California Shine the Light Gesetz - California Shine the Light law
Erleuchte das Lichtgesetz | |
---|---|
Gesetzgebende Körperschaft des Staates Kalifornien, Sitzung 2003–2004 | |
| |
Zitat | CA Bürgerliches Gesetzbuch § 1798.83 |
Verfasst von | Gesetzgebende Körperschaft des Staates Kalifornien, Sitzung 2003–2004 |
In Kraft gesetzt | Senat: 24. September 2003; Versammlung: 8. September 2003 |
Unterzeichnet | 23. September 2003 |
Begonnen | 1. Januar 2005 |
Gesetzgebungsgeschichte | |
Rechnung | Personenbezogene Daten: Weitergabe an Direktvermarkter. |
Rechnungszitat | CA SB 27 |
Rechnung veröffentlicht am | 2. Dezember 2002 |
Vorgestellt von | Liz Figueroa |
Schlüsselwörter | |
Datenschutz, persönliche Informationen, Offenlegung, List Brokerage |
California ‚s ‚Shine the Light‘Gesetz (CA Bürgerliches Gesetz § 1798,83) ist ein Datenschutzgesetz durch die bestandene California State Legislature im Jahr 2003. Es ist ein aktiver Teil des wurde California Civil - Code 1 im Januar 2005. Es gilt als eines der die ersten Versuche eines bundesstaatlichen Gesetzgebers in den Vereinigten Staaten , die Praxis der Weitergabe personenbezogener Daten von Kunden zu Marketingzwecken, auch bekannt als "List-Brokerage" , anzugehen . Das Gesetz beschreibt Verfahren, nach denen Unternehmen auf Anfrage eines Einwohners Kaliforniens offenlegen müssen, welche personenbezogenen Daten an Dritte weitergegeben wurden, sowie an die Parteien, mit denen die Daten geteilt wurden. Das Gesetz legt auch spezifische Formulierungen fest, die Unternehmen, die mit Einwohnern Kaliforniens Geschäfte machen, in ihre Online- Datenschutzrichtlinien aufnehmen müssen .
Geschichte
Der ursprüngliche Gesetzentwurf, California SB 27, wurde im Dezember 2002 von Liz Figueroa dem kalifornischen Senat vorgelegt. Zu den Mitverfassern des Gesetzentwurfs gehörten die Staatssenatoren Dede Alpert, Sheila Kuehl , Gloria Romero und Nell Soto .
Der Gesetzentwurf entstand aus zunehmender Besorgnis über Geschäftspraktiken, bei denen personenbezogene Daten von Verbrauchern, die von dem Unternehmen gesammelt wurden, mit dem ein Verbraucher geschäftlich tätig ist, ohne Wissen des Verbrauchers an andere Drittunternehmen verkauft wurden. Zur Unterstützung des Gesetzesentwurfs bot Figueroas Büro dem Senat des Staates zahlreiche Beispiele für Listen persönlicher Informationen an, die im Internet käuflich zu erwerben sind. Figueroas Büro schrieb:
Transparenz ist der Prüfstein für das Vertrauen der Verbraucher in den Umgang mit Informationen... Weil Datenschutz per Definition so sehr persönlich ist, dass ein Verbraucher eine rationale und informierte und persönliche Entscheidung treffen kann, ob er sich an- oder abmelden oder einfach sein Geschäft aufgeben möchte anderswo muss der Verbraucher wissen, „wer, was, wo und wann“ und wie ein Unternehmen mit personenbezogenen Daten umgeht.
Nach der Genehmigung durch den Senat ging der Gesetzentwurf an die kalifornische Staatsversammlung , wo eine Reihe von Bedenken hinsichtlich einer „unzumutbaren Belastung“ für Unternehmen aufkam. Die Autoren nahmen mehrere Änderungen vor, um geschäftlichen Interessen Rechnung zu tragen, darunter eine Bestimmung, die einem Unternehmen 90 Tage einräumt, um einen Verstoß zu beheben, und eine Ausnahme für kleine Unternehmen. Überarbeitungen boten Unternehmen auch die Möglichkeit, entweder auf eingehende Anfragen von Verbrauchern zu antworten, die wissen möchten, wie ihre Informationen verwendet werden, oder Benutzern zu ermöglichen, sich abzumelden und "die Weitergabe ihrer Informationen zu Marketingzwecken zu verhindern".
Der Gesetzentwurf wurde dreimal im Staatssenat und fünfmal in der Staatsversammlung geändert. Es verabschiedete die Versammlung am 8. September 2003 und den Senat am 12. September 2003. Am 24. September 2003 unterzeichnete Gouverneur Grey Davis es in Kraft. Der Gesetzentwurf trat am 1.1.2005 in Kraft.
