الدليل النهائي للامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA)

قانون خصوصية المستهلك في كاليفورنيا لعام 2018 (CCPA) هو قانون أقرته كاليفورنيا لحماية بيانات وخصوصية المقيمين فيها. CCPA ليست بديلاً عن قوانين الخصوصية الحالية في كاليفورنيا ، ولكنها ستعمل بدلاً من ذلك جنبًا إلى جنب معها.

وفقًا لـ CCPA ، يجب أن تكون الشركات أكثر وضوحًا بشأن ما تجمعه وكيفية استخدامه. يجب عليهم أيضًا الحصول على موافقة من القصر قبل بيع معلوماتهم. علاوة على ذلك ، يمكن للمستخدمين الآن منع الشركات من بيع بياناتهم.

لا يعني قانون خصوصية المستهلك في كاليفورنيا (CCPA) أنه لم يعد بإمكانك بيع معلومات المستخدم التي تجمعها. ومع ذلك ، عندما يتعلق الأمر بسكان كاليفورنيا ، سيتعين عليك القفز من خلال عدد قليل من الحلقات الأخرى.

تدخل CCPA حيز التنفيذ في 1 يناير 2020 ، ولكن أمام الشركات حتى 1 يوليو 2020 ، للامتثال الكامل. هذا ليس عذرا لتأجيل هذا. نظرًا لأن إجراءات التنفيذ لن تبدأ لبضعة أشهر ، فإن الشركات لديها الوقت لتكييف سياساتها وعملياتها وموقعها الإلكتروني.

ما الذي تعتبره CCPA "البيانات الشخصية"؟

البيانات الشخصية هي أي شيء يصف شخصًا أو يحدد هويته أو يرتبط بطريقة ما بفرد أو أسرة. يتضمن:

• عناوين البريد الإلكتروني
• معلومات التوظيف
• تحديد المواقع الجغرافية
• عناوين الانترنت بروتوكول
• الأسماء

من الناحية الفنية ، لا تعتبر المعلومات المتاحة للجمهور بيانات شخصية من قبل CCPA. هذه منطقة رمادية ، ومن الأفضل أن تخطئ في جانب الامتثال الكامل بدلاً من المخاطرة به. أيضًا ، حتى إذا كانت البيانات الشخصية لأحد المستخدمين متاحة للجمهور ، فإن ذلك لا ينطبق على جميع المستخدمين الآخرين. ما زلت بحاجة إلى أن تكون متوافقًا في جميع المجالات.

هل تؤثر CCPA على عملك؟

تؤثر CCPA على عملك إذا قمت بجمع ومعالجة البيانات من سكان كاليفورنيا. يجب أن يفي عملك ، أو الشركة الأم أو الشركة التابعة ، بواحد أو أكثر مما يلي:

• يبلغ إجمالي أرباحك السنوية 25 مليون دولار أو أكثر
• في كل عام ، تشتري أو تستقبل أو تبيع بيانات شخصية من 50000 أو أكثر من الأجهزة أو المنازل أو المقيمين في كاليفورنيا
• ما لا يقل عن 50٪ من إيراداتك السنوية تأتي من بيع البيانات الشخصية لسكان كاليفورنيا

لست بحاجة إلى أن يكون لديك نشاط تجاري في كاليفورنيا من أجل تلبية هذه العتبات. يمكن للمقيمين في كاليفورنيا زيارة موقع الويب الخاص بك بغض النظر عن مكان عمل عملك. يتعين على الشركات في الولايات الأمريكية الأخرى ، وكذلك الشركات في جميع أنحاء العالم ، النظر في CCPA.

لا يهم حجم عملك أيضًا ، بخلاف الإشارة إلى الحدود الدنيا. حتى المشاريع الفردية والشركات الصغيرة يجب أن تتوافق مع CCPA. ومع ذلك ، يتعين على الشركات التي تعالج البيانات لـ 4 ملايين مستهلك أو أكثر تلبية متطلبات إضافية. على سبيل المثال ، لديهم إرشادات أكثر صرامة عندما يتعلق الأمر بحفظ السجلات.

