापित है। कैलिफ़ोर्निया के ग्राहकों से 30 मिलियन डॉलर वार्षिक राजस्व अर्जित करने वाली पाकिस्तानी सॉफ़्टवेयर कंपनी को इसका अनुपालन करना होगा।

छूट: रोजगार डेटा (बी2बी कर्मचारी डेटा) को अस्थायी सीसीपीए छूट प्राप्त हुई जो सीपीआरए के तहत 1 जनवरी, 2023 को समाप्त हो गई। B2B संपर्क जानकारी छूट भी समाप्त हो गई। कई वित्तीय संस्थान ग्राम-लीच-ब्लिली अधिनियम के तहत आंशिक रूप से छूट देते हैं; HIPAA द्वारा कवर किए गए स्वास्थ्य डेटा का अलग उपचार है।

अन्य अमेरिकी राज्य कानूनों पर ध्यान दें: जबकि यह मार्गदर्शिका सीसीपीए/सीपीआरए पर केंद्रित है, 2025 तक, उन्नीस अमेरिकी राज्यों ने अलग-अलग सीमाओं और आवश्यकताओं के साथ व्यापक गोपनीयता कानून बनाए हैं। बहु-राज्य अनुपालन करने वाली कंपनियों को कैलिफोर्निया के साथ-साथ वर्जीनिया (वीसीडीपीए), कोलोराडो (सीपीए), कनेक्टिकट (सीटीडीपीए), टेक्सास (टीडीपीएसए) और अन्य का आकलन करना चाहिए।

---

व्यक्तिगत जानकारी और संवेदनशील व्यक्तिगत जानकारी

सीसीपीए/सीपीआरए के तहत व्यक्तिगत जानकारी (पीआई) का मतलब ऐसी जानकारी है जो किसी विशेष उपभोक्ता या घर की पहचान करती है, उससे संबंधित है, वर्णन करती है, उसके साथ जुड़ने में सक्षम है, या उचित रूप से उससे जुड़ी हो सकती है। यह पुराने अमेरिकी कानूनों के तहत "व्यक्तिगत रूप से पहचान योग्य जानकारी" (पीआईआई) से काफी व्यापक है।

स्पष्ट रूप से शामिल श्रेणियाँ शामिल हैं:

• पहचानकर्ता (नाम, ईमेल, फोन, आईपी पता, खाता नाम, एसएसएन, ड्राइवर का लाइसेंस नंबर)
• वाणिज्यिक जानकारी (खरीदे गए उत्पादों/सेवाओं का रिकॉर्ड, ब्राउज़िंग/खरीद इतिहास)
• बायोमेट्रिक जानकारी
• इंटरनेट या अन्य इलेक्ट्रॉनिक नेटवर्क गतिविधि (ब्राउज़िंग इतिहास, खोज इतिहास, वेबसाइटों के साथ बातचीत)
• जियोलोकेशन डेटा
• पेशेवर या रोजगार संबंधी जानकारी
• शिक्षा संबंधी जानकारी
• उपभोक्ता प्रोफाइल बनाने के लिए उपरोक्त में से किसी से निष्कर्ष निकाला गया

संवेदनशील व्यक्तिगत जानकारी (एसपीआई) - एक सीपीआरए अतिरिक्त - इसमें पीआई का एक सबसेट शामिल है जिसके लिए उच्च सुरक्षा की आवश्यकता होती है:

• सामाजिक सुरक्षा, ड्राइवर का लाइसेंस, राज्य आईडी, या पासपोर्ट नंबर
• खाता लॉग-इन क्रेडेंशियल (उपयोगकर्ता नाम/ईमेल + पासवर्ड या सुरक्षा प्रश्न)
• वित्तीय खाते की जानकारी + एक्सेस कोड
• सटीक भौगोलिक स्थान (एक मील के 1/8 के भीतर)
• नस्लीय या जातीय मूल
• धार्मिक या दार्शनिक मान्यताएँ
• संघ की सदस्यता
• मेल, ईमेल या टेक्स्ट संदेश सामग्री (जब तक कि व्यवसाय इच्छित प्राप्तकर्ता न हो)
• आनुवंशिक डेटा
• स्वास्थ्य या चिकित्सा स्थिति डेटा
• यौन रुझान या यौन जीवन
• विशिष्ट पहचान के लिए बायोमेट्रिक जानकारी

