हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंसीसीपीए/सीपीआरए अनुपालन: व्यवसायों के लिए कैलिफोर्निया गोपनीयता गाइड
कैलिफ़ोर्निया के गोपनीयता कानून संयुक्त राज्य अमेरिका में सबसे व्यापक हैं - और वे दुनिया भर के उन व्यवसायों पर लागू होते हैं जो विशिष्ट सीमाओं को पूरा करते हैं। कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA, 1 जनवरी, 2020 से प्रभावी) को कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA, 1 जनवरी, 2023 से प्रभावी) द्वारा महत्वपूर्ण रूप से विस्तारित किया गया, जिसने एक समर्पित प्रवर्तन एजेंसी बनाई, नए उपभोक्ता अधिकार पेश किए, और "संवेदनशील व्यक्तिगत जानकारी" को संभालने वाले व्यवसायों के लिए अनुपालन दायित्वों को बढ़ाया। कैलिफ़ोर्निया प्राइवेसी प्रोटेक्शन एजेंसी (सीपीपीए) अब सक्रिय है और सक्रिय रूप से उल्लंघनों की जांच कर रही है, प्रवर्तन जोखिम वास्तविक और बढ़ रहा है।
यह मार्गदर्शिका सीसीपीए/सीपीआरए अनुपालन को प्राप्त करने और बनाए रखने के लिए व्यवसायों को जानने के लिए आवश्यक सभी चीज़ों को शामिल करती है: दायरा सीमाएँ, उपभोक्ता अधिकार, आवश्यक प्रकटीकरण, ऑप्ट-आउट यांत्रिकी, डेटा न्यूनतमकरण दायित्व और सीपीपीए का प्रवर्तन दृष्टिकोण।
मुख्य बातें
- सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो तीन सीमाओं में से किसी एक को पूरा करते हैं - राजस्व, डेटा वॉल्यूम, या डेटा शेयरिंग से राजस्व।
- सीपीआरए के तहत उपभोक्ताओं के पास 11 विशिष्ट अधिकार हैं जिनमें सही करने का अधिकार और संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करने का अधिकार शामिल है
- "बेचें या साझा न करें" ऑप्ट-आउट आपके होमपेज पर एक एकल, स्पष्ट रूप से दिखाई देने वाला लिंक होना चाहिए
- संवेदनशील व्यक्तिगत जानकारी (एसपीआई) प्रसंस्करण को सीमित करने के अधिकार सहित अतिरिक्त दायित्वों को ट्रिगर करती है
- CPPA प्रवर्तन 2023 में सक्रिय हो गया और प्रति जानबूझकर उल्लंघन पर $7,500 तक का जुर्माना लगाया गया
- व्यवसायों को उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए वार्षिक डेटा सुरक्षा मूल्यांकन करना चाहिए
- सेवा प्रदाता अनुबंधों को डाउनस्ट्रीम व्यक्तिगत जानकारी के उपयोग को प्रतिबंधित करना चाहिए
- प्रतिधारण अवधि का खुलासा किया जाना चाहिए और जब बताए गए उद्देश्यों के लिए आवश्यकता न हो तो डेटा हटा दिया जाना चाहिए
सीसीपीए/सीपीआरए प्रयोज्यता सीमाएँ
सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो कैलिफोर्निया के उपभोक्ताओं की व्यक्तिगत जानकारी एकत्र करते हैं और निम्नलिखित में से किसी एक को पूरा करते हैं:
- वार्षिक सकल राजस्व $25 मिलियन से अधिक (पिछले कैलेंडर वर्ष में)
- हर साल 100,000+ उपभोक्ताओं या परिवारों की व्यक्तिगत जानकारी खरीदता है, बेचता है, प्राप्त करता है या साझा करता है (सीपीआरए ने मूल सीसीपीए सीमा 50,000 से कम कर दी है)
