5 sposobów na upewnienie się, że Twoja firma jest zgodna z CCPA

Opublikowany: 2022-08-24

Zachowanie prywatności danych konsumentów ma dziś kluczowe znaczenie dla firm!

Powód — konsumenci stają się coraz bardziej świadomi i zaniepokojeni danymi, które dostarczają firmie. Chcą wiedzieć, w jaki sposób te dane są wykorzystywane i czy nieznane źródło zewnętrzne nie wykorzystuje ich w niewłaściwy sposób.

Ta fala świadomości jest zasługą przepisów dotyczących zgodności z CCPA, które weszły w życie w 2020 r. Właściciele firm z Kalifornii zaczęli wypracowywać swoje strategie zgodności, aby zapewnić zaufanie klientów i reputację ich firmy. W szczególności, ten proces sądowy przeciwko Zoomowi za udostępnienie danych osobowych swoich użytkowników Facebookowi był wydarzeniem otwierającym oczy dla większości firm.

Pozwól nam zrozumieć, o co chodzi w tym prawie i jakie środki możesz podjąć, aby Twoja firma była zgodna z CCPA.

Co to jest CCPA?

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) to prawo, które wymaga od firm działających w Kalifornii powiadamiania klientów i dokonywania wyboru dotyczących ich danych osobowych.

Oznacza to, że konsumenci mogą teraz żądać dostępu do informacji, takich jak dane osobowe gromadzone przez firmę, sposób ich wykorzystywania, kto ma do nich dostęp i jak długo mają dostęp. Wymaga również od firm uzyskania zgody przed sprzedażą tych danych lub udostępnieniem ich stronom trzecim.

Co więcej, oznacza to brak śledzących plików cookie, brak kierowania reklam i udostępnianie danych stronom trzecim lub podmiotom stowarzyszonym bez uprzedniego uzyskania wyraźnej zgody!

CCPA została uchwalona w 2012 roku po latach lobbowania na rzecz silniejszej ochrony prywatności konsumentów w całym kraju. Wszedł w pełni w życie w 2020 roku, dając mieszkańcom Kalifornii większą kontrolę nad ich danymi osobowymi. Daje konsumentom więcej opcji, gdy firmy takie jak Twoja zbierają od nich te dane.

Oto kilka przykładów praw do prywatności:

  • Możesz zrezygnować z dodania swojego nazwiska do dowolnej bazy danych marketingowych
  • Możesz zdecydować się na usunięcie swoich informacji z ich bazy danych
  • Masz prawo do niedyskryminacji, aby skorzystać ze swoich praw CCPA

Jak sprawdzić, czy CCPA dotyczy Twojej firmy?

Musisz wiedzieć, że każda firma nastawiona na zysk w stanie Kalifornia musi przestrzegać CCPA, jeśli:

  • Firma działa w Kalifornii lub sprzedaje mieszkańcom Kalifornii.
  • Firma ma roczny przychód brutto w wysokości 25 milionów USD
  • Firma ma dostęp lub kupuje i sprzedaje informacje o 50 000 lub więcej Kalifornijczyków
  • Co najmniej 50 procent rocznych przychodów firmy pochodzi z kupowania lub sprzedaży danych osobowych Kalifornijczyków

Kary za nieprzestrzeganie

Jeśli firma nie przestrzega CCPA, organy regulacyjne prześlą im powiadomienie i 30-dniowy termin na przestrzeganie przepisów. Jeśli jednak nadal nie zastosują się do tego, zostaną ukarani grzywna w wysokości do 7500 USD za rekord.

Jak sprawić, by biznes był zgodny z CCPA?

1. Stań się świadomy

Dowiedz się, czy CCPA dotyczy Twojej firmy, pierwszym krokiem jest poznanie przepisów podlegających CCPA. Jeśli jednak nadal nie masz pewności, czy ustawa CCPA ma do Ciebie zastosowanie, i tak powinieneś to zrobić. Lepiej jest kiedy ktoś jest bezpieczny niż kiedy jest mu przykro!

