Conformitate CCPA Simplificată – Ghid Pas cu Pas
Un ghid practic pas cu pas pentru Legea de Protecție a Consumatorilor din California (CCPA)
Există mii de articole pe web care analizează în detaliu limbajul și jargonul Legii de Protecție a Consumatorilor din California din 2018.
Dar ca proprietar de afaceri sau ofițer de protecție a datelor care gestionează datele rezidenților californieni, dorești să știi exact ce trebuie să faci pentru a respecta regulile, evitând în același timp amenzi grele și reclamațiile clienților.
Biroul procurorului general din California sancționează încălcările CCPA cu sume cuprinse între $2,500 PENTRU FIECARE încălcare (neintenționată) și $7,500 pentru fiecare încălcare intenționată.
Acest lucru ar putea însemna per câmp de date, per persoană, și așa cum am văzut cu amenzile GDPR, aceste sancțiuni masive pot fi dăunătoare pentru organizația ta.
Legea Drepturilor de Confidențialitate și de Aplicare din California din 2020 (CPRA), denumită și CCPA 2.0, a fost adoptată și va intra în vigoare începând cu ianuarie 2023. CPRA se inspiră foarte mult din predecesorul său, deci acum este momentul ideal să începi, dacă nu ești încă în conformitate cu CCPA.
Lasă următorul ghid să acționeze ca harta ta către conformitatea CCPA.
Urmărind acest ghid, compania ta va putea îndeplini următoarele obligații conform CCPA:
- 1. Păstrează un inventar de date pentru a urmări istoricul procesării datelor
- 2. Publică o Politică de Confidențialitate conformă, care trebuie actualizată cel puțin la fiecare 12 luni, incluzând drepturile consumatorilor cu privire la informațiile lor personale
- 3. Notifică un consumator înainte sau în momentul colectării datelor că afacerea dorește permisiunea de a colecta aceste date
- 4. Acordă consumatorilor drepturile lor referitoare la datele lor personale, inclusiv dreptul de acces și ștergere a datelor, precum și opțiunea de a renunța la marketing
- 5. Creează o iconiță „Nu vinde informațiile mele personale” pe pagina ta dacă vinzi informații personale
Cele șase (6) obligații de mai sus pot fi împărțite în diferite fluxuri de lucru și abordate simultan.
Explic obligațiile pe care afacerile trebuie să le îndeplinească conform CCPA și ofer orientări despre cum să creezi un inventar de date, să publici o Politică de Confidențialitate și Politică Cookie conformă și să acordezi consumatorilor drepturile lor referitoare la datele lor personale.
De asemenea, discut despre potențialele consecințe ale neconformității, inclusiv amenzi mari. Acest ghid este destinat să servească drept hartă pentru afaceri pentru a atinge conformitatea CCPA.
Pasul 1 - Este afectată compania ta?
Pasul 1 te va ajuta să determini dacă firma ta intră sub incidența CCPA și trebuie să se conformeze.
1.A. Ce companii sunt acoperite de CCPA?
CCPA nu afectează doar companiile bazate în California.
Dacă firma ta colectează informații personale ale rezidenților și gospodăriilor din California ȘI răspunsul este „Da” la UNUL dintre următoarele trei criterii, atunci ești sub incidența CCPA.
- Organizația ta generează venituri anuale care depășesc 25 de milioane de dolari?
- Organizația ta cumpără, primește, vinde sau distribuie informații personale ale 50.000 sau mai mulți consumatori, gospodării sau dispozitive în scopuri comerciale? (50.000 în total; nu doar consumatori, gospodării sau dispozitive din California)
- Organizația ta obține 50 la sută din veniturile anuale din vânzarea de informații personale ale consumatorilor?
Dacă ai răspuns „Nu” la toate întrebările de mai sus, nu ești o afacere acoperită de CCPA.
1.B. Determină dacă colectezi informații personale ale rezidenților și gospodăriilor din California
Aceasta este împărțită în două părți: 1) informații personale și 2) ce este considerat rezident și gospodărie din California.
1.B.1. Mai întâi, ce este considerată informație personală?
Dacă datele pe care le colectezi pot fi folosite pentru a identifica un individ, o gospodărie sau un dispozitiv, atunci este o dată personală. Dacă ai clienți sau angajați, atunci colectezi informații personale. Cele mai comune exemple de date personale includ:
- Adresa de domiciliu
- Nume
- Numere de pașaport și alte numere oficiale
- Înregistrări de angajare
- Informații biometrice, cum ar fi amprentele
- Adrese de email și IP
- Vezi Pasul 2 pentru o listă mai exhaustivă
1.B.1.1. Excepții
Informațiile personale public disponibile, adică disponibile în înregistrările guvernamentale federale, statale sau locale, NU sunt sub incidența CCPA.
