हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंकैलिफ़ोर्निया के गोपनीयता कानून संयुक्त राज्य अमेरिका में सबसे व्यापक हैं - और वे दुनिया भर के उन व्यवसायों पर लागू होते हैं जो विशिष्ट सीमाओं को पूरा करते हैं। कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA, 1 जनवरी, 2020 से प्रभावी) को कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA, 1 जनवरी, 2023 से प्रभावी) द्वारा महत्वपूर्ण रूप से विस्तारित किया गया, जिसने एक समर्पित प्रवर्तन एजेंसी बनाई, नए उपभोक्ता अधिकार पेश किए, और "संवेदनशील व्यक्तिगत जानकारी" को संभालने वाले व्यवसायों के लिए अनुपालन दायित्वों को बढ़ाया। कैलिफ़ोर्निया प्राइवेसी प्रोटेक्शन एजेंसी (सीपीपीए) अब सक्रिय है और सक्रिय रूप से उल्लंघनों की जांच कर रही है, प्रवर्तन जोखिम वास्तविक और बढ़ रहा है।
यह मार्गदर्शिका सीसीपीए/सीपीआरए अनुपालन को प्राप्त करने और बनाए रखने के लिए व्यवसायों को जानने के लिए आवश्यक सभी चीज़ों को शामिल करती है: दायरा सीमाएँ, उपभोक्ता अधिकार, आवश्यक प्रकटीकरण, ऑप्ट-आउट यांत्रिकी, डेटा न्यूनतमकरण दायित्व और सीपीपीए का प्रवर्तन दृष्टिकोण।
मुख्य बातें
- सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो तीन सीमाओं में से किसी एक को पूरा करते हैं - राजस्व, डेटा वॉल्यूम, या डेटा शेयरिंग से राजस्व।
- सीपीआरए के तहत उपभोक्ताओं के पास 11 विशिष्ट अधिकार हैं जिनमें सही करने का अधिकार और संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करने का अधिकार शामिल है
- "बेचें या साझा न करें" ऑप्ट-आउट आपके होमपेज पर एक एकल, स्पष्ट रूप से दिखाई देने वाला लिंक होना चाहिए
- संवेदनशील व्यक्तिगत जानकारी (एसपीआई) प्रसंस्करण को सीमित करने के अधिकार सहित अतिरिक्त दायित्वों को ट्रिगर करती है
- CPPA प्रवर्तन 2023 में सक्रिय हो गया और प्रति जानबूझकर उल्लंघन पर $7,500 तक का जुर्माना लगाया गया
- व्यवसायों को उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए वार्षिक डेटा सुरक्षा मूल्यांकन करना चाहिए
- सेवा प्रदाता अनुबंधों को डाउनस्ट्रीम व्यक्तिगत जानकारी के उपयोग को प्रतिबंधित करना चाहिए
- प्रतिधारण अवधि का खुलासा किया जाना चाहिए और जब बताए गए उद्देश्यों के लिए आवश्यकता न हो तो डेटा हटा दिया जाना चाहिए
सीसीपीए/सीपीआरए प्रयोज्यता सीमाएँ
सीसीपीए/सीपीआरए उन लाभकारी व्यवसायों पर लागू होता है जो कैलिफोर्निया के उपभोक्ताओं की व्यक्तिगत जानकारी एकत्र करते हैं और निम्नलिखित में से किसी एक को पूरा करते हैं:
- वार्षिक सकल राजस्व $25 मिलियन से अधिक (पिछले कैलेंडर वर्ष में)
- हर साल 100,000+ उपभोक्ताओं या परिवारों की व्यक्तिगत जानकारी खरीदता है, बेचता है, प्राप्त करता है या साझा करता है (सीपीआरए ने मूल सीसीपीए सीमा 50,000 से कम कर दी है)
