5 วิธีเพื่อให้แน่ใจว่าธุรกิจของคุณปฏิบัติตาม CCPA
เผยแพร่แล้ว: 2022-08-24การรักษาความเป็นส่วนตัวของข้อมูลผู้บริโภคเป็นสิ่งสำคัญสำหรับธุรกิจในปัจจุบัน!
เหตุผล—ผู้บริโภคเริ่มตระหนักและกังวลเกี่ยวกับข้อมูลที่พวกเขามอบให้กับธุรกิจมากขึ้น พวกเขาต้องการทราบว่าข้อมูลนั้นถูกใช้อย่างไร และหากแหล่งข้อมูลบุคคลที่สามที่ไม่รู้จักไม่ได้นำไปใช้ในทางที่ผิด
เครดิตสำหรับคลื่นแห่งความตระหนักรู้นี้ตกเป็นของกฎหมายการปฏิบัติตาม CCPA ซึ่งมีผลบังคับใช้ในปี 2020 เจ้าของธุรกิจในแคลิฟอร์เนียเริ่มใช้กลยุทธ์ในการปฏิบัติตามข้อกำหนดเพื่อให้มั่นใจว่าลูกค้ายังคงไว้ซึ่งความไว้วางใจและชื่อเสียงในธุรกิจของตนได้ครบถ้วน โดยเฉพาะอย่างยิ่ง คดีฟ้องร้อง Zoom ในการแชร์ข้อมูลส่วนตัวของผู้ใช้กับ Facebook ถือเป็นเหตุการณ์เปิดหูเปิดตาสำหรับบริษัทส่วนใหญ่
ให้เราเข้าใจว่ากฎหมายนี้เกี่ยวกับอะไรและมาตรการที่คุณสามารถใช้เพื่อทำให้ธุรกิจของคุณเป็นไปตาม CCPA
CCPA คืออะไร?
California Consumer Privacy Act (CCPA) เป็นกฎหมายที่กำหนดให้ธุรกิจที่ดำเนินการในแคลิฟอร์เนียต้องแจ้งและทางเลือกแก่ลูกค้าเกี่ยวกับข้อมูลส่วนบุคคลของตน
ซึ่งหมายความว่าขณะนี้ผู้บริโภคสามารถเรียกร้องการเข้าถึงข้อมูล เช่น ข้อมูลส่วนบุคคลที่ธุรกิจเก็บรวบรวม วิธีการใช้งาน ใครที่มีสิทธิ์เข้าถึงข้อมูล และระยะเวลาที่พวกเขาสามารถเข้าถึงได้ นอกจากนี้ยังกำหนดให้บริษัทต่างๆ ต้องได้รับความยินยอมก่อนที่จะขายข้อมูลนี้หรือแบ่งปันกับบุคคลที่สาม
นอกจากนี้ยังหมายถึงไม่มีคุกกี้ติดตาม ไม่มีการกำหนดเป้าหมายโฆษณา และไม่มีการแบ่งปันข้อมูลของคุณกับบุคคลที่สามหรือบริษัทในเครือโดยไม่ได้รับอนุญาตอย่างชัดแจ้งก่อน!
CCPA ได้รับการอนุมัติในปี 2555 หลังจากหลายปีของการล็อบบี้เพื่อการคุ้มครองความเป็นส่วนตัวของผู้บริโภคที่แข็งแกร่งขึ้นทั่วประเทศ มีผลบังคับใช้อย่างสมบูรณ์ในปี 2020 ทำให้ผู้อยู่อาศัยในแคลิฟอร์เนียสามารถควบคุมข้อมูลส่วนบุคคลของตนได้มากขึ้น ช่วยให้ผู้บริโภคมีทางเลือกมากขึ้นเมื่อบริษัทเช่นคุณรวบรวมข้อมูลนี้จากพวกเขา
ตัวอย่างสิทธิความเป็นส่วนตัว ได้แก่
- คุณสามารถเลือกที่จะไม่เพิ่มชื่อของคุณลงในฐานข้อมูลการตลาดใดๆ ก็ได้
- คุณอาจเลือกที่จะลบข้อมูลของคุณออกจากฐานข้อมูลของพวกเขา
- คุณมีสิทธิ์ที่จะไม่เลือกปฏิบัติในการใช้สิทธิ์ CCPA ของคุณ
จะทราบได้อย่างไรว่า CCPA ใช้กับธุรกิจของคุณหรือไม่
คุณต้องรู้ว่าทุกธุรกิจที่แสวงหาผลกำไรในรัฐแคลิฟอร์เนียต้องปฏิบัติตาม CCPA หาก:
- ธุรกิจดำเนินการในแคลิฟอร์เนียหรือขายให้กับผู้อยู่อาศัยในแคลิฟอร์เนีย
