Der California Privacy Rights Act (CPRA): So bereiten Sie Ihr Unternehmen vor

Veröffentlicht: 2022-07-14

Sind Sie in Kalifornien ansässig? Wenn ja, dann sollten Sie sich über CPRA Gedanken machen. Vor allem, wenn Sie dort ein Geschäft eröffnen und sensible Informationen von Ihren Verbrauchern sammeln möchten.

Wie die DSGVO wurde auch die CPRA geschaffen, um Standards für die Vereinigten Staaten festzulegen und Missverständnisse und den Missbrauch personenbezogener Daten von Verbrauchern zu vermeiden. Auch wenn das CPRA erst Anfang 2023 durchsetzbar sein wird, unterliegt jede Art von Daten, die nach dem 1. Januar 2022 erhoben werden, dem CPRA.

Es gibt viele Dinge über das CPRA zu lernen, und wir haben Ihnen noch viel mehr zu erzählen. Gehen Sie also nirgendwohin, denn in diesem Artikel werden wir die CPRA intensiv diskutieren.

So bereiten Sie Ihr Unternehmen auf das CPRA vor

CPRA-Konformität

Unternehmen, die in Kalifornien tätig sind oder personenbezogene Daten von Einwohnern Kaliforniens erfassen, unabhängig davon, ob dies zu Marketingzwecken erfolgt oder nicht, unterliegen dem CPRA, wenn sie:

  • Verwaltet einen jährlichen Umsatz von mehr als 25 Millionen US- Dollar
  • Schafft es, mehr als 50 % der Einnahmen aus dem Verkauf und der Weitergabe personenbezogener Daten von Einwohnern Kaliforniens zu erzielen
  • Kauft, teilt und verkauft die persönlichen Daten von mehr als 100.000 kalifornischen Haushalten

Eine wesentliche Änderung, die vom CCPA zum CPRA vorgenommen wurde, besteht darin, die Anforderung zu entfernen, personenbezogene Daten nur für Marketingzwecke zu verwenden. Auch wenn das Unternehmen nicht von den personenbezogenen Daten der Verbraucher profitiert, müssen Sie sich also weiterhin an das Gesetz halten.

Die CPRA-Compliance ist ziemlich interessant, denn wenn Sie ein kleines oder mittleres Unternehmen sind, müssen Sie möglicherweise nicht CPRA, sondern CCPA einhalten. Zunächst müssen Sie feststellen, ob Ihr Unternehmen den CCPA oder den CPRA einhalten soll. Viele denken, dass sie beide gleich sind, aber die Wahrheit ist, dass sie einige wesentliche Unterschiede haben. Im Vergleich dazu lockert das CPRA viele Beschränkungen des CCPA, während einige kleine und mittlere Unternehmen nicht unter die Einhaltung des CPRA fallen. Gleichzeitig verstärkt es jedoch auch viele Schwächen des CCPA.

Hinweis: Wenn Sie mehr über das CPRA erfahren möchten, können Sie mehr auf der Website von Osano lesen .

Was sind die Unterschiede zwischen CCPA und CPRA?

Das CPRA gilt als Ergänzung des CCPA, indem es einen DSGVO-Ansatz bietet, die Rechte des Einzelnen erweitert und vieles mehr. Hier sind die zwei Hauptunterschiede zwischen den beiden:

  • Die Einhaltung des CCPA bedeutet, dass Sie Aktien für geschäftliche Marketingzwecke kaufen, verkaufen oder erhalten. Es gilt auch, wenn Sie Aktien aus den persönlichen Daten von rund 50.000 Verbrauchern und Haushalten kaufen, verkaufen oder erhalten. Das CPRA erfordert jedoch mehr als 100.000 Verbraucher und Haushalte.
  • Die Einhaltung des CCPA bedeutet, dass Sie mindestens 50 % Ihres Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern erhalten. Beim CPRA geht es um den Verkauf und die Weitergabe personenbezogener Daten. Es ist notwendig, ein SSL-Zertifikat zu haben, wenn Sie persönliche Informationen mit der Website teilen. Daher ist es wichtig , SSL-Zertifikate von renommierten SSL-Anbietern wie ClickSSL zu kaufen, die authentifizierte SSL-Zertifikate mit der gleichen Verschlüsselungsstufe anbieten.

Die CPRA umfasste auch die Gründung der Californian Privacy Protection Agency (CaIPPA), einer dedizierten Datenschutzbehörde, die von fünf Vorstandsmitgliedern geleitet wird. Diese Mitglieder müssen Experten für Datenschutz, Verbraucherrechte und Technologie sein. Andernfalls können sie sich nicht qualifizieren. Darüber hinaus können sie nicht länger als acht Jahre bei der Datenschutzbehörde tätig sein.

