ArtykułPrzewodnik dotyczący zgodności witryny internetowej z ustawą CCPA

Opublikowany: 2022-08-12

Zapoznaj się ze szczegółowymi instrukcjami, jak sprawić, by Twoja witryna była zgodna z ustawą CCPA, w tym przewodniku California Consumer Privacy Act. Obejmuje to:

  • Czym jest CCPA
  • Wymagania CCPA dotyczące stron internetowych dla firm
  • Jak sprawić, by Twoja witryna była zgodna z CCPA?
  • Jak zaktualizować swoją politykę prywatności, aby była zgodna z CCPA?
  • Grzywny i kary CCPA

Czym jest kalifornijska ustawa o ochronie prywatności konsumentów?

1 stycznia 2020 r. kalifornijska ustawa o prywatności konsumentów weszła w życie po podpisaniu ustawy 28 czerwca 2018 r. przez gubernatora Browna.

Celem było wzmocnienie praw do prywatności i ochrony konsumentów. W szczególności mieszkańcy Kalifornii muszą być w stanie:

  1. Dowiedz się, jakie dane osobowe są na ich temat gromadzone.
  2. Dowiedz się, czy ich dane osobowe są sprzedawane lub ujawniane i komu.
  3. Powiedz nie sprzedaży danych osobowych.
  4. Uzyskaj dostęp do swoich danych osobowych.
  5. Poproś firmę o usunięcie wszelkich danych osobowych klienta zebranych od tego konsumenta.
  6. Nie mogą być dyskryminowani za korzystanie ze swoich praw do prywatności.

Teraz firmy, które zbierają dane osobowe od mieszkańców Kalifornii, muszą przestrzegać nowych przepisów dotyczących prywatności. Nawet jeśli Twoja firma nie działa w Kalifornii, Twoja witryna musi być zgodna z CCPA, jeśli zbierasz jakiekolwiek dane osobowe mieszkańców Kalifornii. Dotyczy to wielu firm w Stanach Zjednoczonych.

Powinniśmy wyjaśnić – te „dane osobowe” to tak naprawdę dane użytkownika – może to być wszystko, od imienia i nazwiska, adresu e-mail lub numeru telefonu, po region geograficzny lub zachowanie w Internecie.

Jeśli więc istnieje prawdopodobieństwo, że Twoja firma może zbierać dane mieszkańców Kalifornii, a Ty spełniasz wytyczne określone w następnej sekcji, będziesz chciał zapewnić zgodność.

CCPA i RODO

„Ale czekaj, już jesteśmy zgodni z RODO – czy to nie to samo?”

Niestety nie.

RODO jest podobne, ale inne i nadal musisz przestrzegać przepisów CCPA.

I chociaż to prawo obejmuje tylko Kalifornię, jest to tylko pierwszy stan, który uchwalił takie prawo dotyczące prywatności. Spodziewam się, że w przyszłości większość stanów przyjmie taki poziom ochrony, więc dobrze jest zacząć już teraz.

Więc jakie rodzaje firm i stron internetowych muszą być zgodne z CCPA?

Jakie witryny muszą być zgodne z CCPA?

CCPA ma zastosowanie do każdej firmy nastawionej na zysk, która gromadzi i przetwarza dane osobowe konsumentów, która prowadzi działalność w Kalifornii i spełnia co najmniej jeden z następujących progów:

  • Ma roczne przychody brutto przekraczające 25 milionów dolarów.
  • Kupuje lub sprzedaje dane osobowe 50 000 lub więcej konsumentów lub gospodarstw domowych.
  • Zarabia ponad połowę swoich rocznych przychodów ze sprzedaży danych osobowych konsumentów.

Organizacje są zobowiązane do „wdrażania i utrzymywania rozsądnych procedur i praktyk bezpieczeństwa” w zakresie ochrony danych konsumentów.

