California Privacy Rights Act (CPRA): วิธีเตรียมธุรกิจของคุณ

คุณเป็นผู้อาศัยในแคลิฟอร์เนียหรือไม่? หากคุณเป็นเช่นนั้น CPRA เป็นสิ่งที่คุณควรคำนึงถึง โดยเฉพาะอย่างยิ่งถ้าคุณต้องการเปิดธุรกิจที่นั่นและรวบรวมข้อมูลที่ละเอียดอ่อนจากผู้บริโภคของคุณ

เช่นเดียวกับ GDPR CPRA ถูกสร้างขึ้นเพื่อกำหนดมาตรฐานสำหรับสหรัฐอเมริกา และหลีกเลี่ยงความเข้าใจผิดและการใช้ข้อมูลส่วนบุคคลของผู้บริโภคในทางที่ผิด นอกจากนี้ แม้ว่า CPRA จะไม่มีการบังคับใช้จนกว่าจะถึงต้นปี 2023 ข้อมูลประเภทใดก็ตามที่รวบรวมหลังจากวันที่ 1 มกราคม 2022 จะต้องอยู่ภายใต้ CPRA

มีหลายสิ่งที่ต้องเรียนรู้เกี่ยวกับ CPRA และเรามีอะไรอีกมากมายที่จะบอกคุณ ดังนั้น อย่าไปที่ไหนเลย เพราะในบทความนี้ เราจะพูดถึง CPRA อย่างเข้มข้น

วิธีเตรียมธุรกิจของคุณให้พร้อมสำหรับ CPRA

การปฏิบัติตาม CPRA

บริษัทที่ดำเนินการในแคลิฟอร์เนียหรือรวบรวมข้อมูลส่วนบุคคลจากผู้อยู่อาศัยในแคลิฟอร์เนีย ไม่ว่าจะเพื่อวัตถุประสงค์ทางการตลาดหรือไม่ก็ตาม จะถูก CPRA หาก:

• จัดการให้มีรายได้มากกว่า 25 ล้านเหรียญ ต่อปี
• บริหารจัดการเพื่อสร้างรายได้มากกว่า 50% จากการขายและแบ่งปันข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย
• ซื้อ แบ่งปัน และขายข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนียมากกว่า 100,000 ครัวเรือน

การเปลี่ยนแปลงที่สำคัญที่เกิดขึ้นจาก CCPA เป็น CPRA คือการลบข้อกำหนดในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดเท่านั้น ดังนั้น แม้ว่าบริษัทจะไม่แสวงหาผลกำไรจากข้อมูลส่วนบุคคลของผู้บริโภค คุณก็ยังต้องปฏิบัติตามกฎหมาย

การปฏิบัติตาม CPRA นั้นค่อนข้างน่าสนใจเพราะหากคุณเป็นธุรกิจขนาดเล็กหรือขนาดกลาง คุณอาจไม่ต้องปฏิบัติตาม CPRA แต่จะต้องปฏิบัติตาม CCPA ในขั้นต้น คุณต้องระบุว่าธุรกิจของคุณควรปฏิบัติตาม CCPA หรือ CPRA หรือไม่ หลายคนคิดว่าทั้งคู่เหมือนกัน แต่ความจริงก็คือพวกเขามีความแตกต่างที่สำคัญบางประการ เปรียบเทียบ CPRA คลายข้อจำกัดหลายอย่างที่ CCPA มี ในขณะที่ธุรกิจขนาดเล็กและขนาดกลางบางแห่งไม่อยู่ภายใต้การปฏิบัติตาม CPRA อย่างไรก็ตาม ในขณะเดียวกัน ก็เสริมความแข็งแกร่งให้กับจุดอ่อนหลายประการของ CCPA ด้วยเช่นกัน

หมายเหตุ: หากคุณสนใจที่จะเรียนรู้เกี่ยวกับ CPRA คุณสามารถ อ่านเพิ่มเติมได้จากเว็บไซต์ของ Osano

CCPA และ CPRA แตกต่างกันอย่างไร

CPRA ถือเป็นการแก้ไขเพิ่มเติมของ CCPA โดยนำเสนอแนวทาง GDPR การขยายสิทธิ์ส่วนบุคคล และอื่นๆ อีกมากมาย นี่คือความแตกต่างที่สำคัญสองประการระหว่างทั้งสอง:

• การปฏิบัติตาม CCPA หมายความว่าคุณซื้อ ขาย หรือรับหุ้นเพื่อวัตถุประสงค์ทางการตลาดของธุรกิจ นอกจากนี้ยังใช้บังคับหากคุณซื้อ ขาย หรือรับหุ้นจากข้อมูลส่วนบุคคลของผู้บริโภคและครัวเรือนประมาณ 50,000 คน อย่างไรก็ตาม CPRA ต้องการผู้บริโภคและครัวเรือนมากกว่า 100,000 คน
• การปฏิบัติตาม CCPA หมายความว่าคุณได้รับอย่างน้อย 50% ของรายได้ต่อปีจากการขายข้อมูลส่วนบุคคลของผู้บริโภค CPRA มาจากการขายและ แบ่งปันข้อมูลส่วนบุคคล จำเป็นต้องมีใบรับรอง SSL เมื่อคุณแบ่งปันข้อมูลส่วนบุคคลกับเว็บไซต์ ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้อง ซื้อใบรับรอง SSL จากผู้ให้บริการ SSL ที่มีชื่อเสียง เช่น ClickSSL ที่มีระดับการเข้ารหัสเดียวกันกับใบรับรอง SSL ที่รับรองความถูกต้อง

CPRA ยังรวมถึงการก่อตั้ง Californian Privacy Protection Agency (CaIPPA) ซึ่งเป็นหน่วยงานด้านความเป็นส่วนตัวเฉพาะที่สมาชิกคณะกรรมการห้าคนปกครอง สมาชิกเหล่านี้ต้องเป็นผู้เชี่ยวชาญด้านความเป็นส่วนตัว สิทธิผู้บริโภค และเทคโนโลยี มิฉะนั้นจะไม่สามารถผ่านเข้ารอบได้ นอกจากนี้ยังสามารถให้บริการได้ไม่เกินแปดปีภายในหน่วยงานด้านความเป็นส่วนตัว

การแก้ไข

ตาม CCPA บุคคลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนได้เป็นเวลาหนึ่งปีนับจากที่มีการจัดเก็บและรวบรวม อย่างไรก็ตาม ด้วย CPRA คุณมีสิทธิ์ได้ทุกเมื่อที่ต้องการ

นอกจากนี้ เมื่อ CCPA กำหนด "การขาย" ไม่ได้หมายถึงการแบ่งปันอย่างชัดเจน ในทางกลับกัน CPRA รวมถึง "ขาย" และ "แบ่งปัน" นอกจากนี้ CPRA ยังชี้แจงสิทธิ์ในการหยุด (เลือกไม่รับ) ธุรกิจไม่ให้แบ่งปันและ ขายข้อมูลส่วนบุคคลของตน ให้กับบุคคลอื่น

สุดท้ายนี้ อย่าลืมว่าทั้ง CCPA และ CPRA อนุญาตให้บริษัทต่างๆ ถูกฟ้องร้องได้ ผู้บริโภคสามารถทำได้หากบริษัทเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต และก่อให้เกิดการละเมิดข้อมูลที่เปิดเผยรหัสผ่านและชื่อผู้ใช้

CPRA มีอะไรใหม่ และมีผลกระทบต่อธุรกิจของคุณอย่างไร

ได้มีการแก้ไขเพิ่มเติมทั้ง CPRA และ CCPA เพื่อรวมสิทธิ์ใหม่ที่ธุรกิจจำเป็นต้องปฏิบัติตาม ทำไมถึงเป็นเช่นนั้น? จากข้อมูลของ SalesForce ผู้บริโภคประมาณ 46% รู้สึกว่าพวกเขาไม่มีการควบคุมข้อมูลส่วนตัวของตนเพียงพอ น่าเศร้า มีเพียง 10% เท่านั้นที่ คิดว่าพวกเขาสามารถควบคุมข้อมูลส่วนบุคคลของตนได้เพียงพอ

อย่างไรก็ตาม ธุรกิจที่ละเมิดกฎหมายเหล่านี้จะต้องเผชิญกับค่าปรับจำนวนมหาศาลหลายพันดอลลาร์ และจะถูกฟ้องในข้อหาละเมิดข้อมูลส่วนตัวโดยเจตนา