Anforderungen
Das Gesetz gilt für alle gewinnorientierten Unternehmen, die Geschäfte mit einem Einwohner Kaliforniens tätigen und "persönliche Kundendaten innerhalb des unmittelbar vorangegangenen Kalenderjahres an andere Unternehmen für deren Direktmarketingzwecke weitergegeben haben", mit Ausnahme von Unternehmen mit weniger als 20 Mitarbeitern , Bundesfinanzinstitute, gemeinnützige Organisationen, politische Gruppen und Politiker, Anbieter öffentlicher Immobilienunterlagen und Kreditauskunfteien. Ausgenommen sind auch Unternehmen, die eine kostenlose und öffentliche Datenschutzrichtlinie unterhalten, die es Benutzern ermöglicht, sich für den Informationsaustausch zu entscheiden oder ihn abzulehnen . Das Gesetz definiert "Kunde" als "eine natürliche Person mit Wohnsitz in Kalifornien, die einem Unternehmen während der Begründung oder während der Dauer einer bestehenden Geschäftsbeziehung personenbezogene Daten zur Verfügung stellt, wenn die Geschäftsbeziehung hauptsächlich für persönliche, familiäre oder Haushaltszwecke." Ein Unternehmen muss nicht in Kalifornien ansässig sein, es muss nur einen einzigen Kunden haben, der im Bundesstaat ansässig ist.
Persönliche Angaben
Gemäß dem „Shine the Light“-Gesetz definiert Kalifornien 27 Kategorien als „personenbezogene Daten“, wenn sie an Dritte weitergegeben werden.
Kategorien personenbezogener Daten | ||
---|---|---|
Name und Adresse | E-Mail- Adresse | Alter oder Geburtsdatum |
Namen von Kindern | E-Mail oder andere Adressen von Kindern | Anzahl der Kinder |
Alter oder Geschlecht der Kinder | Höhe | Gewicht |
Wettrennen | Religion | Beruf |
Telefonnummer | Bildung | Politische Parteizugehörigkeit |
Gesundheitszustand | Verwendete Medikamente, Therapien oder medizinische Produkte oder Geräte | Art des Produkts, das der Kunde gekauft, geleast oder gemietet hat |
Immobilien gekauft, geleast oder gemietet | Art der erbrachten Leistung | Sozialversicherungsnummer |
Kontonummer | Kreditkartennummer | Debitkartennummer |
Bank- oder Anlagekonto, Debit- oder Kreditkartensaldo | Zahlungshistorie | Informationen über die Kreditwürdigkeit, das Vermögen, das Einkommen oder die Verbindlichkeiten des Kunden |
Benachrichtigung und Kontaktstellen
Das Gesetz verlangt, dass ein Unternehmen eine benannte Kontaktstelle – eine E-Mail-Adresse, eine Postanschrift oder eine Telefon- oder Faxnummer – einrichtet, an die es Anfragen zur Offenlegung von Informationen richten kann. Darüber hinaus muss ein Unternehmen mindestens eine der folgenden Aufgaben erfüllen:
- Stellen Sie allen Mitarbeitern, die möglicherweise Kontakt mit Verbrauchern haben, die Kontaktstellen in ausreichendem Maße zur Verfügung, damit der Mitarbeiter die Kontaktinformationen bereitstellen kann, wenn ein Verbraucher nach Datenschutzpraktiken fragt;
- Fügen Sie auf der Startseite einen Link mit dem Titel "Ihre Datenschutzrechte" oder "Ihre kalifornischen Datenschutzrechte" hinzu oder fügen Sie einen dieser Sätze im gleichen Stil wie die Überschrift "Datenschutzrichtlinie" auf der Datenschutzrichtlinienseite eines Unternehmens ein (verlinkt von der Startseite des Unternehmens Seite). Dieser Abschnitt oder die separate Seite „Ihre Datenschutzrechte“ muss die gesetzlich festgelegten Rechte eines Kunden beschreiben und dem Verbraucher Informationen über die angegebene Kontaktstelle bereitstellen;
- Veröffentlichen Sie die Kontaktinformationen oder stellen Sie sie überall dort zur Verfügung, wo ein Kunde mit den Mitarbeitern des Unternehmens in Kalifornien interagiert.
Offenlegung und Verstöße
Unternehmen müssen dem Verbraucher innerhalb von 30 Tagen nach der Anfrage (150 Tage, wenn eine Anfrage an eine andere Adresse oder Kontaktstelle geht, die nicht die benannte Kontaktstelle ist) eine vollständige Liste aller personenbezogenen Daten, die an Dritte weitergegeben werden, und die Art dieser Daten zur Verfügung stellen. . Das Gesetz verlangt jedoch, dass ein Unternehmen nur einmal im Kalenderjahr auf Anfragen eines einzelnen Kunden reagiert. Die Antwort muss die Kategorien der offengelegten Informationen und die Unternehmen enthalten, denen sie im letzten Kalenderjahr mitgeteilt wurden. Unternehmen mit Datenschutzrichtlinien, die es Benutzern ermöglichen, sich an- oder abzumelden, können auf Anfragen zur Offenlegung von Informationen mit Informationen zum Opt-in oder Opt-out antworten.