- ธุรกิจมีรายได้รวมต่อปี 25 ล้านเหรียญสหรัฐ
- บริษัทมีการเข้าถึงหรือซื้อและขายข้อมูลของชาวแคลิฟอร์เนีย 50,000 คนขึ้นไป
- อย่างน้อย 50 เปอร์เซ็นต์ของรายได้ต่อปีของธุรกิจมาจากการซื้อหรือขายข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย
บทลงโทษสำหรับการไม่ปฏิบัติตาม
หากธุรกิจไม่ปฏิบัติตาม CCPA หน่วยงานกำกับดูแลกฎหมายจะส่งการแจ้งเตือนและกำหนดเวลา 30 วันเพื่อให้สอดคล้องกับกฎหมาย อย่างไรก็ตาม หากพวกเขายังคงไม่ปฏิบัติตาม พวกเขาจะถูกปรับสูงถึง $7,500 ต่อบันทึก
จะทำให้ธุรกิจสอดคล้องกับ CCPA ได้อย่างไร
1. ตระหนัก
ทราบว่า CCPA ใช้กับธุรกิจของคุณหรือไม่ ขั้นตอนแรกคือการเรียนรู้เกี่ยวกับกฎหมายที่อยู่ภายใต้ CCPA แต่ถ้าคุณยังไม่แน่ใจว่า CCPA มีผลกับคุณหรือไม่ คุณก็ควรปฏิบัติตาม ดีกว่าที่จะปลอดภัยกว่าเสียใจ!
อันที่จริง ให้หารือกับผู้บริหารระดับบนสุดและคณะกรรมการองค์กรของคุณ และนำเสนอให้พวกเขาเห็นถึงความสำคัญของการปฏิบัติตาม CCPA และการไม่ปฏิบัติตามนั้น
หากเป็นไปได้ ให้จ้างพนักงานเฉพาะที่ดูแลเฉพาะการดำเนินการที่เกี่ยวข้องกับการปฏิบัติตาม CCPA ในขณะที่ติดตามและวัดความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างต่อเนื่องทั่วทั้งองค์กรของคุณ
2. ทำการวิเคราะห์ช่องว่างภายในองค์กร
ในการขอปฏิบัติตามระเบียบปฏิบัติ ก่อนอื่นให้ตรวจสอบข้อมูลลูกค้าที่คุณมีอยู่แล้ว ที่ที่คุณจัดเก็บไว้ และผู้ที่สามารถเข้าถึงข้อมูลทั้งหมดได้
นี่คือขั้นตอนที่คุณสามารถทำได้เพื่อวิเคราะห์ช่องว่างอย่างมีประสิทธิภาพ
- ตรวจดูงบการเงินของบริษัทของคุณหรือในรายงานประจำปีที่ยื่น
- ระบุกลุ่มผู้บริโภคที่คุณรวบรวมข้อมูลจากลูกค้า ผู้มีแนวโน้มจะเป็นลูกค้า ผู้สมัครงาน ผู้สมัครรับจดหมายข่าว พนักงาน ฯลฯ
- ทำความเข้าใจแนวทางปฏิบัติในปัจจุบันของความเป็นส่วนตัวของข้อมูลที่คุณปฏิบัติตาม หากมี
- องค์กรของคุณกำลังรักษาการปฏิบัติตามข้อกำหนดในด้านใดบ้าง
- ส่วนไหนที่ยังไม่ครอบคลุมและทำไม
- ทำความเข้าใจว่ามีแพลตฟอร์มข้อมูลลูกค้าที่คุณใช้หรือไม่ ถ้าใช่ ข้อมูลมีความปลอดภัยหรือไม่
จากการวิเคราะห์นี้ ให้ร่างแผนว่าคุณจะปฏิบัติตาม CCPA ได้อย่างไร พร้อมคำแนะนำโดยละเอียด
ในขณะเดียวกัน ให้มองหาจุดสิ้นสุดอื่น ๆ กับพนักงานและผู้ขายของคุณ
ตรวจสอบกับพนักงานของคุณว่าพวกเขามีสำเนาข้อมูลลูกค้าหรือไม่ และให้แน่ใจว่าได้ลบออกแล้ว ทำความเข้าใจว่าใบเสร็จและเอกสารถูกเก็บไว้ที่ใด และเกิดอะไรขึ้นกับบันทึกเก่า
หากคุณแบ่งปันข้อมูลลูกค้ากับผู้ขายที่เป็นบุคคลภายนอก ทราบว่าพวกเขาทำอะไรกับข้อมูลนั้น—มีการแบ่งปันกับบุคคลอื่นหรือไม่ ถ้าใช่ ใครบ้างที่สามารถเข้าถึงข้อมูลนั้นได้