În plus, anumite informații financiare și informații medicale reglementate de Legea privind portabilitatea și responsabilitatea informațiilor de sănătate (HIPAA) sunt scutite de CCPA. Pasul 6 conține lista completă a excepțiilor de la CCPA.
Așadar, colectează organizația ta informații personale? Dacă nu, faci parte din norocoșii puțini cărora CCPA nu le se aplică.
1.B.2. Apoi, informațiile personale pe care le colectezi aparțin rezidenților din California?
Dacă desfășori afaceri în California, este sigur de presupus că ai informații personale ale rezidenților californieni fie ca clienți, fie ca furnizori.
CCPA acoperă doar acele persoane domiciliate în California, ceea ce înseamnă că locuiesc obișnuit în California. Chiar dacă un rezident din California pleacă temporar, el rămâne în sfera de aplicare a legii oriunde s-ar duce.
De exemplu, presupunem că un californian călătorește în New York și vizitează site-ul tău din New York (sau orice alt loc). În acest caz, acesta este sub incidența CCPA, iar organizația ta trebuie să trateze datele lor în mod responsabil.
Din acest motiv, majoritatea companiilor care desfășoară activități comerciale în SUA și îndeplinesc cerințele de mai sus din (1A) aleg să se conformeze proactiv CCPA.
Pasul 2 - Ce informații personale colectați?
Pasul 2 vă va ghida în identificarea datelor vizate, crearea unui inventar de date și elaborarea unui registru cu toate datele personale pe care le procesați în scopul atestării.
2.A. Identificați și catalogați toate instanțele de informații personale pe care compania dvs. le colectează.
Așa cum discutăm în Pasul 4, organizația dvs. trebuie să poată, cel puțin, informa rezidenții din California despre categoriile de informații pe care le colectați, dezvăluiți și vindeți.
În plus, organizația dvs. trebuie să poată oferi rezidenților din California acces la informațiile pe care le colectați și să onoreze cererile de ștergere a datelor care nu mai sunt necesare, toate în termen de 45 de zile.
Prin urmare, organizația dvs. trebuie să poată localiza rapid informațiile personale în toate sistemele de afaceri și depozitele de date. Pentru a gestiona această sarcină complexă, multe organizații au creat un inventar centralizat de date pentru conformitatea cu CCPA.
2.A.1. Creați un inventar de date.
Un inventar de date este o listă a intrărilor și ieșirilor de date pentru fiecare sistem și aplicație de afaceri. Pentru CCPA, inventarul se va concentra pe identificarea datelor personale vizate și asigurarea că practicile dvs. de gestionare a datelor îndeplinesc cerințele CCPA.
Un inventar de date este esențial și pentru afacerea dvs. deoarece va servi ca un registru al datelor pe care le procesați, pe care Procurorul General vi le va solicita în cazul unui incident.
Următoarele etape vă vor permite să creați un inventar de date:
2.A.1.1. Identificați sistemele și aplicațiile vizate.
Utilizați resurse precum diagramele de infrastructură IT, diagramele de flux de date sau diagramele de rețea pentru a crea o listă a sistemelor și aplicațiilor din organizația dvs. care gestionează informații personale.
Dacă organizația dvs. nu dispune de diagrame detaliate, puteți începe cu activele IT care cu siguranță colectează informații personale, cum ar fi portalurile de plată, software-ul de eCommerce și de gestionare a comenzilor și software-ul de resurse umane.
Urmăriți fluxurile de date din aceste sisteme fie prin integrări automate, fie prin procese manuale. Intervievați proprietarii de sisteme și aplicații pentru a determina posibilele integrări ale sistemului și intervievați utilizatorii pentru a vedea dacă datele sunt transferate din aceste sisteme prin procese manuale (de exemplu, descărcare și trimitere).
2.A.1.2. Categorizează activele de date conform cerințelor CCPA.
Consultați-vă cu echipa juridică despre cum să catalogați și să categorizați activele de date ale echipelor afectate. Categoriile de informații personale și câmpurile de date asociate, așa cum sunt definite în CCPA, sunt următoarele:
| Categorie | Câmpuri de date (listă neexhaustivă) |
| Identificatori | Nume, pseudonim, adresă poștală, identificator personal unic, identificator online, adresă IP, adresă de email, nume de cont, număr de securitate socială, număr de permis de conducere, număr de pașaport sau alți identificatori similari |
| Informații despre înregistrările clienților | Nume, semnătură, număr de securitate socială, caracteristici fizice sau descriere, adresă, număr de telefon, număr de pașaport, număr de permis de conducere sau carte de identitate, numărul poliței de asigurare, educație, angajare, istoricul locurilor de muncă, număr de cont bancar, număr de card de credit sau debit, alte informații financiare, informații medicale, informații despre asigurarea de sănătate |
| Caracteristici ale clasificărilor protejate conform legilor din California sau federale | Rasă, religie, orientare sexuală, identitate de gen, expresie de gen, vârstă |
| Informații comerciale | Înregistrări ale proprietății personale, produse sau servicii achiziționate, obținute sau considerate, sau alte istorii sau tendințe de cumpărare sau consum |
| Informații biometrice | Culoarea părului, culoarea ochilor, amprente, înălțime, scanări ale retinei, recunoașterea feței, vocea și alte date biometrice |
| Informații legate de activitatea pe internet sau alte rețele electronice | Istoricul navigării, istoricul căutărilor și informații privind interacțiunea unui consumator cu un site web, aplicație sau publicitate |
| Date de geolocație | |
| Informații audio, electronice, vizuale, termice, olfactive sau similare | |
| Informații profesionale sau legate de angajare | |
| Informații educaționale | Informații care nu sunt „informații personale identificabile disponibile public” așa cum sunt definite în California Family Educational Rights and Privacy Act |
| Inferențe | Preferințe, caracteristici, tendințe psihologice, predispoziții, comportament, atitudini, inteligență, abilități, aptitudini |
2.A.1.3. Prioritizează-ți sistemele și aplicațiile în funcție de risc.
