The Ultimate Guide to California Consumer Privacy Act (CCPA) Compliance

เผยแพร่แล้ว: 2019-12-23

California Consumer Privacy Act of 2018 (CCPA) เป็นกฎหมายที่ผ่านโดย California เพื่อปกป้องข้อมูลและความเป็นส่วนตัวของผู้อยู่อาศัย CCPA ไม่ใช่การแทนที่กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียในปัจจุบัน แต่จะทำงานร่วมกับกฎหมายเหล่านั้นแทน

ตาม CCPA ธุรกิจจะต้องตรงไปตรงมามากขึ้นเกี่ยวกับสิ่งที่พวกเขารวบรวมและวิธีการใช้ พวกเขายังต้องได้รับความยินยอมจากผู้เยาว์ก่อนที่จะขายข้อมูลของตน นอกจากนี้ ผู้ใช้สามารถป้องกันไม่ให้ธุรกิจขายข้อมูลของตนได้แล้ว

CCPA ไม่ได้หมายความว่าคุณจะไม่สามารถขายข้อมูลผู้ใช้ที่คุณรวบรวมได้อีกต่อไป อย่างไรก็ตาม เมื่อพูดถึงผู้อยู่อาศัยในแคลิฟอร์เนีย คุณจะต้องกระโดดข้ามห่วงอีกสองสามห่วง

CCPA จะมีผลบังคับใช้ในวันที่ 1 มกราคม 2020 แต่ธุรกิจต่างๆ มีเวลาในการปฏิบัติตามอย่างเต็มที่จนถึงวันที่ 1 กรกฎาคม 2020 นั่นไม่ใช่ข้ออ้างที่จะปิดเรื่องนี้ เนื่องจากการดำเนินการบังคับใช้จะไม่เริ่มเป็นเวลาสองสามเดือน แม้ว่าธุรกิจต่างๆ จะมีเวลาปรับนโยบาย กระบวนการ และเว็บไซต์ของตน

CCPA พิจารณา "ข้อมูลส่วนบุคคล" อย่างไร

ข้อมูลส่วนบุคคลคือสิ่งที่อธิบายหรือระบุตัวบุคคลหรือที่เชื่อมโยงกับบุคคลหรือครัวเรือน ซึ่งรวมถึง:

  • ที่อยู่อีเมล
  • ข้อมูลการจ้างงาน
  • ตำแหน่งทางภูมิศาสตร์
  • ที่อยู่ IP
  • ชื่อ

ในทางเทคนิค ข้อมูลที่เปิดเผยต่อสาธารณะไม่ถือเป็นข้อมูลส่วนบุคคลโดย CCPA นั่นเป็นพื้นที่สีเทาแม้ว่า และเป็นการดีที่สุดที่จะทำผิดในด้านของการปฏิบัติตามข้อกำหนดทั้งหมดมากกว่าที่จะเสี่ยง นอกจากนี้ แม้ว่าข้อมูลส่วนบุคคลของผู้ใช้รายหนึ่งจะเปิดเผยต่อสาธารณะ แต่สิ่งนี้จะไม่มีผลกับผู้ใช้รายอื่นของคุณทั้งหมด คุณยังต้องปฏิบัติตามนโยบายทั่วๆ ไป

CCPA ส่งผลกระทบต่อธุรกิจของคุณหรือไม่?

CCPA ส่งผลกระทบต่อธุรกิจของคุณ หากคุณรวบรวมและประมวลผลข้อมูลจากผู้อยู่อาศัยในแคลิฟอร์เนีย ธุรกิจของคุณ หรือบริษัทแม่หรือบริษัทในเครือ ต้องปฏิบัติตามข้อใดข้อหนึ่งต่อไปนี้:

  • รายได้รวมประจำปีของคุณคือ $25 ล้านหรือมากกว่า
  • ทุกปี คุณซื้อ รับหรือขายข้อมูลส่วนบุคคลจากอุปกรณ์ ครัวเรือน หรือผู้อยู่อาศัยในแคลิฟอร์เนีย 50,000 เครื่องขึ้นไป
  • รายได้ประจำปีขั้นต่ำ 50% ของคุณมาจากการขายข้อมูลส่วนบุคคลของผู้อยู่อาศัยในแคลิฟอร์เนีย

