سوابق مشتری - تعهدات ناشی از معاملات خاص - حقوق مدنی - CA

Section § 1798.80

این بخش از قانون، تعاریف مهمی را برای درک قوانین مربوط به حریم خصوصی در کالیفرنیا ارائه می‌دهد. توضیح می‌دهد که چه چیزی به عنوان «کسب‌وکار» محسوب می‌شود، شامل نهادهایی مانند شرکت‌ها و موسسات مالی که سوابق را مدیریت می‌کنند. «سوابق» اساساً هر نوع ذخیره‌سازی اطلاعات است، به استثنای دایرکتوری‌های در دسترس عموم. «مشتری» در اینجا کسی است که اطلاعات شخصی را برای خرید محصولات یا خدمات به یک کسب‌وکار می‌دهد. «فرد» به یک شخص واقعی اشاره دارد. در نهایت، «اطلاعات شخصی» شامل جزئیاتی است که می‌تواند کسی را شناسایی کند، مانند نام، شماره تامین اجتماعی و داده‌های سلامتی، اما شامل سوابق عمومی نمی‌شود. این تعاریف به روشن شدن اینکه چه کسی و چه چیزی تحت پوشش قوانین حریم خصوصی قرار می‌گیرد، کمک می‌کند.

تعاریف زیر برای این عنوان اعمال می‌شود:

(a) «کسب‌وکار» به معنای مالکیت انفرادی، مشارکت، شرکت سهامی، انجمن، یا هر گروه دیگری است، صرف‌نظر از نحوه سازماندهی و اینکه آیا برای کسب سود سازماندهی شده است یا خیر، از جمله یک موسسه مالی که تحت قوانین این ایالت، هر ایالت دیگر، ایالات متحده، یا هر کشور دیگری سازماندهی، دارای منشور یا دارای مجوز یا گواهی اختیار است، یا شرکت مادر یا فرعی یک موسسه مالی. این اصطلاح شامل نهادی می‌شود که سوابق را امحا می‌کند.

(b) «سوابق» به معنای هرگونه ماده‌ای است، صرف‌نظر از شکل فیزیکی آن، که اطلاعات بر روی آن به هر وسیله‌ای ثبت یا نگهداری شده است، از جمله به صورت کلمات نوشتاری یا گفتاری، به تصویر کشیده شده به صورت گرافیکی، چاپی، یا به صورت الکترومغناطیسی منتقل شده. «سوابق» شامل دایرکتوری‌های در دسترس عموم که حاوی اطلاعاتی است که یک فرد داوطلبانه رضایت داده است تا به صورت عمومی منتشر یا فهرست شود، مانند نام، آدرس، یا شماره تلفن، نمی‌شود.

(c) «مشتری» به معنای فردی است که اطلاعات شخصی را به یک کسب‌وکار به منظور خرید یا اجاره محصول یا دریافت خدمات از آن کسب‌وکار ارائه می‌دهد.

(d) «فرد» به معنای یک شخص حقیقی است.

(e) «اطلاعات شخصی» به معنای هرگونه اطلاعاتی است که یک فرد خاص را شناسایی می‌کند، به او مربوط می‌شود، او را توصیف می‌کند، یا قابلیت ارتباط با او را دارد، از جمله، اما نه محدود به، نام، امضا، شماره تامین اجتماعی، ویژگی‌های فیزیکی یا توصیف ظاهری، آدرس، شماره تلفن، شماره گذرنامه، شماره گواهینامه رانندگی یا کارت شناسایی دولتی، شماره بیمه‌نامه، تحصیلات، اشتغال، سابقه اشتغال، شماره حساب بانکی، شماره کارت اعتباری، شماره کارت نقدی، یا هرگونه اطلاعات مالی دیگر، اطلاعات پزشکی، یا اطلاعات بیمه درمانی. «اطلاعات شخصی» شامل اطلاعات در دسترس عموم که به طور قانونی از سوابق دولتی فدرال، ایالتی یا محلی در دسترس عموم قرار گرفته است، نمی‌شود.

تعریف کسب‌وکار تعریف سوابق تعریف مشتری ...

Section § 1798.81

این قانون کسب و کارها را ملزم می‌کند که سوابق مشتری حاوی اطلاعات شخصی را، زمانی که دیگر به آنها نیازی نیست، به طور ایمن از بین ببرند. آنها می‌توانند این کار را با خرد کردن، پاک کردن، یا تغییر دادن اطلاعات به گونه‌ای انجام دهند که قابل خواندن یا فهمیدن نباشد.

امحای سوابق مشتری امنیت اطلاعات شخصی خرد کردن اسناد ...

Section § 1798.81

این قانون از کسب‌وکارهایی که اطلاعات شخصی ساکنان کالیفرنیا را دارند، می‌خواهد که آن را ایمن نگه دارند. اگر یک کسب‌وکار چنین اطلاعاتی را در اختیار دارد، باید اقدامات امنیتی معقولی را برای محافظت از آن در برابر سوءاستفاده، سرقت یا تغییر به کار گیرد. اگر اطلاعات را با شرکت دیگری به اشتراک بگذارند، باید اطمینان حاصل کنند که آن شرکت نیز آن را ایمن نگه می‌دارد. اطلاعات شخصی می‌تواند شامل مواردی مانند نام شما همراه با شماره تامین اجتماعی، اطلاعات پزشکی، یا ترکیب ایمیل و رمز عبور باشد. برخی نهادها، مانند ارائه‌دهندگان مراقبت‌های بهداشتی تحت قوانین خاص حریم خصوصی، نیازی به رعایت این قانون ندارند زیرا قبلاً تحت پوشش مقررات دیگر هستند.

(a)

(1) هدف قانونگذار این است که اطمینان حاصل شود اطلاعات شخصی ساکنان کالیفرنیا محافظت می‌شود. بدین منظور، هدف این بخش تشویق کسب‌وکارها است که اطلاعات شخصی کالیفرنیایی‌ها را که مالک آن هستند، مجوز آن را دارند یا نگهداری می‌کنند، امنیت معقولی برای آن اطلاعات فراهم آورند.

(2) برای اهداف این بخش، اصطلاحات "مالک بودن" و "مجوز داشتن" شامل اطلاعات شخصی می‌شود که یک کسب‌وکار به عنوان بخشی از حساب داخلی مشتری خود یا به منظور استفاده از آن اطلاعات در تراکنش‌ها با شخصی که اطلاعات به او مربوط می‌شود، نگهداری می‌کند. اصطلاح "نگهداری کردن" شامل اطلاعات شخصی می‌شود که یک کسب‌وکار آن را نگهداری می‌کند اما مالک یا دارای مجوز آن نیست.

(b) کسب‌وکاری که اطلاعات شخصی یک ساکن کالیفرنیا را مالک است، مجوز آن را دارد یا نگهداری می‌کند، باید رویه‌ها و شیوه‌های امنیتی معقول و متناسب با ماهیت اطلاعات را اجرا و حفظ کند تا اطلاعات شخصی را از دسترسی، تخریب، استفاده، تغییر یا افشای غیرمجاز محافظت نماید.

(c) کسب‌وکاری که اطلاعات شخصی یک ساکن کالیفرنیا را بر اساس قراردادی با یک شخص ثالث غیروابسته که مشمول بند (b) نیست، افشا می‌کند، باید طبق قرارداد از شخص ثالث بخواهد که رویه‌ها و شیوه‌های امنیتی معقول و متناسب با ماهیت اطلاعات را اجرا و حفظ کند تا اطلاعات شخصی را از دسترسی، تخریب، استفاده، تغییر یا افشای غیرمجاز محافظت نماید.

(d) برای اهداف این بخش، اصطلاحات زیر معانی زیر را دارند:

(1) "اطلاعات شخصی" به یکی از موارد زیر اطلاق می‌شود:

(A) نام کوچک یا حرف اول نام کوچک یک فرد و نام خانوادگی فرد در ترکیب با یک یا چند مورد از عناصر داده‌ای زیر، زمانی که نام یا عناصر داده‌ای رمزگذاری یا ویرایش نشده باشند:

(i) شماره تامین اجتماعی.

(ii) شماره گواهینامه رانندگی، شماره کارت شناسایی کالیفرنیا، شماره شناسایی مالیاتی، شماره گذرنامه، شماره شناسایی نظامی، یا سایر شماره‌های شناسایی منحصر به فرد صادر شده بر روی یک سند دولتی که معمولاً برای تأیید هویت یک فرد خاص استفاده می‌شود.

(iii) شماره حساب یا شماره کارت اعتباری یا بدهی، در ترکیب با هر کد امنیتی، کد دسترسی، یا رمز عبور مورد نیاز که امکان دسترسی به حساب مالی یک فرد را فراهم کند.

(iv) اطلاعات پزشکی.

(v) اطلاعات بیمه سلامت.

(vi) داده‌های بیومتریک منحصر به فرد تولید شده از اندازه‌گیری‌ها یا تحلیل فنی ویژگی‌های بدن انسان، مانند اثر انگشت، شبکیه، یا تصویر عنبیه، که برای احراز هویت یک فرد خاص استفاده می‌شود. داده‌های بیومتریک منحصر به فرد شامل عکس فیزیکی یا دیجیتال نمی‌شود، مگر اینکه برای اهداف تشخیص چهره استفاده یا ذخیره شده باشد.

(vii) داده‌های ژنتیکی.

(B) نام کاربری یا آدرس ایمیل در ترکیب با رمز عبور یا سوال و پاسخ امنیتی که امکان دسترسی به یک حساب آنلاین را فراهم کند.

(2) "اطلاعات پزشکی" به هرگونه اطلاعات قابل شناسایی فردی، به صورت الکترونیکی یا فیزیکی، در مورد سابقه پزشکی فرد یا درمان یا تشخیص پزشکی توسط یک متخصص مراقبت‌های بهداشتی اطلاق می‌شود.