Concentrează-te mai întâi pe scenariile cu cel mai mare risc pentru conformitatea cu CCPA (adică acolo unde ești cel mai probabil să întâlnești presiunea regulatorilor și a clienților).
De exemplu, sistemele care procesează categorii de date sensibile, precum caracteristicile clasificărilor protejate sau date biometrice sau de geolocație, ar trebui să aibă prioritate față de sistemele care procesează identificatori cu risc scăzut, precum nume sau email.
2.B. Utilizează tehnologie de inventariere și mapare a datelor.
Dacă identificarea manuală și maparea informațiilor personale în infrastructura ta sunt sarcini prea intimidante, există mai multe aplicații software terțe pe piață care scanează automat sistemele tale de afaceri pentru a identifica instanțe de date personale. Exemple populare includ:
OneTrust – o platformă tehnologică de management al confidențialității care ajută organizațiile să demonstreze responsabilitatea și conformitatea cu reglementări globale precum GDPR.
Big ID – capturează și gestionează metadatele tehnice, de afaceri și de securitate în întregul tău mediu de date. Cataloghează și mapează automat date sensibile și personale cu o înțelegere profundă a datelor, incorporând metadate active și clasificare.
Rezultatul pentru pasul 2 ar trebui să fie un inventar centralizat, funcțional de date care poate servi ca un registru pentru activitățile de procesare a datelor ale afacerii tale.
Pasul 3 - Creați o Politică de Confidențialitate
Pasul 3 vă va ghida în crearea unei politici de confidențialitate conforme cu CCPA, a unei politici privind cookie-urile, și a unui mecanism de renunțare.
3.A. Creați o Politică de Confidențialitate și una pentru Cookie-uri care să îndeplinească cerințele CCPA.
Astăzi, toate companiile care colectează, stochează sau procesează date personale ar trebui să aibă deja o Politică de Confidențialitate publicată. Dacă Politica dvs. de Confidențialitate este deja în conformitate cu GDPR, atunci aceste obligații vă vor fi în mare parte familiare.
- Publicați o Politică de Confidențialitate care este în conformitate cu regulile CCPA și este actualizată cel puțin o dată la fiecare 12 luni
- Notificați un consumator înainte sau în momentul colectării datelor că afacerea dorește permisiunea de a colecta aceste date – Acest lucru se face de obicei printr-o politică privind cookie-urile
3.A.1 Redactați o Politică de Confidențialitate / Folosiți un Generator de Politică de Confidențialitate.
La un nivel general, Politica dvs. de Confidențialitate trebuie să includă:
- O listă a drepturilor pe care un client le are
- Divulgare
- Acces
- Opțiunea de renunțare la vânzare și marketing
- Ștergere (Dreptul de a fi uitat)
- Categoriile de date personale pe care le colectați
- Cum procesați și colectați aceste date
- Motivul pentru care colectați datele
- Dacă vindeți date personale și cum să renunțați la vânzare
- Cum pot să vă contacteze pentru drepturi sau pentru informații suplimentare
Deoarece acesta este un ghid practic, vă vom furniza o opțiune potrivită. Multe site-uri vă permit să generați o politică de confidențialitate folosind doar informațiile de contact ale afacerii dvs. și datele pe care le colectați.
Vă recomandăm următoarele:
- https://www.termsfeed.com/blog/sample-ccpa-privacy-policy-template/
- https://app.privacypolicies.com/wizard/privacy-policy
- https://termly.io/products/privacy-policy-generator/
După ce aveți toate politicile generate, trimiteți-le echipei dvs. juridice pentru revizuire. Asigurați-vă că această politică include în mod exact toate categoriile de date pe care le colectați, cum le procesați și le compilați, de ce și dacă le vindeți. De cele mai multe ori, echipa dvs. juridică nu va avea cunoștințe specifice despre activitățile dvs. de procesare a datelor, astfel încât ei nu vor putea să le corecteze.