- उपभोक्ताओं की व्यक्तिगत जानकारी बेचने या साझा करने से 50% या अधिक वार्षिक राजस्व प्राप्त होता है
भौगोलिक दायरा: कानून इस आधार पर लागू होता है कि उपभोक्ता कहां रहते हैं, न कि जहां आपका व्यवसाय स्थापित है। कैलिफ़ोर्निया के ग्राहकों से 30 मिलियन डॉलर वार्षिक राजस्व अर्जित करने वाली पाकिस्तानी सॉफ़्टवेयर कंपनी को इसका अनुपालन करना होगा।
छूट: रोजगार डेटा (बी2बी कर्मचारी डेटा) को अस्थायी सीसीपीए छूट प्राप्त हुई जो सीपीआरए के तहत 1 जनवरी, 2023 को समाप्त हो गई। B2B संपर्क जानकारी छूट भी समाप्त हो गई। कई वित्तीय संस्थान ग्राम-लीच-ब्लिली अधिनियम के तहत आंशिक रूप से छूट देते हैं; HIPAA द्वारा कवर किए गए स्वास्थ्य डेटा का अलग उपचार है।
अन्य अमेरिकी राज्य कानूनों पर ध्यान दें: जबकि यह मार्गदर्शिका सीसीपीए/सीपीआरए पर केंद्रित है, 2025 तक, उन्नीस अमेरिकी राज्यों ने अलग-अलग सीमाओं और आवश्यकताओं के साथ व्यापक गोपनीयता कानून बनाए हैं। बहु-राज्य अनुपालन करने वाली कंपनियों को कैलिफोर्निया के साथ-साथ वर्जीनिया (वीसीडीपीए), कोलोराडो (सीपीए), कनेक्टिकट (सीटीडीपीए), टेक्सास (टीडीपीएसए) और अन्य का आकलन करना चाहिए।
व्यक्तिगत जानकारी और संवेदनशील व्यक्तिगत जानकारी
सीसीपीए/सीपीआरए के तहत व्यक्तिगत जानकारी (पीआई) का मतलब ऐसी जानकारी है जो किसी विशेष उपभोक्ता या घर की पहचान करती है, उससे संबंधित है, वर्णन करती है, उसके साथ जुड़ने में सक्षम है, या उचित रूप से उससे जुड़ी हो सकती है। यह पुराने अमेरिकी कानूनों के तहत "व्यक्तिगत रूप से पहचान योग्य जानकारी" (पीआईआई) से काफी व्यापक है।
स्पष्ट रूप से शामिल श्रेणियाँ शामिल हैं:
- पहचानकर्ता (नाम, ईमेल, फोन, आईपी पता, खाता नाम, एसएसएन, ड्राइवर का लाइसेंस नंबर)
- वाणिज्यिक जानकारी (खरीदे गए उत्पादों/सेवाओं का रिकॉर्ड, ब्राउज़िंग/खरीद इतिहास)
- बायोमेट्रिक जानकारी
- इंटरनेट या अन्य इलेक्ट्रॉनिक नेटवर्क गतिविधि (ब्राउज़िंग इतिहास, खोज इतिहास, वेबसाइटों के साथ बातचीत)
- जियोलोकेशन डेटा
- पेशेवर या रोजगार संबंधी जानकारी
- शिक्षा संबंधी जानकारी
- उपभोक्ता प्रोफाइल बनाने के लिए उपरोक्त में से किसी से निष्कर्ष निकाला गया
संवेदनशील व्यक्तिगत जानकारी (एसपीआई) - एक सीपीआरए अतिरिक्त - इसमें पीआई का एक सबसेट शामिल है जिसके लिए उच्च सुरक्षा की आवश्यकता होती है:
- सामाजिक सुरक्षा, ड्राइवर का लाइसेंस, राज्य आईडी, या पासपोर्ट नंबर
- खाता लॉग-इन क्रेडेंशियल (उपयोगकर्ता नाम/ईमेल + पासवर्ड या सुरक्षा प्रश्न)
- वित्तीय खाते की जानकारी + एक्सेस कोड
- सटीक भौगोलिक स्थान (एक मील के 1/8 के भीतर)
- नस्लीय या जातीय मूल
- धार्मिक या दार्शनिक मान्यताएँ
- संघ की सदस्यता
- मेल, ईमेल या टेक्स्ट संदेश सामग्री (जब तक कि व्यवसाय इच्छित प्राप्तकर्ता न हो)
- आनुवंशिक डेटा