एसपीआई के लिए, उपभोक्ताओं के पास उपयोग सीमित करने का अतिरिक्त अधिकार है - व्यवसाय अनुरोधित उत्पाद या सेवा (साथ ही सीमित अतिरिक्त उद्देश्य) प्रदान करने के लिए आवश्यक से अधिक एसपीआई का उपयोग नहीं कर सकते हैं, जब तक कि उपभोक्ता ने व्यापक उपयोग का विकल्प नहीं चुना हो।

---

सीपीआरए के तहत उपभोक्ता अधिकार

सीपीआरए ने सीसीपीए के पांच उपभोक्ता अधिकारों को बढ़ाकर ग्यारह कर दिया। व्यवसायों के पास प्रत्येक को पूरा करने के लिए दस्तावेज़ीकृत प्रक्रियाएँ होनी चाहिए:

सत्यापन आवश्यकताएँ: उपभोक्ता अनुरोधों का जवाब देने से पहले, आपको "उचित रूप से सुरक्षित" विधि का उपयोग करके अनुरोधकर्ता की पहचान सत्यापित करनी होगी। ऑनलाइन अनुरोधों के लिए, ईमेल पता + अन्य पहचानकर्ता का मिलान आम तौर पर पर्याप्त होता है। आप उपभोक्ताओं से केवल अनुरोध सबमिट करने के लिए खाते बनाने की अपेक्षा नहीं कर सकते। पीआई के विशिष्ट टुकड़ों के लिए असत्यापित अनुरोधों को केवल श्रेणियों के लिए अनुरोध के रूप में माना जाना चाहिए।

प्राधिकृत एजेंट: उपभोक्ता अपनी ओर से अनुरोध प्रस्तुत करने के लिए अधिकृत एजेंटों को नामित कर सकते हैं। आपको एजेंट से उपभोक्ता के हस्ताक्षरित प्राधिकरण का प्रमाण देने की आवश्यकता हो सकती है।

---

गोपनीयता सूचना आवश्यकताएँ

संग्रहण के समय या उससे पहले: व्यवसायों को उपभोक्ताओं को इस बारे में सूचित करना चाहिए कि पीआई क्या एकत्र किया गया है और संग्रह के समय या उससे पहले किस उद्देश्य के लिए एकत्र किया गया है। यह सभी संग्रह बिंदुओं पर लागू होता है: वेबसाइट फॉर्म, मोबाइल ऐप, बिक्री बिंदु, चैटबॉट और डेटा ब्रोकर खरीदारी।

गोपनीयता नीति आवश्यकताएँ (कम से कम हर 12 महीने में अपडेट करें):

• पिछले 12 महीनों में एकत्र की गई पीआई की श्रेणियाँ
• जिन उद्देश्यों के लिए पीआई का उपयोग किया जाता है
• पिछले 12 महीनों में बेची या साझा की गई पीआई की श्रेणियां
• तीसरे पक्षों की श्रेणियाँ जिनके लिए पीआई का खुलासा किया गया है
• स्रोतों की श्रेणियाँ जिनसे पीआई एकत्र किया जाता है
• उपभोक्ता अधिकार और उनका प्रयोग कैसे करें
• अनुरोध सबमिट करने के लिए संपर्क जानकारी
• क्या पीआई बेचा या साझा किया गया है, और कैसे बाहर निकलें
• क्या एसपीआई को उत्पाद/सेवा प्रदान करने के अलावा अन्य उद्देश्यों के लिए संसाधित किया जाता है
• पीआई की प्रत्येक श्रेणी के लिए अवधारण अवधि (या अवधारण निर्धारित करने के लिए प्रयुक्त मानदंड)

"मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक: आपके होमपेज पर और आपकी गोपनीयता नीति में एक स्पष्ट और विशिष्ट लिंक होना चाहिए। यदि लिंक आपकी साइट पर साझा किए गए फ़ुटर या नेविगेशन क्षेत्र में है, तो यह योग्य है। लिंक को एक ऐसे पृष्ठ पर ले जाना चाहिए जहां उपभोक्ता एक ही चरण में विकल्प चुन सकते हैं (बहु-चरणीय रूपों में छिपे नहीं)।

"मेरी संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करें" लिंक: यदि आप अनुरोधित उत्पाद या सेवा प्रदान करने के लिए आवश्यक से अधिक एसपीआई संसाधित करते हैं तो यह आवश्यक है। एक अलग लिंक हो सकता है या डू नॉट सेल/शेयर लिंक के साथ जोड़ा जा सकता है।

ऑप्ट-आउट प्राथमिकता सिग्नल (जीपीसी): व्यवसायों को वैश्विक गोपनीयता नियंत्रण (जीपीसी) सिग्नल का सम्मान करना चाहिए - एक ब्राउज़र-स्तरीय सेटिंग जिसे उपभोक्ता बिक्री और साझाकरण से ऑप्ट-आउट करने का संकेत देने के लिए सक्रिय कर सकते हैं। कई गोपनीयता-केंद्रित ब्राउज़र मूल रूप से GPC का समर्थन करते हैं। आपकी वेबसाइट को GPC संकेतों का पता लगाना चाहिए और उनका सम्मान करना चाहिए। सीपीपीए ने विशेष रूप से जीपीसी का सम्मान करने में विफल रहने के लिए कंपनियों का हवाला दिया है।

---

व्यक्तिगत जानकारी की बिक्री और साझाकरण

सीसीपीए/सीपीआरए के तहत "बिक्री" का अर्थ है मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए किसी अन्य व्यवसाय या तीसरे पक्ष को व्यक्तिगत जानकारी का खुलासा करना या उपलब्ध कराना। यह "डेटा बेचने" की सामान्य समझ से अधिक व्यापक है।

सीपीआरए के तहत "शेयरिंग" मौद्रिक विचार के बिना भी क्रॉस-संदर्भ व्यवहार संबंधी विज्ञापन जोड़ता है - विशेष रूप से विभिन्न वेबसाइटों या सेवाओं पर उपभोक्ता की ब्राउज़िंग के आधार पर विज्ञापन को लक्षित करना।

व्यवहार में, निम्नलिखित सामान्य प्रथाओं में बिक्री या साझाकरण की संभावना होती है:

• डेटा ब्रोकरों के साथ पीआई साझा करना
• तृतीय-पक्ष विज्ञापन पिक्सेल (विज्ञापन मोड में मेटा पिक्सेल, Google Analytics 4) का उपयोग करना जो लक्ष्यीकरण के लिए उपयोगकर्ता डेटा को प्लेटफ़ॉर्म पर भेजता है
• समान दर्शकों के लिए विज्ञापन नेटवर्क के साथ ग्राहक सूची साझा करना
• वास्तविक समय बोली पारिस्थितिकी तंत्र में भाग लेना

नाबालिगों के लिए सहमति आवश्यकताएँ:

• आयु 13-15: अपना पीआई बेचने/साझा करने से पहले ऑप्ट-इन करना आवश्यक है
• 13 वर्ष से कम: माता-पिता/अभिभावक का ऑप्ट-इन आवश्यक (COPPA भी लागू होता है)

