Окончательное руководство по соблюдению Закона Калифорнии о конфиденциальности потребителей (CCPA)

Закон Калифорнии о конфиденциальности потребителей от 2018 года (CCPA) - это закон, принятый Калифорнией для защиты данных и конфиденциальности своих жителей. CCPA не заменяет действующие законы о конфиденциальности Калифорнии, а вместо этого будет действовать вместе с ними.

Согласно CCPA, компании должны быть более откровенными в отношении того, что они собирают и как это используют. Они также должны получить согласие несовершеннолетних, прежде чем продавать свою информацию. Кроме того, теперь пользователи могут запретить компаниям продавать свои данные.

Однако CCPA не означает, что вы больше не можете продавать собранную вами информацию о пользователях. Однако, когда дело касается жителей Калифорнии, вам придется преодолеть еще несколько препятствий.

CCPA вступает в силу 1 января 2020 года, но компании должны полностью соблюдать его до 1 июля 2020 года. Это не повод откладывать это. Однако, поскольку принудительные действия начнутся не раньше, чем через несколько месяцев, у предприятий есть время адаптировать свои политики, процессы и веб-сайт.

Что CCPA считает «личными данными»?

Личные данные - это все, что описывает или идентифицирует человека или каким-либо образом связано с отдельным лицом или домохозяйством. Это включает:

• Адрес электронной почты
• Информация о трудоустройстве
• Геолокации
• IP-адреса
• Имена

Технически общедоступная информация не считается CCPA личными данными. Однако это такая серая зона, и лучше ошибиться в пользу полного соответствия, чем рисковать. Кроме того, даже если личные данные одного пользователя общедоступны, это не относится ко всем другим вашим пользователям. Вы по-прежнему должны соответствовать всем требованиям.

Влияет ли CCPA на ваш бизнес?

CCPA влияет на ваш бизнес, если вы собираете и обрабатываете данные от жителей Калифорнии. Ваш бизнес, материнская компания или дочерняя компания также должны соответствовать одному или нескольким из следующих требований:

• Ваш годовой валовой доход составляет 25 миллионов долларов или больше.
• Каждый год вы покупаете, получаете или продаете личные данные с 50000 или более устройств, домашних хозяйств или жителей Калифорнии.
• Как минимум 50% вашего годового дохода поступает от продажи личных данных жителей Калифорнии.

Вам не обязательно иметь бизнес в Калифорнии, чтобы соответствовать этим пороговым значениям. Жители Калифорнии могут посещать ваш веб-сайт независимо от того, где находится ваш бизнес. Компании в других штатах США, а также компании по всему миру должны учитывать CCPA.

Размер вашего бизнеса также не имеет значения, кроме пороговых значений. Даже индивидуальные предприятия и малый бизнес должны соответствовать CCPA. Однако предприятия, которые обрабатывают данные для 4 миллионов и более потребителей, должны выполнять дополнительные требования. Например, у них есть более строгие правила ведения документации.

Если вы достигли порогового значения, но не собираете данные (на вашем веб-сайте нет инструментов отслеживания), вы технически соответствуете требованиям CCPA. С другой стороны, если вы собираете информацию от клиентов из Калифорнии, но еще не достигли пороговых значений, все равно стоит подготовиться к CCPA. Если ваш бизнес быстро растет, вы можете случайно превысить 25 миллионов долларов дохода или 50 000 жителей Калифорнии, прежде чем станете соответствовать требованиям CCPA.

Как определяется житель Калифорнии?

Согласно законам Калифорнии резидентом считается лицо, которое:

• Находится в Калифорнии не по временной или преходящей причине
• Живет в Калифорнии, даже если в настоящее время не находится в штате по временной или переходной причине.

Человек может жить в Калифорнии и не быть резидентом или жить за пределами Калифорнии, оставаясь резидентом. Чтобы защитить себя, соблюдайте CCPA, если у вас есть основания полагать, что значительная часть вашего бизнеса принадлежит жителям Калифорнии.