- स्वास्थ्य या चिकित्सा स्थिति डेटा
- यौन रुझान या यौन जीवन
- विशिष्ट पहचान के लिए बायोमेट्रिक जानकारी
एसपीआई के लिए, उपभोक्ताओं के पास उपयोग सीमित करने का अतिरिक्त अधिकार है - व्यवसाय अनुरोधित उत्पाद या सेवा (साथ ही सीमित अतिरिक्त उद्देश्य) प्रदान करने के लिए आवश्यक से अधिक एसपीआई का उपयोग नहीं कर सकते हैं, जब तक कि उपभोक्ता ने व्यापक उपयोग का विकल्प नहीं चुना हो।
सीपीआरए के तहत उपभोक्ता अधिकार
सीपीआरए ने सीसीपीए के पांच उपभोक्ता अधिकारों को बढ़ाकर ग्यारह कर दिया। व्यवसायों के पास प्रत्येक को पूरा करने के लिए दस्तावेज़ीकृत प्रक्रियाएँ होनी चाहिए:
| सही है | प्रतिक्रिया समयरेखा | नोट्स |
|---|---|---|
| जानने का अधिकार (श्रेणियाँ) | 45 दिन (45 दिन और बढ़ाया जा सकता है) | गोपनीयता नीति में एकत्रित श्रेणियों और उद्देश्यों का खुलासा करें |
| जानने का अधिकार (विशिष्ट अंश) | 45 दिन (विस्तार योग्य) | व्यक्ति के बारे में एकत्रित विशिष्ट पीआई प्रदान करें |
| हटाने का अधिकार | 45 दिन (विस्तार योग्य) | सेवा प्रदाताओं और ठेकेदारों को कैस्केड विलोपन |
| सही करने का अधिकार | 45 दिन (विस्तार योग्य) | सीपीआरए के तहत नया - सही गलत पीआई |
| बिक्री/साझाकरण से ऑप्ट आउट करने का अधिकार | 15 व्यावसायिक दिनों के भीतर सम्मान | "बेचें या साझा न करें" लिंक लागू करें |
| एसपीआई उपयोग को सीमित करने का अधिकार | तुरंत सम्मान करें | यदि एसपीआई को गैर-आवश्यक उद्देश्यों के लिए संसाधित किया जाता है तो "मेरे संवेदनशील पीआई के उपयोग को सीमित करें" लिंक को लागू करें |
| भेदभाव न करने का अधिकार | तत्काल | अधिकारों का प्रयोग करने के लिए सेवा से इनकार नहीं कर सकते, अलग कीमत नहीं ले सकते, या घटिया सेवा प्रदान नहीं कर सकते |
| पोर्टेबिलिटी का अधिकार | 45 दिन (विस्तार योग्य) | आसानी से उपयोग करने योग्य प्रारूप में डेटा प्रदान करें |
| स्वचालित निर्णय लेने के बारे में जानने का अधिकार | नियम बनाने की आवश्यकता है | सीपीपीए विकासशील नियम |
| स्वचालित निर्णय लेने से बाहर निकलने का अधिकार | नियम बनाने की आवश्यकता है | सीपीपीए विकासशील नियम |
| पीआई को सही करने का अधिकार तीसरे पक्ष के साथ साझा किया गया | 45 दिन (विस्तार योग्य) | तृतीय पक्षों को सही करने का निर्देश दें |
सत्यापन आवश्यकताएँ: उपभोक्ता अनुरोधों का जवाब देने से पहले, आपको "उचित रूप से सुरक्षित" विधि का उपयोग करके अनुरोधकर्ता की पहचान सत्यापित करनी होगी। ऑनलाइन अनुरोधों के लिए, ईमेल पता + अन्य पहचानकर्ता का मिलान आम तौर पर पर्याप्त होता है। आप उपभोक्ताओं से केवल अनुरोध सबमिट करने के लिए खाते बनाने की अपेक्षा नहीं कर सकते। पीआई के विशिष्ट टुकड़ों के लिए असत्यापित अनुरोधों को केवल श्रेणियों के लिए अनुरोध के रूप में माना जाना चाहिए।
