Ultimul ghid pentru conformitatea cu legislația privind confidențialitatea consumatorilor din California (CCPA)

Publicat: 2019-12-23

California Consumer Privacy Act din 2018 (CCPA) este o lege adoptată de California pentru a proteja datele și confidențialitatea rezidenților săi. CCPA nu înlocuiește legile actuale privind confidențialitatea din California, ci va funcționa alături de acestea.

Potrivit CCPA, companiile trebuie să fie mai avansate în ceea ce privește ceea ce colectează și modul în care sunt utilizate. De asemenea, trebuie să obțină consimțământul minorilor înainte de a-și vinde informațiile. În plus, utilizatorii pot împiedica acum companiile să-și vândă datele.

Cu toate acestea, CCPA nu înseamnă că nu mai puteți vinde informațiile de utilizator pe care le colectați. Cu toate acestea, când vine vorba de locuitorii din California, va trebui să săriți prin încă câteva cercuri.

CCPA intră în vigoare la 1 ianuarie 2020, dar companiile au până la 1 iulie 2020 pentru a se conforma în totalitate. Aceasta nu este o scuză pentru a amâna acest lucru. Deoarece acțiunile de aplicare nu vor începe de câteva luni, totuși, companiile au timp să își adapteze politicile, procesele și site-ul web.

Ce consideră CCPA „date cu caracter personal”?

Datele cu caracter personal reprezintă orice lucru care descrie sau identifică o persoană sau care este cumva legat de o persoană sau de o gospodărie. Care include:

  • Adrese de email
  • Informații privind angajarea
  • Geolocații
  • Adrese IP
  • Numele

Din punct de vedere tehnic, informațiile disponibile publicului nu sunt considerate date personale de către CCPA. Aceasta este o zonă atât de gri, totuși, și cel mai bine este să greșești din partea conformității totale, mai degrabă decât să riști. De asemenea, chiar dacă datele personale ale unui utilizator sunt disponibile publicului, acest lucru nu se aplică tuturor celorlalți utilizatori ai dvs. Trebuie să fii în continuare conform cu toate normele.

CCPA vă afectează afacerea?

CCPA vă afectează afacerea dacă colectați și prelucrați date de la rezidenții din California. Compania dvs. sau o companie-mamă sau filială trebuie, de asemenea, să îndeplinească una sau mai multe dintre următoarele:

  • Venitul dvs. brut anual este de 25 milioane USD sau mai mult
  • În fiecare an, cumpărați, primiți sau vindeți date personale de la 50.000 sau mai multe dispozitive din California, gospodării sau rezidenți
  • Un minim de 50% din veniturile dvs. anuale provin din vânzarea datelor personale ale rezidenților din California

Nu trebuie să aveți o companie din California pentru a îndeplini aceste praguri. Locuitorii din California vă pot vizita site-ul web, indiferent de unde își desfășoară activitatea afacerea. Întreprinderile din alte state americane, precum și întreprinderile din întreaga lume, trebuie să ia în considerare CCPA.

Nici dimensiunea afacerii dvs. nu contează, decât referirea la praguri. Chiar și întreprinderile solo și întreprinderile mici trebuie să se alinieze la CCPA. Cu toate acestea, companiile care procesează date pentru 4 milioane sau mai mulți consumatori trebuie să îndeplinească cerințe suplimentare. De exemplu, au orientări mai stricte atunci când vine vorba de păstrarea evidenței.

Dacă atingeți un prag, dar nu colectați date (nu aveți niciun fel de instrument de urmărire pe site-ul dvs. web), sunteți tehnic compatibil cu CCPA. Pe de altă parte, dacă culegeți informații de la clienții din California, dar nu îndepliniți încă pragurile, va plăti în continuare să vă pregătiți pentru CCPA. Dacă afacerea dvs. crește rapid, ați putea depăși accidental venituri de 25 de milioane de dolari sau 50.000 de rezidenți din California înainte de a respecta CCPA.

Cum este definit un rezident din California?

Conform legislației din California, un rezident este o persoană care:

  • Se află în California pentru altceva decât un motiv temporar sau tranzitoriu
  • Locuiește în California, chiar dacă în prezent nu se află în stat din cauza unui motiv temporar sau tranzitoriu

O persoană poate locui în California și să nu fie rezidentă sau să locuiască în afara Californiei și să fie în continuare rezidentă. Pentru a vă proteja, respectați CCPA dacă aveți vreun motiv să credeți că o mare parte din afacerea dvs. provine de la rezidenți din California.