- उपभोक्ताओं की व्यक्तिगत जानकारी बेचने या साझा करने से 50% या अधिक वार्षिक राजस्व प्राप्त होता है
भौगोलिक दायरा: कानून इस आधार पर लागू होता है कि उपभोक्ता कहां रहते हैं, न कि जहां आपका व्यवसाय स्थापित है। कैलिफ़ोर्निया के ग्राहकों से 30 मिलियन डॉलर वार्षिक राजस्व अर्जित करने वाली पाकिस्तानी सॉफ़्टवेयर कंपनी को इसका अनुपालन करना होगा।
छूट: रोजगार डेटा (बी2बी कर्मचारी डेटा) को अस्थायी सीसीपीए छूट प्राप्त हुई जो सीपीआरए के तहत 1 जनवरी, 2023 को समाप्त हो गई। B2B संपर्क जानकारी छूट भी समाप्त हो गई। कई वित्तीय संस्थान ग्राम-लीच-ब्लिली अधिनियम के तहत आंशिक रूप से छूट देते हैं; HIPAA द्वारा कवर किए गए स्वास्थ्य डेटा का अलग उपचार है।
अन्य अमेरिकी राज्य कानूनों पर ध्यान दें: जबकि यह मार्गदर्शिका सीसीपीए/सीपीआरए पर केंद्रित है, 2025 तक, उन्नीस अमेरिकी राज्यों ने अलग-अलग सीमाओं और आवश्यकताओं के साथ व्यापक गोपनीयता कानून बनाए हैं। बहु-राज्य अनुपालन करने वाली कंपनियों को कैलिफोर्निया के साथ-साथ वर्जीनिया (वीसीडीपीए), कोलोराडो (सीपीए), कनेक्टिकट (सीटीडीपीए), टेक्सास (टीडीपीएसए) और अन्य का आकलन करना चाहिए।
व्यक्तिगत जानकारी और संवेदनशील व्यक्तिगत जानकारी
सीसीपीए/सीपीआरए के तहत व्यक्तिगत जानकारी (पीआई) का मतलब ऐसी जानकारी है जो किसी विशेष उपभोक्ता या घर की पहचान करती है, उससे संबंधित है, वर्णन करती है, उसके साथ जुड़ने में सक्षम है, या उचित रूप से उससे जुड़ी हो सकती है। यह पुराने अमेरिकी कानूनों के तहत "व्यक्तिगत रूप से पहचान योग्य जानकारी" (पीआईआई) से काफी व्यापक है।
स्पष्ट रूप से शामिल श्रेणियाँ शामिल हैं:
- पहचानकर्ता (नाम, ईमेल, फोन, आईपी पता, खाता नाम, एसएसएन, ड्राइवर का लाइसेंस नंबर)
- वाणिज्यिक जानकारी (खरीदे गए उत्पादों/सेवाओं का रिकॉर्ड, ब्राउज़िंग/खरीद इतिहास)
- बायोमेट्रिक जानकारी
- इंटरनेट या अन्य इलेक्ट्रॉनिक नेटवर्क गतिविधि (ब्राउज़िंग इतिहास, खोज इतिहास, वेबसाइटों के साथ बातचीत)
- जियोलोकेशन डेटा
- पेशेवर या रोजगार संबंधी जानकारी
- शिक्षा संबंधी जानकारी
- उपभोक्ता प्रोफाइल बनाने के लिए उपरोक्त में से किसी से निष्कर्ष निकाला गया
संवेदनशील व्यक्तिगत जानकारी (एसपीआई) - एक सीपीआरए अतिरिक्त - इसमें पीआई का एक सबसेट शामिल है जिसके लिए उच्च सुरक्षा की आवश्यकता होती है:
- सामाजिक सुरक्षा, ड्राइवर का लाइसेंस, राज्य आईडी, या पासपोर्ट नंबर
- खाता लॉग-इन क्रेडेंशियल (उपयोगकर्ता नाम/ईमेल + पासवर्ड या सुरक्षा प्रश्न)
- वित्तीय खाते की जानकारी + एक्सेस कोड
- सटीक भौगोलिक स्थान (एक मील के 1/8 के भीतर)
- नस्लीय या जातीय मूल
- धार्मिक या दार्शनिक मान्यताएँ
- संघ की सदस्यता
- मेल, ईमेल या टेक्स्ट संदेश सामग्री (जब तक कि व्यवसाय इच्छित प्राप्तकर्ता न हो)
- आनुवंशिक डेटा
- स्वास्थ्य या चिकित्सा स्थिति डेटा