प्राधिकृत एजेंट: उपभोक्ता अपनी ओर से अनुरोध प्रस्तुत करने के लिए अधिकृत एजेंटों को नामित कर सकते हैं। आपको एजेंट से उपभोक्ता के हस्ताक्षरित प्राधिकरण का प्रमाण देने की आवश्यकता हो सकती है।
गोपनीयता सूचना आवश्यकताएँ
संग्रहण के समय या उससे पहले: व्यवसायों को उपभोक्ताओं को इस बारे में सूचित करना चाहिए कि पीआई क्या एकत्र किया गया है और संग्रह के समय या उससे पहले किस उद्देश्य के लिए एकत्र किया गया है। यह सभी संग्रह बिंदुओं पर लागू होता है: वेबसाइट फॉर्म, मोबाइल ऐप, बिक्री बिंदु, चैटबॉट और डेटा ब्रोकर खरीदारी।
गोपनीयता नीति आवश्यकताएँ (कम से कम हर 12 महीने में अपडेट करें):
- पिछले 12 महीनों में एकत्र की गई पीआई की श्रेणियाँ
- जिन उद्देश्यों के लिए पीआई का उपयोग किया जाता है
- पिछले 12 महीनों में बेची या साझा की गई पीआई की श्रेणियां
- तीसरे पक्षों की श्रेणियाँ जिनके लिए पीआई का खुलासा किया गया है
- स्रोतों की श्रेणियाँ जिनसे पीआई एकत्र किया जाता है
- उपभोक्ता अधिकार और उनका प्रयोग कैसे करें
- अनुरोध सबमिट करने के लिए संपर्क जानकारी
- क्या पीआई बेचा या साझा किया गया है, और कैसे बाहर निकलें
- क्या एसपीआई को उत्पाद/सेवा प्रदान करने के अलावा अन्य उद्देश्यों के लिए संसाधित किया जाता है
- पीआई की प्रत्येक श्रेणी के लिए अवधारण अवधि (या अवधारण निर्धारित करने के लिए प्रयुक्त मानदंड)
"मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक: आपके होमपेज पर और आपकी गोपनीयता नीति में एक स्पष्ट और विशिष्ट लिंक होना चाहिए। यदि लिंक आपकी साइट पर साझा किए गए फ़ुटर या नेविगेशन क्षेत्र में है, तो यह योग्य है। लिंक को एक ऐसे पृष्ठ पर ले जाना चाहिए जहां उपभोक्ता एक ही चरण में विकल्प चुन सकते हैं (बहु-चरणीय रूपों में छिपे नहीं)।
"मेरी संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करें" लिंक: यदि आप अनुरोधित उत्पाद या सेवा प्रदान करने के लिए आवश्यक से अधिक एसपीआई संसाधित करते हैं तो यह आवश्यक है। एक अलग लिंक हो सकता है या डू नॉट सेल/शेयर लिंक के साथ जोड़ा जा सकता है।
ऑप्ट-आउट प्राथमिकता सिग्नल (जीपीसी): व्यवसायों को वैश्विक गोपनीयता नियंत्रण (जीपीसी) सिग्नल का सम्मान करना चाहिए - एक ब्राउज़र-स्तरीय सेटिंग जिसे उपभोक्ता बिक्री और साझाकरण से ऑप्ट-आउट करने का संकेत देने के लिए सक्रिय कर सकते हैं। कई गोपनीयता-केंद्रित ब्राउज़र मूल रूप से GPC का समर्थन करते हैं। आपकी वेबसाइट को GPC संकेतों का पता लगाना चाहिए और उनका सम्मान करना चाहिए। सीपीपीए ने विशेष रूप से जीपीसी का सम्मान करने में विफल रहने के लिए कंपनियों का हवाला दिया है।
व्यक्तिगत जानकारी की बिक्री और साझाकरण
सीसीपीए/सीपीआरए के तहत "बिक्री" का अर्थ है मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए किसी अन्य व्यवसाय या तीसरे पक्ष को व्यक्तिगत जानकारी का खुलासा करना या उपलब्ध कराना। यह "डेटा बेचने" की सामान्य समझ से अधिक व्यापक है।