Änderungen

Gemäß dem CCPA können Einzelpersonen nur ein Jahr lang ab dem Zeitpunkt, an dem sie gespeichert und gesammelt wurden, Zugriff auf ihre personenbezogenen Daten verlangen. Mit der CPRA haben Sie jedoch das Recht, dies jederzeit zu tun.

Wenn der CCPA „Verkaufen“ definiert, bedeutet dies außerdem nicht genau Teilen. Andererseits enthält der CPRA „Verkaufen“ und „Teilen“. Darüber hinaus verdeutlicht das CPRA das Recht, Unternehmen daran zu hindern (opt-out) , ihre personenbezogenen Daten an andere Parteien weiterzugeben und zu verkaufen.

Schließlich dürfen wir nicht vergessen, dass sowohl der CCPA als auch der CPRA es Unternehmen ermöglichen, verklagt zu werden. Verbraucher können dies tun, wenn ein Unternehmen vertrauliche Informationen unbefugt preisgibt und Datenverletzungen verursacht, bei denen Passwörter und Benutzernamen preisgegeben werden.

Was ist neu am CPRA und wie wirkt es sich auf Ihr Geschäft aus?

Sowohl am CPRA als auch am CCPA wurden neue Änderungen vorgenommen, um neue Rechte aufzunehmen, zu deren Einhaltung Unternehmen verpflichtet sind. Warum so? Laut SalesForce haben etwa 46 % der Verbraucher das Gefühl, nicht genug Kontrolle über ihre privaten Daten zu haben. Leider glauben nur 10 % , dass sie genug Kontrolle über ihre persönlichen Daten haben.

Dennoch müssen Unternehmen, die gegen diese Gesetze verstoßen, mit hohen Geldstrafen in Höhe von Tausenden von Dollar rechnen und wegen vorsätzlicher Verletzungen privater Daten verklagt werden.

Lassen Sie uns hier nun ein paar wichtige Dinge klären. Erstens, wenn Sie ein Unternehmen sind, sind Sie nach dem CPRA verpflichtet zu erklären, warum Sie personenbezogene Daten sammeln und mit wem Sie die Informationen teilen. Gemäß dem CCPA haben Sie jedoch das Recht zu fragen, warum Ihre personenbezogenen Daten erfasst werden. Darüber hinaus haben die Menschen das Recht, Unternehmen über unrichtige Informationen zu informieren oder wenn Änderungen vorgenommen werden müssen.

Unter dem CPRA haben Verbraucher mehr Rechte. Dazu gehört, dass sie wissen, wo ihre Informationen verwendet werden und wie ungenaue Informationen, die sie möglicherweise sehen, korrigiert werden können.

Hier sind einige Dinge, die Ihr Unternehmen anwenden kann, um sich an diese Vorschriften anzupassen:

  • Definieren Sie den Zweck, warum Sie die Daten sammeln
  • Wenden Sie Sicherheitsmaßnahmen an, um personenbezogene Daten zu schützen
  • Zeigen Sie eine Liste der Entitäten, mit denen Daten geteilt werden, und warum Ihr Unternehmen sie mit ihnen teilt, um personenbezogene Daten zu sammeln
  • Geben Sie alle Informationsquellen an, die Ihr Unternehmen verwendet und sammelt
  • Aktualisieren Sie Ihre Datenschutzinformationen ständig und zeigen Sie, dass Ihr Unternehmen immer die neuesten Gesetze einhält. Vergessen Sie nicht, Updates per E-Mail, Website, Telefon und Social Media bereitzustellen.
  • Implementieren Sie Verfahren, die sicherstellen, dass Sie Daten verarbeiten und auf Authentizität überprüfen. Fügen Sie außerdem eine „Opt-out“-Funktion hinzu, damit Benutzer die Weitergabe ihrer persönlichen Daten beenden können, wenn sie dies wünschen.

Eine neue Kategorie geschützter Daten

Die CPRA hat die Idee sensibler persönlicher Informationen (SPI) eingeführt. Dies zwingt Unternehmen, die diese Art von Informationen sammeln, zu einem robusteren Datenschutz. Der SPI umfasst die folgenden Arten von personenbezogenen Daten:

  • Gesundheitsdaten
  • Genetische Daten
  • Religiöse Daten
  • Ethnischer Ursprung
  • Geolokalisierung
  • Daten zur sexuellen Orientierung einer Person
  • Personalausweise, Führerscheine, Sozialversicherungsnummern und mehr
  • Ethnische und rassische Herkunft

Das CPRA erlegt einer neuen Datenkategorie Beschränkungen auf. Es fügt auch neue Anforderungen für Unternehmen hinzu, die SPI sammeln, einschließlich aktualisierter Zwecke und Offenlegung, Opt-out-Anforderungen und mehr.

Datenminimierung und Speicherbeschränkungen

Unternehmen sind verpflichtet, die Aufbewahrung, Verwendung und Weitergabe personenbezogener Daten nach Möglichkeit zu minimieren oder einzuschränken. Insgesamt hindert das CPRA Unternehmen daran, personenbezogene Daten länger als erforderlich aufzubewahren. Darüber hinaus müssen Unternehmen die CPRA über ihre Aufbewahrungsfristen für alle von ihnen erfassten personenbezogenen Daten informieren.

Also, was müssen Sie dagegen tun? Zunächst sollte Ihr Unternehmen angeben, wie lange es personenbezogene Daten speichert und ob dies länger als nötig sein wird. Dies sollte in den Richtlinien des Unternehmens vermerkt werden, einschließlich der Datenlöschung, und sicherstellen, dass alle Gesetze eingehalten werden.

Vergeltung ist nicht erlaubt

Es ist wichtig zu wissen, dass die CPRA keine Diskriminierung von Verbrauchern akzeptiert, die sich gegen ihre Informationen entscheiden. Dies beinhaltet Folgendes:

  • Verweigerung der Arten von Waren und Dienstleistungen für den Verbraucher
  • Bereitstellung eines anderen Niveaus oder einer anderen Qualität von Waren und Dienstleistungen für den Verbraucher
  • Berechnen Sie unterschiedliche Preise für Ihre Waren oder Dienstleistungen, einschließlich Rabatte oder andere Vorteile
  • Gegen ein Teammitglied, einen Kandidaten, der sich bei Ihrem Unternehmen beworben hat, oder sogar einen unabhängigen Auftragnehmer vorgehen, weil Sie Opt-out-Rechte verurteilt haben

Nutzen Sie datenschutzfreundliche Tools für Ihr Marketing

Wenn Sie große Budgets in Marketing & Werbung investieren, müssen Sie sicherstellen, dass sich Ihre Investitionen auch wirklich auszahlen. Dazu benötigen Sie eine Marketinganalyseplattform, die Daten aus allen Ihren Marketingkanälen sammelt und Ihnen wertvolle Berichte liefert, um weitere datenbasierte Entscheidungen zu treffen.

RedTrack ist Ihre datenschutzfreundliche Lösung (die DSGVO, CCPA, CCPR usw. entspricht), liefert aber dennoch Ergebnisse bei der Analyse Ihrer Marketingbemühungen und zeigt Ihnen die tatsächlichen Zahlen zu Ihrer Leistung.

Erwägen Sie die Verwendung einer Consent Management Platform (CMP)

CMPs sind eine hervorragende Möglichkeit, Ihr Unternehmen dabei zu unterstützen, alle Unternehmensdokumente und Benutzereinwilligungen legal zu verwalten, bevor Daten gesammelt, gespeichert oder sogar weitergegeben werden. Sie stellen sicher, dass Sie die Datenschutzgesetze einhalten und informieren Sie sogar, wenn Änderungen vorgenommen werden. Darüber hinaus können CMPs Ihre Anfragen nach Dateninformationen verwalten und alle Drittanbieter überwachen.

Hier sind einige CMPs, die Sie verwenden können, um sich über Datenschutzgesetze auf dem Laufenden zu halten und Datenanfragen zu verwalten:

  • OneTrust
  • Quantcast
  • TrustArc
  • Cookiebot
  • Crownpeak

Verpacken

Das ist alles für diesen Artikel. Dies sind die neuen Änderungen, die am CPRA vorgenommen wurden. Denken Sie jedoch nicht, dass dies die einzigen sein werden, die jemals hergestellt wurden, die CPRA ändert sich ständig!

Das übergeordnete Ziel des CPRA besteht darin, sicherzustellen, dass die Verbraucher eine ausreichende Kontrolle über ihre Daten haben und sich nicht unsicher fühlen, wenn es um Datenschutzverletzungen geht oder die Kontrolle über ihre personenbezogenen Daten verliert. Schließlich gehören die Daten den Verbrauchern und sie können entscheiden, wie ihre Daten verwendet werden.