Zgodnie z prawem stanowym mieszkaniec Kalifornii to każdy, kto:

  • Znajduje się w Kalifornii w celu innym niż tymczasowy lub przejściowy.
  • Zamieszkuje w Kalifornii, ale przebywa poza stanem w celach tymczasowych lub przejściowych.

Jak sprawić, by Twoja witryna była zgodna z CCPA?

Oto treść artykułu – przewodnik krok po kroku w wymaganiach strony internetowej CCPA. Zanim przejdziemy do najdrobniejszych szczegółów, oto ogólny przegląd niezbędnych aktualizacji witryny.

  1. Dodaj hiperłącze na swojej stronie głównej z napisem „Nie sprzedawaj moich danych osobowych” : Ten link powinien prowadzić do strony docelowej.
  2. Utwórz stronę docelową z opcjami żądania, przenoszenia, zmiany lub usuwania danych : To nie wszystko – ale pełne wymagania i przykłady podamy w następnej sekcji.
  3. Popraw swoją Politykę prywatności : podaj język określający rodzaj gromadzonych informacji, sposób wykorzystywania danych osobowych, opis praw konsumentów i inne informacje. Za chwilę omówimy pełną listę wszystkiego, co musisz powiedzieć.

To są trzy podstawowe zmiany, które wprowadzisz w swojej witrynie, aby zapewnić zgodność i uniknąć kar. Przyjrzyjmy się tym trzem wynikom bardziej szczegółowo i pokażmy, jak dokonać niezbędnych aktualizacji.

1. Dodaj hiperłącze do strony głównej z napisem „Nie sprzedawaj moich danych osobowych”

Nawet jeśli Twoja firma nie sprzedaje danych osobowych, nadal potrzebujesz linku na swojej stronie głównej z informacją „Nie sprzedawaj moich danych osobowych”. Ten link musi prowadzić użytkowników do strony docelowej.

W przypadku samego linku nie ma narzuconego standardu rozmiaru ani umieszczenia linku. To, co wiemy, to:

  • Link musi być umieszczony na stronie głównej.
  • Link musi być obecny, nawet jeśli nie sprzedajesz danych osobowych.
  • Link musi być wyraźnie widoczny i klikalny – nie może być ukryty – to kolejny sposób, w jaki złe doświadczenie użytkownika może Cię kosztować.

2. Utwórz stronę docelową, aby zażądać/usunąć dane

Gdy ktoś kliknie link do strony głównej „Nie sprzedawaj moich danych osobowych”, zostanie przeniesiony na tę stronę docelową.

Twój landing page potrzebuje trzech głównych elementów:

  1. Opis Twojej polityki dotyczącej sprzedaży danych osobowych : tutaj opisujesz swoją politykę gromadzenia danych – rodzaj gromadzonych danych, sposób ich wykorzystywania oraz politykę dotyczącą sprzedaży danych.
  2. Opis chronionych praw do prywatności mieszkańców Kalifornii: zasadniczo musisz poinformować użytkowników o nowym poziomie ochrony oferowanym przez CCPA i ich prawach dostępu do wszelkich danych, które możesz zebrać.
  3. Formularz : umożliwia to osobom, które chcą zażądać, przenieść, zmienić lub usunąć dane. W formularzu powinieneś uwzględnić opcję, aby ludzie mogli wybrać, co zrobisz z danymi.

Zaoferuj drugą opcję żądania danych

CCPA nakazuje udostępnienie konsumentom dwóch lub więcej metod składania wniosków dotyczących danych i korzystania z ich praw do ochrony danych.

Zasadniczo potrzebujesz dwóch opcji, aby ludzie mogli zażądać lub usunąć dane.

Ta strona docelowa liczy się jako jedna opcja. Drugą opcją powinien być numer bezpłatny. Oczywiście możesz zaoferować więcej niż dwie metody, ale te dwie pierwsze są wymagane.

