Kompletny przewodnik po zgodności z kalifornijską ustawą o ochronie prywatności konsumentów (CCPA)

Kalifornijska ustawa o ochronie prywatności konsumentów z 2018 r. (CCPA) to ustawa przyjęta przez Kalifornię w celu ochrony danych i prywatności jej mieszkańców. CCPA nie zastępuje obecnych kalifornijskich przepisów dotyczących prywatności, ale zamiast tego będzie funkcjonować obok nich.

Według CCPA firmy muszą być bardziej otwarte w kwestii tego, co gromadzą i jak są wykorzystywane. Muszą również uzyskać zgodę nieletnich przed sprzedażą swoich informacji. Co więcej, użytkownicy mogą teraz uniemożliwić firmom sprzedaż ich danych.

CCPA nie oznacza jednak, że nie możesz już sprzedawać gromadzonych informacji o użytkownikach. Jednak jeśli chodzi o mieszkańców Kalifornii, będziesz musiał przeskoczyć jeszcze kilka kółek.

CCPA wejdzie w życie 1 stycznia 2020 r., ale firmy mają czas do 1 lipca 2020 r., aby w pełni spełnić wymagania. To nie jest wymówka, żeby to odkładać. Ponieważ jednak działania egzekucyjne nie rozpoczną się za kilka miesięcy, firmy mają czas na dostosowanie swoich zasad, procesów i witryny internetowej.

Co CCPA uważa za „dane osobowe”?

Dane osobowe to wszystko, co opisuje lub identyfikuje osobę lub jest w jakiś sposób powiązane z osobą lub gospodarstwem domowym. To obejmuje:

• Adresy e-mail
• Informacje o zatrudnieniu
• Geolokalizacje
• Adresy IP
• Nazwy

Z technicznego punktu widzenia, informacje dostępne publicznie nie są uznawane przez CCPA za dane osobowe. To jednak taka szara strefa i najlepiej jest błądzić po stronie całkowitej zgodności, zamiast ryzykować. Ponadto, nawet jeśli dane osobowe jednego użytkownika są publicznie dostępne, nie dotyczy to wszystkich pozostałych użytkowników. Nadal musisz przestrzegać wszystkich zasad.

Czy CCPA wpływa na Twoją firmę?

CCPA ma wpływ na Twoją firmę, jeśli zbierasz i przetwarzasz dane od mieszkańców Kalifornii. Twoja firma, spółka macierzysta lub spółka zależna również musi spełniać co najmniej jeden z poniższych warunków:

• Twój roczny dochód brutto wynosi co najmniej 25 milionów USD
• Każdego roku kupujesz, otrzymujesz lub sprzedajesz dane osobowe z 50 000 lub więcej urządzeń, gospodarstw domowych lub mieszkańców Kalifornii
• Co najmniej 50% Twoich rocznych przychodów pochodzi ze sprzedaży danych osobowych mieszkańców Kalifornii

Nie musisz mieć firmy w Kalifornii, aby osiągnąć te progi. Mieszkańcy Kalifornii mogą odwiedzać Twoją witrynę niezależnie od tego, skąd prowadzi działalność. Firmy w innych stanach USA, a także firmy na całym świecie, muszą brać pod uwagę CCPA.

Nie ma też znaczenia wielkość Twojej firmy, poza odniesieniem się do progów. Nawet jednoosobowe przedsięwzięcia i małe firmy muszą dostosować się do CCPA. Jednak firmy, które przetwarzają dane dla 4 milionów lub więcej konsumentów, muszą spełnić dodatkowe wymagania. Na przykład mają bardziej rygorystyczne wytyczne, jeśli chodzi o prowadzenie dokumentacji.

Jeśli osiągasz próg, ale nie zbierasz danych (nie masz żadnego narzędzia do śledzenia w swojej witrynie), technicznie spełniasz wymagania CCPA. Z drugiej strony, jeśli zbierasz informacje od klientów z Kalifornii, ale nie spełniasz jeszcze progów, warto przygotować się do CCPA. Jeśli Twoja firma szybko się rozwinie, możesz przypadkowo przekroczyć 25 milionów dolarów przychodu lub 50 000 mieszkańców Kalifornii, zanim osiągniesz zgodność z CCPA.

Jak definiuje się rezydenta Kalifornii?

Zgodnie z prawem stanu Kalifornia, mieszkaniec to osoba, która:

• przebywa w Kalifornii z innego powodu niż tymczasowy lub przejściowy
• Mieszka w Kalifornii, nawet jeśli obecnie nie przebywa w tym stanie z powodu tymczasowego lub przejściowego powodu

Osoba może mieszkać w Kalifornii i nie być rezydentem lub mieszkać poza Kalifornią i nadal być rezydentem. Aby się chronić, przestrzegaj CCPA, jeśli masz jakiekolwiek powody, by sądzić, że duża część Twojej firmy pochodzi od mieszkańców Kalifornii.