सेवा प्रदाता बनाम तृतीय पक्ष: एक अनुपालन सेवा प्रदाता अनुबंध के तहत सेवा प्रदाता को बताई गई पीआई (इसके उपयोग को आपको सेवाएं प्रदान करने तक सीमित करना) नहीं "बिक्री" है। पीआई का खुलासा तीसरे पक्ष को किया गया है जो इसे अपने उद्देश्यों (विज्ञापन प्लेटफॉर्म, डेटा ब्रोकर) के लिए उपयोग कर सकता है, यह एक "बिक्री" या "साझाकरण" है। यह अंतर आपके डेटा-शेयरिंग आर्किटेक्चर के लिए महत्वपूर्ण है।

सेवा प्रदाता अनुबंध आवश्यकताएँ: सेवा प्रदाता से यह अपेक्षित होना चाहिए:

• पीआई प्राप्त होने पर उसे बेचें या साझा न करें
• सेवा संदर्भ के बाहर पीआई को बनाए न रखें, उपयोग न करें या प्रकट न करें
• लागू सीपीआरए आवश्यकताओं का अनुपालन करें
• व्यवसाय को ऑडिट का अधिकार प्रदान करें

---

डेटा न्यूनतमकरण और उद्देश्य सीमा (सीपीआरए)

सीपीआरए ने स्पष्ट डेटा न्यूनीकरण आवश्यकताओं की शुरुआत की - व्यवसाय बताए गए उद्देश्यों को प्राप्त करने के लिए पीआई को केवल उचित रूप से आवश्यक और आनुपातिक के रूप में एकत्र, उपयोग, बनाए रख और साझा कर सकते हैं। यह सीसीपीए के प्रकटीकरण-केंद्रित दृष्टिकोण से एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करता है।

कार्यान्वयन निहितार्थ:

• प्रत्येक डेटा संग्रह बिंदु का ऑडिट करें और प्रकट उद्देश्यों के लिए उपयोग नहीं किए गए पीआई के संग्रह को समाप्त करें
• एकत्रित प्रत्येक पीआई श्रेणी के लिए व्यावसायिक उद्देश्य का दस्तावेजीकरण करें
• अवधारण शेड्यूल कॉन्फ़िगर करें: जब बताए गए उद्देश्यों के लिए आवश्यक न रह जाए तो पीआई को हटा दिया जाना चाहिए या उसकी पहचान रद्द कर दी जानी चाहिए
• उपभोक्ता की सहमति के बिना मूल संग्रह उद्देश्य के साथ असंगत उद्देश्यों के लिए पीआई के द्वितीयक उपयोग से बचें

प्रतिधारण प्रकटीकरण: गोपनीयता नीतियों को पीआई की प्रत्येक श्रेणी के लिए प्रतिधारण निर्धारित करने के लिए प्रतिधारण अवधि या मानदंड का खुलासा करना चाहिए। उम्मीद है कि सीपीपीए अधिक विशिष्ट मार्गदर्शन के साथ नियम जारी करेगा। अभी के लिए, प्रत्येक पीआई श्रेणी के लिए एक उचित व्यवसाय-उचित अवधारण अवधि का दस्तावेजीकरण करें।

---

डेटा सुरक्षा आकलन और जोखिम प्रबंधन

सीपीआरए को उपभोक्ताओं के लिए महत्वपूर्ण जोखिम पेश करने वाली प्रसंस्करण गतिविधियों को लागू करने से पहले व्यवसायों को जोखिम मूल्यांकन (डेटा सुरक्षा आकलन कहा जाता है) आयोजित करने की आवश्यकता होती है। सीपीपीए ऐसे नियम विकसित कर रहा है जो निर्दिष्ट करते हैं कि कौन सी गतिविधियाँ मूल्यांकन आवश्यकताओं को ट्रिगर करती हैं, लेकिन कानून पहले से ही श्रेणियों की पहचान करता है जिनमें शामिल हैं:

• पीआई बेचना या साझा करना
• प्रसंस्करण एसपीआई
• प्रोफ़ाइलिंग जो महत्वपूर्ण जोखिम प्रस्तुत करती है
• नाबालिगों की पीआई प्रसंस्करण
• पीआई का ऐसे तरीकों से उपयोग करना जिससे नुकसान का महत्वपूर्ण जोखिम हो

अपने आकलन का दस्तावेजीकरण करें और रिकॉर्ड बनाए रखें। मूल्यांकन में निम्नलिखित की पहचान होनी चाहिए: प्रसंस्करण का उद्देश्य, शामिल पीआई, उपभोक्ताओं के लिए संभावित जोखिम और उन जोखिमों को कम करने के लिए लागू किए गए सुरक्षा उपाय।

---

सीपीपीए प्रवर्तन और दंड

कैलिफ़ोर्निया गोपनीयता सुरक्षा एजेंसी (CPPA) संयुक्त राज्य अमेरिका में पहली समर्पित गोपनीयता प्रवर्तन निकाय के रूप में 2023 में पूरी तरह से चालू हो गई। सीपीपीए के पास जांच करने, प्रशासनिक सुनवाई करने और नागरिक दंड लगाने का अधिकार है:

सीपीपीए प्रति उल्लंघन जुर्माना लागू करता है - जिसका अर्थ है कि प्रत्येक उपभोक्ता जिसके अधिकारों का उल्लंघन किया गया है वह एक अलग उल्लंघन का प्रतिनिधित्व करता है। 100,000 उपभोक्ताओं को प्रभावित करने वाले डेटा उल्लंघन के परिणामस्वरूप सैद्धांतिक रूप से $750 मिलियन का जुर्माना (100,000 × $7,500) हो सकता है। प्रारंभिक सीपीपीए प्रवर्तन ने व्यवस्थित गैर-अनुपालन वाले बड़े व्यवसायों पर ध्यान केंद्रित किया है।

कार्रवाई का निजी अधिकार: सीसीपीए धारा 1798.150 के तहत, उपभोक्ताओं के पास उचित सुरक्षा उपायों को लागू करने में व्यवसाय की विफलता के परिणामस्वरूप गैर-एन्क्रिप्टेड या गैर-संशोधित व्यक्तिगत जानकारी से जुड़े डेटा उल्लंघनों के लिए कार्रवाई का सीमित निजी अधिकार है। वैधानिक क्षति: $100-$750 प्रति उपभोक्ता प्रति घटना, या अधिक होने पर वास्तविक क्षति।

---

सीसीपीए/सीपीआरए अनुपालन चेकलिस्ट

• प्रयोज्यता सीमा विश्लेषण पूरा हुआ
• पीआई और एसपीआई इन्वेंट्री सभी प्रणालियों और संग्रह बिंदुओं पर पूरी हो गई है
• गोपनीयता नीति को सभी आवश्यक खुलासों के साथ अद्यतन किया गया (12-महीने की समीक्षा)
• होमपेज पर "मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक
• यदि लागू हो तो "मेरी संवेदनशील व्यक्तिगत जानकारी का उपयोग सीमित करें" लिंक
• वैश्विक गोपनीयता नियंत्रण (जीपीसी) का पता लगाना और उसका सम्मान करना लागू किया गया
• उपभोक्ता अनुरोध प्रवेश प्रक्रिया स्थापित (वेब फॉर्म + टोल-फ्री नंबर)
• पहचान सत्यापन प्रक्रिया प्रलेखित
• सभी 11 उपभोक्ता अधिकारों के लिए प्रतिक्रिया वर्कफ़्लो का दस्तावेजीकरण और परीक्षण किया गया
• सभी अनुरोधों के लिए 45-दिन की प्रतिक्रिया समयरेखा को ट्रैक और प्रलेखित किया गया
• सेवा प्रदाता अनुबंधों की समीक्षा की गई और सीपीआरए-आवश्यक प्रावधानों के साथ अद्यतन किया गया
• तृतीय-पक्ष डेटा साझाकरण का ऑडिट किया गया (प्रत्येक प्राप्तकर्ता के लिए बिक्री/साझाकरण निर्धारण)
• डेटा न्यूनतमकरण ऑडिट पूरा हुआ - अनावश्यक पीआई संग्रह समाप्त हो गया
• अवधारण अवधि का दस्तावेजीकरण किया गया और स्वचालित विलोपन कॉन्फ़िगर किया गया
• उपभोक्ता अधिकार प्रतिक्रिया प्रक्रियाओं पर कर्मचारी प्रशिक्षण पूरा हुआ
• उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए डेटा सुरक्षा मूल्यांकन आयोजित किया गया
• यदि नाबालिगों की पीआई एकत्र की जाती है तो लघु सहमति तंत्र लागू किया जाता है

---

अक्सर पूछे जाने वाले प्रश्न

क्या सीसीपीए/सीपीआरए कर्मचारी डेटा पर लागू होता है?

हाँ, 1 जनवरी 2023 से, जब सीपीआरए प्रभावी हो गया। बी2बी और कर्मचारी डेटा के लिए अस्थायी सीसीपीए छूट समाप्त हो गई है। कैलिफ़ोर्निया के कर्मचारियों (और नौकरी आवेदकों, ठेकेदारों और निदेशकों) के पास अब सीसीपीए/सीपीआरए के तहत उपभोक्ताओं के समान ही उनकी व्यक्तिगत जानकारी के संबंध में अधिकार हैं। इसका मतलब है कि कैलिफोर्निया में नियोक्ताओं को कर्मचारियों के लिए गोपनीयता नोटिस अपडेट करना होगा, रोजगार पीआई के लिए अधिकार पूर्ति प्रक्रियाएं स्थापित करनी होंगी और एचआर सिस्टम डेटा प्रथाओं की समीक्षा करनी होगी।

सीपीआरए के तहत "बिक्री" और "साझाकरण" के बीच क्या अंतर है?

"बिक्री" में मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए पीआई का खुलासा करना शामिल है - भुगतान कुछ भी मूल्य का हो सकता है, जिसमें डेटा विनिमय व्यवस्था भी शामिल है। "शेयरिंग" सीपीआरए द्वारा जोड़ा गया था और विशेष रूप से क्रॉस-संदर्भ व्यवहार विज्ञापन को कवर करता है जहां पीआई को विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है, यहां तक ​​कि मौद्रिक विचार के बिना भी। व्यावहारिक प्रभाव: लक्ष्यीकरण के लिए विज्ञापन प्लेटफ़ॉर्म के साथ उपयोगकर्ता डेटा साझा करना (भले ही आप उन्हें भुगतान करें, विपरीत नहीं) सीपीआरए के तहत "साझा करना" है और ऑप्ट-आउट अधिकारों को ट्रिगर करता है।

क्या कुकीज़ और ट्रैकिंग प्रौद्योगिकियां सीसीपीए/सीपीआरए के अधीन हैं?

हां, जहां वे व्यक्तिगत जानकारी एकत्र करते हैं (आईपी पते जैसे ऑनलाइन पहचानकर्ताओं सहित) और जहां परिणामी डेटा विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है। कई सामान्य प्रथाएँ - विज्ञापन सुविधाओं के साथ Google Analytics, मेटा पिक्सेल, प्रोग्रामेटिक विज्ञापन टैग - विज्ञापन प्लेटफार्मों के साथ पीआई के "साझाकरण" का गठन करती हैं, जिससे ऑप्ट-आउट आवश्यकताओं को ट्रिगर किया जाता है। ऑप्ट-आउट संकेतों की सहमति और सम्मान को प्रबंधित करने के लिए एक कुकी सहमति प्रबंधन मंच (वनट्रस्ट, ओसानो, कुकीबॉट) लागू करें।

सीपीआरए की "संवेदनशील व्यक्तिगत जानकारी" जीडीपीआर की "विशेष श्रेणियों" से कैसे भिन्न है?

दोनों बढ़ी हुई सुरक्षा की गारंटी देने वाली जानकारी की श्रेणियों की पहचान करते हैं, लेकिन वे सामग्री और उपचार में भिन्न हैं। जीडीपीआर की विशेष श्रेणियां (अनुच्छेद 9) स्पष्ट सहमति या विशिष्ट अनुच्छेद 9 अपवाद के बिना प्रसंस्करण पर रोक लगाती हैं - यह लगभग निषेध है। सीपीआरए का एसपीआई सीमा का अधिकार बनाता है - उपभोक्ता अनुरोधित उत्पाद/सेवा प्रदान करने के लिए उपयोग को प्रतिबंधित कर सकते हैं, लेकिन व्यवसाय अभी भी व्यापक उद्देश्यों के लिए उपभोक्ता की सहमति से एसपीआई को संसाधित कर सकते हैं। सीपीआरए की एसपीआई सूची में विशेष रूप से लॉगिन क्रेडेंशियल और सटीक जियोलोकेशन शामिल हैं, जो जीडीपीआर की विशेष श्रेणियों में नहीं हैं।

सीपीआरए के तहत "सेवा प्रदाता" बनाम "ठेकेदार" बनाम "तीसरे पक्ष" क्या हैं?

सीपीआरए ने "ठेकेदारों" को एक श्रेणी के रूप में जोड़ा। सेवा प्रदाताओं को एक अनुबंध के तहत आपकी ओर से सेवा प्रदान करने के लिए पीआई प्राप्त होता है जो उन्हें अपने स्वयं के उद्देश्यों के लिए पीआई का उपयोग करने से रोकता है। ठेकेदार ऐसे व्यवसाय हैं जो अनुबंध के तहत व्यावसायिक उद्देश्यों के लिए पीआई प्राप्त करते हैं - सेवा प्रदाताओं के समान लेकिन अनुबंध की आवश्यकताएं थोड़ी भिन्न होती हैं। तीसरे पक्ष पीआई प्राप्त करते हैं और इसे अपने उद्देश्यों के लिए उपयोग कर सकते हैं - किसी तीसरे पक्ष को कोई भी प्रकटीकरण संभावित रूप से "बिक्री" या "साझाकरण" है जो ऑप्ट-आउट दायित्वों को ट्रिगर करता है। अपने डेटा-साझाकरण संबंधों को सेवा प्रदाता या ठेकेदार संबंधों (उचित अनुबंधों के साथ) के रूप में संरचित करने से "बिक्री" के रूप में वर्गीकरण से बचा जाता है।

---

अगले चरण

सीसीपीए/सीपीआरए अनुपालन एक चालू कार्यक्रम है, न कि एक बार की परियोजना। जैसे ही सीपीपीए नए नियम जारी करता है (2025-2026 में स्वचालित निर्णय लेने के नियम अपेक्षित हैं), अनुपालन आवश्यकताएं विकसित होंगी। एक स्केलेबल गोपनीयता संचालन कार्यक्रम का निर्माण - स्वचालित उपभोक्ता अधिकार पूर्ति, डेटा मैपिंग और सहमति प्रबंधन के साथ - टिकाऊ मार्ग है।

ECOSIRE व्यवसायों को उनके CCPA/CPRA दायित्वों का आकलन करने, उनके डिजिटल प्लेटफ़ॉर्म में तकनीकी अनुपालन उपायों को लागू करने और गोपनीयता संचालन वर्कफ़्लो स्थापित करने में मदद करता है।

आरंभ करें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सीसीपीए/सीपीआरए आवश्यकताएं जटिल हैं और इन्हें विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से अक्सर अद्यतन किया जाता है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कानूनी परामर्शदाता से परामर्श लें।