إذا استوفيت حدًا معينًا ولكنك لا تجمع البيانات (ليس لديك أي نوع من أدوات التتبع على موقع الويب الخاص بك) ، فأنت متوافق من الناحية الفنية مع CCPA. من ناحية أخرى ، إذا كنت تجمع معلومات من عملاء كاليفورنيا ولكنك لم تصل بعد إلى الحدود القصوى ، فلا يزال من المفيد الاستعداد لـ CCPA. إذا نما عملك بسرعة ، فقد تتجاوز عن طريق الخطأ 25 مليون دولار في الإيرادات أو 50000 من سكان كاليفورنيا قبل أن تكون متوافقًا مع CCPA.

كيف يتم تعريف المقيم في كاليفورنيا؟

وفقًا لقانون ولاية كاليفورنيا ، المقيم هو الشخص الذي:

• إذا كان في كاليفورنيا لسبب آخر غير سبب مؤقت أو عابر
• يعيش في كاليفورنيا ، حتى لو لم يكن موجودًا حاليًا في الولاية لسبب مؤقت أو مؤقت

يمكن لأي شخص أن يعيش في ولاية كاليفورنيا وأن لا يكون مقيماً أو يعيش خارج كاليفورنيا ويظل مقيماً. لحماية نفسك ، امتثل لقانون حماية خصوصية المستهلك في كاليفورنيا إذا كان لديك أي سبب يجعلك تعتقد أن الكثير من أعمالك تأتي من سكان كاليفورنيا.

كيف تجعل عملك متوافقًا مع CCPA

لتلبية متطلبات قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، يجب أن يتخذ عملك عدة خطوات ، سيتطلب الكثير منها تغيير السياسات والعمليات. إليك كيفية جعل عملك متوافقًا مع CCPA:

قم بتحديث سياسة الخصوصية الخاصة بك لتوضيح كيفية جمع البيانات واستخدامها وتغييرها

من المحتمل أن يكون لديك بالفعل سياسة خصوصية ، ولكنها ستحتاج إلى بعض العمل لجعلها متوافقة مع CCPA. في الأساس ، تخبر سياسة الخصوصية الخاصة بك المستخدمين بالبيانات التي تجمعها وماذا تفعل بها. بالنسبة إلى CCPA ، يجب أن تكون أكثر شفافية من ذي قبل بشأن ممارسات البيانات الخاصة بك. فيما يلي الإضافات التي يجب عليك إجراؤها على سياسة الخصوصية الخاصة بك:

• ماذا ولماذا وكيف تقوم بجمع ومعالجة المعلومات الشخصية
• كيف يمكن للمستخدمين الوصول إلى بياناتهم الشخصية التي جمعتها أو تغييرها أو إزالتها
• طريقتك في التحقق من هوية المستخدم الذي يقدم أحد هذه الطلبات
• كيف يتم بيع البيانات الشخصية وكيف يمكن للمستخدم إلغاء الاشتراك في بيع بياناته الشخصية

ضع في اعتبارك أن هذه هي الحد الأدنى من متطلبات CCPA. إذا كنت تشعر أن هناك المزيد في عملية جمع البيانات التي يريد المستخدمون معرفتها ، فأضفها.

الحصول على موافقة من القصر

ستحتاج إلى الحصول على موافقة من القاصرين الذين تتراوح أعمارهم بين 13 و 16 عامًا أو من آباء الأطفال الذين تقل أعمارهم عن 13 عامًا. يمكنك إما طلب الموافقة فور وصولهم إلى موقع الويب الخاص بك أو قبل بيع بياناتهم. في كلتا الحالتين ، لا يمكنك بيع بياناتهم قبل الحصول على موافقتهم. قم بتخزين جميع الردود التي تتلقاها ، حتى إذا رفض المستخدم الموافقة. بصرف النظر عن القصر ، لا تحتاج إلى موافقة المستخدم قبل جمع البيانات واستخدامها.