Как сделать ваш бизнес совместимым с CCPA

Чтобы соответствовать требованиям CCPA, ваш бизнес должен предпринять несколько шагов, многие из которых потребуют изменения политик и процессов. Вот как обеспечить соответствие вашего бизнеса требованиям CCPA:

Обновите свою политику конфиденциальности, чтобы уточнить, как вы собираете, используете и изменяете данные.

Скорее всего, у вас уже есть политика конфиденциальности, но для того, чтобы сделать ее совместимой с CCPA, потребуется некоторая работа. По сути, ваша политика конфиденциальности сообщает пользователям, какие данные вы собираете и что вы с ними делаете. Что касается CCPA, вы должны быть более прозрачными, чем раньше, в отношении своих методов обработки данных. Вот дополнения, которые вы должны внести в свою политику конфиденциальности:

• Что, почему и как вы собираете и обрабатываете личную информацию
• Как пользователи могут получить доступ, изменить или удалить свои личные данные, которые вы собрали
• Ваш метод проверки личности пользователя, который делает один из этих запросов.
• Как продаются личные данные и как пользователь может отказаться от продажи своих личных данных

Имейте в виду, что это минимальные требования CCPA. Если вы чувствуете, что в вашем процессе сбора данных есть еще кое-что, что пользователи хотят знать, добавьте это.

Получите согласие несовершеннолетних

Вам нужно будет получить согласие несовершеннолетних в возрасте от 13 до 16 лет или родителей детей младше 13 лет. Вы можете запросить согласие прямо тогда, когда они зайдут на ваш веб-сайт, или перед тем, как вы продадите их данные. В любом случае вы не можете продать их данные до получения их согласия. Сохраните все полученные ответы, даже если пользователь отклонил согласие. За исключением несовершеннолетних, вам не нужно согласие пользователя перед сбором и использованием данных.

Разрешить пользователям изменять свою информацию

Часть CCPA дает пользователям Калифорнии возможность доступа, изменения, перемещения или удаления своих личных данных. Вы должны создать метод для пользователей, чтобы отправлять эти типы запросов, и один из этих методов должен быть бесплатным номером. Затем вы можете добавить контактную форму на свой веб-сайт или указать адрес электронной почты или почтовый адрес.

Проверять личность пользователя, когда он делает запрос

Как только пользователи свяжутся с вами, чтобы изменить свою информацию, вам понадобится способ убедиться, что они те, кем они себя называют. Вы не можете запросить удостоверение личности с помощью государственного документа, например водительских прав. Вместо этого вы можете использовать тот же тип аутентификации, который вы использовали, когда человек отправлял свои данные. Вы также можете попытаться подтвердить их личность, попросив подтвердить информацию, которую они предоставили ранее.

Если компания не может подтвердить личность пользователя, они должны соблюдать все, что в их силах. Например, предположим, что пользователь хочет удалить свою информацию, но компания не может подтвердить личность пользователя. Вместо того, чтобы удалять свою информацию, они сохраняют ее, но позволяют пользователю отказаться от продажи своей информации. Если нет возможности выполнить это требование, компания может отклонить запрос.

Добавьте ссылку «Не продавать мою личную информацию» на свою домашнюю страницу.

Вам нужно будет разместить ссылку «Не продавать мою личную информацию» в заметном месте на главной странице вашего веб-сайта. Это если пользователи нажимают, если они хотят запретить вам продавать их личные данные. Процесс отказа от продажи пользовательских данных должен быть максимально простым и легким. Компания также должна отвечать на запросы отказа. Согласно официальному информационному бюллетеню CCPA, «… предприятия должны рассматривать настройки конфиденциальности, включенные пользователем, которые сигнализируют о выборе потребителя для отказа, как правильно поданный запрос на отказ».