सीपीआरए के तहत "शेयरिंग" मौद्रिक विचार के बिना भी क्रॉस-संदर्भ व्यवहार संबंधी विज्ञापन जोड़ता है - विशेष रूप से विभिन्न वेबसाइटों या सेवाओं पर उपभोक्ता की ब्राउज़िंग के आधार पर विज्ञापन को लक्षित करना।
व्यवहार में, निम्नलिखित सामान्य प्रथाओं में बिक्री या साझाकरण की संभावना होती है:
- डेटा ब्रोकरों के साथ पीआई साझा करना
- तृतीय-पक्ष विज्ञापन पिक्सेल (विज्ञापन मोड में मेटा पिक्सेल, Google Analytics 4) का उपयोग करना जो लक्ष्यीकरण के लिए उपयोगकर्ता डेटा को प्लेटफ़ॉर्म पर भेजता है
- समान दर्शकों के लिए विज्ञापन नेटवर्क के साथ ग्राहक सूची साझा करना
- वास्तविक समय बोली पारिस्थितिकी तंत्र में भाग लेना
नाबालिगों के लिए सहमति आवश्यकताएँ:
- आयु 13-15: अपना पीआई बेचने/साझा करने से पहले ऑप्ट-इन करना आवश्यक है
- 13 वर्ष से कम: माता-पिता/अभिभावक का ऑप्ट-इन आवश्यक (COPPA भी लागू होता है)
सेवा प्रदाता बनाम तृतीय पक्ष: एक अनुपालन सेवा प्रदाता अनुबंध के तहत सेवा प्रदाता को बताई गई पीआई (इसके उपयोग को आपको सेवाएं प्रदान करने तक सीमित करना) नहीं "बिक्री" है। पीआई का खुलासा तीसरे पक्ष को किया गया है जो इसे अपने उद्देश्यों (विज्ञापन प्लेटफॉर्म, डेटा ब्रोकर) के लिए उपयोग कर सकता है, यह एक "बिक्री" या "साझाकरण" है। यह अंतर आपके डेटा-शेयरिंग आर्किटेक्चर के लिए महत्वपूर्ण है।
सेवा प्रदाता अनुबंध आवश्यकताएँ: सेवा प्रदाता से यह अपेक्षित होना चाहिए:
- पीआई प्राप्त होने पर उसे बेचें या साझा न करें
- सेवा संदर्भ के बाहर पीआई को बनाए न रखें, उपयोग न करें या प्रकट न करें
- लागू सीपीआरए आवश्यकताओं का अनुपालन करें
- व्यवसाय को ऑडिट का अधिकार प्रदान करें
डेटा न्यूनतमकरण और उद्देश्य सीमा (सीपीआरए)
सीपीआरए ने स्पष्ट डेटा न्यूनीकरण आवश्यकताओं की शुरुआत की - व्यवसाय बताए गए उद्देश्यों को प्राप्त करने के लिए पीआई को केवल उचित रूप से आवश्यक और आनुपातिक के रूप में एकत्र, उपयोग, बनाए रख और साझा कर सकते हैं। यह सीसीपीए के प्रकटीकरण-केंद्रित दृष्टिकोण से एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करता है।
कार्यान्वयन निहितार्थ:
- प्रत्येक डेटा संग्रह बिंदु का ऑडिट करें और प्रकट उद्देश्यों के लिए उपयोग नहीं किए गए पीआई के संग्रह को समाप्त करें
- एकत्रित प्रत्येक पीआई श्रेणी के लिए व्यावसायिक उद्देश्य का दस्तावेजीकरण करें
- अवधारण शेड्यूल कॉन्फ़िगर करें: जब बताए गए उद्देश्यों के लिए आवश्यक न रह जाए तो पीआई को हटा दिया जाना चाहिए या उसकी पहचान रद्द कर दी जानी चाहिए
- उपभोक्ता की सहमति के बिना मूल संग्रह उद्देश्य के साथ असंगत उद्देश्यों के लिए पीआई के द्वितीयक उपयोग से बचें