W rzeczywistości, przedyskutuj to z kierownictwem najwyższego szczebla i zarządem Twojej organizacji i przedstaw im znaczenie przestrzegania CCPA oraz konsekwencje nieprzestrzegania go.

Jeśli to możliwe, zatrudnij oddany personel, który zajmuje się tylko operacjami związanymi ze zgodnością z CCPA, jednocześnie stale monitorując i mierząc zagrożenia bezpieczeństwa danych w Twojej organizacji.

2. Przeprowadź analizę luk w organizacji

Aby błagać o rytuały zgodności, najpierw przejrzyj dane klientów, które już posiadasz, gdzie je przechowujesz i kto ma do nich dostęp.

Oto kroki, które możesz podjąć, aby skutecznie przeprowadzić analizę luk.

  • Przejrzyj sprawozdania finansowe swojej firmy lub złożony raport roczny
  • Określ, od jakiej grupy konsumentów zbierasz dane — klientów, potencjalnych klientów, kandydatów do pracy, subskrybentów biuletynów, pracowników itp.
  • Dowiedz się, jakie obecne praktyki w zakresie prywatności danych stosujesz, jeśli ma to zastosowanie
  • W jakich obszarach Twoja organizacja obecnie utrzymuje zgodność?
  • Które obszary nie zostały jeszcze omówione i dlaczego?
  • Dowiedz się, czy istnieje platforma danych klientów, z której korzystasz — jeśli tak, czy dane są bezpieczne

Na podstawie tej analizy opracuj plan, w jaki sposób osiągniesz zgodność z CCPA, wraz ze szczegółowymi instrukcjami.

Tymczasem szukaj innych luźnych końcówek ze swoimi pracownikami i dostawcami.

Zapytaj swoich pracowników, czy mają przy sobie kopię danych klientów i upewnij się, że zostały one usunięte. Dowiedz się również, gdzie przechowywane są paragony i dokumenty oraz co dzieje się ze starymi zapisami.

Jeśli udostępniasz dane klientów zewnętrznym dostawcom, dowiedz się, co robią z tymi informacjami — czy są one udostępniane komukolwiek — jeśli tak, to kto ma do nich dostęp?

3. Aktualizuj zasady

Po zmapowaniu danych osobowych w całej firmie przejrzyj aktualne zasady, metody lub procedury ochrony danych. Po zapoznaniu się z istniejącymi politykami prywatności danych nadszedł czas, aby je zaktualizować lub wprowadzić nowe, jeśli w ogóle ich nie posiadałeś.

Przede wszystkim musisz sprawdzić, czy Twoja polityka prywatności danych jest zgodna z CCPA, w tym powiadomienia o rezygnacji i akceptacji.

Oprócz tego zaplanuj, jak reagować na prośby klientów o usunięcie lub dostęp do informacji. Gdy już to zrozumiesz, roześlij go wśród swoich pracowników, aby upewnić się, że postępują zgodnie z nowymi wytycznymi. Dobrą praktyką jest przechowywanie wszystkich informacji o procedurach i politykach w jednym miejscu, z którego mogą korzystać wszyscy Twoi pracownicy.

Co najważniejsze, opublikuj w swojej witrynie stronę polityki prywatności, która zawiera wszystkie zasady i zasady, których przestrzega Twoja organizacja zgodnie z CCPA.

Pamiętaj, aby omówić następujące zasady.

  • Rodzaj informacji, które zbierasz od odwiedzających i klientów
  • Jakiego trybu używasz do zbierania informacji — e-mail, numer telefonu, czat itp
  • Rodzaj informacji, których nie potrzebujesz, na przykład data urodzenia lub stan cywilny
  • Co robisz z informacjami, które od nich zbierasz?
  • Komu jeszcze udostępniasz informacje — jakimkolwiek zaangażowanym firmom zewnętrznym?
  • Jakie prawa mają Twoi konsumenci lub odwiedzający zgodnie z CCPA?
  • W jakim celu sprzedajesz ich dane stronom trzecim, jeśli ma to zastosowanie?