- यौन रुझान या यौन जीवन
- विशिष्ट पहचान के लिए बायोमेट्रिक जानकारी
एसपीआई के लिए, उपभोक्ताओं के पास उपयोग सीमित करने का अतिरिक्त अधिकार है - व्यवसाय अनुरोधित उत्पाद या सेवा (साथ ही सीमित अतिरिक्त उद्देश्य) प्रदान करने के लिए आवश्यक से अधिक एसपीआई का उपयोग नहीं कर सकते हैं, जब तक कि उपभोक्ता ने व्यापक उपयोग का विकल्प नहीं चुना हो।
सीपीआरए के तहत उपभोक्ता अधिकार
सीपीआरए ने सीसीपीए के पांच उपभोक्ता अधिकारों को बढ़ाकर ग्यारह कर दिया। व्यवसायों के पास प्रत्येक को पूरा करने के लिए दस्तावेज़ीकृत प्रक्रियाएँ होनी चाहिए:
| सही है | प्रतिक्रिया समयरेखा | नोट्स |
|---|---|---|
| जानने का अधिकार (श्रेणियाँ) | 45 दिन (45 दिन और बढ़ाया जा सकता है) | गोपनीयता नीति में एकत्रित श्रेणियों और उद्देश्यों का खुलासा करें |
| जानने का अधिकार (विशिष्ट अंश) | 45 दिन (विस्तार योग्य) | व्यक्ति के बारे में एकत्रित विशिष्ट पीआई प्रदान करें |
| हटाने का अधिकार | 45 दिन (विस्तार योग्य) | सेवा प्रदाताओं और ठेकेदारों को कैस्केड विलोपन |
| सही करने का अधिकार | 45 दिन (विस्तार योग्य) | सीपीआरए के तहत नया - सही गलत पीआई |
| बिक्री/साझाकरण से ऑप्ट आउट करने का अधिकार | 15 व्यावसायिक दिनों के भीतर सम्मान | "बेचें या साझा न करें" लिंक लागू करें |
| एसपीआई उपयोग को सीमित करने का अधिकार | तुरंत सम्मान करें | यदि एसपीआई को गैर-आवश्यक उद्देश्यों के लिए संसाधित किया जाता है तो "मेरे संवेदनशील पीआई के उपयोग को सीमित करें" लिंक को लागू करें |
| भेदभाव न करने का अधिकार | तत्काल | अधिकारों का प्रयोग करने के लिए सेवा से इनकार नहीं कर सकते, अलग कीमत नहीं ले सकते, या घटिया सेवा प्रदान नहीं कर सकते |
| पोर्टेबिलिटी का अधिकार | 45 दिन (विस्तार योग्य) | आसानी से उपयोग करने योग्य प्रारूप में डेटा प्रदान करें |
| स्वचालित निर्णय लेने के बारे में जानने का अधिकार | नियम बनाने की आवश्यकता है | सीपीपीए विकासशील नियम |
| स्वचालित निर्णय लेने से बाहर निकलने का अधिकार | नियम बनाने की आवश्यकता है | सीपीपीए विकासशील नियम |
| पीआई को सही करने का अधिकार तीसरे पक्ष के साथ साझा किया गया | 45 दिन (विस्तार योग्य) | तृतीय पक्षों को सही करने का निर्देश दें |
सत्यापन आवश्यकताएँ: उपभोक्ता अनुरोधों का जवाब देने से पहले, आपको "उचित रूप से सुरक्षित" विधि का उपयोग करके अनुरोधकर्ता की पहचान सत्यापित करनी होगी। ऑनलाइन अनुरोधों के लिए, ईमेल पता + अन्य पहचानकर्ता का मिलान आम तौर पर पर्याप्त होता है। आप उपभोक्ताओं से केवल अनुरोध सबमिट करने के लिए खाते बनाने की अपेक्षा नहीं कर सकते। पीआई के विशिष्ट टुकड़ों के लिए असत्यापित अनुरोधों को केवल श्रेणियों के लिए अनुरोध के रूप में माना जाना चाहिए।