3. ปรับปรุงนโยบาย
หลังจากทำแผนที่ข้อมูลส่วนบุคคลทั่วทั้งบริษัทของคุณแล้ว ให้ทบทวนนโยบาย วิธีการ หรือขั้นตอนในการปกป้องข้อมูลในปัจจุบัน เมื่อคุณทราบนโยบายความเป็นส่วนตัวของข้อมูลที่มีอยู่แล้ว ก็ถึงเวลาอัปเดตหรือสร้างนโยบายใหม่หากคุณไม่มีนโยบายความเป็นส่วนตัวตั้งแต่แรก
โดยหลักแล้ว คุณต้องตรวจสอบว่านโยบายความเป็นส่วนตัวของข้อมูลของคุณสอดคล้องกับ CCPA หรือไม่ รวมถึงการแจ้งเตือนการเลือกไม่รับและการเลือกรับ
นอกจากนั้น วางแผนว่าจะตอบสนองต่อคำขอของลูกค้าในการลบหรือเข้าถึงข้อมูลอย่างไร เมื่อคุณคิดออกแล้ว ให้เผยแพร่ในหมู่พนักงานเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามหลักเกณฑ์ใหม่ ตามแนวทางปฏิบัติที่ดี ให้มีข้อมูลทั้งหมดเกี่ยวกับขั้นตอนและนโยบายที่จัดเก็บไว้ในที่เดียวเพื่อให้พนักงานของคุณอ้างอิงถึง
สิ่งสำคัญที่สุดคือ เผยแพร่หน้านโยบายความเป็นส่วนตัวบนเว็บไซต์ของคุณที่มีกฎและนโยบายทั้งหมดที่องค์กรของคุณปฏิบัติตามตาม CCPA
ตรวจสอบให้แน่ใจว่าได้อธิบายรายละเอียดเกี่ยวกับนโยบายต่อไปนี้
- ประเภทของข้อมูลที่คุณรวบรวมจากผู้เยี่ยมชมและลูกค้าของคุณ
- คุณใช้โหมดใดในการรวบรวมข้อมูล—อีเมล หมายเลขโทรศัพท์ แชท ฯลฯ
- ประเภทของข้อมูลที่คุณไม่ต้องการ อาจเป็นวันเดือนปีเกิดหรือสถานภาพสมรส
- คุณจะทำอย่างไรกับข้อมูลที่คุณรวบรวมจากพวกเขา
- คุณแบ่งปันข้อมูลกับใครอีกบ้าง—บริษัทบุคคลที่สามที่เกี่ยวข้อง?
- ผู้บริโภคหรือผู้เยี่ยมชมของคุณมีสิทธิแบบใดภายใต้ CCPA
- คุณขายข้อมูลของพวกเขาให้กับบุคคลที่สามเพื่อวัตถุประสงค์ใด หากมี
4. การฝึกอบรมการปฏิบัติตามกฎระเบียบสำหรับพนักงาน
ต่อไป คุณต้องตรวจสอบให้แน่ใจว่าพนักงานที่เกี่ยวข้องกับกระบวนการ CCPA ได้รับการฝึกอบรมมาเป็นอย่างดี ซึ่งส่วนใหญ่เกี่ยวข้องกับผู้ที่รับผิดชอบในการตอบคำถามจากลูกค้าเกี่ยวกับสิทธิความเป็นส่วนตัวของพวกเขา
แหล่งที่มา
สำหรับผู้ที่มีสิทธิ์เข้าถึงข้อมูลส่วนตัวที่คุณจัดเก็บไว้ในคอมพิวเตอร์ เซิร์ฟเวอร์ และระบบคลาวด์ โปรดแจ้งให้พวกเขาทราบถึงข้อกำหนดของ CCPA และนโยบายความเป็นส่วนตัวที่ธุรกิจของคุณมี จัดฝึกอบรมสำหรับผู้ที่ต้องการและแจ้งการปรับเปลี่ยนที่จำเป็นที่ทำกับ CCPA เมื่อเวลาผ่านไป
5. สร้างความชัดเจนให้กับลูกค้าของคุณ
วิธีนี้ใช้ได้กับผู้เยี่ยมชมเว็บไซต์หรือนักช้อปออนไลน์ของคุณโดยเฉพาะ เพื่อให้มั่นใจว่าลูกค้าของคุณไว้วางใจ โปรดแจ้งให้พวกเขาทราบถึงมาตรการรักษาความปลอดภัยที่คุณปฏิบัติตาม
ส่งการแจ้งเตือนการยินยอมคุกกี้