प्रतिधारण प्रकटीकरण: गोपनीयता नीतियों को पीआई की प्रत्येक श्रेणी के लिए प्रतिधारण निर्धारित करने के लिए प्रतिधारण अवधि या मानदंड का खुलासा करना चाहिए। उम्मीद है कि सीपीपीए अधिक विशिष्ट मार्गदर्शन के साथ नियम जारी करेगा। अभी के लिए, प्रत्येक पीआई श्रेणी के लिए एक उचित व्यवसाय-उचित अवधारण अवधि का दस्तावेजीकरण करें।
डेटा सुरक्षा आकलन और जोखिम प्रबंधन
सीपीआरए को उपभोक्ताओं के लिए महत्वपूर्ण जोखिम पेश करने वाली प्रसंस्करण गतिविधियों को लागू करने से पहले व्यवसायों को जोखिम मूल्यांकन (डेटा सुरक्षा आकलन कहा जाता है) आयोजित करने की आवश्यकता होती है। सीपीपीए ऐसे नियम विकसित कर रहा है जो निर्दिष्ट करते हैं कि कौन सी गतिविधियाँ मूल्यांकन आवश्यकताओं को ट्रिगर करती हैं, लेकिन कानून पहले से ही श्रेणियों की पहचान करता है जिनमें शामिल हैं:
- पीआई बेचना या साझा करना
- प्रसंस्करण एसपीआई
- प्रोफ़ाइलिंग जो महत्वपूर्ण जोखिम प्रस्तुत करती है
- नाबालिगों की पीआई प्रसंस्करण
- पीआई का ऐसे तरीकों से उपयोग करना जिससे नुकसान का महत्वपूर्ण जोखिम हो
अपने आकलन का दस्तावेजीकरण करें और रिकॉर्ड बनाए रखें। मूल्यांकन में निम्नलिखित की पहचान होनी चाहिए: प्रसंस्करण का उद्देश्य, शामिल पीआई, उपभोक्ताओं के लिए संभावित जोखिम और उन जोखिमों को कम करने के लिए लागू किए गए सुरक्षा उपाय।
सीपीपीए प्रवर्तन और दंड
कैलिफ़ोर्निया गोपनीयता सुरक्षा एजेंसी (CPPA) संयुक्त राज्य अमेरिका में पहली समर्पित गोपनीयता प्रवर्तन निकाय के रूप में 2023 में पूरी तरह से चालू हो गई। सीपीपीए के पास जांच करने, प्रशासनिक सुनवाई करने और नागरिक दंड लगाने का अधिकार है:
| उल्लंघन प्रकार | अधिकतम जुर्माना |
|---|---|
| अनजाने में उल्लंघन | प्रति उल्लंघन $2,500 |
| जानबूझकर उल्लंघन | प्रति उल्लंघन $7,500 |
| नाबालिग के डेटा से जुड़ा उल्लंघन | $7,500 प्रति उल्लंघन (प्रति उपभोक्ता) |
सीपीपीए प्रति उल्लंघन जुर्माना लागू करता है - जिसका अर्थ है कि प्रत्येक उपभोक्ता जिसके अधिकारों का उल्लंघन किया गया है वह एक अलग उल्लंघन का प्रतिनिधित्व करता है। 100,000 उपभोक्ताओं को प्रभावित करने वाले डेटा उल्लंघन के परिणामस्वरूप सैद्धांतिक रूप से $750 मिलियन का जुर्माना (100,000 × $7,500) हो सकता है। प्रारंभिक सीपीपीए प्रवर्तन ने व्यवस्थित गैर-अनुपालन वाले बड़े व्यवसायों पर ध्यान केंद्रित किया है।
कार्रवाई का निजी अधिकार: सीसीपीए धारा 1798.150 के तहत, उपभोक्ताओं के पास उचित सुरक्षा उपायों को लागू करने में व्यवसाय की विफलता के परिणामस्वरूप गैर-एन्क्रिप्टेड या गैर-संशोधित व्यक्तिगत जानकारी से जुड़े डेटा उल्लंघनों के लिए कार्रवाई का सीमित निजी अधिकार है। वैधानिक क्षति: $100-$750 प्रति उपभोक्ता प्रति घटना, या अधिक होने पर वास्तविक क्षति।
सीसीपीए/सीपीआरए अनुपालन चेकलिस्ट
- प्रयोज्यता सीमा विश्लेषण पूरा हुआ
- पीआई और एसपीआई इन्वेंट्री सभी प्रणालियों और संग्रह बिंदुओं पर पूरी हो गई है
