CCPA/CPRA 2025: вимоги до обробки PII
California Privacy Rights Act (CPRA) від 2023 розширила оригінальний CCPA, додавши нові права та обмеження:
Категорії SPI CPRA з підвищеними обмеженнями
Sensitive Personal Information підлягає суворим обмеженням мети:
- SSN, номери водійських прав, паспорти
- Дані кредитних/дебетових карток
- Точні геолокаційні дані
- Расова/етнічна приналежність, релігія, профспілкове членство
- Поштові та текстові повідомлення, їх вміст
- Генетичні та біометричні дані
- Дані про здоров'я
- Статева орієнтація та сексуальне життя
Технічні вимоги
Для B2B SaaS, що обслуговує каліфорнійських споживачів:
- Відображати посилання «Не продавати мою особисту інформацію» на веб-сайті
- Надавати метод запиту відмови від продажу/обміну даних
- Реагувати на права доступу споживачів (знати, видалити, виправити, переносити)
- Обмежувати обробку SPI цілями, необхідними для надання запитуваного сервісу
Для обробки даних CPRA в PII-інструментах:
- Налаштувати виявлення SPI (біометрія, точне розташування, стан здоров'я)
- Документувати обробку SPI у вашому Реєстрі обробки даних
- Реалізувати технічні засоби для обмеження мети SPI
Джерела: