Kalifornijska ustawa o prawach prywatności (CPRA): jak przygotować firmę
Opublikowany: 2022-07-14Czy jesteś mieszkańcem Kalifornii? Jeśli tak, to CPRA jest czymś, o co powinieneś się martwić. Zwłaszcza jeśli chcesz tam otworzyć biznes i zbierać poufne informacje od swoich konsumentów.
Podobnie jak RODO, CPRA została stworzona w celu ustanowienia standardów dla Stanów Zjednoczonych i uniknięcia nieporozumień i niewłaściwego wykorzystania danych osobowych konsumentów. Co więcej, mimo że CPRA nie będzie egzekwowane do początku 2023 r., każdy rodzaj danych zebranych po 1 stycznia 2022 r. podlega CPRA.
Jest wiele rzeczy do nauczenia się o CPRA, a my mamy dużo więcej do powiedzenia. Więc nie idź nigdzie, ponieważ w tym artykule będziemy intensywnie omawiać CPRA.
Jak przygotować swój biznes do CPRA
Zgodność z CPRA
Firmy działające w Kalifornii lub gromadzące dane osobowe od mieszkańców Kalifornii, niezależnie od tego, czy są to cele marketingowe, czy nie, podlegają CPRA, jeśli:
- Udaje mu się osiągać przychody wyższe niż 25 milionów dolarów rocznie
- Udaje mu się uzyskać ponad 50% przychodów ze sprzedaży i udostępniania danych osobowych mieszkańców Kalifornii
- Kupuje, udostępnia i sprzedaje dane osobowe ponad 100 000 kalifornijskich gospodarstw domowych
Istotną zmianą, która została wprowadzona z CCPA do CPRA, jest usunięcie wymogu wykorzystywania danych osobowych wyłącznie w celach marketingowych. Tak więc teraz, nawet jeśli firma nie czerpie zysków z danych osobowych konsumentów, nadal jesteś zobowiązany do przestrzegania prawa.
Zgodność z CPRA jest dość interesująca, ponieważ jeśli jesteś małym lub średnim przedsiębiorstwem, być może nie będziesz musiał przestrzegać CPRA, ale raczej CCPA. Najpierw musisz określić, czy Twoja firma powinna przestrzegać CCPA lub CPRA. Wielu uważa, że oba są takie same, ale prawda jest taka, że mają pewne kluczowe różnice. Dla porównania, CPRA łagodzi wiele ograniczeń CCPA, podczas gdy niektóre małe i średnie przedsiębiorstwa nie podlegają zgodności z CPRA. Jednocześnie jednak wzmacnia również wiele słabości CCPA.
Uwaga: Jeśli chcesz dowiedzieć się więcej o CPRA, możesz przeczytać więcej na stronie Osano .
Jakie są różnice między CCPA a CPRA?
Ustawa CPRA jest uważana za zmianę CCPA, oferując podejście RODO, rozszerzając prawa indywidualne i wiele więcej. Oto dwie główne różnice między nimi:
- Przestrzeganie CCPA oznacza, że kupujesz, sprzedajesz lub otrzymujesz akcje w celach marketingowych. Ma to również zastosowanie, jeśli kupujesz, sprzedajesz lub otrzymujesz akcje na podstawie danych osobowych około 50 000 konsumentów i gospodarstw domowych. Jednak CPRA wymaga ponad 100 000 konsumentów i gospodarstw domowych.
- Przestrzeganie CCPA oznacza, że otrzymujesz co najmniej 50% rocznych przychodów ze sprzedaży danych osobowych konsumentów. CPRA to od sprzedaży i udostępniania danych osobowych. Posiadanie certyfikatu SSL jest konieczne, gdy udostępniasz dane osobowe w witrynie. Dlatego ważne jest, aby kupować certyfikaty SSL od renomowanych dostawców SSL, takich jak ClickSSL, którzy oferują uwierzytelnione certyfikaty SSL o tym samym poziomie szyfrowania.
CPRA obejmowała również utworzenie Kalifornijskiej Agencji Ochrony Prywatności (CaIPPA), dedykowanej agencji ochrony prywatności, którą zarządza pięciu członków zarządu. Członkowie ci muszą być ekspertami w zakresie prywatności, praw konsumentów i technologii. W przeciwnym razie nie są w stanie się zakwalifikować. Ponadto mogą służyć w agencji prywatności nie dłużej niż osiem lat.
Poprawki
Zgodnie z CCPA osoby fizyczne mogą żądać dostępu do swoich danych osobowych tylko przez rok od momentu ich przechowywania i gromadzenia. Jednak dzięki CPRA masz do tego prawo, kiedy tylko zechcesz.
Co więcej, kiedy CCPA definiuje „sprzedaż”, nie oznacza to dokładnie dzielenia się. Z drugiej strony CPRA obejmuje „Sprzedaj” i „Udostępniaj”. Ponadto CPRA wyjaśnia prawo do powstrzymania (zrezygnowania) przedsiębiorstw z udostępniania i sprzedaży ich danych osobowych innym stronom.
Na koniec nie zapominajmy, że zarówno CCPA, jak i CPRA umożliwiają pozywanie firm. Konsumenci mogą to zrobić, jeśli firma ujawni poufne informacje bez upoważnienia i spowoduje naruszenie danych, które ujawni hasła i nazwy użytkowników.
Co nowego w CPRA i jaki ma to wpływ na Twoją firmę?
Nowe zmiany zostały wprowadzone zarówno do CPRA, jak i CCPA w celu uwzględnienia nowych praw, których przedsiębiorstwa są zobowiązane przestrzegać. Dlaczego tak? Według SalesForce około 46% konsumentów uważa, że nie ma wystarczającej kontroli nad swoimi prywatnymi danymi. Niestety tylko 10% uważa, że ma wystarczającą kontrolę nad swoimi danymi osobowymi.
Niemniej jednak firmy, które naruszają te przepisy, będą musiały liczyć się z ogromnymi grzywnami w wysokości tysięcy dolarów i zostaną pozwane za celowe naruszenie danych osobowych.
Teraz wyjaśnijmy kilka ważnych rzeczy. Po pierwsze, kiedy jesteś przedsiębiorstwem, zgodnie z CPRA, jesteś zobowiązany do wyjaśnienia, dlaczego zbierasz dane osobowe i komu je udostępniasz. Jednak zgodnie z CCPA masz prawo zapytać, dlaczego Twoje dane osobowe są gromadzone. Ponadto ludzie mają prawo do informowania firm o niedokładnych informacjach lub o konieczności wprowadzenia jakichkolwiek poprawek.
Zgodnie z CPRA konsumenci mają więcej praw. Obejmuje to zdobycie wiedzy o tym, gdzie używane są ich informacje oraz jak poprawić niedokładne informacje, które mogą zobaczyć.
Oto kilka rzeczy, które Twoja firma może zastosować, aby dostosować się do tych przepisów:
- Określ cel, dla którego zbierasz dane
- Stosuj środki bezpieczeństwa w celu ochrony danych osobowych
- Pokaż listę podmiotów, którym udostępniasz dane i dlaczego Twoja firma je im udostępnia, zbierając dane osobowe
- Podaj wszystkie źródła informacji, z których korzysta i zbiera Twoja firma
- Aktualizuj informacje o prywatności i pokazuj, że Twoja firma zawsze przestrzega najnowszych przepisów. Nie zapomnij dostarczać aktualizacji przez e-mail, stronę internetową, telefon i media społecznościowe.
- Implementuj procedury, które zapewniają przetwarzanie i przeglądanie danych pod kątem autentyczności. Dodatkowo dodaj funkcję „rezygnacji”, aby użytkownicy mogli przestać udostępniać swoje dane osobowe, jeśli chcą to zrobić.