السماح للمستخدمين بتغيير معلوماتهم

يمنح جزء من قانون خصوصية المستهلك في كاليفورنيا (CCPA) مستخدمي كاليفورنيا القدرة على الوصول إلى بياناتهم الشخصية أو تغييرها أو نقلها أو حذفها. يجب عليك إنشاء طريقة للمستخدمين لإرسال هذه الأنواع من الطلبات ، ويجب أن تكون إحدى هذه الطرق رقمًا مجانيًا. يمكنك بعد ذلك إضافة نموذج اتصال إلى موقع الويب الخاص بك أو تقديم بريد إلكتروني أو عنوان بريدي.

تحقق من هوية المستخدم عند تقديم طلب

بمجرد اتصال المستخدمين لتغيير معلوماتهم ، تحتاج إلى طريقة للتحقق من هويتهم. لا يمكنك طلب إثبات الهوية من خلال مستند صادر عن الحكومة ، مثل رخصة القيادة. بدلاً من ذلك ، يمكنك استخدام نفس نوع المصادقة الذي استخدمته عندما أرسل الشخص بياناته. يمكنك أيضًا محاولة التحقق من هويتهم من خلال مطالبتهم بتأكيد المعلومات التي قدموها في الماضي.

إذا لم يتمكن النشاط التجاري من التحقق من هوية المستخدم ، فيجب عليه الامتثال قدر الإمكان. على سبيل المثال ، لنفترض أن المستخدم يريد حذف معلوماته ، ولكن لا يمكن للشركة التحقق من هوية المستخدم. بدلاً من حذف معلوماتهم ، يحتفظون بها ولكنهم يسمحون للمستخدم بإلغاء الاشتراك في بيع معلوماتهم. إذا لم تكن هناك طريقة للامتثال ، فيمكن للشركة رفض الطلب.

أضف رابط "لا تبيع معلوماتي الشخصية" إلى صفحتك الرئيسية

ستحتاج إلى وضع رابط "عدم بيع معلوماتي الشخصية" في مكان بارز على الصفحة الرئيسية لموقعك على الويب. هذا إذا كان المستخدمون ينقرون إذا كانوا يريدون منعك من بيع بياناتهم الشخصية. يجب أن تكون عملية إلغاء الاشتراك في بيع بيانات المستخدم بسيطة وسهلة قدر الإمكان. يجب أن تستجيب الشركة لطلبات إلغاء الاشتراك أيضًا. وفقًا لصحيفة حقائق CCPA الرسمية ، "... يجب على الشركات التعامل مع إعدادات الخصوصية التي يمكّنها المستخدم والتي تشير إلى اختيار العميل للانسحاب كطلب إلغاء مقدم بشكل صحيح."

أيضًا ، لا يمكنك مطالبة الأشخاص بإنشاء حساب حتى يتمكنوا من إلغاء الاشتراك. في حين أن بعض الشركات قد ترغب في طلب حساب كوسيلة لتحديد هوية المستخدم ، فإن CCPA تمنع هذا كشرط أساسي لإلغاء الاشتراك. إذا كان لدى المستخدم حساب بالفعل وبهذه الطريقة يمكنك التحقق من هويته ، فلا بأس بذلك.

الاحتفاظ بسجلات التبادلات مع العملاء

يتعين على الشركات الاحتفاظ بسجلات لجميع طلبات المستخدمين ، كما يجب عليهم تسجيل ردودهم وحفظها للمستخدمين. الاحتفاظ بسجلاتك لمدة لا تقل عن 24 شهرًا ؛ لتكون أكثر أمانًا ، تمسك بها إلى أجل غير مسمى.

لا تميز بناءً على طلبات الخصوصية

تقول CCPA أن الشركات لا يمكنها التمييز ضد المستخدمين إذا مارسوا حقوق الخصوصية الخاصة بهم. هذا يعني أنه إذا قال المستخدم إنه لا يمكنك بيع بياناته ، فلا يمكنك رفض خدماته أو تعديل أسعاره انتقاما.

من الممكن أن تقدم الشركة حافزًا للأشخاص الذين يسمحون ببيع بياناتهم. في هذه الحالة ، يتعين عليك الكشف عن تفاصيل الحافز ، بما في ذلك كيفية حساب قيمة البيانات الشخصية.