3.A.2. Vă rugăm să adăugați un link către această Politică de Confidențialitate într-un loc unde clienții pot să o găsească ușor.
Cel mai adesea, Politica de Confidențialitate este plasată în următoarele locații:
- Footer-ul site-ului
- Footer-ul e-mailului
- La finalizarea comenzii
De asemenea, trebuie să plasați un link către Politica de Confidențialitate și orice Termeni Asociați de Serviciu, oriunde compania dvs. colectează informații personale. Fie că este vorba de newslettere, înscrieri prin e-mail, opt-in-uri SMS sau chiar înregistrări la evenimente în persoană.
3.A.3. Creați un ritm pentru a actualiza și notifica clienții.
CCPA stipulează că Politica de Confidențialitate trebuie să fie actualizată cel puțin o dată la fiecare 12 luni. Aceasta trebuie să includă un rezumat ușor de citit despre ce s-a schimbat.
Majoritatea companiilor trimit e-mail tuturor utilizatorilor stocați și includ o secțiune în partea de sus a politicii lor de confidențialitate care detaliază orice schimbări recente.
Mai mult, Politica dvs. de Confidențialitate trebuie să fie actualizată în cazul oricăror schimbări semnificative în modul în care procesați datele personale.
De exemplu, dacă compania dvs. decide să înceapă să vândă informații personale într-un mod în care nu a făcut-o anterior, trebuie să actualizați Politica de Confidențialitate și să informați utilizatorii și clienții despre noua activitate de procesare, prin e-mail sau altă metodă.
3.B. Creați o politică privind cookie-urile și un mecanism de renunțare în conformitate cu cerințele CCPA.
CCPA impune ca afacerile să informeze consumatorii înainte sau în momentul colectării datelor că afacerea dorește permisiunea de a colecta aceste date. (Informare, nu neapărat consimțământ, așa cum cere GDPR) – În terminologia CCPA, acest lucru este cunoscut sub numele de Dreptul la Divulgare.
Consimțământul pentru cookie-uri în cadrul CCPA se bazează pe un mecanism de renunțare, în locul mecanismului de acceptare GDPR. Această cerință CCPA reglementează explicit modul în care companiile pot folosi cookie-urile pe site-ul lor.
Acest lucru înseamnă că site-urile pot încărca cookie-uri, dar trebuie să informeze clientul și să le ofere un mod facil de renunțare.
3.B.1. Documentați cookie-urile folosite pe site-ul dvs.
Primul pas este să adunați informații despre toate cookie-urile de pe fiecare pagină a site-ului dvs., să identificați cine este proprietarul acestora (intern sau terță parte) și să descrieți ce face cookie-ul cu informațiile personale.
În funcție de dimensiunea companiei dvs. și de câte echipe au acces la codul site-ului dvs., această sarcină poate varia ca și complexitate. Mai jos este un proces pas cu pas despre cum puteți aduna toate informațiile necesare privind utilizarea cookie-urilor de către compania dvs.
- 1. Scanați site-ul companiei pentru a obține o listă inițială a cookie-urilor. Puteți folosi scanere online sau instrumente bazate pe browser, cum ar fi extensia Google Chrome. (https://chrome.google.com/webstore/detail/cookies-scanner/mbpokgplnceehjoeifmlhkbfifjmbpee?hl=en)
- 2. Identificați proprietarul cookie-ului, cine setează cookie-ul și dacă este unul intern sau de la terțe părți
- 3. Confirmați scopul fiecărui cookie
- 4. Verificați dacă cookie-ul procesează date personale, având în vedere lista din pasul 2. Dacă nu se procesează date personale (de exemplu, date de navigare anonime), cookie-ul nu este sub incidența CCPA
- 5. Listați fiecare câmp de date personale care este procesat și dacă este împărtășit cu o terță parte
- 6. Confirmați dacă cookie-ul este de sesiune sau persistent
- 7. Decideți dacă durata cookie-urilor persistente este justificabilă pentru scopul lor
- 8. Determinați dacă cookie-ul este necesar pentru funcționalitatea site-ului (de exemplu, date personale necesare pentru vânzare sau finalizare) sau dacă cookie-ul nu este obligatoriu, ceea ce ar necesita informații clare și complete și consimțământ
Sperăm că există o listă definită de utilizatori/echipe care au acces la codul site-ului dvs., cum ar fi echipa dvs. de securitate sau echipa de marketing.
Contactați aceste echipe pentru a vedea dacă au plasat vreun cookie pe site-ul dvs. și în ce scop sau dacă au permis unei terțe părți să plaseze cookie-uri (exemple comune includ Snapchat, Facebook, Pinterest etc.).