ตอนนี้ มาชี้แจงสิ่งสำคัญสองสามข้อที่นี่ ประการแรก เมื่อคุณเป็นธุรกิจ ภายใต้ CPRA คุณต้องอธิบายว่าทำไมคุณจึงรวบรวมข้อมูลส่วนบุคคลและคุณกำลังแบ่งปันข้อมูลกับใคร อย่างไรก็ตาม ภายใต้ CCPA คุณมีสิทธิที่จะถามว่าทำไมข้อมูลส่วนบุคคลของคุณถึงถูกรวบรวม นอกจากนี้ ประชาชนมีสิทธิที่จะแจ้งข้อมูลที่ไม่ถูกต้องให้ธุรกิจทราบ หรือหากจำเป็นต้องแก้ไขเพิ่มเติม

ภายใต้ CPRA ผู้บริโภคมีสิทธิมากขึ้น ซึ่งรวมถึงการรับรู้ว่าข้อมูลของพวกเขาถูกนำไปใช้ที่ใด และวิธีการแก้ไขข้อมูลที่ไม่ถูกต้องที่พวกเขาอาจเห็น

ต่อไปนี้คือบางสิ่งที่ธุรกิจของคุณสามารถนำมาใช้เพื่อปรับให้เข้ากับกฎระเบียบเหล่านี้:

• กำหนดวัตถุประสงค์ของการ รวบรวมข้อมูล
• ใช้มาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคล
• แสดงรายการข้อมูลเอนทิตีที่แชร์ด้วยและสาเหตุที่ธุรกิจของคุณแชร์กับพวกเขาเพื่อรวบรวมข้อมูลส่วนบุคคล
• ระบุแหล่งข้อมูลทั้งหมดที่ธุรกิจของคุณใช้และรวบรวม
• อัปเดตข้อมูลความเป็นส่วนตัวของคุณและแสดงว่าธุรกิจของคุณปฏิบัติตามกฎหมายล่าสุดเสมอ อย่าลืมส่งข้อมูลอัปเดตผ่านอีเมล เว็บไซต์ โทรศัพท์ และโซเชียลมีเดีย
• ดำเนินการตามขั้นตอนเพื่อให้แน่ใจว่าคุณกำลังประมวลผลและตรวจสอบข้อมูลเพื่อความถูกต้อง นอกจากนี้ ให้เพิ่มคุณสมบัติ "การเลือกไม่ใช้" เพื่อให้ผู้ใช้สามารถหยุดแบ่งปันข้อมูลส่วนบุคคลของตนได้หากต้องการ

หมวดหมู่ใหม่ของข้อมูลที่ได้รับการคุ้มครอง

CPRA ได้นำเสนอแนวคิดเรื่องข้อมูลส่วนบุคคลที่ละเอียดอ่อน (SPI) สิ่งนี้บังคับธุรกิจที่รวบรวมข้อมูลประเภทนี้เพื่อให้การปกป้องข้อมูลที่แข็งแกร่งยิ่งขึ้น SPI ประกอบด้วยข้อมูลส่วนบุคคลประเภทต่อไปนี้:

• ข้อมูลสุขภาพ
• ข้อมูลทางพันธุกรรม
• ข้อมูลทางศาสนา
• ชาติกำเนิด
• ตำแหน่งทางภูมิศาสตร์
• ข้อมูลเกี่ยวกับรสนิยมทางเพศของบุคคล
• บัตรประจำตัวประชาชน ใบขับขี่ หมายเลขประกันสังคม และอื่นๆ
• แหล่งกำเนิดทางชาติพันธุ์และทางเชื้อชาติ

CPRA กำหนดข้อจำกัดในหมวดหมู่ข้อมูลใหม่ นอกจากนี้ยังเพิ่มข้อกำหนดใหม่สำหรับบริษัทที่รวบรวม SPI รวมถึงวัตถุประสงค์และการเปิดเผยที่อัปเดต ข้อกำหนดการเลือกไม่รับ และอื่นๆ

การลดขนาดข้อมูลและข้อจำกัดการจัดเก็บข้อมูล

ธุรกิจจำเป็นต้องย่อหรือจำกัดการเก็บรักษา การใช้ และการแบ่งปันข้อมูลส่วนบุคคลเมื่อทำได้ โดยรวมแล้ว CPRA จะหยุดธุรกิจไม่ให้เก็บข้อมูลส่วนบุคคลไว้นานเกินความจำเป็น นอกจากนี้ บริษัทต้องแจ้ง CPRA เกี่ยวกับระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลแต่ละรายการที่พวกเขารวบรวม