عقوبات عدم الامتثال لقانون حماية خصوصية المستهلك

إذا لم تكن ملتزمًا بقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) بحلول 1 يوليو 2020 ، فسيقوم النائب العام بإخطارك. سيكون أمامك 30 يومًا للرد والحصول على آخر المستجدات فيما يتعلق بالامتثال. إذا لم تمتثل في غضون تلك الأيام الثلاثين ، فقد يتم رفع دعوى مدنية ضدك. من هناك ، قد يتم تغريمك 7500 دولار لكل انتهاك ، مما يعني لكل مستخدم في كاليفورنيا. على سبيل المثال ، إذا جمعت بيانات من 2000 مقيم في كاليفورنيا ، فقد يتم تغريمك بمبلغ 7500 × 2000 دولار ، أي ما مجموعه 15.000.000 دولار. هذه فاتورة ستريد بالتأكيد تجنبها!

الاختلافات بين قانون خصوصية المستهلك في كاليفورنيا واللائحة العامة لحماية البيانات

في حين أن إرشادات CCPA تبدو مشابهة لإرشادات GDPR ، إلا أن هناك اختلافات رئيسية بين الاثنين. حتى إذا كان عملك متوافقًا حاليًا مع القانون العام لحماية البيانات (GDPR) ، فهذا لا يعني أنه سيكون متوافقًا تلقائيًا مع قانون حماية خصوصية المستهلك (CCPA). قد تستوفي بعض إرشادات CCPA ، ولكن ليس جميعها. بعض إرشادات CCPA التي قد تتجاوز الناتج المحلي الإجمالي هي:

• إضافة رابط "لا تبيع معلوماتي الشخصية" على الصفحة الرئيسية
• إنشاء طريقة للمستخدمين لطلب التغييرات أو إزالة معلوماتهم
• تحديد هوية الشخص عند تقديم هذا النوع من الطلبات
• الحصول على موافقة القاصرين قبل بيع معلوماتهم

على الرغم من أنه قد يكون لديك بعض العمليات التي تم إعدادها بالفعل من أجل القانون العام لحماية البيانات (GDPR) ، فستحتاج إلى التحقق مرة أخرى من أن أساليبك تتوافق أيضًا مع قانون حماية خصوصية المستهلك (CCPA). هناك اختلافات صغيرة ولكنها مهمة بين الاثنين. على سبيل المثال ، بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، يتعين عليك إظهار فئات المعلومات الشخصية التي بعتها خلال فترة 12 شهرًا ؛ هذا ليس من متطلبات اللائحة العامة لحماية البيانات. على الجانب الآخر ، لا يشتمل قانون CCPA على متطلبات الموافقة على ملفات تعريف الارتباط التي يفرضها القانون العام لحماية البيانات (GDPR).

افكار اخيرة

خطوتك الأولى هي تقييم ما إذا كان عملك يجب أن يكون متوافقًا مع CCPA اعتبارًا من 1 يناير 2020. أو ضع في اعتبارك ما إذا كان عملك سينمو إلى النقطة التي سيحتاج فيها إلى أن يكون متوافقًا في المستقبل. إذا كان الأمر كذلك ، فمن الأفضل وضع كل شيء في مكانه الآن حتى لا تضطر إلى التدافع لاحقًا والمخاطرة بالتغريم. تعتمد كيفية إعدادك لموقع الويب الخاص بك للامتثال لـ CCPA بالضبط على عملياتك الحالية والقوى العاملة لديك. يمكنك أتمتة قدر الإمكان ، أو إذا كنت لا تتوقع الكثير من التغييرات أو طلبات الإزالة ، فيمكن أن يكون لديك عدد قليل من الموظفين الذين يردون مباشرة على المستخدمين.

إذا لم يكن لديك سياسة خصوصية حتى الآن ، فهذه فرصة رائعة لكتابة واحدة ، سواء كنت مهتمًا بقانون CCPA أم لا. تحقق من مقالتنا حول كيفية إنشاء سياسة الخصوصية لموقع الويب الخاص بك.

صورة مميزة عبر Sammby / shutterstock.com