Paperturns Einhaltung des "California Consumer Privacy Act" (CCPA) und des "California Privacy Rights Act" (CPRA)

Der CCPA - Was ist das?

Der California Consumer Privacy Act von 2018 gibt Verbrauchern mehr Kontrolle über die persönlichen Daten, die Unternehmen über sie sammeln. Der CCPA räumt Verbrauchern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten ein, darunter:

• Das Recht auf Löschung der über sie gesammelten personenbezogenen Daten;
• Das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie gesammelt hat und wie diese verwendet und weitergegeben werden;
• Das Recht, dem Verkauf und der Weitergabe ihrer persönlichen Daten zu widersprechen; und
• Das Recht auf Nichtdiskriminierung bei der Ausübung ihrer CCPA-Rechte.

Im November 2020 stimmten die kalifornischen Wähler für Proposition 24, das CPRA, mit dem das CCPA geändert und neue, zusätzliche Datenschutzbestimmungen hinzugefügt wurden, die am 1. Januar 2023 in Kraft treten. Ab dem 1. Januar 2023 haben die Verbraucher zusätzlich zu den oben genannten Rechten neue Rechte, wie z. B.:

• Das Recht auf Berichtigung unrichtiger personenbezogener Daten, die ein Unternehmen über sie hat; und
• Das Recht, die Verwendung und Offenlegung sensibler personenbezogener Daten, die über sie gesammelt wurden, einzuschränken.

Unternehmen, die dem CCPA unterliegen, haben verschiedene Pflichten, darunter die Beantwortung von Anfragen von Verbrauchern zur Ausübung dieser Rechte und die Offenlegung bestimmter Informationen über ihre Datenschutzpraktiken, wie z. B. die Veröffentlichung einer Datenschutzrichtlinie.

Gilt der CCPA für Paperturn?

Nach dem Gesetz gilt der CCPA im Allgemeinen für Unternehmen, die eine oder mehrere der folgenden Bedingungen erfüllen:

(i) ein Bruttoumsatzvolumen von mehr als 25 Millionen Dollar;

(ii) jährlich die persönlichen Daten von mehr als 100.000 Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken kaufen, erhalten, verkaufen oder weitergeben;

(iii) 50 Prozent oder mehr ihres Jahresumsatzes aus dem Verkauf und der Weitergabe personenbezogener Daten von Verbrauchern erzielen.

Obwohl der CCPA offiziell nicht auf Paperturn anwendbar ist, da wir eine oder mehrere der oben genannten Bedingungen nicht erfüllen, verpflichten wir uns dennoch zur Einhaltung der Bestimmungen, wie im Folgenden beschrieben.

Wie ist Paperturn mit dem CCPA konform?

• Paperturns Rolle als "Service Provider" unter dem CCPA, wo wir personenbezogene Daten ausschließlich im Auftrag unserer Kunden verarbeiten (das "Unternehmen" in solchen Fällen);
• Identifizierung von Paperturns Rolle als "Unternehmen", wenn wir die persönlichen Daten kalifornischer Verbraucher für unsere eigenen Zwecke verarbeiten. Aufgrund der Art der Dienstleistungen von Paperturn sind unsere Aktivitäten in der Regel von der Durchsetzung des CCPA ausgenommen, da Paperturn: (a) die personenbezogenen Daten kalifornischer Verbraucher (oder anderer betroffener Personen) nicht verkauft; (b) solche Daten im Rahmen und Verlauf von B2B-Beziehungen und -Dienstleistungen erhält;
• Paperturn bietet bereits technische und organisatorische Maßnahmen zur ausreichenden Ausübung anderer vorgeschlagener Verbraucherrechte, die ähnliche Rechte wie die GDPR gewähren (z. B. das Recht auf Offenlegung, Löschung und Opt-out);
• Aktualisierung unserer Datenschutzrichtlinie, um sicherzustellen, dass sie die CCPA-Verbraucherrechte und branchenübliche Praktiken ausreichend berücksichtigt;
• Einführung zusätzlicher Änderungen an Paperturns Datenverarbeitungszusatz (DPA) und internen Verfahren, um die spezifischen Anforderungen des CCPA widerzuspiegeln (z. B. in Bezug auf die Rollen der Entitäten, die maximale Reaktionszeit und den Prozess zur Überprüfung der betroffenen Personen sowie die Verpflichtungen, die von einem Dienstanbieter gegenüber dem Unternehmen gemäß dem CCPA verlangt werden);
• Verfügbarkeit von Verfahren für den Umgang mit mutmaßlichen Verstößen in Bezug auf personenbezogene Daten, Einschränkung der Nutzung, Offenlegung und Aufbewahrung personenbezogener Daten und regelmäßige Durchführung von Datenschutzschulungen für alle betroffenen Mitarbeiter.