Wenn ein Unternehmen benachrichtigt wird, dass es seinen Anforderungen nicht nachgekommen ist, indem es unvollständige Informationen übermittelt oder überhaupt nicht auf die Anfrage reagiert hat, sieht das Gesetz eine Nachfrist von 90 Tagen vor, um vollständige Informationen wie angefordert bereitzustellen. Wenn ein Unternehmen jedoch einer Aufforderung eines Verbrauchers gemäß dem Gesetz nicht nachkommt, hat dieser Kunde Anspruch auf zivilrechtliche Schadensersatzansprüche in Höhe von bis zu 500 US-Dollar. Wenn ein Unternehmen dies vorsätzlich nicht einhält, erhöht sich der Schaden auf bis zu 3.000 US-Dollar zuzüglich Anwaltskosten.
Übereinstimmungsrate
Obwohl das Gesetz am 1. Januar 2005 offiziell in Kraft trat, fand eine unabhängige Studie aus dem Jahr 2009 Hinweise auf eine uneinheitliche Einhaltung. Die Forscher stellten eine Liste von 112 Unternehmen zusammen, die dem SB 27 unterliegen und keine Opt-out-Option anbieten, die sie von der erforderlichen Offenlegung befreien würde. Als diesen 112 Unternehmen Anfragen zur Offenlegung von Informationen zugestellt wurden, reagierten nur 59 von ihnen wie gesetzlich vorgeschrieben.
Verweise
- ^ CA Government Civil Code § 1798.83 Archiviert 2013-08-23 an der Wayback Machine . hinzugefügt 2013-07-28.
- ^ a b c d e CA Zivilgesetzbuch § 1798.83 . Abgerufen am 01.03.2011.
- ^ a b Elektronisches Datenschutzinformationszentrum (EPIC). "California SB 27, Gesetz 'Shine the Light'".
- ^ Nick Lieber. " Warum die Datenschutzrichtlinie Ihrer Website wichtiger ist als Sie denken ." BusinessWeek , 12. August 2009. Abgerufen am 11.03.01.
- ^ a b Gesetzgeber des Bundesstaates Kalifornien. Senate Bill 27, Kapitelierte Version Archiviert 2006-08-29 an der Wayback Machine . Hinterlegt beim CA-Außenminister am 25. September 2003. Abgerufen am 11.03.01.
- ^ a b c Justizausschuss des kalifornischen Senats. Bill Analysis, SB 27 Senate Bill Archiviert 2008-12-26 an der Wayback Machine , 2003. Abgerufen am 2011-03-01.
- ^ „SB 27 komplette Rechnungsgeschichte“ . Senat von Kalifornien. Archiviert vom Original am 29.08.2006 . Abgerufen am 2. März 2011 .
- ^ a b c d Clearinghouse für Datenschutzrechte. "Das kalifornische Gesetz "Shine the Light" tritt am 1. Januar 2005 in Kraft. Archiviert am 24.05.2011 bei der Wayback Machine ." Pressemitteilung. Gepostet am 29. Dezember 2004. Abgerufen am 11.03.01.
- ^ Lauren Thomas und Chris Jay Hoofnagle. Erforschung des Informationsaustauschs durch das kalifornische Gesetz „Shine the Light“ . 13. August 2009
Externe Links
- SB 27 (2003-2004): Senat des Staates Kalifornien
- California Civil Code § 1798.83
- Chris Hoofnagle und Jennifer King. „Verbraucherinformationsaustausch: Wo die Sonne noch nicht scheint“ . 17. Dezember 2007. Studie zu Praktiken des Informationsaustauschs aus Offenlegungen, die gemäß SB 27 angefordert wurden.
- Internationaler Verband der Datenschutzexperten. "Die kalifornischen Datenschutzgesetze reichen über Kalifornien hinaus ." York, Maine: 7. Dezember 2004.
- Anthony D. Milewski Jr. " Einhaltung der kalifornischen Datenschutzgesetze: Bundesgesetz bietet Unternehmen auch landesweit Leitlinien ." University of Washington, Shidler School of Law. 2 Shidler JL Com. & Technik. 19 (14. April 2006).
- ReedSmith. " Auswirkungen des kalifornischen "Shine the Light"-Gesetzes ." Kundenalarm, 1. Juli 2005.
- Weiß & Fall. " Aufkeimende Datenschutzentwicklungen in den USA ." Präsentation. Fünftes jährliches globales Datenschutzsymposium, 12. April 2005