(3) "اطلاعات بیمه سلامت" به شماره بیمه‌نامه یا شماره شناسایی مشترک یک فرد، هر شناسه منحصر به فردی که توسط یک بیمه‌گر سلامت برای شناسایی فرد استفاده می‌شود، یا هر اطلاعاتی در سابقه درخواست و ادعاهای فرد، از جمله هرگونه سوابق تجدیدنظر، اطلاق می‌شود.

(4) "اطلاعات شخصی" شامل اطلاعات عمومی در دسترس که به طور قانونی از سوابق دولتی فدرال، ایالتی یا محلی در دسترس عموم قرار گرفته است، نمی‌شود.

(5) "داده‌های ژنتیکی" به هر داده‌ای، صرف نظر از قالب آن، که از تحلیل یک نمونه بیولوژیکی از یک فرد، یا از منبع دیگری که امکان دستیابی به اطلاعات معادل را فراهم می‌کند، حاصل می‌شود و مربوط به مواد ژنتیکی است. مواد ژنتیکی شامل، اما نه محدود به، اسیدهای دئوکسی‌ریبونوکلئیک (DNA)، اسیدهای ریبونوکلئیک (RNA)، ژن‌ها، کروموزوم‌ها، آلل‌ها، ژنوم‌ها، تغییرات یا اصلاحات در DNA یا RNA، پلی‌مورفیسم‌های تک‌نوکلئوتیدی (SNPs)، داده‌های تفسیر نشده‌ای که از تحلیل نمونه بیولوژیکی یا منبع دیگر حاصل می‌شود، و هرگونه اطلاعات استخراج شده، مشتق شده یا استنباط شده از آن است.

(e) مفاد این بخش در مورد هیچ یک از موارد زیر اعمال نمی‌شود:

(1) ارائه‌دهنده مراقبت‌های بهداشتی، طرح خدمات مراقبت‌های بهداشتی، یا پیمانکاری که تحت قانون محرمانگی اطلاعات پزشکی (بخش 2.6 (شروع از ماده 56) از بخش 1) تنظیم می‌شود.

(2) یک موسسه مالی همانطور که در ماده 4052 قانون مالی تعریف شده و مشمول قانون حریم خصوصی اطلاعات مالی کالیفرنیا (بخش 1.4 (شروع از ماده 4050) از قانون مالی) است.

(3) یک نهاد تحت پوشش که توسط قوانین حریم خصوصی و امنیتی پزشکی صادر شده توسط وزارت بهداشت و خدمات انسانی فدرال، بخش‌های 160 و 164 از عنوان 45 کد مقررات فدرال، که بر اساس قانون قابلیت حمل و پاسخگویی بیمه سلامت سال 1996 (HIPAA) تأسیس شده‌اند، اداره می‌شود.

(4) نهادی که اطلاعات را تحت توافقی مطابق با ماده 3 (شروع از ماده 1800) از فصل 1 از بخش 2 قانون وسایل نقلیه به دست می‌آورد و مشمول الزامات محرمانگی قانون وسایل نقلیه است.

(5) کسب‌وکاری که توسط قانون ایالتی یا فدرال تنظیم می‌شود و حفاظت بیشتری از اطلاعات شخصی نسبت به آنچه در این بخش ارائه شده است، در خصوص موضوعات مورد بحث در این بخش، فراهم می‌کند. رعایت آن قانون ایالتی یا فدرال، رعایت این بخش در خصوص آن موضوعات تلقی خواهد شد. این بند یک کسب‌وکار را از وظیفه رعایت سایر الزامات قوانین ایالتی و فدرال دیگر در مورد حفاظت و حریم خصوصی اطلاعات شخصی معاف نمی‌کند.

حفاظت از اطلاعات شخصی امنیت معقول دسترسی غیرمجاز ...

Section § 1798.81

آژانس‌های گزارش‌دهی اعتبار مصرف‌کننده در کالیفرنیا که داده‌های شخصی را مدیریت می‌کنند، باید آسیب‌پذیری‌های امنیتی در سیستم‌های رایانه‌ای خود را به سرعت برطرف کنند، به ویژه اگر خطر قابل توجهی از نقض داده وجود داشته باشد. اگر از وجود به‌روزرسانی نرم‌افزاری مطلع باشند، باید ظرف سه روز کاری کار بر روی آن را آغاز کرده و ظرف 90 روز آن را تکمیل کنند. در همین حین، باید از سایر اقدامات امنیتی برای محافظت از داده‌ها استفاده کنند. حتی اگر به‌روزرسانی نرم‌افزاری موجود نباشد، این آژانس‌ها همچنان باید شکاف‌های امنیتی پرخطر را فوراً برطرف کنند. آنها همچنین باید اطمینان حاصل کنند که هر شخص ثالثی که داده‌های شخصی را از طرف آنها مدیریت می‌کند، پروتکل‌های امنیتی سختگیرانه را رعایت می‌کند. دادستان کل مسئول اجرای این قانون است.

(a) یک آژانس گزارش‌دهی اعتبار مصرف‌کننده، همانطور که در 15 U.S.C. Sec. 1681a(p) تعریف شده است، که مالک، دارای مجوز یا نگهدارنده اطلاعات شخصی در مورد یک ساکن کالیفرنیا است، یا یک شخص ثالث که اطلاعات شخصی در مورد یک ساکن کالیفرنیا را از طرف یک آژانس گزارش‌دهی اعتبار مصرف‌کننده نگهداری می‌کند، و می‌داند، یا به طور معقول باید بداند، که یک سیستم رایانه‌ای که مالک آن است، آن را اداره می‌کند یا نگهداری می‌کند، و پروتکل‌های امنیتی آن را کنترل می‌کند، در معرض یک آسیب‌پذیری امنیتی است که خطر قابل توجهی، همانطور که در بند (c) تعریف شده است، برای امنیت داده‌های رایانه‌ای حاوی اطلاعات شخصی، همانطور که در بند (h) از بخش 1798.82 تعریف شده است، ایجاد می‌کند، باید تمام موارد زیر را انجام دهد:

(1) اگر یک آژانس گزارش‌دهی اعتبار مصرف‌کننده می‌داند یا به طور معقول باید بداند که یک به‌روزرسانی نرم‌افزاری برای رفع آسیب‌پذیری همانطور که در بند (a) توضیح داده شده است، موجود است، آژانس باید آزمایش، برنامه‌ریزی و ارزیابی لازم سیستم‌های خود را برای اجرای آن به‌روزرسانی نرم‌افزاری در سریع‌ترین زمان ممکن و بدون تأخیر غیرمعقول، مطابق با بهترین شیوه‌های صنعت، آغاز کند، اما در هر صورت حداکثر ظرف سه روز کاری پس از آگاهی، یا پس از نقطه‌ای که به طور معقول باید آگاه می‌شد، از آسیب‌پذیری و به‌روزرسانی نرم‌افزاری موجود. به‌روزرسانی نرم‌افزاری باید در سریع‌ترین زمان ممکن و بدون تأخیر غیرمعقول، مطابق با بهترین شیوه‌های صنعت، تکمیل شود، اما در هر صورت حداکثر ظرف 90 روز پس از آگاهی، یا پس از نقطه‌ای که به طور معقول باید آگاه می‌شد، از آسیب‌پذیری و به‌روزرسانی نرم‌افزاری موجود.

(2) تا زمانی که به‌روزرسانی نرم‌افزاری توضیح داده شده در بند (1) تکمیل شود، آژانس گزارش‌دهی اعتبار مصرف‌کننده باید، مطابق با بهترین شیوه‌های صنعت، کنترل‌های جبرانی معقولی را برای کاهش خطر نقض ناشی از آسیب‌پذیری سیستم رایانه‌ای همانطور که در بند (a) توضیح داده شده است، به کار گیرد.

(b) صرف‌نظر از اینکه به‌روزرسانی نرم‌افزاری موجود باشد یا خیر، آژانس گزارش‌دهی اعتبار مصرف‌کننده، مطابق با بهترین شیوه‌های صنعت، باید تمام موارد زیر را انجام دهد:

(1) آسیب‌پذیری‌های امنیتی با بالاترین خطر را به سرعت شناسایی، اولویت‌بندی و رسیدگی کند تا احتمال سوءاستفاده از آسیب‌پذیری‌هایی که بزرگترین خطر امنیتی را ایجاد می‌کنند، کاهش یابد.

(2) تأثیر کنترل‌های جبرانی و به‌روزرسانی‌های نرم‌افزاری و چگونگی تأثیر آنها بر آسیب‌پذیری سیستم در برابر تهدیدات امنیت داده‌های رایانه‌ای را آزمایش و ارزیابی کند.

(3) از طریق قرارداد، از شخص ثالث بخواهد که اقدامات امنیتی مناسب را برای اطلاعات شخصی اجرا و نگهداری کند. قرارداد با یک شخص ثالث برای نگهداری اطلاعات شخصی در مورد ساکنان کالیفرنیا، آژانس اعتبار مصرف‌کننده را از الزامات این بخش معاف نخواهد کرد.

(c) همانطور که در این بخش استفاده شده است، «خطر قابل توجه» به معنای امتیاز آسیب‌پذیری است که با استفاده از یک سیستم اندازه‌گیری استاندارد که به عنوان بهترین شیوه برای صنعت پذیرفته شده است، محاسبه می‌شود تا مشخص شود که این خطر به طور معقول می‌تواند منجر به نقض امنیت سیستم، همانطور که در بند (g) از بخش 1798.82 تعریف شده است، از اطلاعات شخصی، همانطور که در بند (h) از بخش 1798.82 تعریف شده است، شود.

(d) همانطور که در این بخش استفاده شده است، «کنترل‌های جبرانی» به معنای کنترل‌هایی است که آژانس به طور معقول معتقد است از سوءاستفاده از آسیب‌پذیری سیستم رایانه‌ای همانطور که در بند (a) توضیح داده شده است، در حالی که به‌روزرسانی نرم‌افزاری در حال آزمایش، ارزیابی و تدوین برنامه اجرایی است، جلوگیری خواهد کرد، و به اندازه کافی آزمایش و تأیید شده‌اند تا خطر نقض ناشی از آسیب‌پذیری سیستم رایانه‌ای همانطور که در بند (a) توضیح داده شده است، را به اندازه کافی جبران کنند.

(e) هیچ چیز در این بخش مسئولیت‌ها و تعهدات یک آژانس گزارش‌دهی اعتبار مصرف‌کننده یا شخص ثالث را تحت این عنوان، از جمله، اما نه محدود به، بخش 1798.81.5، کاهش نخواهد داد.

(f) دادستان کل اختیار انحصاری برای اجرای این بخش را دارد.

آژانس گزارش‌دهی اعتبار مصرف‌کننده اطلاعات شخصی آسیب‌پذیری امنیتی ...

Section § 1798.82

اگر در کالیفرنیا کسب‌وکاری دارید و اطلاعات شخصی شما هک شود، باید به سرعت به هر ساکن کالیفرنیایی که تحت تأثیر قرار گرفته است اطلاع دهید. این افشا باید به موقع باشد، اما اگر اجرای قانون درگیر باشد، ممکن است به تأخیر بیفتد. اطلاعیه باید توضیح دهد چه اتفاقی افتاده، چه نوع داده‌هایی نقض شده‌اند، و راه‌حل‌هایی برای محافظت از افراد متأثر ارائه دهد. اگر نقض داده بیش از 500 ساکن ایالت را تحت تأثیر قرار دهد، باید به دادستان کل نیز اطلاع دهید. اطلاعات شخصی به مواردی مانند شماره تأمین اجتماعی، گواهینامه رانندگی یا جزئیات ورود به سیستم تعریف می‌شود. اگر یک سیاست امنیتی از پیش موجود دارید که الزامات ایالت را برآورده می‌کند یا از آن فراتر می‌رود، رعایت آن همچنان شما را مطابق با قانون نگه می‌دارد.

(a) شخص یا کسب‌وکاری که در کالیفرنیا فعالیت تجاری می‌کند و مالک یا دارای مجوز داده‌های رایانه‌ای حاوی اطلاعات شخصی است، باید نقض امنیت سیستم را پس از کشف یا اطلاع از نقض امنیت داده‌ها به یک ساکن کالیفرنیا افشا کند (1) که اطلاعات شخصی رمزگذاری نشده او توسط شخص غیرمجاز به دست آمده یا به طور معقولی گمان می‌رود به دست آمده باشد، یا، (2) که اطلاعات شخصی رمزگذاری شده او توسط شخص غیرمجاز به دست آمده یا به طور معقولی گمان می‌رود به دست آمده باشد و کلید رمزگذاری یا اعتبار امنیتی توسط شخص غیرمجاز به دست آمده یا به طور معقولی گمان می‌رود به دست آمده باشد و شخص یا کسب‌وکاری که مالک یا دارای مجوز اطلاعات رمزگذاری شده است، به طور معقولی معتقد باشد که کلید رمزگذاری یا اعتبار امنیتی می‌تواند آن اطلاعات شخصی را قابل خواندن یا استفاده کند. این افشا باید در سریع‌ترین زمان ممکن و بدون تأخیر غیرمعقول انجام شود، مطابق با نیازهای مشروع اجرای قانون، همانطور که در زیربخش (c) ارائه شده است، یا هر اقدام لازم برای تعیین دامنه نقض و بازیابی یکپارچگی معقول سیستم داده.

(b) شخص یا کسب‌وکاری که داده‌های رایانه‌ای حاوی اطلاعات شخصی را نگهداری می‌کند که مالک آن نیست، باید بلافاصله پس از کشف، مالک یا دارنده مجوز اطلاعات را از نقض امنیت داده‌ها مطلع کند، اگر اطلاعات شخصی توسط شخص غیرمجاز به دست آمده یا به طور معقولی گمان می‌رود به دست آمده باشد.

(c) اطلاع‌رسانی مورد نیاز این بخش ممکن است به تأخیر بیفتد اگر یک سازمان اجرای قانون تشخیص دهد که اطلاع‌رسانی مانع تحقیقات جنایی خواهد شد. اطلاع‌رسانی مورد نیاز این بخش باید بلافاصله پس از آنکه سازمان اجرای قانون تشخیص دهد که تحقیقات را به خطر نمی‌اندازد، انجام شود.

(d) شخص یا کسب‌وکاری که طبق این بخش ملزم به صدور اطلاعیه نقض امنیتی است، باید تمام الزامات زیر را برآورده کند:

(1) اطلاعیه نقض امنیتی باید به زبان ساده نوشته شود، باید عنوان “اطلاعیه نقض داده” را داشته باشد، و اطلاعات شرح داده شده در بند (2) را تحت عناوین زیر ارائه دهد: “چه اتفاقی افتاد”، “چه اطلاعاتی درگیر بود”، “ما چه کاری انجام می‌دهیم”، “شما چه کاری می‌توانید انجام دهید”، و “برای اطلاعات بیشتر”. اطلاعات اضافی ممکن است به عنوان مکمل اطلاعیه ارائه شود.

(A) قالب اطلاعیه باید به گونه‌ای طراحی شود که توجه را به ماهیت و اهمیت اطلاعات موجود در آن جلب کند.

(B) عنوان و سرفصل‌های اطلاعیه باید به وضوح و به طور برجسته نمایش داده شوند.

(D) برای اطلاعیه کتبی شرح داده شده در بند (1) از زیربخش (j)، استفاده از فرم نمونه اطلاعیه نقض امنیتی که در زیر تجویز شده است یا استفاده از سرفصل‌های شرح داده شده در این بند با اطلاعات شرح داده شده در بند (2)، که به زبان ساده نوشته شده است، مطابق با این زیربخش تلقی خواهد شد.

[نام موسسه / لوگو] _____ _____ تاریخ: [تاریخ را وارد کنید]

اطلاعیه نقض داده

چه اتفاقی افتاد؟

چه اطلاعاتی درگیر بود؟

ما چه کاری انجام می‌دهیم.

شما چه کاری می‌توانید انجام دهید.

سایر اطلاعات مهم.

[سایر اطلاعات مهم را وارد کنید]

برای اطلاعات بیشتر.

با [شماره تلفن] تماس بگیرید یا به [وب‌سایت اینترنتی] مراجعه کنید

(E) برای اطلاعیه الکترونیکی شرح داده شده در بند (2) از زیربخش (j)، استفاده از سرفصل‌های شرح داده شده در این بند با اطلاعات شرح داده شده در بند (2)، که به زبان ساده نوشته شده است، مطابق با این زیربخش تلقی خواهد شد.

(2) اطلاعیه نقض امنیتی شرح داده شده در بند (1) باید حداقل شامل اطلاعات زیر باشد:

(A) نام و اطلاعات تماس شخص یا کسب‌وکار گزارش‌دهنده که مشمول این بخش است.

(B) فهرستی از انواع اطلاعات شخصی که موضوع نقض بوده یا به طور معقولی گمان می‌رود موضوع نقض بوده است.

(C) اگر اطلاعات در زمان ارائه اطلاعیه قابل تعیین باشد، هر یک از موارد زیر: (i) تاریخ نقض، (ii) تاریخ تخمینی نقض، یا (iii) بازه زمانی که نقض در آن رخ داده است. اطلاعیه باید شامل تاریخ اطلاعیه نیز باشد.

(D) اینکه آیا اطلاع‌رسانی به دلیل تحقیقات اجرای قانون به تأخیر افتاده است یا خیر، اگر این اطلاعات در زمان ارائه اطلاعیه قابل تعیین باشد.

(E) شرح کلی از حادثه نقض، اگر این اطلاعات در زمان ارائه اطلاعیه قابل تعیین باشد.

(F) شماره تلفن‌های رایگان و آدرس‌های آژانس‌های اصلی گزارش‌دهی اعتبار اگر نقض، شماره تأمین اجتماعی یا شماره گواهینامه رانندگی یا کارت شناسایی کالیفرنیا را افشا کرده باشد.

(G) اگر شخص یا کسب‌وکار ارائه‌دهنده اطلاعیه منبع نقض بوده است، پیشنهادی برای ارائه خدمات مناسب پیشگیری و کاهش سرقت هویت، در صورت وجود، باید به صورت رایگان به شخص متضرر برای حداقل 12 ماه ارائه شود، همراه با تمام اطلاعات لازم برای استفاده از این پیشنهاد به هر شخصی که اطلاعاتش نقض شده یا ممکن است نقض شده باشد، اگر نقض، اطلاعات شخصی تعریف شده در زیربندهای (A) و (B) از بند (1) از زیربخش (h) را افشا کرده یا ممکن است افشا کرده باشد.

(3) به صلاحدید شخص یا کسب‌وکار، اطلاعیه نقض امنیتی ممکن است شامل هر یک از موارد زیر نیز باشد:

(A) اطلاعاتی در مورد کارهایی که شخص یا کسب‌وکار برای محافظت از افرادی که اطلاعاتشان نقض شده است، انجام داده است.

(B) توصیه‌هایی در مورد اقداماتی که افرادی که اطلاعاتشان نقض شده است ممکن است برای محافظت از خود انجام دهند.

(C) در نقض‌هایی که شامل داده‌های بیومتریک است، دستورالعمل‌هایی در مورد نحوه اطلاع‌رسانی به سایر نهادهایی که از همان نوع داده‌های بیومتریک به عنوان احراز هویت استفاده می‌کردند تا دیگر برای اهداف احراز هویت به داده‌ها تکیه نکنند.

(e) یک نهاد تحت پوشش قانون فدرال قابلیت حمل و پاسخگویی بیمه سلامت سال 1996 (42 U.S.C. Sec. 1320d و غیره) تلقی می‌شود که با الزامات اطلاع‌رسانی در زیربخش (d) مطابقت داشته است اگر به طور کامل با بخش 13402(f) قانون فدرال فناوری اطلاعات سلامت برای سلامت اقتصادی و بالینی (قانون عمومی 111-5) مطابقت داشته باشد. با این حال، هیچ چیز در این زیربخش نباید به گونه‌ای تفسیر شود که یک نهاد تحت پوشش را از هر حکم دیگری از این بخش معاف کند.

(f) شخص یا کسب‌وکاری که طبق این بخش ملزم به صدور اطلاعیه نقض امنیتی برای بیش از 500 ساکن کالیفرنیا در نتیجه یک نقض واحد سیستم امنیتی است، باید یک نسخه نمونه واحد از آن اطلاعیه نقض امنیتی، به استثنای هرگونه اطلاعات شناسایی شخصی، را به صورت الکترونیکی به دادستان کل ارسال کند. یک نسخه نمونه واحد از اطلاعیه نقض امنیتی، مشمول ماده 1 (شروع از بخش 7923.600) از فصل 1 از بخش 5 از تقسیم 10 از عنوان 1 قانون دولتی تلقی نخواهد شد.

(g) برای اهداف این بخش، “نقض امنیت سیستم” به معنای دستیابی غیرمجاز به داده‌های رایانه‌ای است که امنیت، محرمانگی یا یکپارچگی اطلاعات شخصی نگهداری شده توسط شخص یا کسب‌وکار را به خطر می‌اندازد. دستیابی با حسن نیت به اطلاعات شخصی توسط یک کارمند یا نماینده شخص یا کسب‌وکار برای اهداف شخص یا کسب‌وکار، نقض امنیت سیستم نیست، مشروط بر اینکه اطلاعات شخصی استفاده نشود یا در معرض افشای غیرمجاز بیشتر قرار نگیرد.

(h) برای اهداف این بخش، “اطلاعات شخصی” به معنای هر یک از موارد زیر است:

(1) نام کوچک یا حرف اول نام کوچک و نام خانوادگی یک فرد در ترکیب با یک یا چند مورد از عناصر داده زیر، زمانی که نام یا عناصر داده رمزگذاری نشده باشند:

(A) شماره تأمین اجتماعی.

(B) شماره گواهینامه رانندگی، شماره کارت شناسایی کالیفرنیا، شماره شناسایی مالیاتی، شماره گذرنامه، شماره شناسایی نظامی، یا سایر شماره‌های شناسایی منحصر به فرد صادر شده بر روی یک سند دولتی که معمولاً برای تأیید هویت یک فرد خاص استفاده می‌شود.

(C) شماره حساب یا شماره کارت اعتباری یا بدهی، در ترکیب با هر کد امنیتی، کد دسترسی، یا رمز عبور مورد نیاز که امکان دسترسی به حساب مالی یک فرد را فراهم کند.

(D) اطلاعات پزشکی.

(E) اطلاعات بیمه سلامت.

(F) داده‌های بیومتریک منحصر به فرد تولید شده از اندازه‌گیری‌ها یا تحلیل فنی ویژگی‌های بدن انسان، مانند اثر انگشت، شبکیه یا تصویر عنبیه، که برای احراز هویت یک فرد خاص استفاده می‌شود. داده‌های بیومتریک منحصر به فرد شامل عکس فیزیکی یا دیجیتال نمی‌شود، مگر اینکه برای اهداف تشخیص چهره استفاده یا ذخیره شود.

(G) اطلاعات یا داده‌های جمع‌آوری شده از طریق استفاده یا عملکرد سیستم تشخیص خودکار پلاک خودرو، همانطور که در بخش 1798.90.5 تعریف شده است.

(H) داده‌های ژنتیکی.

(2) نام کاربری یا آدرس ایمیل، در ترکیب با رمز عبور یا سؤال و پاسخ امنیتی که امکان دسترسی به یک حساب آنلاین را فراهم کند.

(i)

(1) برای اهداف این بخش، “اطلاعات شخصی” شامل اطلاعات عمومی در دسترس که به طور قانونی از سوابق دولتی فدرال، ایالتی یا محلی در دسترس عموم قرار گرفته است، نمی‌شود.

(2) برای اهداف این بخش، “اطلاعات پزشکی” به معنای هرگونه اطلاعات مربوط به سابقه پزشکی، وضعیت روانی یا جسمی، یا درمان یا تشخیص پزشکی یک فرد توسط یک متخصص مراقبت‌های بهداشتی است.

(3) برای اهداف این بخش، “اطلاعات بیمه سلامت” به معنای شماره بیمه‌نامه سلامت یا شماره شناسایی مشترک یک فرد، هر شناسه منحصر به فردی که توسط یک بیمه‌گر سلامت برای شناسایی فرد استفاده می‌شود، یا هر اطلاعاتی در سابقه درخواست و ادعاهای یک فرد، از جمله سوابق تجدیدنظر است.

(4) برای اهداف این بخش، “رمزگذاری شده” به معنای غیرقابل استفاده، غیرقابل خواندن، یا غیرقابل رمزگشایی برای یک شخص غیرمجاز از طریق یک فناوری یا روش امنیتی که به طور کلی در زمینه امنیت اطلاعات پذیرفته شده است، است.

(5) “داده‌های ژنتیکی” به معنای هر داده‌ای است، صرف نظر از قالب آن، که از تحلیل یک نمونه بیولوژیکی از یک فرد، یا از منبع دیگری که امکان دستیابی به اطلاعات معادل را فراهم می‌کند، حاصل می‌شود و مربوط به مواد ژنتیکی است. مواد ژنتیکی شامل، اما نه محدود به، اسیدهای دئوکسی‌ریبونوکلئیک (DNA)، اسیدهای ریبونوکلئیک (RNA)، ژن‌ها، کروموزوم‌ها، آلل‌ها، ژنوم‌ها، تغییرات یا اصلاحات در DNA یا RNA، پلی‌مورفیسم‌های تک‌نوکلئوتیدی (SNPs)، داده‌های تفسیر نشده که از تحلیل نمونه بیولوژیکی یا منبع دیگر حاصل می‌شود، و هرگونه اطلاعات استخراج شده، مشتق شده یا استنباط شده از آن است.

(j) برای اهداف این بخش، “اطلاعیه” ممکن است با یکی از روش‌های زیر ارائه شود:

(1) اطلاعیه کتبی.

(2) اطلاعیه الکترونیکی، اگر اطلاعیه ارائه شده با مقررات مربوط به سوابق و امضاهای الکترونیکی مندرج در بخش 7001 از عنوان 15 قانون ایالات متحده مطابقت داشته باشد.

(3) اطلاعیه جایگزین، اگر شخص یا کسب‌وکار نشان دهد که هزینه ارائه اطلاعیه از دویست و پنجاه هزار دلار (250,000 دلار) فراتر می‌رود، یا اینکه تعداد افراد متأثر که باید مطلع شوند از 500,000 نفر بیشتر است، یا شخص یا کسب‌وکار اطلاعات تماس کافی ندارد. اطلاعیه جایگزین باید شامل تمام موارد زیر باشد:

(A) اطلاعیه ایمیلی زمانی که شخص یا کسب‌وکار آدرس ایمیل برای افراد مورد نظر دارد.

(B) انتشار برجسته، برای حداقل 30 روز، اطلاعیه در صفحه وب‌سایت اینترنتی شخص یا کسب‌وکار، اگر شخص یا کسب‌وکار چنین وب‌سایتی را نگهداری می‌کند. برای اهداف این زیربند، انتشار برجسته در وب‌سایت اینترنتی شخص یا کسب‌وکار به معنای ارائه یک لینک به اطلاعیه در صفحه اصلی یا اولین صفحه مهم پس از ورود به وب‌سایت اینترنتی است که با فونت بزرگتر از متن اطراف، یا با نوع، فونت یا رنگ متضاد با متن اطراف با همان اندازه، یا با نمادها یا علائم دیگری که توجه را به لینک جلب می‌کند، از متن اطراف با همان اندازه جدا شده باشد.

(4) در مورد نقض امنیت سیستم که شامل اطلاعات شخصی تعریف شده در بند (2) از زیربخش (h) برای یک حساب آنلاین است، و نه اطلاعات شخصی دیگری که در بند (1) از زیربخش (h) تعریف شده است، شخص یا کسب‌وکار می‌تواند با ارائه اطلاعیه نقض امنیتی به صورت الکترونیکی یا سایر اشکال که به شخصی که اطلاعات شخصی‌اش نقض شده است، فوراً دستور دهد تا رمز عبور و سؤال یا پاسخ امنیتی خود را، در صورت لزوم، تغییر دهد، یا اقدامات مناسب دیگری را برای محافظت از حساب آنلاین نزد شخص یا کسب‌وکار و تمام حساب‌های آنلاین دیگری که شخص دارای اطلاعات شخصی نقض شده از همان نام کاربری یا آدرس ایمیل و رمز عبور یا سؤال و پاسخ امنیتی استفاده می‌کند، انجام دهد.

(5) در مورد نقض امنیت سیستم که شامل اطلاعات شخصی تعریف شده در بند (2) از زیربخش (h) برای اطلاعات ورود به حساب ایمیلی است که توسط شخص یا کسب‌وکار ارائه شده است، شخص یا کسب‌وکار نباید با ارائه اطلاعیه نقض امنیتی به آن آدرس ایمیل با این بخش مطابقت داشته باشد، بلکه می‌تواند، به جای آن، با ارائه اطلاعیه از طریق روش دیگری که در این زیربخش شرح داده شده است، یا با اطلاعیه واضح و برجسته که به صورت آنلاین به ساکن تحویل داده می‌شود، زمانی که ساکن از یک آدرس پروتکل اینترنت یا مکان آنلاین که شخص یا کسب‌وکار می‌داند ساکن معمولاً از آن به حساب دسترسی پیدا می‌کند، به حساب آنلاین متصل است، با این بخش مطابقت داشته باشد.

(k) برای اهداف این بخش، “کلید رمزگذاری” و “اعتبار امنیتی” به معنای کلید یا فرآیند محرمانه‌ای است که برای قابل استفاده، قابل خواندن و قابل رمزگشایی کردن داده‌ها طراحی شده است.

(l) صرف نظر از زیربخش (j)، شخص یا کسب‌وکاری که رویه‌های اطلاع‌رسانی خود را به عنوان بخشی از سیاست امنیت اطلاعات برای رسیدگی به اطلاعات شخصی نگهداری می‌کند و در غیر این صورت با الزامات زمانی این بخش مطابقت دارد، تلقی می‌شود که با الزامات اطلاع‌رسانی این بخش مطابقت دارد، اگر شخص یا کسب‌وکار افراد مورد نظر را مطابق با سیاست‌های خود در صورت نقض امنیت سیستم مطلع کند.

اطلاع‌رسانی نقض داده اطلاعات شخصی کلید رمزگذاری ...

Section § 1798.83

این قانون، که به قانون «روشنایی بتابان» معروف است، کسب‌وکارهایی را که با مشتری رابطه تجاری دارند، ملزم می‌کند تا در صورت درخواست مشتری، اطلاعات شخصی را که با اشخاص ثالث برای اهداف بازاریابی به اشتراک گذاشته‌اند، افشا کنند. این قانون حکم می‌کند که کسب‌وکارها فهرستی از دسته‌های اطلاعات و نام گیرندگان شخص ثالث را ارائه دهند. کسب‌وکارها باید نحوه ارسال این درخواست‌ها توسط مشتریان را، اغلب از طریق وب‌سایت خود، اطلاع‌رسانی کنند. با این حال، کسب‌وکارهایی با کمتر از 20 کارمند یا آنهایی که سیاستی مبنی بر عدم اشتراک‌گذاری داده‌های شخصی برای اهداف بازاریابی دارند، معاف هستند. برخی از انواع افشاها، مانند آنهایی که تحت خدمات قراردادی انجام می‌شوند یا توسط شرکت‌های وابسته به اشتراک گذاشته می‌شوند، طبق این قانون افشای بازاریابی محسوب نمی‌شوند.

(a) به استثنای مواردی که در زیربند (d) به نحو دیگری پیش‌بینی شده است، اگر یک کسب‌وکار با مشتری خود رابطه تجاری برقرار شده داشته باشد و در سال تقویمی بلافاصله قبل، اطلاعات شخصی را که با هر یک از دسته‌های اطلاعات شخصی مندرج در بند (6) از زیربند (e) مطابقت دارد، به اشخاص ثالث افشا کرده باشد، و اگر کسب‌وکار بداند یا به طور معقول باید بداند که اشخاص ثالث از اطلاعات شخصی برای اهداف بازاریابی مستقیم خود استفاده کرده‌اند، آن کسب‌وکار، پس از دریافت درخواست کتبی یا ایمیل، یا، اگر کسب‌وکار انتخاب کند که درخواست‌ها را از طریق شماره تلفن رایگان یا فکس دریافت کند، درخواست تلفنی یا فکسی از مشتری، باید تمام اطلاعات زیر را به صورت رایگان به مشتری ارائه دهد:

(1) به صورت کتبی یا از طریق ایمیل، فهرستی از دسته‌های مندرج در بند (6) از زیربند (e) که با اطلاعات شخصی افشا شده توسط کسب‌وکار به اشخاص ثالث برای اهداف بازاریابی مستقیم اشخاص ثالث در سال تقویمی بلافاصله قبل مطابقت دارد.

(2) به صورت کتبی یا از طریق ایمیل، نام‌ها و آدرس‌های تمامی اشخاص ثالثی که اطلاعات شخصی را از کسب‌وکار برای اهداف بازاریابی مستقیم اشخاص ثالث در سال تقویمی قبل دریافت کرده‌اند و، اگر ماهیت کسب‌وکار اشخاص ثالث به طور معقول از نام اشخاص ثالث قابل تشخیص نباشد، نمونه‌هایی از محصولات یا خدمات بازاریابی شده، در صورت اطلاع کسب‌وکار، به اندازه‌ای که به مشتری نشانه‌ای معقول از ماهیت کسب‌وکار اشخاص ثالث بدهد.

(b)

(1) کسب‌وکاری که ملزم به رعایت این بخش است، باید یک آدرس پستی، آدرس ایمیل، یا، اگر کسب‌وکار انتخاب کند که درخواست‌ها را از طریق تلفن یا فکس دریافت کند، یک شماره تلفن رایگان یا فکس را تعیین کند که مشتریان بتوانند درخواست‌ها را طبق زیربند (a) به آن ارسال کنند. کسب‌وکاری که ملزم به رعایت این بخش است، به انتخاب خود، حداقل یکی از اقدامات زیر را انجام خواهد داد:

(A) تمامی نمایندگان و مدیرانی را که مستقیماً بر کارکنانی که به طور منظم با مشتریان در تماس هستند نظارت می‌کنند، از آدرس‌ها یا شماره‌های تعیین‌شده یا راه‌های دستیابی به آن آدرس‌ها یا شماره‌ها مطلع سازد و به آن کارکنان دستور دهد که مشتریانی که در مورد رویه‌های حریم خصوصی کسب‌وکار یا رعایت این بخش توسط کسب‌وکار سوال می‌کنند، باید از آدرس‌ها یا شماره‌های تعیین‌شده یا راه‌های دستیابی به آن آدرس‌ها یا شماره‌ها مطلع شوند.

(B) در صفحه اصلی وب‌سایت خود، لینکی به صفحه‌ای با عنوان «حقوق حریم خصوصی شما» اضافه کند یا عبارت «حقوق حریم خصوصی شما» را به لینک سیاست حفظ حریم خصوصی کسب‌وکار در صفحه اصلی اضافه کند. اگر کسب‌وکار انتخاب کند که عبارت «حقوق حریم خصوصی شما» را به لینک سیاست حفظ حریم خصوصی کسب‌وکار اضافه کند، عبارت «حقوق حریم خصوصی شما» باید با همان سبک و اندازه لینک سیاست حفظ حریم خصوصی کسب‌وکار باشد. اگر کسب‌وکار لینکی به سیاست حفظ حریم خصوصی خود در صفحه اصلی وب‌سایت خود نمایش نمی‌دهد، یا سیاست حفظ حریم خصوصی ندارد، عبارت «حقوق حریم خصوصی شما» باید با حروف بزرگ‌تر از متن اطراف، یا با نوع، فونت یا رنگ متضاد با متن اطراف با همان اندازه، یا با نمادها یا علائم دیگری که توجه را به این عبارت جلب می‌کند، از متن اطراف با همان اندازه جدا شود. صفحه اول لینک باید حقوق مشتری را طبق این بخش توضیح دهد و آدرس پستی، آدرس ایمیل، در صورت لزوم، یا شماره تلفن رایگان یا شماره فکس، در صورت اقتضا، را ارائه دهد. اگر کسب‌وکار انتخاب کند که عبارت «حقوق حریم خصوصی کالیفرنیای شما» را به لینک سیاست حفظ حریم خصوصی کسب‌وکار در صفحه اصلی به نحوی اضافه کند که با این زیربند مطابقت داشته باشد، و صفحه اول لینک حقوق مشتری را طبق این بخش توضیح دهد، و آدرس پستی، آدرس ایمیل الکترونیکی، در صورت لزوم، یا شماره تلفن رایگان یا شماره فکس، در صورت اقتضا، را ارائه دهد، کسب‌وکار نیازی به پاسخگویی به درخواست‌هایی که در یکی از آدرس‌ها یا شماره‌های تعیین‌شده دریافت نشده‌اند، ندارد.

(C) آدرس‌ها یا شماره‌های تعیین‌شده، یا راه‌های دستیابی به آدرس‌ها یا شماره‌های تعیین‌شده را، بنا به درخواست مشتری، در هر مکان تجاری در کالیفرنیا که کسب‌وکار یا نمایندگان آن به طور منظم با مشتریان در تماس هستند، به راحتی در دسترس قرار دهد.

پاسخ به درخواستی که طبق این بخش در یکی از آدرس‌ها یا شماره‌های تعیین‌شده دریافت می‌شود، باید ظرف 30 روز ارائه شود. درخواست‌هایی که توسط کسب‌وکار در آدرس‌ها یا شماره‌هایی غیر از آدرس‌ها یا شماره‌های تعیین‌شده دریافت می‌شوند، باید در یک دوره زمانی معقول، با توجه به شرایط مربوط به نحوه دریافت درخواست، ارائه شوند، اما نباید از 150 روز از تاریخ دریافت تجاوز کند.

(2) کسب‌وکاری که ملزم به رعایت این بخش و بخش 6803 از عنوان 15 قانون ایالات متحده است، می‌تواند با ارائه افشای مورد نیاز بخش 6803 از عنوان 15 قانون ایالات متحده به مشتری، این بخش را رعایت کند، اما تنها در صورتی که این افشا نیز با این بخش مطابقت داشته باشد.

(3) کسب‌وکاری که ملزم به رعایت این بخش است، موظف به ارائه اطلاعات مرتبط با افراد خاص نیست و می‌تواند اطلاعات مورد نیاز این بخش را در قالب استاندارد ارائه دهد.

(c)

(1) کسب‌وکاری که ملزم به رعایت این بخش است، موظف نیست در پاسخ به درخواست مشتری بیش از یک بار در طول هر سال تقویمی این کار را انجام دهد. کسب‌وکاری با کمتر از 20 کارمند تمام‌وقت یا پاره‌وقت از الزامات این بخش معاف است.

(2) اگر کسب‌وکاری که ملزم به رعایت این بخش است، در سیاست حفظ حریم خصوصی خود، سیاستی را اتخاذ و به عموم افشا کند مبنی بر عدم افشای اطلاعات شخصی مشتریان به اشخاص ثالث برای اهداف بازاریابی مستقیم اشخاص ثالث، مگر اینکه مشتری ابتدا به صراحت با آن افشا موافقت کند، یا عدم افشای اطلاعات شخصی مشتریان به اشخاص ثالث برای اهداف بازاریابی مستقیم اشخاص ثالث، اگر مشتری گزینه‌ای را اعمال کرده باشد که از افشای آن اطلاعات به اشخاص ثالث برای آن اهداف جلوگیری می‌کند، تا زمانی که کسب‌وکار این سیاست‌ها را حفظ و افشا می‌کند، می‌تواند با اطلاع‌رسانی به مشتری در مورد حق او برای جلوگیری از افشای اطلاعات شخصی، و ارائه ابزاری رایگان به مشتری برای اعمال آن حق، با زیربند (a) مطابقت داشته باشد.