- गोपनीयता नीति को सभी आवश्यक खुलासों के साथ अद्यतन किया गया (12-महीने की समीक्षा)
- होमपेज पर "मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक
- यदि लागू हो तो "मेरी संवेदनशील व्यक्तिगत जानकारी का उपयोग सीमित करें" लिंक
- वैश्विक गोपनीयता नियंत्रण (जीपीसी) का पता लगाना और उसका सम्मान करना लागू किया गया
- उपभोक्ता अनुरोध प्रवेश प्रक्रिया स्थापित (वेब फॉर्म + टोल-फ्री नंबर)
- पहचान सत्यापन प्रक्रिया प्रलेखित
- सभी 11 उपभोक्ता अधिकारों के लिए प्रतिक्रिया वर्कफ़्लो का दस्तावेजीकरण और परीक्षण किया गया
- सभी अनुरोधों के लिए 45-दिन की प्रतिक्रिया समयरेखा को ट्रैक और प्रलेखित किया गया
- सेवा प्रदाता अनुबंधों की समीक्षा की गई और सीपीआरए-आवश्यक प्रावधानों के साथ अद्यतन किया गया
- तृतीय-पक्ष डेटा साझाकरण का ऑडिट किया गया (प्रत्येक प्राप्तकर्ता के लिए बिक्री/साझाकरण निर्धारण)
- डेटा न्यूनतमकरण ऑडिट पूरा हुआ - अनावश्यक पीआई संग्रह समाप्त हो गया
- अवधारण अवधि का दस्तावेजीकरण किया गया और स्वचालित विलोपन कॉन्फ़िगर किया गया
- उपभोक्ता अधिकार प्रतिक्रिया प्रक्रियाओं पर कर्मचारी प्रशिक्षण पूरा हुआ
- उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए डेटा सुरक्षा मूल्यांकन आयोजित किया गया
- यदि नाबालिगों की पीआई एकत्र की जाती है तो लघु सहमति तंत्र लागू किया जाता है
अक्सर पूछे जाने वाले प्रश्न
क्या सीसीपीए/सीपीआरए कर्मचारी डेटा पर लागू होता है?
हाँ, 1 जनवरी 2023 से, जब सीपीआरए प्रभावी हो गया। बी2बी और कर्मचारी डेटा के लिए अस्थायी सीसीपीए छूट समाप्त हो गई है। कैलिफ़ोर्निया के कर्मचारियों (और नौकरी आवेदकों, ठेकेदारों और निदेशकों) के पास अब सीसीपीए/सीपीआरए के तहत उपभोक्ताओं के समान ही उनकी व्यक्तिगत जानकारी के संबंध में अधिकार हैं। इसका मतलब है कि कैलिफोर्निया में नियोक्ताओं को कर्मचारियों के लिए गोपनीयता नोटिस अपडेट करना होगा, रोजगार पीआई के लिए अधिकार पूर्ति प्रक्रियाएं स्थापित करनी होंगी और एचआर सिस्टम डेटा प्रथाओं की समीक्षा करनी होगी।
सीपीआरए के तहत "बिक्री" और "साझाकरण" के बीच क्या अंतर है?
"बिक्री" में मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए पीआई का खुलासा करना शामिल है - भुगतान कुछ भी मूल्य का हो सकता है, जिसमें डेटा विनिमय व्यवस्था भी शामिल है। "शेयरिंग" सीपीआरए द्वारा जोड़ा गया था और विशेष रूप से क्रॉस-संदर्भ व्यवहार विज्ञापन को कवर करता है जहां पीआई को विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है, यहां तक कि मौद्रिक विचार के बिना भी। व्यावहारिक प्रभाव: लक्ष्यीकरण के लिए विज्ञापन प्लेटफ़ॉर्म के साथ उपयोगकर्ता डेटा साझा करना (भले ही आप उन्हें भुगतान करें, विपरीत नहीं) सीपीआरए के तहत "साझा करना" है और ऑप्ट-आउट अधिकारों को ट्रिगर करता है।
क्या कुकीज़ और ट्रैकिंग प्रौद्योगिकियां सीसीपीए/सीपीआरए के अधीन हैं?