คุณไม่จำเป็นต้องมีธุรกิจในแคลิฟอร์เนียเพื่อให้เป็นไปตามเกณฑ์เหล่านี้ ผู้ที่อาศัยอยู่ในแคลิฟอร์เนียสามารถเยี่ยมชมเว็บไซต์ของคุณได้ไม่ว่าธุรกิจของคุณจะดำเนินธุรกิจจากที่ใด ธุรกิจในรัฐอื่นๆ ของสหรัฐอเมริกา รวมถึงธุรกิจทั่วโลก จะต้องพิจารณา CCPA

ขนาดของธุรกิจของคุณไม่สำคัญเช่นกัน นอกเหนือจากการอ้างอิงถึงเกณฑ์ แม้แต่กิจการเดี่ยวและธุรกิจขนาดเล็กก็ต้องสอดคล้องกับ CCPA อย่างไรก็ตาม ธุรกิจที่ประมวลผลข้อมูลสำหรับผู้บริโภคตั้งแต่ 4 ล้านคนขึ้นไปต้องปฏิบัติตามข้อกำหนดเพิ่มเติม ตัวอย่างเช่น พวกเขามีแนวทางปฏิบัติที่เข้มงวดกว่าในเรื่องการเก็บบันทึก

หากคุณมีคุณสมบัติตรงตามเกณฑ์แต่ไม่ได้รวบรวมข้อมูล (คุณไม่มีเครื่องมือติดตามประเภทใดบนเว็บไซต์) แสดงว่าคุณปฏิบัติตามข้อกำหนดทางเทคนิคของ CCPA ในทางกลับกัน หากคุณกำลังรวบรวมข้อมูลจากลูกค้าในแคลิฟอร์เนียแต่คุณยังไม่ถึงเกณฑ์ คุณจะต้องเตรียมการสำหรับ CCPA หากธุรกิจของคุณเติบโตอย่างรวดเร็ว คุณอาจมีรายได้เกิน 25 ล้านดอลลาร์โดยไม่ได้ตั้งใจหรือผู้อยู่อาศัยในแคลิฟอร์เนีย 50,000 คนโดยไม่ได้ตั้งใจ ก่อนที่คุณจะปฏิบัติตามข้อกำหนดของ CCPA

ผู้อยู่อาศัยในแคลิฟอร์เนียกำหนดอย่างไร?

ตามกฎหมายของรัฐแคลิฟอร์เนีย ผู้อยู่อาศัยคือบุคคลที่:

  • อยู่ในแคลิฟอร์เนียด้วยเหตุผลอื่นที่ไม่ใช่เหตุผลชั่วคราวหรือชั่วคราว
  • อาศัยอยู่ในแคลิฟอร์เนีย แม้ว่าจะไม่ได้อยู่ในสถานะปัจจุบันเนื่องจากเหตุผลชั่วคราวหรือชั่วคราว

บุคคลสามารถอาศัยอยู่ในแคลิฟอร์เนียและไม่ใช่ผู้อยู่อาศัยหรืออาศัยอยู่นอกแคลิฟอร์เนียและยังคงเป็นผู้อยู่อาศัย เพื่อป้องกันตัวเอง ปฏิบัติตาม CCPA หากคุณมีเหตุผลที่จะคิดว่าธุรกิจของคุณจำนวนมากมาจากผู้ที่อาศัยอยู่ในแคลิฟอร์เนีย

วิธีทำให้ธุรกิจของคุณสอดคล้องกับ CCPA

เพื่อให้เป็นไปตามข้อกำหนดของ CCPA ธุรกิจของคุณต้องดำเนินการหลายขั้นตอน ซึ่งหลายๆ ขั้นตอนจะต้องมีการเปลี่ยนแปลงนโยบายและกระบวนการ ต่อไปนี้คือวิธีการทำให้ธุรกิจของคุณสอดคล้องกับ CCPA:

อัปเดตนโยบายความเป็นส่วนตัวของคุณเพื่อชี้แจงวิธีรวบรวม ใช้ และเปลี่ยนแปลงข้อมูลของคุณ