प्राधिकृत एजेंट: उपभोक्ता अपनी ओर से अनुरोध प्रस्तुत करने के लिए अधिकृत एजेंटों को नामित कर सकते हैं। आपको एजेंट से उपभोक्ता के हस्ताक्षरित प्राधिकरण का प्रमाण देने की आवश्यकता हो सकती है।
गोपनीयता सूचना आवश्यकताएँ
संग्रहण के समय या उससे पहले: व्यवसायों को उपभोक्ताओं को इस बारे में सूचित करना चाहिए कि पीआई क्या एकत्र किया गया है और संग्रह के समय या उससे पहले किस उद्देश्य के लिए एकत्र किया गया है। यह सभी संग्रह बिंदुओं पर लागू होता है: वेबसाइट फॉर्म, मोबाइल ऐप, बिक्री बिंदु, चैटबॉट और डेटा ब्रोकर खरीदारी।
गोपनीयता नीति आवश्यकताएँ (कम से कम हर 12 महीने में अपडेट करें):
- पिछले 12 महीनों में एकत्र की गई पीआई की श्रेणियाँ
- जिन उद्देश्यों के लिए पीआई का उपयोग किया जाता है
- पिछले 12 महीनों में बेची या साझा की गई पीआई की श्रेणियां
- तीसरे पक्षों की श्रेणियाँ जिनके लिए पीआई का खुलासा किया गया है
- स्रोतों की श्रेणियाँ जिनसे पीआई एकत्र किया जाता है
- उपभोक्ता अधिकार और उनका प्रयोग कैसे करें
- अनुरोध सबमिट करने के लिए संपर्क जानकारी
- क्या पीआई बेचा या साझा किया गया है, और कैसे बाहर निकलें
- क्या एसपीआई को उत्पाद/सेवा प्रदान करने के अलावा अन्य उद्देश्यों के लिए संसाधित किया जाता है
- पीआई की प्रत्येक श्रेणी के लिए अवधारण अवधि (या अवधारण निर्धारित करने के लिए प्रयुक्त मानदंड)
"मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक: आपके होमपेज पर और आपकी गोपनीयता नीति में एक स्पष्ट और विशिष्ट लिंक होना चाहिए। यदि लिंक आपकी साइट पर साझा किए गए फ़ुटर या नेविगेशन क्षेत्र में है, तो यह योग्य है। लिंक को एक ऐसे पृष्ठ पर ले जाना चाहिए जहां उपभोक्ता एक ही चरण में विकल्प चुन सकते हैं (बहु-चरणीय रूपों में छिपे नहीं)।
"मेरी संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करें" लिंक: यदि आप अनुरोधित उत्पाद या सेवा प्रदान करने के लिए आवश्यक से अधिक एसपीआई संसाधित करते हैं तो यह आवश्यक है। एक अलग लिंक हो सकता है या डू नॉट सेल/शेयर लिंक के साथ जोड़ा जा सकता है।
ऑप्ट-आउट प्राथमिकता सिग्नल (जीपीसी): व्यवसायों को वैश्विक गोपनीयता नियंत्रण (जीपीसी) सिग्नल का सम्मान करना चाहिए - एक ब्राउज़र-स्तरीय सेटिंग जिसे उपभोक्ता बिक्री और साझाकरण से ऑप्ट-आउट करने का संकेत देने के लिए सक्रिय कर सकते हैं। कई गोपनीयता-केंद्रित ब्राउज़र मूल रूप से GPC का समर्थन करते हैं। आपकी वेबसाइट को GPC संकेतों का पता लगाना चाहिए और उनका सम्मान करना चाहिए। सीपीपीए ने विशेष रूप से जीपीसी का सम्मान करने में विफल रहने के लिए कंपनियों का हवाला दिया है।
व्यक्तिगत जानकारी की बिक्री और साझाकरण
सीसीपीए/सीपीआरए के तहत "बिक्री" का अर्थ है मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए किसी अन्य व्यवसाय या तीसरे पक्ष को व्यक्तिगत जानकारी का खुलासा करना या उपलब्ध कराना। यह "डेटा बेचने" की सामान्य समझ से अधिक व्यापक है।
सीपीआरए के तहत "शेयरिंग" मौद्रिक विचार के बिना भी क्रॉस-संदर्भ व्यवहार संबंधी विज्ञापन जोड़ता है - विशेष रूप से विभिन्न वेबसाइटों या सेवाओं पर उपभोक्ता की ब्राउज़िंग के आधार पर विज्ञापन को लक्षित करना।
व्यवहार में, निम्नलिखित सामान्य प्रथाओं में बिक्री या साझाकरण की संभावना होती है:
- डेटा ब्रोकरों के साथ पीआई साझा करना
- तृतीय-पक्ष विज्ञापन पिक्सेल (विज्ञापन मोड में मेटा पिक्सेल, Google Analytics 4) का उपयोग करना जो लक्ष्यीकरण के लिए उपयोगकर्ता डेटा को प्लेटफ़ॉर्म पर भेजता है
- समान दर्शकों के लिए विज्ञापन नेटवर्क के साथ ग्राहक सूची साझा करना
- वास्तविक समय बोली पारिस्थितिकी तंत्र में भाग लेना
नाबालिगों के लिए सहमति आवश्यकताएँ:
- आयु 13-15: अपना पीआई बेचने/साझा करने से पहले ऑप्ट-इन करना आवश्यक है
- 13 वर्ष से कम: माता-पिता/अभिभावक का ऑप्ट-इन आवश्यक (COPPA भी लागू होता है)
सेवा प्रदाता बनाम तृतीय पक्ष: एक अनुपालन सेवा प्रदाता अनुबंध के तहत सेवा प्रदाता को बताई गई पीआई (इसके उपयोग को आपको सेवाएं प्रदान करने तक सीमित करना) नहीं "बिक्री" है। पीआई का खुलासा तीसरे पक्ष को किया गया है जो इसे अपने उद्देश्यों (विज्ञापन प्लेटफॉर्म, डेटा ब्रोकर) के लिए उपयोग कर सकता है, यह एक "बिक्री" या "साझाकरण" है। यह अंतर आपके डेटा-शेयरिंग आर्किटेक्चर के लिए महत्वपूर्ण है।
सेवा प्रदाता अनुबंध आवश्यकताएँ: सेवा प्रदाता से यह अपेक्षित होना चाहिए:
- पीआई प्राप्त होने पर उसे बेचें या साझा न करें
- सेवा संदर्भ के बाहर पीआई को बनाए न रखें, उपयोग न करें या प्रकट न करें
- लागू सीपीआरए आवश्यकताओं का अनुपालन करें
- व्यवसाय को ऑडिट का अधिकार प्रदान करें
डेटा न्यूनतमकरण और उद्देश्य सीमा (सीपीआरए)
सीपीआरए ने स्पष्ट डेटा न्यूनीकरण आवश्यकताओं की शुरुआत की - व्यवसाय बताए गए उद्देश्यों को प्राप्त करने के लिए पीआई को केवल उचित रूप से आवश्यक और आनुपातिक के रूप में एकत्र, उपयोग, बनाए रख और साझा कर सकते हैं। यह सीसीपीए के प्रकटीकरण-केंद्रित दृष्टिकोण से एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करता है।
कार्यान्वयन निहितार्थ:
- प्रत्येक डेटा संग्रह बिंदु का ऑडिट करें और प्रकट उद्देश्यों के लिए उपयोग नहीं किए गए पीआई के संग्रह को समाप्त करें
- एकत्रित प्रत्येक पीआई श्रेणी के लिए व्यावसायिक उद्देश्य का दस्तावेजीकरण करें
- अवधारण शेड्यूल कॉन्फ़िगर करें: जब बताए गए उद्देश्यों के लिए आवश्यक न रह जाए तो पीआई को हटा दिया जाना चाहिए या उसकी पहचान रद्द कर दी जानी चाहिए
- उपभोक्ता की सहमति के बिना मूल संग्रह उद्देश्य के साथ असंगत उद्देश्यों के लिए पीआई के द्वितीयक उपयोग से बचें