3.B.2. Redactați o politică privind cookie-urile / Folosiți un generator de politică privind cookie-urile
Odată ce aveți o listă completă a cookie-urilor pe care le colectați și în ce scop, puteți include aceste informații în Politica dvs. de Confidențialitate sau puteți redacta o politică separată privind cookie-urile.
Oricum, trebuie să vă asigurați că politica privind cookie-urile sau politica de confidențialitate oferă informații precise și clare despre fiecare cookie. Poate că aveți deja o politică privind cookie-urile, dar pentru conformitatea CCPA, politica privind cookie-urile companiei dvs. trebuie să:
- Divulge utilizarea cookie-urilor pe site-ul dvs. și să explice pe scurt cookie-urile
- Listeze și explice ce tipuri de cookie-uri folosiți sau le folosesc terțele părți
- Informeze utilizatorii de ce folosiți cookie-urile
- Explice cum se pot retrage utilizatorii de la cookie-uri
Site-urile menționate mai sus pentru generarea politicii de confidențialitate oferă și opțiuni pentru generarea politicii privind cookie-urile. Asigurați-vă că căutați pe web „Generator de politică privind cookie-urile”. Mai jos sunt favoritele noastre:
- https://www.termsfeed.com/cookies-policy-generator/
- https://termly.io/products/tl/cookie-consent-manager/
3.B.3 Creați un mecanism de renunțare (Banner Cookie) pe site-ul dvs.
Când un utilizator accesează site-ul dvs., trebuie să-l informați imediat despre colectarea cookie-urilor. Practica comună este să includeți un banner pentru cookie-uri – pop-up-ul care apare pe majoritatea site-urilor informându-vă despre colectarea lor de cookie-uri.
De exemplu, accesați https://trustarc.com/ și priviți în partea de jos a ecranului.
Exemplu de limbaj pentru banner-ul cookie:
„Acest site folosește cookie-uri și tehnologii asociate pentru funcționarea site-ului, analize și publicitate de la terți, așa cum este descris în Politica noastră de Confidențialitate și de Procesare a Datelor. Puteți alege să consimțiți la utilizarea acestor tehnologii, să respingeți tehnologiile non-esențiale sau să gestionați preferințele dvs. Pentru a opta pentru neimpartirea informațiilor legate de aceste tehnologii cu terțe părți, selectați „Refuz toate” sau trimiteți o solicitare „Nu vinde informațiile mele”.
Bannerul pentru cookie-uri ar trebui să:
- Informeze vizitatorul despre ce cookie-uri sunt colectate și în ce scop
- Include un link către politica de confidențialitate și politica privind cookie-urile
- Oferă o metodă de renunțare la toate cookie-urile non-esențiale
3.C. Automați cu instrumente de gestionare a consimțământului pentru cookie-uri
Dacă nu aveți capabilitățile necesare în cadrul companiei pentru a crea un mecanism de renunțare pentru cookie-uri, luați în considerare achiziționarea instrumentelor online pentru a automa gestionarea consimțământului pentru cookie-uri. Companii precum TrustArc și OneTrust oferă capabilități software gata de utilizat pentru a gestiona cookie-urile pe site-ul dvs.
Pasul 4 - Solicitări privind Drepturile Consumatorului
Pasul 4 vă va ghida prin drepturile acordate utilizatorilor în conformitate cu CCPA și cum se așteaptă ca organizația dvs. să răspundă solicitărilor utilizatorilor.
4.A. Contact și Verificare
În primul și în primul rând, compania dvs. trebuie să furnizeze informații de contact pentru ca clienții să își poată exercita drepturile. Odată ce primiți o astfel de solicitare, compania dvs. trebuie să verifice identitatea înainte de a continua.
4.A.1. Oferiți utilizatorilor un mod de a-și exercita drepturile.
Compania dvs. trebuie să ofere metode digitale și non-digitale prin care clienții să poată lua legătura pentru a-și exercita drepturile. Cel puțin, trebuie să furnizați un număr de telefon gratuit și o adresă web.
Exemple comune includ o cutie poștală electronică specifică, număr de telefon, adresă de corespondență sau o funcționalitate de auto-servire concepută special pentru solicitările de drepturi.
În Pasul 3.A.1., veți vedea că Politica dvs. de Confidențialitate trebuie să aibă aceste metode de contact enumerate.
De asemenea, puteți folosi canale stabilite precum centrele de apel, caracteristicile de chat online, cutiile poștale electronice, etc. Totuși, va trebui să instruiți angajații/roboții de chat AI să îndrume acești clienți prin canalele corespunzătoare către echipa dvs. de confidențialitate a datelor sau cine gestionează solicitările privind drepturile consumatorilor (CRRs).
4.A.1.1. Determinați persoanele implicate. Cine sunt părțile interesate implicate în procesul dvs.? La cine vor apela instinctiv clienții dvs. când vor să-și exercite drepturile? Aceasta ar trebui să includă proprietarii de sisteme/date, personalul centrului de apel și echipa dvs. de confidențialitate a datelor. Luați în considerare crearea unui tabel RACI.