Cum să faceți afacerea dvs. compatibilă cu CCPA

Pentru a îndeplini cerințele CCPA, afacerea dvs. trebuie să facă mai mulți pași, dintre care mulți vor necesita schimbarea politicilor și proceselor. Iată cum puteți face afacerea dvs. compatibilă cu CCPA:

Actualizați-vă politica de confidențialitate pentru a clarifica modul în care colectați, utilizați și modificați datele

Șansele sunt că aveți deja o politică de confidențialitate, dar va fi nevoie de ceva lucru pentru a o face compatibilă cu CCPA. Practic, politica dvs. de confidențialitate spune utilizatorilor ce date colectați și ce faceți cu aceasta. Pentru CCPA, va trebui să fiți mai transparent decât înainte cu privire la practicile dvs. de date. Iată completările pe care trebuie să le faceți politicii dvs. de confidențialitate:

  • Ce, de ce și cum colectați și prelucrați informațiile personale
  • Modul în care utilizatorii pot accesa, modifica sau elimina datele lor personale pe care le-ați colectat
  • Metoda dvs. de verificare a identității unui utilizator care face una dintre aceste solicitări
  • Modul în care sunt vândute datele personale și modul în care un utilizator poate renunța la vânzarea datelor sale personale

Rețineți că acestea sunt cerințele minime CCPA. Dacă credeți că există mai multe informații despre procesul de colectare a datelor pe care utilizatorii doresc să le știe, adăugați-le.

Obțineți consimțământul de la minori

Va trebui să obțineți consimțământul de la minori cu vârste cuprinse între 13 și 16 ani sau de la părinții copiilor sub 13 ani. Puteți solicita consimțământul chiar atunci când ajung pe site-ul dvs. web sau înainte de a le vinde datele. În orice caz, nu le puteți vinde datele înainte de a obține consimțământul acestora. Stocați toate răspunsurile pe care le primiți, chiar dacă utilizatorul a respins consimțământul. În afară de minori, nu aveți nevoie de consimțământul utilizatorului înainte de a colecta și utiliza datele.

Permiteți utilizatorilor să își schimbe informațiile

O parte din CCPA oferă utilizatorilor din California posibilitatea de a accesa, schimba, muta sau șterge datele lor personale. Trebuie să creați o metodă pentru ca utilizatorii să trimită aceste tipuri de solicitări, iar una dintre aceste metode trebuie să fie un număr gratuit. Apoi puteți adăuga un formular de contact pe site-ul dvs. web sau puteți furniza un e-mail sau o adresă poștală.

Verificați identitatea utilizatorului atunci când face o solicitare

Odată ce utilizatorii iau legătura pentru a-și schimba informațiile, aveți nevoie de o modalitate de a verifica dacă sunt aceia despre care spun că sunt. Nu puteți solicita dovada identificării prin intermediul unui document emis de guvern, cum ar fi permisul de conducere. În schimb, puteți utiliza același tip de autentificare pe care l-ați folosit atunci când persoana respectivă și-a trimis datele. De asemenea, puteți încerca să le verificați identitatea solicitându-le să confirme informațiile pe care le-au furnizat în trecut.

Dacă compania nu poate verifica identitatea utilizatorului, acesta ar trebui să se conformeze cât mai bine. De exemplu, să presupunem că un utilizator dorește ștergerea informațiilor, dar compania nu poate verifica identitatea utilizatorului. În loc să-și șteargă informațiile, le păstrează, dar permit utilizatorului să renunțe la vânzarea informațiilor. Dacă nu există nicio modalitate de a se conforma, compania poate respinge cererea.

Adăugați un link „Nu vindeți informațiile mele personale” la pagina dvs. de pornire

Va trebui să plasați un link „Nu vindeți informațiile mele personale” într-un loc vizibil de pe pagina principală a site-ului dvs. web. Aceasta dacă utilizatorii pot face clic dacă doresc să vă împiedice să vă vindeți datele personale. Procesul de renunțare la vânzarea datelor utilizatorilor trebuie să fie cât mai simplu și mai ușor posibil. Compania trebuie să răspundă și solicitărilor de renunțare. Potrivit fișei de informații oficiale CCPA, „... întreprinderile trebuie să trateze setările de confidențialitate activate de utilizator care indică alegerea consumatorului de a renunța ca o cerere de renunțare transmisă valid”.