प्रतिधारण प्रकटीकरण: गोपनीयता नीतियों को पीआई की प्रत्येक श्रेणी के लिए प्रतिधारण निर्धारित करने के लिए प्रतिधारण अवधि या मानदंड का खुलासा करना चाहिए। उम्मीद है कि सीपीपीए अधिक विशिष्ट मार्गदर्शन के साथ नियम जारी करेगा। अभी के लिए, प्रत्येक पीआई श्रेणी के लिए एक उचित व्यवसाय-उचित अवधारण अवधि का दस्तावेजीकरण करें।
डेटा सुरक्षा आकलन और जोखिम प्रबंधन
सीपीआरए को उपभोक्ताओं के लिए महत्वपूर्ण जोखिम पेश करने वाली प्रसंस्करण गतिविधियों को लागू करने से पहले व्यवसायों को जोखिम मूल्यांकन (डेटा सुरक्षा आकलन कहा जाता है) आयोजित करने की आवश्यकता होती है। सीपीपीए ऐसे नियम विकसित कर रहा है जो निर्दिष्ट करते हैं कि कौन सी गतिविधियाँ मूल्यांकन आवश्यकताओं को ट्रिगर करती हैं, लेकिन कानून पहले से ही श्रेणियों की पहचान करता है जिनमें शामिल हैं:
- पीआई बेचना या साझा करना
- प्रसंस्करण एसपीआई
- प्रोफ़ाइलिंग जो महत्वपूर्ण जोखिम प्रस्तुत करती है
- नाबालिगों की पीआई प्रसंस्करण
- पीआई का ऐसे तरीकों से उपयोग करना जिससे नुकसान का महत्वपूर्ण जोखिम हो
अपने आकलन का दस्तावेजीकरण करें और रिकॉर्ड बनाए रखें। मूल्यांकन में निम्नलिखित की पहचान होनी चाहिए: प्रसंस्करण का उद्देश्य, शामिल पीआई, उपभोक्ताओं के लिए संभावित जोखिम और उन जोखिमों को कम करने के लिए लागू किए गए सुरक्षा उपाय।
सीपीपीए प्रवर्तन और दंड
कैलिफ़ोर्निया गोपनीयता सुरक्षा एजेंसी (CPPA) संयुक्त राज्य अमेरिका में पहली समर्पित गोपनीयता प्रवर्तन निकाय के रूप में 2023 में पूरी तरह से चालू हो गई। सीपीपीए के पास जांच करने, प्रशासनिक सुनवाई करने और नागरिक दंड लगाने का अधिकार है:
| उल्लंघन प्रकार | अधिकतम जुर्माना |
|---|---|
| अनजाने में उल्लंघन | प्रति उल्लंघन $2,500 |
| जानबूझकर उल्लंघन | प्रति उल्लंघन $7,500 |
| नाबालिग के डेटा से जुड़ा उल्लंघन | $7,500 प्रति उल्लंघन (प्रति उपभोक्ता) |
सीपीपीए प्रति उल्लंघन जुर्माना लागू करता है - जिसका अर्थ है कि प्रत्येक उपभोक्ता जिसके अधिकारों का उल्लंघन किया गया है वह एक अलग उल्लंघन का प्रतिनिधित्व करता है। 100,000 उपभोक्ताओं को प्रभावित करने वाले डेटा उल्लंघन के परिणामस्वरूप सैद्धांतिक रूप से $750 मिलियन का जुर्माना (100,000 × $7,500) हो सकता है। प्रारंभिक सीपीपीए प्रवर्तन ने व्यवस्थित गैर-अनुपालन वाले बड़े व्यवसायों पर ध्यान केंद्रित किया है।
कार्रवाई का निजी अधिकार: सीसीपीए धारा 1798.150 के तहत, उपभोक्ताओं के पास उचित सुरक्षा उपायों को लागू करने में व्यवसाय की विफलता के परिणामस्वरूप गैर-एन्क्रिप्टेड या गैर-संशोधित व्यक्तिगत जानकारी से जुड़े डेटा उल्लंघनों के लिए कार्रवाई का सीमित निजी अधिकार है। वैधानिक क्षति: $100-$750 प्रति उपभोक्ता प्रति घटना, या अधिक होने पर वास्तविक क्षति।
सीसीपीए/सीपीआरए अनुपालन चेकलिस्ट
- प्रयोज्यता सीमा विश्लेषण पूरा हुआ
- पीआई और एसपीआई इन्वेंट्री सभी प्रणालियों और संग्रह बिंदुओं पर पूरी हो गई है