4.A.1.2. Elaborați un proces concret, pas cu pas care să ghideze părțile interesate prin procesul specific companiei dvs. Procesul ar trebui să includă:
- Primirea solicitării
- Determinarea tipului de solicitare
- Verificarea solicitării (vezi 4.A.2.)
- Identificarea sistemelor afectate (prin scanare și/sau inventarul datelor)
- Implicarea părților relevante
- Exercitarea drepturilor (unde este legal permis)
- Audit
- Redactarea răspunsului
- Transmiterea răspunsului
- Inregistrarea Activității de Prelucrare (vezi 4.G.)
4.A.1.3. Automați & Creați șabloane. Ar trebui să căutați să automatizați aceste fluxuri de lucru folosind orice instrumente existente la dispoziția dvs. După cum s-a menționat, solicitările de drepturi trebuie îndeplinite în 45 de zile, așa că orice întârzieri în lanțul informațional fac toată diferența.
În plus, creați șabloane ale formularelor dvs. de intrare și răspunsuri pentru fiecare drept de mai jos și diferitele lor scenarii.
Răspunsurile pot fi livrate fie electronic, fie prin poștă.
4.A.2. Verificați solicitarea.
Înainte de a acorda drepturile unui client, compania dvs. trebuie să își facă datoria de a verifica identitatea solicitantului pentru a evita furtul de identitate și frauda. Puteți utiliza de asemenea acest proces pentru a confirma faptul că sunt rezident al Californiei.
4.A.2.1. Pentru o solicitare care cere acces la anumite informații personale (vezi pasul 4.B.), afacerea trebuie să verifice identitatea consumatorului la un „grad de certitudine rezonabil de mare”, ceea ce poate include potrivirea a cel puțin trei puncte de date „fiabile” în același mod.
În funcție de informațiile pe care le colectați, exemplele ar putea include:
- Verificarea datei de naștere
- Verificarea adresei de email sau a numelui de utilizator (niciodată parola)
- Verificarea adresei poștale
- Verificarea datei ultimei conectări
- Verificarea ultimei comenzi (sumă, tip, mărime etc.)
- Notificări MFA sau SMS
- Selfie-uri
Și în scopuri de răspundere, compania dvs. ar trebui să colecteze o „declarație semnată sub pedeapsa pentru mărturie mincinoasă că solicitantul este consumatorul a cărui informație personală face obiectul cererii.”
4.A.2.2. Pentru o solicitare de ștergere a datelor (vezi pasul 4.C.), afacerea trebuie să verifice identitatea consumatorului cu certitudine, bazându-se pe riscul de a cauza un prejudiciu utilizatorului prin ștergerea neautorizată. De exemplu, ștergerea istoricului de angajare sau a istoricului de comenzi este mai sensibilă și potențial dăunătoare decât ștergerea unei adrese de livrare vechi.
Aici este un exemplu excelent de formular de solicitare și verificare de auto-servire:
4.A.2.3. Scenariu tipizat
Dacă verificarea nu reușește, informați clientul că nu a fost verificat și că nu se califică pentru solicitarea sa în acest moment.
Dacă verificarea reușește, puteți continua cu îndeplinirea solicitării privind drepturile lor.
4.A.3. Soluții de Verificare
Multe instrumente de verificare, cum ar fi verificarea prin selfie sau software-ul de verificare a permisului de conducere, produc diferite tipuri de verificări. Alegerea celui potrivit pentru organizația dvs. depinde de sensibilitatea datelor personale pe care le colectați și de numărul de solicitări pe care le primiți ca organizație.
4.B. Dreptul la Acces și Informație
Conform CCPA, orice rezident al Californiei poate exercita Dreptul la Acces și Informație, ceea ce înseamnă că poate solicita afacerii dvs. următoarele:
- Categoriile de informații personale pe care le colectați despre ei (vezi pasul 2)
- Sursele din care acele informații personale au fost colectate (de ex., istoricul comenzilor online, sondaje online, companii de marketing, pixeli de urmărire, cookie-uri, balize web sau recrutori)
- Categoriile de informații personale vândute către terți
- Categoriile de informații personale divulgate în scopuri de afaceri
- Categoriile de terți cărora li s-au vândut sau divulgate informații personale (de ex., parteneri de publicitate adaptată, afiliați, site-uri de rețele sociale, furnizori de servicii)
- Scopurile de afaceri sau comerciale pentru care informațiile personale au fost colectate sau vândute (de ex., prevenirea fraudei, marketing, îmbunătățirea experienței clientului)
- “Piese specifice” de informații personale colectate.
Compania dvs. trebuie să răspundă în termen de 45 de zile de la solicitare, cu o perioadă suplimentară de extindere de 45 de zile disponibilă atunci când este necesar pentru o solicitare de date mare sau complicată.