(d) افشاهای زیر از جمله افشاهایی نیستند که برای اهداف این بخش، افشای اطلاعات شخصی توسط یک کسب‌وکار برای اهداف بازاریابی مستقیم شخص ثالث تلقی شوند:

(1) افشاها بین یک کسب‌وکار و یک شخص ثالث بر اساس قراردادها یا ترتیبات مربوط به هر یک از موارد زیر:

(A) پردازش، ذخیره‌سازی، مدیریت، یا سازماندهی اطلاعات شخصی، یا انجام خدمات به نمایندگی از کسب‌وکار که طی آن اطلاعات شخصی افشا می‌شود، اگر شخص ثالثی که اطلاعات شخصی را پردازش، ذخیره، مدیریت یا سازماندهی می‌کند، از اطلاعات برای اهداف بازاریابی مستقیم شخص ثالث استفاده نکند و اطلاعات را به اشخاص ثالث دیگر برای اهداف بازاریابی مستقیم آنها افشا نکند.

(B) بازاریابی محصولات یا خدمات به مشتریانی که کسب‌وکار با آنها رابطه تجاری برقرار شده دارد، در صورتی که، به عنوان بخشی از بازاریابی، کسب‌وکار اطلاعات شخصی را به اشخاص ثالث برای اهداف بازاریابی مستقیم اشخاص ثالث افشا نکند.

(C) نگهداری یا ارائه خدمات به حساب‌ها، از جمله حساب‌های اعتباری و افشاهای مربوط به رد درخواست‌های اعتبار یا وضعیت درخواست‌های اعتبار و پردازش صورت‌حساب‌ها یا مطالبات بیمه برای پرداخت.

(D) اطلاعات سوابق عمومی مربوط به حق، عنوان، یا منافع در اموال غیرمنقول یا اطلاعات مربوط به ویژگی‌های ملک، همانطور که در بخش 408.3 قانون درآمد و مالیات تعریف شده است، که از یک سازمان یا نهاد دولتی یا از یک سرویس لیستینگ چندگانه، همانطور که در بخش 1087 تعریف شده است، به دست آمده باشد و مستقیماً توسط مشتری در طول یک رابطه تجاری برقرار شده به کسب‌وکار ارائه نشده باشد.

(E) ارائه مشترک یک محصول یا خدمت بر اساس یک توافق‌نامه کتبی با شخص ثالثی که اطلاعات شخصی را دریافت می‌کند، مشروط بر اینکه تمامی الزامات زیر برآورده شوند:

(i) محصول یا خدمت ارائه شده، محصول یا خدمت حداقل یکی از کسب‌وکارهایی باشد که طرف توافق‌نامه کتبی است و توسط آن ارائه می‌شود.

(ii) محصول یا خدمت به صورت مشترک ارائه، تأیید یا حمایت مالی شده باشد، و به وضوح و به طور برجسته برای مشتری، کسب‌وکارهایی را که اطلاعات شخصی افشا شده را افشا و دریافت می‌کنند، مشخص کند.

(iii) توافق‌نامه کتبی تصریح کند که شخص ثالثی که اطلاعات شخصی را دریافت می‌کند، ملزم به حفظ محرمانگی اطلاعات است و از افشا یا استفاده از اطلاعات به جز برای انجام ارائه مشترک یا خدمات‌دهی به محصول یا خدمتی که موضوع توافق‌نامه کتبی است، منع شده است.

(2) افشاها به یا از یک آژانس گزارش‌دهی مصرف‌کننده در مورد سابقه پرداخت مشتری یا سایر اطلاعات مربوط به تراکنش‌ها یا تجربیات بین کسب‌وکار و مشتری، اگر آن اطلاعات قرار است در یک گزارش مصرف‌کننده، همانطور که در زیربند (d) از بخش 1681a از عنوان 15 قانون ایالات متحده تعریف شده است، گزارش شود یا برای تولید آن استفاده شود، و استفاده از آن اطلاعات توسط قانون فدرال گزارش‌دهی اعتبار منصفانه (15 U.S.C. Sec. 1681 et seq.) محدود شده باشد.

(3) افشای اطلاعات شخصی توسط یک کسب‌وکار به یک موسسه مالی شخص ثالث صرفاً به منظور دریافت پرداخت توسط کسب‌وکار برای تراکنشی که مشتری برای کالاها یا خدمات با چک، کارت اعتباری، کارت شارژ یا کارت بدهی به کسب‌وکار پرداخت کرده است، اگر مشتری اطلاعات مورد نیاز زیربند (a) را از کسب‌وکار دریافت‌کننده پرداخت درخواست کند، صرف نظر از اینکه کسب‌وکار دریافت‌کننده پرداخت بداند یا به طور معقول باید بداند که موسسه مالی شخص ثالث از اطلاعات شخصی برای اهداف بازاریابی مستقیم خود استفاده کرده است یا خیر.

(4) افشای اطلاعات شخصی بین یک نماینده دارای مجوز و موکل آن، اگر اطلاعات شخصی افشا شده برای تکمیل، اجرا، اداره یا اعمال تراکنش‌ها بین موکل و نماینده ضروری باشد، صرف نظر از اینکه نماینده دارای مجوز یا موکل نیز از اطلاعات شخصی برای اهداف بازاریابی مستقیم استفاده می‌کند یا خیر، اگر آن اطلاعات شخصی توسط هر یک از آنها صرفاً برای بازاریابی مستقیم محصولات و خدمات به مشتریانی استفاده شود که هر دو به دلیل رابطه موکل و نماینده با آنها روابط تجاری برقرار شده دارند.

(5) افشای اطلاعات شخصی بین یک موسسه مالی و کسب‌وکاری که دارای برنامه کارت اعتباری با نام تجاری خصوصی، کارت وفاداری، قرارداد اقساطی خرده‌فروشی، یا کارت مشترک با موسسه مالی است، اگر اطلاعات شخصی افشا شده برای موسسه مالی جهت نگهداری یا ارائه خدمات به حساب‌ها به نمایندگی از کسب‌وکاری که با آن برنامه کارت اعتباری با نام تجاری خصوصی، کارت وفاداری، قرارداد اقساطی خرده‌فروشی، یا کارت مشترک دارد، ضروری باشد، یا برای تکمیل، اجرا، اداره یا اعمال تراکنش‌های مشتری یا تراکنش‌ها بین موسسه و کسب‌وکار، صرف نظر از اینکه موسسه یا کسب‌وکار نیز از اطلاعات شخصی برای اهداف بازاریابی مستقیم استفاده می‌کند یا خیر، اگر آن اطلاعات شخصی صرفاً برای بازاریابی مستقیم محصولات و خدمات به مشتریانی استفاده شود که هم کسب‌وکار و هم موسسه مالی به دلیل برنامه کارت اعتباری با نام تجاری خصوصی، کارت وفاداری، قرارداد اقساطی خرده‌فروشی، یا کارت مشترک با آنها روابط تجاری برقرار شده دارند.

(e) برای اهداف این بخش، اصطلاحات زیر معانی زیر را دارند:

(1) «مشتری» به معنای فردی است که ساکن کالیفرنیا است و اطلاعات شخصی را به یک کسب‌وکار در طول ایجاد یا در طول مدت یک رابطه تجاری برقرار شده ارائه می‌دهد، اگر رابطه تجاری عمدتاً برای اهداف شخصی، خانوادگی یا خانگی باشد.

(2) «اهداف بازاریابی مستقیم» به معنای استفاده از اطلاعات شخصی برای درخواست یا ترغیب به خرید، اجاره، لیزینگ، یا مبادله محصولات، کالاها، اموال، یا خدمات به طور مستقیم به افراد از طریق پست، تلفن، یا ایمیل برای اهداف شخصی، خانوادگی یا خانگی آنها است. فروش، اجاره، مبادله، یا لیزینگ اطلاعات شخصی در ازای دریافت وجه به کسب‌وکارها، هدف بازاریابی مستقیم کسب‌وکاری است که اطلاعات شخصی را می‌فروشد، اجاره می‌دهد، مبادله می‌کند، یا در ازای آن وجه دریافت می‌کند. «اهداف بازاریابی مستقیم» شامل استفاده از اطلاعات شخصی (A) توسط سازمان‌های خیریه یا مذهبی معاف از مالیات واقعی برای درخواست کمک‌های خیریه نمی‌شود، (B) برای جمع‌آوری کمک مالی از افراد و برقراری ارتباط با آنها در مورد سیاست و دولت، (C) توسط شخص ثالثی که اطلاعات شخصی را صرفاً در نتیجه به دست آوردن مالکیت دائمی حساب‌هایی که ممکن است حاوی اطلاعات شخصی باشند، در ازای دریافت وجه، دریافت می‌کند، یا (D) توسط شخص ثالثی که اطلاعات شخصی را صرفاً در نتیجه یک تراکنش واحد دریافت می‌کند که در آن، به عنوان بخشی از تراکنش، اطلاعات شخصی برای انجام تراکنش باید افشا می‌شد.

(3) «افشا کردن» به معنای افشا، انتشار، انتقال، پخش، یا به هر نحو دیگری به صورت شفاهی، کتبی، یا از طریق الکترونیکی یا هر وسیله دیگری به هر شخص ثالثی است.