4. Szkolenie Compliance dla pracowników

Następnie musisz upewnić się, że pracownicy zaangażowani w procesy CCPA są dobrze przeszkoleni. Dotyczy to głównie osób odpowiedzialnych za odpowiadanie na pytania klientów dotyczące ich praw do prywatności.

Źródło

Osoby, które mają dostęp do prywatnych informacji, które przechowujesz na komputerach, serwerach i w chmurze, informuj o wymaganiach CCPA i polityce prywatności obowiązującej w Twojej firmie. Organizuj sesje szkoleniowe dla tych, którzy ich potrzebują i informuj o wszelkich niezbędnych zmianach wprowadzanych do CCPA w miarę upływu czasu.

5. Wyraź to wyraźnie swoim klientom

Jest to szczególnie ważne dla odwiedzających Twoją witrynę lub kupujących online. Aby zapewnić zaufanie klientów, informuj ich na bieżąco o stosowanych środkach bezpieczeństwa.

Wysyłaj powiadomienia o zgodzie na pliki cookie

Poproś klienta o zgodę przed zebraniem jakichkolwiek informacji i daj mu znać, że to zrobisz. Wyślij im powiadomienie o plikach cookie, gdy dokonują transakcji w Twojej witrynie.

Powiadomienie o plikach cookie zazwyczaj wyświetla następujące informacje.

  • Powiadomienie informujące, że używasz plików cookie do takich a innych celów. Pokaż im listę wszystkich celów.
  • Przycisk umożliwiający klientowi potwierdzenie, że zgadza się na użycie pliku cookie. Alternatywnie możesz zezwolić odwiedzającym na odrzucenie korzystania z pliku cookie.
  • Link, który przeniesie ich na stronę Polityki prywatności, aby uzyskać więcej informacji.

Możliwość dostępu/usuwania danych osobowych

Mieć link lub przycisk w miejscu wyraźnie widocznym na swojej stronie internetowej, który umożliwia użytkownikom modyfikowanie ich preferencji. Możesz również mieć te opcje jako listę kontrolną i dodać je do formularza lub strony płatności. W ten sposób użytkownicy mogą zaznaczyć lub odznaczyć swoje preferencje dotyczące udostępniania informacji i w pełni je kontrolować.

Czy nadal potrzebujesz zgodności z CCPA, jeśli jesteś już zgodny z RODO?

Tak, nawet jeśli jesteś zgodny z RODO, nie oznacza to, że domyślnie spełniasz wymagania CCPA. Na powierzchni mogą wyglądać tak samo, ale oba różnią się pod względem wymagań i odbiorców, na które mają wpływ.

CCPA a RODO wyjaśnione przez Osano

Musisz wiedzieć, że podczas gdy CCPA jest regulacją „opt-out”, RODO jest „opt in”. Oznacza to, że zgodnie z RODO użytkownicy muszą wyrazić zgodę na sprzedaż swoich informacji stronom trzecim, podczas gdy CCPA wymaga od użytkowników dostępu i modyfikacji swojej zgody.

Co więcej, RODO jest raczej zbiorem zasad bezpieczeństwa, które również zachęcają organizacje do wdrożenia środków technicznych w celu wdrożenia bezpieczeństwa danych. Z drugiej strony CCPA polega na uzyskaniu zgody klientów. Aby dowiedzieć się więcej o różnicach między CCPA a RODO, zapoznaj się ze szczegółowym przewodnikiem Osano!

Najważniejsze jest, aby wiedzieć, jakie przepisy dotyczące prywatności i bezpieczeństwa danych mają zastosowanie do Twojej firmy. Zależy to wyłącznie od tego, gdzie się znajduje i jakie generuje przychody. Załóżmy, że Twoja firma działa w UE lub poza nią i obsługuje mieszkańców UE. W takim przypadku musisz przestrzegać RODO.

Podsumowując

Zgodność z CCPA nie tylko pomaga uniknąć kar i ciężkich procesów sądowych, ale także buduje zaufanie klientów. Co więcej, wyróżnia Cię na tle konkurencji i skalujesz swój biznes na nowe wyżyny!