Wskazówki dotyczące tworzenia strony docelowej CCPA

Wskazówka 1: Jeśli nie sprzedajesz danych, świetnie – powinieneś tak powiedzieć. Jednak nadal musisz dać użytkownikom możliwość żądania, przenoszenia, zmiany lub usuwania danych osobowych.

Wskazówka 2: Musisz umieścić na stronie docelowej formularz, który umożliwia użytkownikom żądanie lub usunięcie danych. Zalecam utworzenie opcji pola rozwijanego, które pozwala ludziom wybrać, w jaki sposób dane mają być obsługiwane: żądane do przeglądania, przenoszenia, zmiany lub usuwania danych osobowych.

Wskazówka 3: Strona docelowa nie musi być wymyślna, ale musi być przejrzysta i bezpośrednia.

Wskazówka 4: Możesz powiedzieć wszystko na tej stronie docelowej, więc dodaj jasny i oczywisty link do polityki prywatności, aby uzyskać więcej informacji.

Wskazówka 5: Chociaż nie jest to wymagane, najlepszą praktyką jest przekazanie ludziom „komunikatu o powodzeniu”, który potwierdza, że ​​żądanie zostało odebrane i pracujesz nad podaniem lub zmianą danych zgodnie z określonymi przez nich.

Najłatwiej to zrobić, po przesłaniu formularza, kierując ludzi na stronę z podziękowaniami. Strona powinna zawierać prosty komunikat potwierdzający, taki jak „Otrzymaliśmy Twoją prośbę i przekażemy Ci informacje w ciągu 30 dni lub mniej”.

Ta strona z podziękowaniami powinna również zawierać link do polityki prywatności, na wypadek gdyby użytkownik chciał uzyskać więcej informacji na temat polityki gromadzenia danych.

3. Popraw swoją politykę prywatności

Szczerze mówiąc, będziesz chciał zaangażować swój zespół prawników do pomocy w tym. Ale teraz możesz zrobić dużo ciężkiego podnoszenia.

Zakładam, że jeśli dotarłeś tak daleko, jesteś albo specjalistą ds. marketingu firmy, albo pracownikiem samej firmy. Tak czy inaczej, powinieneś mieć dostęp do zespołu prawnego, który dopracuje język Polityki Prywatności. ALE – nadal będziesz musiał podać rodzaj zbieranych danych i powód, dla którego to robisz, zespołowi prawnemu.

Najpierw przyjrzymy się wszystkim, co musi ujawnić Twoja zaktualizowana polityka prywatności. Następnie przedstawimy wskazówki dotyczące informacji, które należy przekazać zespołowi prawnemu.

Twoja polityka prywatności musi ujawnić:

  1. Opis praw konsumentów wynikających z CCPA;
  2. Opis co najmniej jednego wyznaczonego sposobu, w jaki konsumenci mogą składać do nich wnioski CCPA;
  3. Lista kategorii danych osobowych konsumentów, które zebrali w ciągu ostatnich 12 miesięcy;
  4. Lista kategorii danych osobowych, które sprzedali w ciągu ostatnich 12 miesięcy (lub, jeśli firmy nie sprzedały danych osobowych, muszą to zaznaczyć); oraz
  5. Wykaz kategorii danych osobowych, które ujawnili (nie sprzedali) w celach biznesowych w ciągu ostatnich 12 miesięcy (lub, jeśli nie ujawnili danych osobowych, to zaznaczą).

Zgodnie z CCPA firmy podlegające regulacjom muszą aktualizować swoją politykę prywatności co najmniej raz na 12 miesięcy.

Wskazówki dotyczące zmiany polityki prywatności w zakresie CCPA

Współpracujemy z klientami, aby uzyskać zgodność z CCPA i jak dotąd największym przeszkodą wydaje się być Polityka prywatności.