- गोपनीयता नीति को सभी आवश्यक खुलासों के साथ अद्यतन किया गया (12-महीने की समीक्षा)
- होमपेज पर "मेरी व्यक्तिगत जानकारी न बेचें या साझा न करें" लिंक
- यदि लागू हो तो "मेरी संवेदनशील व्यक्तिगत जानकारी का उपयोग सीमित करें" लिंक
- वैश्विक गोपनीयता नियंत्रण (जीपीसी) का पता लगाना और उसका सम्मान करना लागू किया गया
- उपभोक्ता अनुरोध प्रवेश प्रक्रिया स्थापित (वेब फॉर्म + टोल-फ्री नंबर)
- पहचान सत्यापन प्रक्रिया प्रलेखित
- सभी 11 उपभोक्ता अधिकारों के लिए प्रतिक्रिया वर्कफ़्लो का दस्तावेजीकरण और परीक्षण किया गया
- सभी अनुरोधों के लिए 45-दिन की प्रतिक्रिया समयरेखा को ट्रैक और प्रलेखित किया गया
- सेवा प्रदाता अनुबंधों की समीक्षा की गई और सीपीआरए-आवश्यक प्रावधानों के साथ अद्यतन किया गया
- तृतीय-पक्ष डेटा साझाकरण का ऑडिट किया गया (प्रत्येक प्राप्तकर्ता के लिए बिक्री/साझाकरण निर्धारण)
- डेटा न्यूनतमकरण ऑडिट पूरा हुआ - अनावश्यक पीआई संग्रह समाप्त हो गया
- अवधारण अवधि का दस्तावेजीकरण किया गया और स्वचालित विलोपन कॉन्फ़िगर किया गया
- उपभोक्ता अधिकार प्रतिक्रिया प्रक्रियाओं पर कर्मचारी प्रशिक्षण पूरा हुआ
- उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए डेटा सुरक्षा मूल्यांकन आयोजित किया गया
- यदि नाबालिगों की पीआई एकत्र की जाती है तो लघु सहमति तंत्र लागू किया जाता है
अक्सर पूछे जाने वाले प्रश्न
क्या सीसीपीए/सीपीआरए कर्मचारी डेटा पर लागू होता है?
हाँ, 1 जनवरी 2023 से, जब सीपीआरए प्रभावी हो गया। बी2बी और कर्मचारी डेटा के लिए अस्थायी सीसीपीए छूट समाप्त हो गई है। कैलिफ़ोर्निया के कर्मचारियों (और नौकरी आवेदकों, ठेकेदारों और निदेशकों) के पास अब सीसीपीए/सीपीआरए के तहत उपभोक्ताओं के समान ही उनकी व्यक्तिगत जानकारी के संबंध में अधिकार हैं। इसका मतलब है कि कैलिफोर्निया में नियोक्ताओं को कर्मचारियों के लिए गोपनीयता नोटिस अपडेट करना होगा, रोजगार पीआई के लिए अधिकार पूर्ति प्रक्रियाएं स्थापित करनी होंगी और एचआर सिस्टम डेटा प्रथाओं की समीक्षा करनी होगी।
सीपीआरए के तहत "बिक्री" और "साझाकरण" के बीच क्या अंतर है?
"बिक्री" में मौद्रिक या अन्य मूल्यवान प्रतिफल के लिए पीआई का खुलासा करना शामिल है - भुगतान कुछ भी मूल्य का हो सकता है, जिसमें डेटा विनिमय व्यवस्था भी शामिल है। "शेयरिंग" सीपीआरए द्वारा जोड़ा गया था और विशेष रूप से क्रॉस-संदर्भ व्यवहार विज्ञापन को कवर करता है जहां पीआई को विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है, यहां तक कि मौद्रिक विचार के बिना भी। व्यावहारिक प्रभाव: लक्ष्यीकरण के लिए विज्ञापन प्लेटफ़ॉर्म के साथ उपयोगकर्ता डेटा साझा करना (भले ही आप उन्हें भुगतान करें, विपरीत नहीं) सीपीआरए के तहत "साझा करना" है और ऑप्ट-आउट अधिकारों को ट्रिगर करता है।
क्या कुकीज़ और ट्रैकिंग प्रौद्योगिकियां सीसीपीए/सीपीआरए के अधीन हैं?