CCPA impune, de asemenea, o perioadă de retroactivitate de 12 luni de la momentul solicitării, ceea ce înseamnă că utilizatorul poate cere informațiile de mai sus doar până la 12 luni de la momentul solicitării.
De asemenea, impune ca utilizatorul să primească aceste informații într-un format ușor de utilizat, care să le permită să le transmită altora fără obstacole nejustificate. Răspunsurile pot fi trimise electronic sau prin poștă.
4.C. Dreptul la Ștergere / Dreptul de a fi Uitat
Cu unele excepții, CCPA permite consumatorilor să solicite afacerii dvs. să șteargă informațiile personale colectate despre ei din sistemele dvs. și de la furnizorii de servicii directe cu care ați împărtășit datele personale.
Odată ce ați primit și verificat o solicitare de ștergere, notificați imediat furnizorii dvs. de servicii pentru a avea suficient timp să îndeplinească cerința.
Compania dvs. va fi în continuare integral responsabilă pentru asigurarea faptului că furnizorii de servicii își îndeplinesc obligațiile.
Compania dvs. trebuie să răspundă în termen de 45 de zile de la solicitare, cu o perioadă suplimentară de extindere de 45 de zile, disponibilă atunci când este necesar pentru o solicitare de date mare sau complexă. Răspunsurile pot fi trimise electronic sau prin poștă.
4.C.1. Excepții la Dreptul de Ștergere
Ștergerea nu este necesară dacă afacerea are nevoie de informații personale:
- Pentru a finaliza tranzacția pentru care au fost colectate
- Pentru a se conforma unei obligații legale, cum ar fi o cerință de păstrare a înregistrărilor
- Pentru a se proteja împotriva activităților rău intenționate, înșelătoare, frauduloase sau ilegale
- Pentru a identifica și repara erorile care afectează funcționalitatea existentă și intenționată
Chiar dacă compania dvs. se încadrează în una dintre aceste excepții, există totuși o perioadă de 45 de zile pentru a răspunde clientului și pentru a explica de ce nu puteți îndeplini solicitarea lor de ștergere.
4.D. “Nu Vând” pe Pagina de Început
Conform CCPA, consumatorii pot refuza „vânzarea” informațiilor lor personale.
O „vânzare” este definită în mod vag ca transferul datelor personale către o terță parte în schimbul unei compensații financiare, care depășește scopul inițial al colectării datelor.
Pentru a exercita acest drept, afacerile care vând informații personale trebuie să furnizeze un buton/link „Nu Vinde Informațiile Mele Personale” pe pagina de start a afacerii, care îndrumă utilizatorul către o pagină web unde consumatorii pot refuza ca informațiile lor personale să fie vândute terților.
Este, de asemenea, o practică bună să includeți un link pe pagina dvs. de aterizare sau în subsolul site-ului dvs.
Referință: Subsolul Coca-Cola
4.D.1. Dreptul Minorilor de a Refuza
Compania dvs. ar trebui să nu vândă în mod implicit informațiile personale ale consumatorilor cu vârste cuprinse între 13-16 ani.
Totuși, compania dvs. trebuie să creeze un proces care să le permită să opteze pentru aceasta.
4.E. Dreptul de a Refuza Marketingul
Conform CCPA, consumatorii pot refuza prelucrarea informațiilor lor personale în scopuri de marketing, fie de către companie, fie de către o terță parte.
4.F. Dreptul la Non-discriminare
CCPA interzice afacerilor să discrimineze consumatorii pentru exercitarea drepturilor lor CCPA. Mai precis, afacerea nu poate:
- Refuza clientului accesul la bunuri sau servicii sau a oferi niveluri diferite de calitate în funcție de statusul de refuzare/acceptare
Chiar dacă compania dvs. se încadrează în una dintre aceste excepții, există totuși o perioadă de 45 de zile pentru a răspunde clientului și pentru a explica de ce nu puteți îndeplini solicitarea lor de ștergere.
4.D. “Nu Vând” pe Pagina de Început
Conform CCPA, consumatorii pot refuza „vânzarea” informațiilor lor personale.
O „vânzare” este definită în mod vag ca transferul datelor personale către o terță parte în schimbul unei compensații financiare, care depășește scopul inițial al colectării datelor.
Pentru a exercita acest drept, afacerile care vând informații personale trebuie să furnizeze un buton/link „Nu Vinde Informațiile Mele Personale” pe pagina de start a afacerii, care îndrumă utilizatorul către o pagină web unde consumatorii pot refuza ca informațiile lor personale să fie vândute terților.
Este, de asemenea, o practică bună să includeți un link pe pagina dvs. de aterizare sau în subsolul site-ului dvs.
Referință: Subsolul Coca-Cola
4.D.1. Dreptul Minorilor de a Refuza
Compania dvs. ar trebui să nu vândă în mod implicit informațiile personale ale consumatorilor cu vârste cuprinse între 13-16 ani.