เป็นไปได้ว่าคุณมีนโยบายความเป็นส่วนตัวอยู่แล้ว แต่จะต้องมีการดำเนินการบางอย่างเพื่อให้เป็นไปตามข้อกำหนดของ CCPA โดยพื้นฐานแล้ว นโยบายความเป็นส่วนตัวของคุณจะแจ้งให้ผู้ใช้ทราบว่าคุณรวบรวมข้อมูลใดและทำอะไรกับข้อมูลนั้น สำหรับ CCPA คุณจะต้องมีความโปร่งใสมากกว่าเดิมเกี่ยวกับแนวทางปฏิบัติด้านข้อมูลของคุณ นี่คือสิ่งที่คุณต้องทำเพิ่มเติมในนโยบายความเป็นส่วนตัวของคุณ:

  • อะไร ทำไม และวิธีที่คุณรวบรวมและประมวลผลข้อมูลส่วนบุคคล
  • วิธีที่ผู้ใช้สามารถเข้าถึง เปลี่ยนแปลง หรือลบข้อมูลส่วนบุคคลที่คุณได้รวบรวมไว้
  • วิธีการของคุณในการตรวจสอบตัวตนของผู้ใช้ที่ส่งคำขอเหล่านั้น
  • วิธีขายข้อมูลส่วนบุคคลและวิธีที่ผู้ใช้สามารถยกเลิกการขายข้อมูลส่วนบุคคลได้

โปรดทราบว่านี่เป็นข้อกำหนดขั้นต่ำของ CCPA หากคุณรู้สึกว่ามีกระบวนการรวบรวมข้อมูลที่ผู้ใช้ต้องการทราบมากกว่านี้ ให้เพิ่มเข้าไป

ได้รับความยินยอมจากผู้เยาว์

คุณจะต้องได้รับความยินยอมจากผู้เยาว์ที่มีอายุระหว่าง 13 ถึง 16 ปี หรือจากผู้ปกครองของเด็กอายุต่ำกว่า 13 ปี คุณสามารถขอความยินยอมได้ทันทีที่พวกเขาเข้ามาที่เว็บไซต์ของคุณหรือก่อนที่คุณจะขายข้อมูลของพวกเขา ไม่ว่าจะด้วยวิธีใด คุณไม่สามารถขายข้อมูลของพวกเขาก่อนที่จะได้รับความยินยอมจากพวกเขา จัดเก็บคำตอบทั้งหมดที่คุณได้รับ แม้ว่าผู้ใช้จะปฏิเสธความยินยอมก็ตาม นอกเหนือจากผู้เยาว์ คุณไม่จำเป็นต้องได้รับความยินยอมจากผู้ใช้ก่อนที่จะรวบรวมและใช้ข้อมูล

ให้ผู้ใช้เปลี่ยนข้อมูลได้

CCPA ส่วนหนึ่งทำให้ผู้ใช้ในแคลิฟอร์เนียสามารถเข้าถึง เปลี่ยนแปลง ย้าย หรือลบข้อมูลส่วนบุคคลของตนได้ คุณต้องสร้างวิธีการให้ผู้ใช้ส่งคำขอประเภทนี้ และหนึ่งในวิธีเหล่านั้นต้องเป็นหมายเลขโทรฟรี จากนั้นคุณสามารถเพิ่มแบบฟอร์มการติดต่อลงในเว็บไซต์ของคุณหรือระบุอีเมลหรือที่อยู่ทางไปรษณีย์

ยืนยันตัวตนของผู้ใช้เมื่อทำการร้องขอ

เมื่อผู้ใช้ติดต่อเพื่อเปลี่ยนแปลงข้อมูล คุณต้องมีวิธียืนยันตัวตนว่าพวกเขาเป็นใคร คุณไม่สามารถขอเอกสารยืนยันตัวตนผ่านเอกสารที่ทางราชการออกให้ เช่น ใบขับขี่ คุณสามารถใช้การรับรองความถูกต้องประเภทเดียวกับที่ใช้เมื่อบุคคลนั้นส่งข้อมูลของตน คุณยังสามารถลองยืนยันตัวตนของพวกเขาโดยขอให้พวกเขายืนยันข้อมูลที่พวกเขาให้ไว้ในอดีต