Nowa kategoria chronionych danych
CPRA wprowadziła ideę wrażliwych danych osobowych (SPI). Zmusza to firmy, które gromadzą tego typu informacje, do zapewnienia bardziej solidnej ochrony danych. SPI obejmuje następujące rodzaje danych osobowych:
- Dane zdrowotne
- Dane genetyczne
- Dane religijne
- Etniczne pochodzenie
- Geolokalizacja
- Dane dotyczące orientacji seksualnej osoby
- Dowody tożsamości, prawa jazdy, numery PESEL i inne
- Pochodzenie etniczne i rasowe
CPRA nakłada ograniczenia na nową kategorię danych. Dodaje również nowe wymagania dla firm, które zbierają SPI, w tym zaktualizowany cel i ujawnienie, wymagania dotyczące rezygnacji i inne.
Minimalizacja danych i ograniczenia przechowywania
Firmy są zobowiązane do minimalizowania lub ograniczania przechowywania, wykorzystywania i udostępniania danych osobowych, gdy tylko jest to możliwe. Ogólnie rzecz biorąc, CPRA powstrzymuje firmy przed przechowywaniem danych osobowych dłużej niż jest to wymagane. Ponadto firmy muszą informować CPRA o okresach przechowywania wszystkich gromadzonych danych osobowych.
Więc co musisz z tym zrobić? Po pierwsze, Twoja firma powinna określić, jak długo będzie przechowywać dane osobowe i czy będzie to dłużej niż to konieczne. Należy to odnotować w politykach firmy, w tym usuwania danych, i zapewnić przestrzeganie wszystkich przepisów.
Odwet jest niedozwolony
Ważne jest, aby wiedzieć, że CPRA nie akceptuje dyskryminacji konsumentów, którzy zrezygnowali z dostępu do swoich informacji. Obejmuje to:
- Odmawianie konsumentowi rodzajów towarów i usług
- Zapewnienie konsumentowi innego poziomu lub jakości towarów i usług
- Pobieranie różnych cen za swoje towary lub usługi, w tym rabatów lub innych korzyści
- Występowanie przeciwko członkowi zespołu, kandydatowi, który zgłosił się do Twojej firmy, a nawet niezależnemu kontrahentowi za potępienie prawa do rezygnacji
Używaj narzędzi przyjaznych dla prywatności w swoim marketingu
Kiedy inwestujesz duże budżety w marketing i reklamę, musisz upewnić się, że Twoje inwestycje faktycznie się zwracają. Aby to zrobić, potrzebujesz platformy do analityki marketingowej, która będzie zbierać dane ze wszystkich kanałów marketingowych i dostarczać cennych raportów, aby podejmować dalsze decyzje na podstawie danych.
RedTrack to rozwiązanie przyjazne dla prywatności (zgodne z RODO, CCPA, CCPR itp.), ale nadal zapewnia wyniki analizy działań marketingowych i pokazuje prawdziwe liczby dotyczące wyników.
Rozważ użycie platformy zarządzania zgodami (CMP)
CMP to doskonały sposób, aby pomóc Twojej firmie zarządzać wszelkimi dokumentami firmowymi i legalnie wyrażać zgodę użytkownika przed gromadzeniem, przechowywaniem, a nawet udostępnianiem danych. Zapewniają zgodność z przepisami dotyczącymi prywatności, a nawet informują o wprowadzanych zmianach. Ponadto dostawcy CMP mogą zarządzać składanymi przez Ciebie żądaniami informacji o danych i monitorować wszystkich dostawców zewnętrznych.
Oto kilka CMP, z których możesz skorzystać, aby być na bieżąco z przepisami dotyczącymi prywatności i zarządzać żądaniami danych:
- Jedno zaufanie
- Quantcast
- TrustArc
- Cookiebot
- Crownpeak
Zawijanie tego
To wszystko w tym artykule. Są to nowe zmiany wprowadzone do CPRA. Jednak nie myśl, że będą to jedyne, jakie kiedykolwiek powstały, CPRA ciągle się zmienia!
Ogólnym celem CPRA jest zapewnienie, że konsumenci mają wystarczającą kontrolę nad swoimi danymi i nie czują się niepewnie w związku z naruszeniem danych lub utratą kontroli nad swoimi danymi osobowymi. W końcu dane należą do konsumentów i to oni mogą decydować o sposobie wykorzystania ich danych.