(4) «کارکنانی که به طور منظم با مشتریان در تماس هستند» به معنای کارکنانی است که تماس آنها با مشتریان اتفاقی و فرعی به وظایف اصلی شغلی آنها نیست، و وظایف آنها عمدتاً شامل تضمین ایمنی یا سلامت مشتریان کسب‌وکار نمی‌شود. این شامل، اما محدود به، کارکنانی است که وظایف اصلی شغلی آنها صندوق‌داری، منشی‌گری، خدمات مشتری، فروش، یا تبلیغات است. به عنوان مثال، شامل کارکنانی نمی‌شود که وظایف اصلی شغلی آنها شامل تهیه یا سرو غذا و نوشیدنی، نگهداری و تعمیر امکانات یا تجهیزات کسب‌وکار، مشارکت مستقیم در عملیات وسایل نقلیه موتوری، هواپیما، شناور، وسایل تفریحی، ماشین‌آلات سنگین یا تجهیزات مشابه، امنیت، یا شرکت در یک اجرای تئاتری، ادبی، موسیقی، هنری، یا ورزشی یا مسابقه است.

(5) «رابطه تجاری برقرار شده» به معنای رابطه‌ای است که از طریق ارتباط داوطلبانه و دوطرفه بین یک کسب‌وکار و یک مشتری، با یا بدون تبادل وجه، به منظور خرید، اجاره، یا لیزینگ اموال غیرمنقول یا منقول، یا هر گونه منافع در آن، یا دریافت یک محصول یا خدمت از کسب‌وکار، شکل گرفته است، اگر رابطه جاری باشد و به صراحت توسط کسب‌وکار یا مشتری خاتمه نیافته باشد، یا اگر رابطه جاری نباشد، اما صرفاً با خرید، اجاره، یا لیزینگ اموال غیرمنقول یا منقول از یک کسب‌وکار، یا خرید یک محصول یا خدمت، برقرار شده باشد، و بیش از 18 ماه از تاریخ خرید، اجاره، یا لیزینگ نگذشته باشد.

(6)

(A) دسته‌های اطلاعات شخصی که طبق بند (1) از زیربند (a) باید افشا شوند، تمامی موارد زیر هستند:

(i) نام و آدرس.

(ii) آدرس ایمیل.

(iii) سن یا تاریخ تولد.

(iv) نام فرزندان.

(v) ایمیل یا سایر آدرس‌های فرزندان.

(vi) تعداد فرزندان.

(vii) سن یا جنسیت فرزندان.

(viii) قد.

(ix) وزن.

(x) نژاد.

(xi) دین.

(xii) شغل.

(xiii) شماره تلفن.

(xiv) تحصیلات.

(xv) وابستگی به حزب سیاسی.

(xvi) وضعیت پزشکی.

(xvii) داروها، درمان‌ها، یا محصولات یا تجهیزات پزشکی مورد استفاده.

(xviii) نوع محصولی که مشتری خریداری، اجاره یا لیزینگ کرده است.

(xix) اموال غیرمنقول خریداری، اجاره یا لیزینگ شده.

(xx) نوع خدمت ارائه شده.

(xxi) شماره تامین اجتماعی.

(xxii) شماره حساب بانکی.

(xxiii) شماره کارت اعتباری.

(xxiv) شماره کارت بدهی.

(xxv) موجودی حساب بانکی یا سرمایه‌گذاری، کارت بدهی، یا کارت اعتباری.

(xxvi) سابقه پرداخت.

(xxvii) اطلاعات مربوط به اعتبار، دارایی‌ها، درآمد، یا بدهی‌های مشتری.

(B) اگر یک فهرست، توصیف، یا گروه‌بندی از نام‌ها یا آدرس‌های مشتریان با استفاده از هر یک از این دسته‌ها استخراج شود، و به شخص ثالثی برای اهداف بازاریابی مستقیم به نحوی افشا شود که به شخص ثالث اجازه دهد هر اطلاعات شخصی دیگری را که فهرست از آن استخراج شده است، شناسایی، تعیین یا استنباط کند، و آن اطلاعات شخصی در زمان افشا، یک فرد را شناسایی، توصیف یا با او مرتبط می‌کرد، دسته‌های مندرج در این زیربند که با اطلاعات شخصی استفاده شده برای استخراج فهرست، توصیف یا گروه‌بندی مطابقت دارند، برای اهداف این بخش اطلاعات شخصی تلقی خواهند شد.

(7) «اطلاعات شخصی» همانطور که در این بخش استفاده شده است، به معنای هر اطلاعاتی است که در زمان افشا، یک فرد را شناسایی، توصیف، یا قادر به ارتباط با او بود و شامل تمامی موارد زیر است:

(A) نام و آدرس یک فرد.

(B) آدرس ایمیل.

(D) نام فرزندان.

(E) ایمیل یا سایر آدرس‌های فرزندان.

(F) تعداد فرزندان.

(G) سن یا جنسیت فرزندان.

(H) قد.

(I) وزن.

(J) نژاد.

(K) دین.

(L) شغل.

(M) شماره تلفن.

(N) تحصیلات.

(O) وابستگی به حزب سیاسی.

(P) وضعیت پزشکی.

(Q) داروها، درمان‌ها، یا محصولات یا تجهیزات پزشکی مورد استفاده.

(R) نوع محصولی که مشتری خریداری، اجاره یا لیزینگ کرده است.

(S) اموال غیرمنقول خریداری، اجاره یا لیزینگ شده.

(T) نوع خدمت ارائه شده.

(U) شماره تامین اجتماعی.

(V) شماره حساب بانکی.

(W) شماره کارت اعتباری.

(X) شماره کارت بدهی.

(Y) موجودی حساب بانکی یا سرمایه‌گذاری، کارت بدهی، یا کارت اعتباری.

(Z) سابقه پرداخت.

(AA) اطلاعات مربوط به اعتبار، دارایی‌ها، درآمد، یا بدهی‌ها.

(8) «شخص ثالث» یا «اشخاص ثالث» به معنای یک یا چند مورد از موارد زیر است:

(A) کسب‌وکاری که یک نهاد حقوقی جداگانه از کسب‌وکاری است که با مشتری رابطه تجاری برقرار شده دارد.

(B) کسب‌وکاری که به یک پایگاه داده مشترک بین کسب‌وکارها دسترسی دارد، اگر کسب‌وکار مجاز به استفاده از پایگاه داده برای اهداف بازاریابی مستقیم باشد، مگر اینکه استفاده از پایگاه داده طبق زیربند (d) از تلقی شدن به عنوان افشا برای اهداف بازاریابی مستقیم معاف باشد.

(f)

(1) افشای اطلاعات شخصی برای اهداف بازاریابی مستقیم بین اشخاص ثالث وابسته که نام تجاری یکسانی دارند، از الزامات بند (1) از زیربند (a) معاف است، مگر اینکه اطلاعات شخصی افشا شده با یکی از دسته‌های زیر مطابقت داشته باشد، در این صورت مشتری باید از آن دسته‌های ذکر شده در این زیربند که با دسته‌های اطلاعات شخصی افشا شده برای اهداف بازاریابی مستقیم و گیرندگان شخص ثالث اطلاعات شخصی افشا شده برای اهداف بازاریابی مستقیم طبق بند (2) از زیربند (a) مطابقت دارند، مطلع شود:

(A) تعداد فرزندان.

(B) سن یا جنسیت فرزندان.

(D) قد.

(E) وزن.

(F) نژاد.

(G) دین.

(H) شماره تلفن.

(I) وضعیت پزشکی.

(J) داروها، درمان‌ها، یا محصولات یا تجهیزات پزشکی مورد استفاده.

(K) شماره تامین اجتماعی.

(L) شماره حساب بانکی.

(M) شماره کارت اعتباری.

(N) شماره کارت بدهی.

(O) موجودی حساب بانکی یا سرمایه‌گذاری، کارت بدهی، یا کارت اعتباری.

(2) اگر یک فهرست، توصیف، یا گروه‌بندی از نام‌ها یا آدرس‌های مشتریان با استفاده از هر یک از این دسته‌ها استخراج شود، و به شخص ثالث یا اشخاص ثالثی که نام تجاری یکسانی دارند برای اهداف بازاریابی مستقیم به نحوی افشا شود که به شخص ثالث اجازه دهد اطلاعات شخصی را که فهرست از آن استخراج شده است، شناسایی، تعیین یا استنباط کند، و آن اطلاعات شخصی در زمان افشا، یک فرد را شناسایی، توصیف یا با او مرتبط می‌کرد، هر اطلاعات شخصی دیگری که با دسته‌های مندرج در این زیربند که برای استخراج فهرست، توصیف یا گروه‌بندی استفاده شده‌اند، مطابقت دارد، برای اهداف این بخش اطلاعات شخصی تلقی خواهد شد.

(3) اگر یک کسب‌وکار اطلاعات شخصی را برای اهداف بازاریابی مستقیم به اشخاص ثالث وابسته که نام تجاری یکسانی دارند افشا کند، کسب‌وکاری که اطلاعات شخصی را برای اهداف بازاریابی مستقیم بین اشخاص ثالث وابسته که نام تجاری یکسانی دارند افشا می‌کند، می‌تواند با ارائه تعداد کلی شرکت‌های وابسته که نام تجاری یکسانی دارند، با الزامات بند (2) از زیربند (a) مطابقت داشته باشد.

(g) مفاد این بخش قابل تفکیک هستند. اگر هر یک از مفاد این بخش یا کاربرد آن نامعتبر تشخیص داده شود، این بی‌اعتباری بر سایر مفاد یا کاربردهایی که می‌توانند بدون مفاد یا کاربرد نامعتبر اجرا شوند، تأثیری نخواهد گذاشت.

(h) این بخش در مورد یک موسسه مالی که مشمول قانون حفظ حریم خصوصی اطلاعات مالی کالیفرنیا (بخش 1.2 (شروع از بخش 4050) از قانون مالی) است، اعمال نمی‌شود، اگر موسسه مالی با بخش‌های 4052، 4052.5، 4053، 4053.5، و 4054.6 از قانون مالی، همانطور که این بخش‌ها در تاریخ 28 اوت 2003 تصویب شده بودند، و همانطور که متعاقباً توسط مجلس قانون‌گذاری یا از طریق ابتکار عمل اصلاح شده‌اند، مطابقت داشته باشد.