หากธุรกิจไม่สามารถยืนยันตัวตนของผู้ใช้ได้ พวกเขาควรปฏิบัติตามอย่างดีที่สุด ตัวอย่างเช่น สมมติว่าผู้ใช้ต้องการลบข้อมูลของตน แต่ธุรกิจไม่สามารถยืนยันตัวตนของผู้ใช้ได้ แทนที่จะลบข้อมูล พวกเขาเก็บไว้แต่ให้ผู้ใช้เลือกที่จะไม่ขายข้อมูลของตน หากไม่สามารถปฏิบัติตามได้ ธุรกิจสามารถปฏิเสธคำขอได้

เพิ่มลิงก์ "อย่าขายข้อมูลส่วนบุคคลของฉัน" ไปที่หน้าแรกของคุณ

คุณจะต้องวางลิงก์ "อย่าขายข้อมูลส่วนบุคคลของฉัน" ไปยังตำแหน่งที่เห็นได้ชัดเจนในหน้าแรกของเว็บไซต์ของคุณ นี้หากผู้ใช้คลิกหากต้องการป้องกันไม่ให้คุณขายข้อมูลส่วนบุคคล กระบวนการยกเลิกการขายข้อมูลผู้ใช้จะต้องง่ายและสะดวกที่สุด ธุรกิจต้องตอบสนองต่อคำขอเลือกไม่เข้าร่วมด้วย ตามเอกสารข้อเท็จจริงของ CCPA อย่างเป็นทางการ “…ธุรกิจต้องปฏิบัติต่อการตั้งค่าความเป็นส่วนตัวที่เปิดใช้งานโดยผู้ใช้ ซึ่งส่งสัญญาณว่าทางเลือกของผู้บริโภคในการเลือกไม่รับเป็นคำขอเลือกไม่รับที่ส่งอย่างถูกต้อง”

นอกจากนี้ คุณไม่สามารถกำหนดให้ผู้อื่นสร้างบัญชีเพื่อที่พวกเขาสามารถเลือกไม่รับได้ แม้ว่าบางธุรกิจอาจต้องการกำหนดให้มีบัญชีเพื่อใช้ในการระบุตัวผู้ใช้ แต่ CCPA จะป้องกันไม่ให้สิ่งนี้เป็นข้อกำหนดเบื้องต้นสำหรับการเลือกไม่ใช้ หากผู้ใช้มีบัญชีอยู่แล้ว และนั่นคือวิธีที่คุณสามารถยืนยันตัวตนได้ ก็ไม่เป็นไร

เก็บบันทึกการแลกเปลี่ยนกับลูกค้า

ธุรกิจต้องเก็บบันทึกคำขอของผู้ใช้ทั้งหมด และยังต้องบันทึกและบันทึกคำตอบของตนไปยังผู้ใช้ด้วย เก็บรักษาบันทึกของคุณอย่างน้อย 24 เดือน; เพื่อความปลอดภัย

อย่าเลือกปฏิบัติตามคำขอความเป็นส่วนตัว

CCPA กล่าวว่าธุรกิจต่างๆ ไม่สามารถเลือกปฏิบัติต่อผู้ใช้ได้หากพวกเขาใช้สิทธิ์ความเป็นส่วนตัว ซึ่งหมายความว่าหากผู้ใช้บอกว่าคุณไม่สามารถขายข้อมูลได้ คุณจะไม่สามารถปฏิเสธบริการหรือปรับราคาเพื่อตอบโต้ได้

เป็นไปได้ว่าธุรกิจจะเสนอสิ่งจูงใจให้กับผู้ที่อนุญาตให้ขายข้อมูลของตนได้ ในกรณีนี้ คุณต้องเปิดเผยรายละเอียดของสิ่งจูงใจ รวมถึงวิธีคำนวณมูลค่าของข้อมูลส่วนบุคคลของคุณ

บทลงโทษสำหรับการไม่ปฏิบัติตาม CCPA

หากคุณไม่ปฏิบัติตาม CCPA ภายในวันที่ 1 กรกฎาคม 2020 อัยการสูงสุดจะแจ้งให้คุณทราบ คุณจะมีเวลา 30 วันในการตอบกลับและรับข้อมูลล่าสุดเกี่ยวกับการปฏิบัติตามข้อกำหนด หากคุณไม่ปฏิบัติตามภายใน 30 วันดังกล่าว คุณอาจถูกฟ้องร้องดำเนินคดีทางแพ่งได้ จากนั้น คุณอาจถูกปรับ $7,500 ต่อการละเมิด ซึ่งหมายความว่าต่อผู้ใช้ในแคลิฟอร์เนีย ตัวอย่างเช่น หากคุณรวบรวมข้อมูลจากชาวแคลิฟอร์เนีย 2,000 คน คุณอาจถูกปรับ $7,500 x 2,000 ซึ่งรวมเป็น $15,000,000 นั่นเป็นใบเรียกเก็บเงินที่คุณต้องการหลีกเลี่ยงอย่างแน่นอน!