Jak sprawić, by Twoja firma była zgodna z CCPA

Aby spełnić wymagania CCPA, Twoja firma musi podjąć kilka kroków, z których wiele będzie wymagało zmiany zasad i procesów. Oto jak sprawić, by Twoja firma była zgodna z CCPA:

Zaktualizuj swoją politykę prywatności, aby wyjaśnić, w jaki sposób gromadzisz, wykorzystujesz i zmieniasz dane

Możliwe, że masz już politykę prywatności, ale będzie wymagać trochę pracy, aby była zgodna z CCPA. Zasadniczo Twoja polityka prywatności mówi użytkownikom, jakie dane zbierasz i co z nimi robisz. W przypadku CCPA musisz być bardziej przejrzysty niż wcześniej, jeśli chodzi o praktyki dotyczące danych. Oto dodatki, które musisz wprowadzić do swojej polityki prywatności:

• Co, dlaczego i jak zbierasz i przetwarzasz dane osobowe
• Jak użytkownicy mogą uzyskać dostęp, zmienić lub usunąć swoje dane osobowe, które zgromadziłeś
• Twoja metoda weryfikacji tożsamości użytkownika, który wysyła jedno z tych żądań
• Jak sprzedawane są dane osobowe i jak użytkownik może zrezygnować ze sprzedaży swoich danych osobowych

Pamiętaj, że są to minimalne wymagania CCPA. Jeśli uważasz, że w procesie gromadzenia danych jest coś więcej, co użytkownicy chcą wiedzieć, dodaj to.

Uzyskaj zgodę nieletnich

Musisz uzyskać zgodę od nieletnich w wieku od 13 do 16 lat lub od rodziców dzieci poniżej 13. Możesz poprosić o zgodę zaraz po wejściu na Twoją stronę lub przed sprzedażą ich danych. Tak czy inaczej, nie możesz sprzedać ich danych przed uzyskaniem ich zgody. Przechowuj wszystkie otrzymane odpowiedzi, nawet jeśli użytkownik odrzucił zgodę. Poza osobami niepełnoletnimi nie potrzebujesz zgody użytkownika przed gromadzeniem i wykorzystywaniem danych.

Zezwalaj użytkownikom na zmianę ich informacji

Częścią CCPA jest umożliwienie użytkownikom z Kalifornii dostępu, zmiany, przenoszenia lub usuwania ich danych osobowych. Musisz stworzyć metodę, dzięki której użytkownicy będą mogli przesyłać tego typu wnioski, a jedną z tych metod musi być bezpłatny numer. Następnie możesz dodać formularz kontaktowy do swojej witryny lub podać adres e-mail lub adres pocztowy.

Zweryfikuj tożsamość użytkownika podczas składania wniosku

Gdy użytkownicy skontaktują się w celu zmiany swoich informacji, potrzebujesz sposobu na zweryfikowanie, że są tym, za kogo się podają. Nie możesz poprosić o dowód tożsamości za pomocą dokumentu wydanego przez rząd, takiego jak prawo jazdy. Zamiast tego możesz użyć tego samego typu uwierzytelniania, którego użyłeś, gdy osoba przesłała swoje dane. Możesz też spróbować zweryfikować ich tożsamość, prosząc o potwierdzenie informacji, które podali w przeszłości.

Jeśli firma nie jest w stanie zweryfikować tożsamości użytkownika, powinna postępować zgodnie z nią najlepiej, jak potrafi. Załóżmy na przykład, że użytkownik chce usunąć swoje informacje, ale firma nie może zweryfikować tożsamości użytkownika. Zamiast usuwać swoje informacje, zachowują je, ale pozwalają użytkownikowi zrezygnować z ich sprzedaży. Jeśli nie ma możliwości spełnienia wymagań, firma może odrzucić żądanie.

Dodaj link „Nie sprzedawaj moich danych osobowych” do swojej strony głównej

Musisz umieścić link „Nie sprzedawaj moich danych osobowych” w widocznym miejscu na stronie głównej witryny. Aby użytkownicy mogli kliknąć, jeśli chcą uniemożliwić Ci sprzedaż swoich danych osobowych. Proces rezygnacji ze sprzedaży danych użytkownika musi być tak prosty i łatwy, jak to tylko możliwe. Firma musi również odpowiadać na prośby o rezygnację. Zgodnie z oficjalnym arkuszem informacyjnym CCPA „… firmy muszą traktować ustawienia prywatności włączone przez użytkownika, które sygnalizują decyzję konsumenta o rezygnacji, jako prawidłowo złożone żądanie rezygnacji”.