ขอความยินยอมจากลูกค้าก่อนเก็บรวบรวมข้อมูลใดๆ และแจ้งให้พวกเขาทราบว่าคุณกำลังจะทำเช่นนั้น ส่งการแจ้งเตือนเกี่ยวกับคุกกี้เมื่อพวกเขาทำธุรกรรมบนไซต์ของคุณ
การแจ้งเตือนคุกกี้โดยทั่วไปจะแสดงดังต่อไปนี้
- การแจ้งเตือนเพื่อแจ้งให้คุณทราบว่าคุณใช้คุกกี้เพื่อวัตถุประสงค์ดังกล่าว แสดงรายการวัตถุประสงค์ทั้งหมด
- ปุ่มสำหรับลูกค้าเพื่อรับทราบว่าพวกเขาเห็นด้วยกับการใช้คุกกี้ อีกทางหนึ่ง คุณสามารถอนุญาตให้ผู้เยี่ยมชมของคุณปฏิเสธการใช้คุกกี้ได้
- ลิงก์ที่นำไปยังหน้านโยบายความเป็นส่วนตัวของคุณเพื่อดูข้อมูลเพิ่มเติม
ตัวเลือกในการเข้าถึง/ลบข้อมูลส่วนบุคคล
มีลิงก์หรือปุ่มที่มองเห็นได้ชัดเจนบนเว็บไซต์ของคุณ ซึ่งช่วยให้ผู้ใช้สามารถแก้ไขการตั้งค่าของตนเองได้ คุณยังสามารถมีตัวเลือกเหล่านี้เป็นรายการตรวจสอบและเพิ่มลงในแบบฟอร์มหรือหน้าการชำระเงิน ด้วยวิธีนี้ ผู้ใช้สามารถเลือกหรือยกเลิกการเลือกการตั้งค่าการแบ่งปันข้อมูลและควบคุมได้อย่างเต็มที่
คุณยังต้องการการปฏิบัติตาม CCPA หรือไม่ หากคุณปฏิบัติตาม GDPR แล้ว
ใช่ แม้ว่าคุณจะปฏิบัติตาม GDPR แต่ก็ไม่ได้ทำให้คุณปฏิบัติตาม CCPA โดยค่าเริ่มต้น พวกเขาอาจดูเหมือนสิ่งเดียวกันในระดับพื้นผิว แต่ทั้งคู่ต่างกันในความต้องการและผู้ชมที่พวกเขาส่งผลกระทบ
CCPA กับ GDPR อธิบายโดย Osano
คุณต้องรู้ว่าแม้ว่า CCPA จะเป็นข้อบังคับ "ไม่เข้าร่วม" แต่ GDPR ก็ "เลือกเข้าร่วม" ซึ่งหมายความว่าภายใต้ GDPR ผู้ใช้ต้องให้ความยินยอมในการขายข้อมูลของตนให้กับบุคคลที่สาม ในขณะที่ CCPA กำหนดให้ผู้ใช้เข้าถึงและแก้ไขคำยินยอมของตน
นอกจากนี้ GDPR ยังเป็นชุดของนโยบายความปลอดภัยที่กระตุ้นให้องค์กรใช้มาตรการทางเทคนิคเพื่อนำความปลอดภัยของข้อมูลไปใช้ ในทางกลับกัน CCPA คือการได้รับความยินยอมจากลูกค้าของคุณ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง CCPA และ GDPR โปรดดูคำแนะนำโดยละเอียดของ Osano!
กุญแจสำคัญคือการรู้ว่ากฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลใดที่มีผลบังคับใช้กับธุรกิจของคุณ โดยพิจารณาจากสถานที่ตั้งและรายได้เท่านั้น สมมติว่าธุรกิจของคุณดำเนินการจากภายในหรือภายนอกสหภาพยุโรป และให้บริการแก่ผู้ที่อาศัยอยู่ในสหภาพยุโรป คุณจะต้องปฏิบัติตาม GDPR ในกรณีนี้
สรุปว่า
การปฏิบัติตามข้อกำหนดของ CCPA ไม่เพียงแต่ช่วยให้คุณหลีกเลี่ยงบทลงโทษและการฟ้องร้องที่หนักหน่วงเท่านั้น แต่ยังช่วยสร้างความไว้วางใจให้กับลูกค้าของคุณด้วย ยิ่งไปกว่านั้น มันทำให้คุณโดดเด่นกว่าคู่แข่งและขยายธุรกิจของคุณไปสู่ระดับใหม่!