De asemenea, nu puteți solicita utilizatorilor să creeze un cont, astfel încât să poată renunța. Deși unele companii pot dori să solicite un cont ca mijloc de identificare a utilizatorului, CCPA previne acest lucru ca o condiție prealabilă pentru renunțare. Dacă utilizatorul are deja un cont și așa îți poți verifica identitatea, este în regulă.

Țineți evidența schimburilor cu clienții

Companiile trebuie să țină evidența tuturor cererilor utilizatorilor și, de asemenea, trebuie să înregistreze și să-și salveze răspunsurile pentru utilizatori. Păstrați-vă evidențele pentru cel puțin 24 de luni; pentru a fi mai în siguranță, țineți-le la nesfârșit.

Nu discriminați pe baza cererilor de confidențialitate

CCPA spune că întreprinderile nu pot discrimina utilizatorii dacă își exercită drepturile de confidențialitate. Asta înseamnă că, dacă un utilizator spune că nu îi puteți vinde datele, nu îi puteți refuza serviciile sau nu le puteți ajusta prețurile în represalii.

Este posibil ca o companie să ofere un stimulent persoanelor care permit vânzarea datelor lor. În acest caz, trebuie să dezvăluiți detalii despre stimulent, inclusiv modul în care calculați valoarea datelor cu caracter personal.

Sancțiuni pentru nerespectarea CCPA

Dacă nu respectați CCPA până la 1 iulie 2020, Procurorul General vă va notifica. Veți avea la dispoziție 30 de zile pentru a răspunde și a fi la curent cu conformitatea. Dacă nu vă conformați în aceste 30 de zile, ați putea fi intentat un proces civil împotriva dumneavoastră. De acolo, ai putea fi amendat cu 7.500 USD pe încălcare , ceea ce înseamnă pentru fiecare utilizator din California. De exemplu, dacă colectați date de la 2.000 de rezidenți din California, este posibil să fiți amendați cu 7.500 x 2.000 USD, ceea ce înseamnă un total de 15.000.000 USD. Acesta este un proiect de lege pe care cu siguranță veți dori să îl evitați!

Diferențele dintre CCPA și GDPR

În timp ce ghidurile CCPA sună similar cu GDPR, cele două au diferențe cheie. Chiar dacă afacerea dvs. este în prezent compatibilă cu GDPR, asta nu înseamnă că va fi automat compatibilă cu CCPA. Este posibil să îndepliniți câteva linii directoare CCPA, dar nu pe toate. Unele dintre liniile directoare CCPA care pot depăși GDPR sunt:

  • Adăugarea unui link „Nu-mi vinde informațiile personale” pe pagina de pornire
  • Crearea unei metode pentru ca utilizatorii să solicite modificări sau eliminarea informațiilor lor
  • Identificarea identității persoanei atunci când face acest tip de cerere
  • Obținerea acordului minorilor înainte de a-și vinde informațiile

Deși este posibil să aveți deja parte din procesul configurat pentru GDPR, va trebui să verificați dacă metodele dvs. sunt de asemenea conforme cu CCPA. Există diferențe mici, dar importante, între cele două. De exemplu, în baza CCPA, trebuie să afișați categoriile de informații personale pe care le-ați vândut pe o perioadă de 12 luni; aceasta nu este o cerință a GDPR. Pe de altă parte, CCPA nu are cerința de consimțământ pentru cookie-uri pe care o are GDPR.

Gânduri finale

Primul dvs. pas este să evaluați dacă afacerea dvs. trebuie să respecte CCPA începând cu 1 ianuarie 2020. Sau luați în considerare dacă afacerea dvs. va crește până la punctul în care va trebui să fie conformă în viitor. Dacă da, cel mai bine este să puneți totul la dispoziție acum, astfel încât să nu mai trebuie să vă grăbiți mai târziu și să riscați să fiți amendați. Modul în care vă configurați site-ul web pentru a respecta CCPA depinde de procesele dvs. actuale și de forța de muncă. Puteți automatiza cât mai mult posibil sau, dacă nu vă așteptați la prea multe modificări sau solicitări de eliminare, puteți avea câțiva angajați care răspund direct utilizatorilor.

Dacă nu aveți încă o politică de confidențialitate, aceasta este o oportunitate excelentă de a scrie una, indiferent dacă vă preocupă sau nu CCPA. Consultați articolul nostru despre cum să creați o politică de confidențialitate pentru site-ul dvs. web.

Imagine prezentată prin Sammby / shutterstock.com