Totuși, compania dvs. trebuie să creeze un proces care să le permită să opteze pentru aceasta.
4.E. Dreptul de a Refuza Marketingul
Conform CCPA, consumatorii pot refuza prelucrarea informațiilor lor personale în scopuri de marketing, fie de către companie, fie de către o terță parte.
4.F. Dreptul la Non-discriminare
CCPA interzice afacerilor să discrimineze consumatorii pentru exercitarea drepturilor lor CCPA. Mai precis, afacerea nu poate:
- Refuza clientului accesul la bunuri sau servicii sau a oferi niveluri diferite de calitate în funcție de statusul de refuzare/acceptare
4.G. Păstrați Înregistrări ale Prelucrării
Oriunde este posibil pentru afacerea dvs., păstrați o înregistrare a întregului proces al solicitării drepturilor.
Pasul 5 - Acorduri cu Părțile Terțe
Analizați acordurile dvs. cu părțile terțe, cu acele afaceri cu care împărtășiți date personale, și determinați dacă acestea au anexe referitoare la CCPA.
5.A. Asigurați-vă că acordurile cu părțile terțe sunt conforme
Afacerile au permisiunea de a împărtăși informații personale cu părțile terțe și furnizorii de servicii în scopuri de afaceri, atâta timp cât există stipulări în contractul scris care interzic furnizorului de servicii din partea a treia să vândă informațiile personale sau să utilizeze datele personale în alt scop decât scopul specific de a executa serviciile specificate în contract.
Deci, dacă nu ați făcut-o deja, luați legătura cu părțile dvs. terțe și furnizorii de servicii pentru a înțelege ce fac ei cu informațiile pe care le împărtășiți.
Dacă este necesar, creați anexe la contractele dvs. scrise cu cerințe detaliate privind utilizarea datelor și politicile de păstrare. S-ar putea să trebuiască să schimbați furnizorii de servicii care nu pot respecta standardele dvs. de afaceri.
Pasul 6 - Excepții
Înțelegeți dacă există excepții care vă acoperă.
6.A. Informații Personale ale Angajaților
Informațiile personale ale angajaților sunt excluse din majoritatea cerințelor CCPA.
Acestea includ drepturile și cerințele care permit consumatorilor să solicite:
- Ștergerea informațiilor lor personale
- Categoriile de informații personale colectate
- Sursele din care se colectează informații personale
- Scopul colectării sau vânzării de informații personale
- Categoriile de terți cu care afacerea împarte informațiile lor personale.
Această excludere nu se referă la toate datele „angajatului” indiferent de context. În mod specific, excluderea se aplică informațiilor personale colectate de o afacere astfel încât persoana acționează ca solicitant de loc de muncă sau ca angajat, proprietar, director, ofițer, membru al personalului medical sau contractor al acelei afaceri și în măsura în care informațiile personale sunt procesate în contextul rolului sau fostului rol al persoanei.
Angajații au în continuare dreptul la o notificare privind confidențialitatea. În plus, angajații au dreptul de a începe o acțiune privată dacă sunt afectați de o încălcare a datelor cauzată de neglijența angajatorului în menținerea măsurilor de protecție rezonabile.
6.B. Informații Medicale
CCPA nu se aplică informațiilor medicale acoperite de Legea privind Confidențialitatea Informațiilor Medicale (CMIA) sau informațiilor de sănătate protejate în temeiul Legii privind Portabilitatea și Răspunderea Asigurărilor de Sănătate (HIPAA) și a Legii privind Tehnologia Informației pentru Economia și Sănătatea Clinică (HITECH) din 2009.
Concluzie
Ghidul de mai sus a fost un manual pas cu pas, fără jargon juridic, destinat ofițerilor de confidențialitate a datelor, proprietarilor de afaceri și managerilor de proiect pentru a începe călătoria lor spre conformitatea cu CCPA.
Este necesar să înțelegeți ce date personale colectați și procesați pentru a exercita mai bine drepturile clienților dvs. și pentru a proteja mai eficient datele valoroase. Sperăm că puteți utiliza lista de mai sus pentru a demara fluxurile de muncă.
Este esențial să rețineți că strategia privind confidențialitatea datelor este în prezent condusă de reglementări, dar într-o zi s-ar putea să nu mai fie așa.
Deși conformitatea cu reglementările ar trebui să fie o strategie minimă, luați în considerare că clienții dvs. speră să colaboreze cu o afacere în care pot avea încredere.
Și încrederea începe și se termină cu confidențialitatea, așa că asigurați-vă că oferiți clienților dvs. confidențialitatea datelor pe care o așteaptă, nu doar ceea ce este impus de lege.
După cum întotdeauna, consultați-vă cu echipa juridică pentru a vă asigura că strategiile dvs. sunt aliniate cu sfaturile juridice ale companiei.