हां, जहां वे व्यक्तिगत जानकारी एकत्र करते हैं (आईपी पते जैसे ऑनलाइन पहचानकर्ताओं सहित) और जहां परिणामी डेटा विज्ञापन उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जाता है। कई सामान्य प्रथाएँ - विज्ञापन सुविधाओं के साथ Google Analytics, मेटा पिक्सेल, प्रोग्रामेटिक विज्ञापन टैग - विज्ञापन प्लेटफार्मों के साथ पीआई के "साझाकरण" का गठन करती हैं, जिससे ऑप्ट-आउट आवश्यकताओं को ट्रिगर किया जाता है। ऑप्ट-आउट संकेतों की सहमति और सम्मान को प्रबंधित करने के लिए एक कुकी सहमति प्रबंधन मंच (वनट्रस्ट, ओसानो, कुकीबॉट) लागू करें।
सीपीआरए की "संवेदनशील व्यक्तिगत जानकारी" जीडीपीआर की "विशेष श्रेणियों" से कैसे भिन्न है?
दोनों बढ़ी हुई सुरक्षा की गारंटी देने वाली जानकारी की श्रेणियों की पहचान करते हैं, लेकिन वे सामग्री और उपचार में भिन्न हैं। जीडीपीआर की विशेष श्रेणियां (अनुच्छेद 9) स्पष्ट सहमति या विशिष्ट अनुच्छेद 9 अपवाद के बिना प्रसंस्करण पर रोक लगाती हैं - यह लगभग निषेध है। सीपीआरए का एसपीआई सीमा का अधिकार बनाता है - उपभोक्ता अनुरोधित उत्पाद/सेवा प्रदान करने के लिए उपयोग को प्रतिबंधित कर सकते हैं, लेकिन व्यवसाय अभी भी व्यापक उद्देश्यों के लिए उपभोक्ता की सहमति से एसपीआई को संसाधित कर सकते हैं। सीपीआरए की एसपीआई सूची में विशेष रूप से लॉगिन क्रेडेंशियल और सटीक जियोलोकेशन शामिल हैं, जो जीडीपीआर की विशेष श्रेणियों में नहीं हैं।
सीपीआरए के तहत "सेवा प्रदाता" बनाम "ठेकेदार" बनाम "तीसरे पक्ष" क्या हैं?
सीपीआरए ने "ठेकेदारों" को एक श्रेणी के रूप में जोड़ा। सेवा प्रदाताओं को एक अनुबंध के तहत आपकी ओर से सेवा प्रदान करने के लिए पीआई प्राप्त होता है जो उन्हें अपने स्वयं के उद्देश्यों के लिए पीआई का उपयोग करने से रोकता है। ठेकेदार ऐसे व्यवसाय हैं जो अनुबंध के तहत व्यावसायिक उद्देश्यों के लिए पीआई प्राप्त करते हैं - सेवा प्रदाताओं के समान लेकिन अनुबंध की आवश्यकताएं थोड़ी भिन्न होती हैं। तीसरे पक्ष पीआई प्राप्त करते हैं और इसे अपने उद्देश्यों के लिए उपयोग कर सकते हैं - किसी तीसरे पक्ष को कोई भी प्रकटीकरण संभावित रूप से "बिक्री" या "साझाकरण" है जो ऑप्ट-आउट दायित्वों को ट्रिगर करता है। अपने डेटा-साझाकरण संबंधों को सेवा प्रदाता या ठेकेदार संबंधों (उचित अनुबंधों के साथ) के रूप में संरचित करने से "बिक्री" के रूप में वर्गीकरण से बचा जाता है।
अगले चरण
सीसीपीए/सीपीआरए अनुपालन एक चालू कार्यक्रम है, न कि एक बार की परियोजना। जैसे ही सीपीपीए नए नियम जारी करता है (2025-2026 में स्वचालित निर्णय लेने के नियम अपेक्षित हैं), अनुपालन आवश्यकताएं विकसित होंगी। एक स्केलेबल गोपनीयता संचालन कार्यक्रम का निर्माण - स्वचालित उपभोक्ता अधिकार पूर्ति, डेटा मैपिंग और सहमति प्रबंधन के साथ - टिकाऊ मार्ग है।
ECOSIRE व्यवसायों को उनके CCPA/CPRA दायित्वों का आकलन करने, उनके डिजिटल प्लेटफ़ॉर्म में तकनीकी अनुपालन उपायों को लागू करने और गोपनीयता संचालन वर्कफ़्लो स्थापित करने में मदद करता है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सीसीपीए/सीपीआरए आवश्यकताएं जटिल हैं और इन्हें विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से अक्सर अद्यतन किया जाता है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.