Wskazówka 1: Możesz dodać dużo jasności – i przyspieszyć proces – jeśli udostępnisz swojemu zespołowi prawnemu pełną listę wszystkich rodzajów gromadzonych danych. Dane takie jak:

  • Imię i nazwisko
  • E-mail
  • Numer telefonu
  • Region Ge0
  • Numer kierunkowy
  • Rodzaj informacji pobranych z Twojej strony internetowej
  • adres IP
  • Dane o zatrudnieniu zawodowym

To wszystko i jeszcze więcej. Zasadniczo wymień dosłownie każdy rodzaj informacji, które użytkownicy witryny mogą ci przekazać.

Wskazówka 2: Nie zapomnij o żadnych mikrowitrynach ani subdomenach, które posiadasz, a także o informacjach, które zbierasz z tych źródeł.

Wskazówka 3: Ostatecznie Twój zespół prawny napisze Politykę prywatności, więc pomocne może być podanie im opisu, w jaki sposób Ty, marketer lub pracownik odpowiedzialny za gromadzenie danych, wykorzystujesz dane. Pomoże im to określić, co powinno znaleźć się w Polityce prywatności.

Wskazówka 4: CCPA nie ogranicza sprzedaży danych, ale jeśli to zrobisz, musisz ujawnić i zezwolić użytkownikom na rezygnację.

Pisarze zauważają: nie współpracujemy z żadnymi klientami, którzy sprzedają dane osobowe swoich użytkowników – ale nadal przestrzegamy wymagań CCPA, tak na wszelki wypadek.

Wskazówka 5: Jeśli sprzedajesz dane nieletnich w wieku 13-16 lat, musisz uzyskać wcześniejszą zgodę przed sprzedażą ich danych. W przypadku osób niepełnoletnich poniżej 13 roku życia potrzebna jest zgoda rodziców lub opiekunów.

Uwaga autorów: Słuchaj – jeśli jesteś kimś, kto sprzedaje dane ludzi, nie rób tego. Jest kiepski i wiesz o tym.

Wskazówka 6: Zachowaj każdą zgodę uzyskaną od nieletnich, rodziców lub opiekunów.

Wskazówka 7: Przechowuj dokumentację wszystkich osób, które wyraziły lub odrzuciły zgodę, wraz z datą przesłania prośby.

Wskazówka 8: Czy korzystasz z CRM? Jeśli tak, musisz to określić, a także wszelkie inne źródła, w których dane mogą być gromadzone lub przetwarzane.

Grzywny CCPA i jak ich uniknąć

Nieprzestrzeganie będzie Cię kosztować.

Nie tylko ogromne grzywny, ale prokurator generalny może wszcząć postępowanie cywilne przeciwko Tobie lub Twojej firmie, jeśli nie zastosujesz się do przepisów przez 30 dni od powiadomienia o naruszeniu.

A to 7500 dolarów grzywny za naruszenie. Tak więc, jeśli naruszysz prawa CCPA 1000 użytkowników, możesz otrzymać grzywnę w wysokości 7 500 000 USD.

Ostatnia rzecz

Gratulacje – nie tylko dotarłeś do końca tego 2000 słów przewodnika CCPA, ale teraz powinieneś mieć wszystko, co jest potrzebne do spełnienia wymagań CCPA dotyczących witryny.

Jedno jest pewne – CCPA nie zniknie w najbliższym czasie, a te przepisy z pewnością rozprzestrzenią się na inne stany. Już teraz budujemy w procesie zgodności z CCPA w każdej tworzonej przez nas witrynie internetowej.

I ostatnia rzecz – zgodność z CCPA wymaga przyzwoitej ilości pracy. Jeśli staje się to przytłaczające lub chcesz, aby inna para oczu dwukrotnie sprawdziła zgodność, zadzwoń do BrandExtract. Możemy podłączyć i pomóc w zapewnieniu zgodności z przepisami kuloodpornymi (lub dokładnym) lub po prostu zarządzać procesem za Ciebie.