Кроме того, вы не можете требовать от людей создания учетной записи, чтобы они могли отказаться. Хотя некоторым компаниям может потребоваться учетная запись как средство идентификации пользователя, CCPA предотвращает это как предварительное условие для отказа. Если у пользователя уже есть учетная запись, и именно так вы можете подтвердить его личность, ничего страшного.

Храните записи об обменах с клиентами

Компании должны вести учет всех запросов пользователей, а также записывать и сохранять свои ответы пользователям. Храните свои записи как минимум 24 месяца; для большей безопасности держитесь за них бесконечно.

Не допускайте дискриминации на основании запросов о конфиденциальности

CCPA заявляет, что компании не могут дискриминировать пользователей, если они реализуют свои права на конфиденциальность. Это означает, что если пользователь говорит, что вы не можете продавать его данные, вы не можете отказать ему в услугах или изменить их цены в ответ.

Возможно, что бизнес предложит стимул людям, разрешающим продажу своих данных. В этом случае вы должны раскрыть подробную информацию о поощрении, в том числе о том, как вы рассчитываете ценность личных данных.

Штрафы за несоблюдение CCPA

Если вы не соблюдаете CCPA до 1 июля 2020 года, Генеральный прокурор уведомит вас. У вас будет 30 дней на то, чтобы ответить и узнать о соответствии требованиям. Если вы не подчинитесь в течение этих 30 дней, против вас может быть возбуждено гражданское дело. Оттуда вас могут оштрафовать на 7500 долларов за нарушение , то есть на пользователя из Калифорнии. Например, если вы собираете данные от 2000 жителей Калифорнии, вас могут оштрафовать на 7 500 x 2 000 долларов, что в общей сложности составляет 15 000 000 долларов. Это законопроект, которого вам определенно стоит избегать!

Различия между CCPA и GDPR

Хотя рекомендации CCPA похожи на GDPR, у них есть ключевые различия. Даже если ваш бизнес в настоящее время соответствует требованиям GDPR, это не означает, что он будет автоматически соответствовать требованиям CCPA. Вы можете соответствовать некоторым правилам CCPA, но не всем. Вот некоторые из руководящих принципов CCPA, которые могут превышать GDPR:

• Добавление ссылки «Не продавать мою личную информацию» на главной странице
• Создание метода, с помощью которого пользователи могут запрашивать изменение или удаление их информации.
• Идентификация личности человека, когда он делает такой запрос
• Получение согласия несовершеннолетних перед продажей их информации

Хотя у вас может быть уже настроен некоторый процесс для GDPR, вам нужно дважды проверить, что ваши методы также соответствуют CCPA. Между ними есть небольшие, но важные различия. Например, в соответствии с CCPA вы должны отображать категории личной информации, которую вы продали за 12-месячный период; это не требование GDPR. С другой стороны, CCPA не требует согласия на использование файлов cookie, как GDPR.

Последние мысли

Ваш первый шаг - оценить, должен ли ваш бизнес соответствовать CCPA с 1 января 2020 года. Или подумайте, вырастет ли ваш бизнес до точки, при которой он должен будет соответствовать требованиям в будущем. Если это так, то лучше всего подготовить все сейчас, чтобы вам не пришлось потом карабкаться и рисковать быть оштрафованным. То, как именно вы настроите свой веб-сайт в соответствии с CCPA, зависит от ваших текущих процессов и вашей рабочей силы. Вы можете максимально автоматизировать или, если вы не ожидаете слишком много изменений или запросов на удаление, у вас может быть несколько сотрудников, которые будут отвечать непосредственно пользователям.

Если у вас еще нет политики конфиденциальности, это отличная возможность написать ее, независимо от того, беспокоитесь ли вы о CCPA. Ознакомьтесь с нашей статьей о том, как создать политику конфиденциальности для своего веб-сайта.

Лучшее изображение через Sammby / shutterstock.com