ดังนั้นคุณต้องทำอะไรเกี่ยวกับเรื่องนี้? อันดับแรก ธุรกิจของคุณควรระบุว่าจะเก็บข้อมูลส่วนบุคคลไว้นานแค่ไหนและจะนานเกินความจำเป็นหรือไม่ สิ่งนี้ควรระบุไว้ในนโยบายของบริษัท รวมถึงการลบข้อมูล และทำให้แน่ใจว่ามีการปฏิบัติตามกฎหมายทั้งหมด

ไม่อนุญาตให้ตอบโต้

สิ่งสำคัญคือต้องรู้ว่า CPRA ไม่ยอมรับการเลือกปฏิบัติต่อผู้บริโภคที่เลือกไม่รับข้อมูลของตน ซึ่งรวมถึงสิ่งต่อไปนี้:

• การปฏิเสธประเภทสินค้าและบริการต่อผู้บริโภค
• ให้ระดับหรือคุณภาพของสินค้าและบริการแก่ผู้บริโภคที่แตกต่างกัน
• การคิดราคาสินค้าหรือบริการต่างๆ ของคุณ รวมถึงส่วนลดหรือสิทธิประโยชน์อื่นๆ
• การต่อต้านสมาชิกในทีม ผู้สมัครที่สมัครกับบริษัทของคุณ หรือแม้แต่ผู้รับเหมาอิสระเพื่อประณามสิทธิ์ในการไม่เข้าร่วม

ใช้เครื่องมือที่เป็นมิตรต่อความเป็นส่วนตัวสำหรับการตลาดของคุณ

เมื่อคุณลงทุนงบประมาณจำนวนมากในด้านการตลาดและการโฆษณา คุณต้องแน่ใจว่าการลงทุนของคุณได้ผลจริง ในการทำเช่นนั้น คุณต้องมีแพลตฟอร์มการวิเคราะห์การตลาดที่จะรวบรวมข้อมูลจากช่องทางการตลาดทั้งหมดของคุณและให้รายงานอันมีค่าแก่คุณเพื่อทำการตัดสินใจเพิ่มเติมจากข้อมูล

RedTrack เป็นโซลูชันที่เป็นมิตรต่อความเป็นส่วนตัวของคุณ (ซึ่งสอดคล้องกับ GDPR, CCPA, CCPR เป็นต้น) แต่ยังคงให้ผลลัพธ์ด้วยการวิเคราะห์ความพยายามทางการตลาดของคุณและแสดงตัวเลขที่แท้จริงเกี่ยวกับประสิทธิภาพของคุณ

พิจารณาใช้แพลตฟอร์มการจัดการคำยินยอม (CMP)

CMP เป็นวิธีที่ยอดเยี่ยมในการช่วยให้ธุรกิจของคุณจัดการเอกสารของบริษัทและความยินยอมของผู้ใช้ตามกฎหมายก่อนที่จะรวบรวม จัดเก็บ หรือแม้แต่แชร์ข้อมูล พวกเขารับรองว่าคุณยังคงปฏิบัติตามกฎหมายความเป็นส่วนตัวและแจ้งให้คุณทราบทุกครั้งที่มีการเปลี่ยนแปลง นอกจากนี้ CMP สามารถจัดการคำขอที่คุณทำสำหรับข้อมูลข้อมูลและตรวจสอบผู้ขายบุคคลที่สามทั้งหมด

ต่อไปนี้คือ CMP บางส่วนที่คุณสามารถพิจารณาใช้เพื่อช่วยอัปเดตกฎหมายความเป็นส่วนตัวและจัดการคำขอข้อมูล:

• OneTrust
• Quantcast
• TrustArc
• คุกกี้บอท
• คราวน์พีค

ห่อหมก

นั่นคือทั้งหมดสำหรับบทความนี้ นี่คือการแก้ไขใหม่ที่ทำกับ CPRA อย่างไรก็ตาม อย่าคิดว่าสิ่งเหล่านี้จะเป็นเพียงสิ่งเดียวที่เคยทำ CPRA เปลี่ยนแปลงอย่างต่อเนื่อง!

เป้าหมายโดยรวมของ CPRA คือเพื่อให้แน่ใจว่าผู้บริโภคสามารถควบคุมข้อมูลของตนได้อย่างเพียงพอ และไม่รู้สึกไม่ปลอดภัยเกี่ยวกับการละเมิดข้อมูลหรือสูญเสียการควบคุมข้อมูลส่วนบุคคลของตน ท้ายที่สุดแล้ว ข้อมูลนั้นเป็นของผู้บริโภค และพวกเขาสามารถตัดสินใจได้ว่าจะใช้ข้อมูลของตนอย่างไร