(i) این بخش در تاریخ 1 ژانویه 2005 لازم‌الاجرا خواهد شد.

افشای اطلاعات شخصی بازاریابی شخص ثالث درخواست مشتری ...

Section § 1798.83

این بخش با هدف جلوگیری از تبعیض سنی، تضمین می‌کند که وب‌سایت‌های صنعت سرگرمی از اطلاعات سن یا تاریخ تولد افراد سوءاستفاده نکنند. اگر برای خدمات استخدامی در چنین وب‌سایتی هزینه پرداخت می‌کنید، می‌توانید از آنها بخواهید که جزئیات سنی شما را به صورت آنلاین نمایش ندهند یا به اشتراک نگذارند. اگر درخواست حذف این اطلاعات را از وب‌سایت‌هایی که تحت کنترل آنهاست، داشته باشید، آنها باید ظرف پنج روز این کار را انجام دهند. اما، اگر وب‌سایت به کاربران اجازه می‌دهد محتوا را بدون بررسی قبلی بارگذاری کنند، تا زمانی که شما از آنها نخواهید اطلاعات سنی شما را حذف کنند، قوانین را نقض نکرده‌اند.

(a) هدف این بخش تضمین این است که اطلاعات به دست آمده در یک وب‌سایت اینترنتی در مورد سن یک فرد، در جهت تبعیض استخدامی یا تبعیض سنی مورد استفاده قرار نگیرد.

(b) یک ارائه‌دهنده خدمات استخدامی سرگرمی آنلاین تجاری که برای ارائه خدمات استخدامی به یک فرد در ازای پرداخت حق اشتراک، وارد یک توافق قراردادی می‌شود، بنا به درخواست مشترک، نباید هیچ یک از موارد زیر را انجام دهد:

(1) تاریخ تولد یا اطلاعات سنی مشترک را در یک نمایه آنلاین مشترک منتشر یا عمومی کند.

(2) تاریخ تولد یا اطلاعات سنی مشترک را با هر وب‌سایت اینترنتی به منظور انتشار به اشتراک بگذارد.

(c) یک ارائه‌دهنده خدمات استخدامی سرگرمی آنلاین تجاری که مشمول بند (b) است، باید ظرف پنج روز، بنا به درخواست مشخص مشترک با ذکر نام وب‌سایت‌های اینترنتی، تاریخ تولد و اطلاعات سنی مشترک را از دید عمومی در یک نمایه آنلاین مشترک در هر وب‌سایت اینترنتی همراه تحت کنترل خود حذف کند. یک ارائه‌دهنده خدمات استخدامی سرگرمی آنلاین تجاری که به اعضای عمومی اجازه می‌دهد محتوای اینترنتی را در وب‌سایت اینترنتی خود یا هر وب‌سایت اینترنتی تحت کنترل خود بدون بررسی قبلی توسط آن ارائه‌دهنده بارگذاری یا اصلاح کنند، نقض‌کننده این بخش تلقی نخواهد شد مگر اینکه ابتدا توسط مشترک برای حذف اطلاعات سنی درخواست شده باشد.

(d) برای اهداف این بخش، تعاریف زیر اعمال می‌شود:

(1) «ارائه‌دهنده خدمات استخدامی سرگرمی آنلاین تجاری» به معنای یک شخص یا کسب‌وکار است که اطلاعات کامپیوتری، از جمله، اما نه محدود به، اطلاعات سن و تاریخ تولد، در مورد افرادی که در صنعت سرگرمی، شامل تلویزیون، فیلم‌ها و بازی‌های ویدیویی، مشغول به کار هستند را مالک است، مجوز می‌دهد یا به نحو دیگری در اختیار دارد و آن اطلاعات را در دسترس عموم یا کارفرمایان بالقوه قرار می‌دهد.

(2) «پرداخت» به معنای هزینه‌ای در ازای تبلیغات، یا هر شکل دیگری از جبران خسارت یا مزایا است.

(3) «ارائه خدمات استخدامی» به معنای ارسال رزومه، عکس یا سایر اطلاعات در مورد یک مشترک است، زمانی که یکی از اهداف، ارائه اطلاعات قابل شناسایی فردی در مورد مشترک به یک کارفرمای بالقوه باشد.

(4) «مشترک» به معنای یک شخص حقیقی است که برای دریافت خدمات استخدامی در ازای پرداخت حق اشتراک، با یک ارائه‌دهنده خدمات استخدامی سرگرمی آنلاین تجاری وارد یک توافق قراردادی می‌شود.

تبعیض سنی وب‌سایت اینترنتی سرگرمی آنلاین تجاری ...

Section § 1798.84

در کالیفرنیا، هیچ کس نمی‌تواند از حقوق خود تحت این قانون چشم‌پوشی کند، زیرا این کار مغایر با سیاست عمومی است و مجاز نیست. اگر شرکتی قوانین را نقض کند، مشتری آسیب‌دیده می‌تواند برای جبران خسارت شکایت کند. اگر نقض عمدی یا بی‌مبالاتی باشد، مشتری می‌تواند تا 3,000 دلار به ازای هر تخلف دریافت کند؛ در غیر این صورت، جریمه حداکثر 500 دلار است. اگر مشکل عمدی نبوده و شرکت اشتباه خود را ظرف 90 روز اصلاح کند، می‌تواند از این به عنوان دفاع استفاده کند. دادگاه‌ها می‌توانند به شرکت‌ها دستور دهند که از نقض قانون دست بردارند. کسب‌وکارها در صورتی که سوابق دور ریخته شده حاوی اطلاعات شخصی را به درستی از بین ببرند، مورد شکایت قرار نخواهند گرفت. مشتریانی که در یک پرونده پیروز می‌شوند، می‌توانند هزینه‌های وکیل خود را مطالبه کنند. تمام حقوق و راه‌حل‌های این بخش با سایر حقوق و راه‌حل‌های موجود در قانون جمع می‌شوند.

(a) هرگونه چشم‌پوشی از یک حکم این عنوان، مغایر با سیاست عمومی بوده و باطل و غیرقابل اجرا است.

(b) هر مشتری که در اثر نقض این عنوان آسیب دیده باشد، می‌تواند برای جبران خسارات، دعوای مدنی اقامه کند.

(c) علاوه بر این، برای نقض عمدی، قصدمندانه یا بی‌مبالاتی بخش 1798.83، مشتری می‌تواند یک جریمه مدنی تا سقف سه هزار دلار ($3,000) به ازای هر نقض دریافت کند؛ در غیر این صورت، مشتری می‌تواند برای نقض بخش 1798.83، یک جریمه مدنی تا سقف پانصد دلار ($500) به ازای هر نقض دریافت کند.

(d) مگر اینکه نقض عمدی، قصدمندانه یا بی‌مبالاتی باشد، کسب‌وکاری که ادعا می‌شود تمام اطلاعات مورد نیاز بند (a) از بخش 1798.83 را ارائه نکرده است، اطلاعات نادرست ارائه کرده است، هیچ یک از اطلاعات مورد نیاز بند (a) از بخش 1798.83 را ارائه نکرده است، یا اطلاعات را در بازه زمانی مورد نیاز بند (b) از بخش 1798.83 ارائه نکرده است، می‌تواند در هر دعوای حقوقی یا انصافی به عنوان یک دفاع کامل مطرح کند که پس از آن، در مورد اطلاعاتی که ادعا شده بود به موقع نبوده، تمام اطلاعات، یا اطلاعات دقیق را، به ترتیب به تمام مشتریانی که اطلاعات ناقص یا نادرست به آنها ارائه شده بود، ظرف 90 روز از تاریخی که کسب‌وکار می‌دانست به ترتیب اطلاعات، اطلاعات به موقع، تمام اطلاعات، یا اطلاعات دقیق را ارائه نکرده است.

(e) هر کسب‌وکاری که این عنوان را نقض می‌کند، قصد نقض آن را دارد، یا آن را نقض کرده است، می‌تواند از آن منع شود.

(f)

(1) دعوایی علیه یک کسب‌وکار به دلیل دور انداختن سوابق رها شده حاوی اطلاعات شخصی با خرد کردن، پاک کردن، یا به هر نحو دیگری تغییر دادن اطلاعات شخصی در سوابق به گونه‌ای که از طریق هر وسیله‌ای غیرقابل خواندن یا رمزگشایی شود، قابل طرح نخواهد بود.

(2) مجلس قانون‌گذاری تشخیص می‌دهد و اعلام می‌کند که هنگامی که سوابق حاوی اطلاعات شخصی توسط یک کسب‌وکار رها می‌شوند، آنها اغلب به دست یک شرکت انبارداری یا صاحب ملک تجاری می‌افتند. قصد مجلس قانون‌گذاری در بند (1) ایجاد یک پناهگاه امن برای چنین نگهدارنده سوابقی است که سوابق را به درستی و مطابق با بند (1) دور می‌اندازد.

(g) خواهان پیروز در هر دعوایی که تحت بخش 1798.83 آغاز شده است، همچنین حق دارد هزینه‌های معقول وکیل و مخارج خود را دریافت کند.

(h) حقوق و راه‌حل‌های موجود تحت این بخش، نسبت به یکدیگر و نسبت به هر حقوق و راه‌حل دیگری که تحت قانون موجود است، انباشتی هستند.

سیاست عمومی دعوای مدنی خسارات ...

در پر کردن فرم‌های طلاق مشکل دارید؟

تعهدات ناشی از معاملات خاص

تعهدات ناشی از معاملات خاصسوابق مشتری

Section § 1798.80

Section § 1798.81

Section § 1798.81

Section § 1798.81

Section § 1798.82

Section § 1798.83

Section § 1798.83

Section § 1798.84

در پر کردن فرم‌های طلاق مشکل دارید؟

شرکت

آنچه می‌توانید انجام دهید

منابع

ما را دنبال کنید

مقالات