ความแตกต่างระหว่าง CCPA และ GDPR

แม้ว่าหลักเกณฑ์ CCPA จะฟังดูคล้ายกับ GDPR แต่ทั้งสองข้อมีข้อแตกต่างที่สำคัญ แม้ว่าธุรกิจของคุณจะเป็นไปตามข้อกำหนดของ GDPR แต่นั่นไม่ได้หมายความว่าจะเป็นไปตามข้อกำหนดของ CCPA โดยอัตโนมัติ คุณอาจปฏิบัติตามหลักเกณฑ์ CCPA บางประการ แต่ไม่ใช่ทั้งหมด หลักเกณฑ์ CCPA บางข้อที่อาจเกิน GDPR ได้แก่:

  • การเพิ่มลิงค์ “ห้ามขายข้อมูลส่วนตัวของฉัน” บนโฮมเพจ
  • การสร้างวิธีการให้ผู้ใช้ร้องขอเปลี่ยนแปลงหรือลบข้อมูลของตน
  • การระบุตัวตนของบุคคลเมื่อพวกเขาทำการร้องขอประเภทนั้น
  • ได้รับความยินยอมจากผู้เยาว์ก่อนขายข้อมูล

แม้ว่าคุณอาจมีกระบวนการบางอย่างที่ตั้งค่าไว้สำหรับ GDPR แล้ว แต่คุณจะต้องตรวจสอบอีกครั้งว่าวิธีการของคุณสอดคล้องกับ CCPA ด้วย มีความแตกต่างเล็กน้อย แต่มีความสำคัญระหว่างทั้งสอง ตัวอย่างเช่น ภายใต้ CCPA คุณต้องแสดงหมวดหมู่ของข้อมูลส่วนบุคคลที่คุณขายในช่วง 12 เดือน นี่ไม่ใช่ข้อกำหนดของ GDPR ในอีกด้านหนึ่ง CCPA ไม่มีข้อกำหนดการยินยอมคุกกี้ที่ GDPR มี

ความคิดสุดท้าย

ขั้นตอนแรกของคุณคือการประเมินว่าธุรกิจของคุณต้องปฏิบัติตาม CCPA ตั้งแต่วันที่ 1 มกราคม 2020 หรือไม่ หรือพิจารณาว่าธุรกิจของคุณจะเติบโตถึงจุดที่จะต้องปฏิบัติตามในอนาคตหรือไม่ ถ้าใช่ วิธีที่ดีที่สุดคือต้องเตรียมทุกอย่างให้เข้าที่ในตอนนี้ เพื่อที่คุณจะได้ไม่ต้องแย่งชิงกันในภายหลังและเสี่ยงต่อการถูกปรับ วิธีที่คุณตั้งค่าเว็บไซต์ของคุณให้สอดคล้องกับ CCPA นั้นขึ้นอยู่กับกระบวนการปัจจุบันและพนักงานของคุณ คุณสามารถทำให้เป็นระบบอัตโนมัติได้มากที่สุด หรือถ้าคุณไม่คาดหวังการเปลี่ยนแปลงหรือคำขอลบมากเกินไป คุณสามารถมีพนักงานสองสามคนที่ตอบกลับผู้ใช้โดยตรง

หากคุณยังไม่มีนโยบายความเป็นส่วนตัว นี่เป็นโอกาสที่ดีในการเขียนนโยบาย ไม่ว่าคุณจะเกี่ยวข้องกับ CCPA หรือไม่ก็ตาม ดูบทความของเราเกี่ยวกับวิธีสร้างนโยบายความเป็นส่วนตัวสำหรับเว็บไซต์ของคุณ

ภาพเด่นผ่าน Sammby / shutterstock.com