Ponadto nie możesz wymagać od ludzi utworzenia konta, aby mogli zrezygnować. Podczas gdy niektóre firmy mogą wymagać konta jako sposobu identyfikacji użytkownika, CCPA uniemożliwia to jako warunek wstępny rezygnacji. Jeśli użytkownik ma już konto i w ten sposób możesz zweryfikować jego tożsamość, to w porządku.

Prowadź ewidencję wymiany z klientami

Firmy muszą prowadzić ewidencję wszystkich żądań użytkowników, a także muszą rejestrować i zapisywać odpowiedzi udzielone użytkownikom. Przechowuj swoją dokumentację przez co najmniej 24 miesiące; aby być bezpieczniejszym, trzymaj się ich w nieskończoność.

Nie dyskryminuj na podstawie próśb o zachowanie prywatności

CCPA mówi, że firmy nie mogą dyskryminować użytkowników, którzy korzystają ze swoich praw do prywatności. Oznacza to, że jeśli użytkownik twierdzi, że nie możesz sprzedać jego danych, nie możesz odmówić mu usług ani dostosować ceny w odwecie.

Możliwe, że biznes zaoferuje zachętę osobom, które pozwolą na sprzedaż swoich danych. W takim przypadku musisz ujawnić szczegóły zachęty, w tym sposób obliczania wartości danych osobowych.

Kary za nieprzestrzeganie CCPA

Jeśli nie zastosujesz się do CCPA do 1 lipca 2020 r., Prokurator Generalny powiadomi Cię o tym. Będziesz mieć 30 dni na odpowiedź i zapoznanie się ze zgodnością. Jeśli nie zastosujesz się do tego w ciągu tych 30 dni, możesz zostać wszczęty przeciwko tobie proces cywilny. Stamtąd możesz zostać ukarany grzywną w wysokości 7500 USD za naruszenie , co oznacza na użytkownika z Kalifornii. Na przykład, jeśli zbierasz dane od 2000 mieszkańców Kalifornii, możesz zostać ukarany grzywną 7500 $ x 2000, co daje łącznie 15 000 000 $. To rachunek, którego na pewno będziesz chciał uniknąć!

Różnice między CCPA a RODO

Chociaż wytyczne CCPA brzmią podobnie do RODO, oba mają kluczowe różnice. Nawet jeśli Twoja firma jest obecnie zgodna z RODO, nie oznacza to, że automatycznie będzie zgodna z CCPA. Możesz spełnić niektóre wytyczne CCPA, ale nie wszystkie. Niektóre z wytycznych CCPA, które mogą przekraczać RODO to:

• Dodanie linku „Nie sprzedawaj moich danych osobowych” na stronie głównej
• Stworzenie sposobu, w jaki użytkownicy mogą żądać zmiany lub usunięcia swoich danych
• Identyfikacja tożsamości osoby, która składa tego typu wniosek
• Uzyskiwanie zgody od nieletnich przed sprzedażą ich informacji

Chociaż niektóre procesy mogą być już skonfigurowane pod kątem RODO, warto dokładnie sprawdzić, czy Twoje metody są również zgodne z CCPA. Są między nimi małe, ale ważne różnice. Na przykład w ramach CCPA musisz pokazać kategorie danych osobowych, które sprzedałeś w okresie 12 miesięcy; nie jest to wymóg RODO. Z drugiej strony CCPA nie ma wymogu zgody na pliki cookie, który ma RODO.

Końcowe przemyślenia

Pierwszym krokiem jest ocena, czy Twoja firma musi być zgodna z CCPA od 1 stycznia 2020 r. Lub zastanów się, czy Twoja firma rozwinie się do punktu, w którym będzie musiała być zgodna w przyszłości. Jeśli tak, najlepiej załatwić wszystko już teraz, aby nie musieć się później szamotać i ryzykować grzywną. To, w jaki sposób Twoja witryna jest zgodna z CCPA, zależy od Twoich bieżących procesów i siły roboczej. Możesz zautomatyzować jak najwięcej lub, jeśli nie spodziewasz się zbyt wielu zmian lub żądań usunięcia, możesz mieć kilku pracowników, którzy odpowiadają bezpośrednio użytkownikom.

Jeśli nie masz jeszcze polityki prywatności, jest to świetna okazja, aby ją napisać, niezależnie od tego, czy interesuje Cię CCPA. Sprawdź nasz artykuł o tym, jak stworzyć politykę prywatności dla swojej witryny.

Polecane zdjęcie za pośrednictwem Sammby / shutterstock.com