हां, जहां वे व्यक्तिगत जानकारी एकत्र करते हैं (आईपी पते जैसे ऑनलाइन पहचानकर्ताओं सहित) और जहां परिणामी डेटा विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है। कई सामान्य प्रथाएँ - विज्ञापन सुविधाओं के साथ Google Analytics, मेटा पिक्सेल, प्रोग्रामेटिक विज्ञापन टैग - विज्ञापन प्लेटफार्मों के साथ पीआई के "साझाकरण" का गठन करती हैं, जिससे ऑप्ट-आउट आवश्यकताओं को ट्रिगर किया जाता है। ऑप्ट-आउट संकेतों की सहमति और सम्मान को प्रबंधित करने के लिए एक कुकी सहमति प्रबंधन मंच (वनट्रस्ट, ओसानो, कुकीबॉट) लागू करें।
सीपीआरए की "संवेदनशील व्यक्तिगत जानकारी" जीडीपीआर की "विशेष श्रेणियों" से कैसे भिन्न है?
दोनों बढ़ी हुई सुरक्षा की गारंटी देने वाली जानकारी की श्रेणियों की पहचान करते हैं, लेकिन वे सामग्री और उपचार में भिन्न हैं। जीडीपीआर की विशेष श्रेणियां (अनुच्छेद 9) स्पष्ट सहमति या विशिष्ट अनुच्छेद 9 अपवाद के बिना प्रसंस्करण पर रोक लगाती हैं - यह लगभग निषेध है। सीपीआरए का एसपीआई सीमा का अधिकार बनाता है - उपभोक्ता अनुरोधित उत्पाद/सेवा प्रदान करने के लिए उपयोग को प्रतिबंधित कर सकते हैं, लेकिन व्यवसाय अभी भी व्यापक उद्देश्यों के लिए उपभोक्ता की सहमति से एसपीआई को संसाधित कर सकते हैं। सीपीआरए की एसपीआई सूची में विशेष रूप से लॉगिन क्रेडेंशियल और सटीक जियोलोकेशन शामिल हैं, जो जीडीपीआर की विशेष श्रेणियों में नहीं हैं।
सीपीआरए के तहत "सेवा प्रदाता" बनाम "ठेकेदार" बनाम "तीसरे पक्ष" क्या हैं?
सीपीआरए ने "ठेकेदारों" को एक श्रेणी के रूप में जोड़ा। सेवा प्रदाताओं को एक अनुबंध के तहत आपकी ओर से सेवा प्रदान करने के लिए पीआई प्राप्त होता है जो उन्हें अपने स्वयं के उद्देश्यों के लिए पीआई का उपयोग करने से रोकता है। ठेकेदार ऐसे व्यवसाय हैं जो अनुबंध के तहत व्यावसायिक उद्देश्यों के लिए पीआई प्राप्त करते हैं - सेवा प्रदाताओं के समान लेकिन अनुबंध की आवश्यकताएं थोड़ी भिन्न होती हैं। तीसरे पक्ष पीआई प्राप्त करते हैं और इसे अपने उद्देश्यों के लिए उपयोग कर सकते हैं - किसी तीसरे पक्ष को कोई भी प्रकटीकरण संभावित रूप से "बिक्री" या "साझाकरण" है जो ऑप्ट-आउट दायित्वों को ट्रिगर करता है। अपने डेटा-साझाकरण संबंधों को सेवा प्रदाता या ठेकेदार संबंधों (उचित अनुबंधों के साथ) के रूप में संरचित करने से "बिक्री" के रूप में वर्गीकरण से बचा जाता है।
अगले चरण
सीसीपीए/सीपीआरए अनुपालन एक चालू कार्यक्रम है, न कि एक बार की परियोजना। जैसे ही सीपीपीए नए नियम जारी करता है (2025-2026 में स्वचालित निर्णय लेने के नियम अपेक्षित हैं), अनुपालन आवश्यकताएं विकसित होंगी। एक स्केलेबल गोपनीयता संचालन कार्यक्रम का निर्माण - स्वचालित उपभोक्ता अधिकार पूर्ति, डेटा मैपिंग और सहमति प्रबंधन के साथ - टिकाऊ मार्ग है।
ECOSIRE व्यवसायों को उनके CCPA/CPRA दायित्वों का आकलन करने, उनके डिजिटल प्लेटफ़ॉर्म में तकनीकी अनुपालन उपायों को लागू करने और गोपनीयता संचालन वर्कफ़्लो स्थापित करने में मदद करता है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सीसीपीए/सीपीआरए आवश्यकताएं जटिल हैं और इन्हें विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से अक्सर अद्यतन किया जाता है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.