СтатьяРуководство по соблюдению веб-сайтов CCPA

Опубликовано: 2022-08-12

Получите пошаговые инструкции по приведению вашего веб-сайта в соответствие с CCPA в этом мегаруководстве Закона штата Калифорния о конфиденциальности потребителей. Это охватывает:

  • Что такое CCPA
  • Требования к веб-сайту CCPA для предприятий
  • Как сделать ваш сайт совместимым с CCPA
  • Как обновить политику конфиденциальности, чтобы она соответствовала требованиям CCPA
  • Штрафы и санкции CCPA

Что такое Калифорнийский закон о конфиденциальности потребителей?

1 января 2020 года Закон Калифорнии о конфиденциальности потребителей вступил в силу после того, как 28 июня 2018 года законопроект был подписан губернатором Брауном.

Цель состояла в том, чтобы усилить права на неприкосновенность частной жизни и защиту потребителей. В частности, жители Калифорнии должны иметь возможность:

  1. Узнайте, какие личные данные о них собираются.
  2. Знайте, продаются или раскрываются ли их личные данные и кому.
  3. Скажи нет продаже персональных данных.
  4. Доступ к их личным данным.
  5. Попросите компанию удалить любую личную информацию о потребителе, полученную от этого потребителя.
  6. Не подвергаться дискриминации за осуществление своих прав на неприкосновенность частной жизни.

Теперь компании, которые собирают личную информацию от жителей Калифорнии, должны соблюдать новые законы о конфиденциальности. Даже если ваш бизнес не работает в Калифорнии, ваш веб-сайт все равно должен соответствовать требованиям CCPA, если вы собираете какие-либо личные данные о жителях Калифорнии. Это включает в себя многие предприятия в Соединенных Штатах.

Мы должны уточнить — эти «личные данные» на самом деле являются данными пользователя — это может быть что угодно, от имени, электронной почты или номера телефона до географического региона или поведения в Интернете.

Таким образом, если есть шанс, что ваша компания может собирать данные жителей Калифорнии, и вы соблюдаете рекомендации, указанные в следующем разделе, вам необходимо обеспечить их соблюдение.

CCPA и GDPR

«Но подождите, мы уже соблюдаем GDPR — разве это не одно и то же?»

К сожалению нет.

GDPR похож, но отличается, и вы все равно должны соблюдать законы CCPA.

И хотя этот закон распространяется только на Калифорнию, это всего лишь первый штат, принявший подобный закон о конфиденциальности. Я ожидаю, что в будущем большинство штатов примут такой же уровень защиты, так что сейчас хорошо идти вперед.

Итак, какие типы компаний и веб-сайтов должны соответствовать CCPA?

Какие веб-сайты должны соответствовать CCPA?

CCPA применяется к любому коммерческому предприятию, которое собирает и обрабатывает личные данные потребителей, которое ведет бизнес в Калифорнии и удовлетворяет хотя бы одному из следующих пороговых значений:

  • Годовой валовой доход превышает 25 миллионов долларов.
  • Покупает или продает личную информацию 50 000 или более потребителей или домохозяйств.
  • Зарабатывает более половины своего годового дохода от продажи личной информации потребителей.

Организации обязаны «внедрять и поддерживать разумные процедуры и методы безопасности» для защиты данных потребителей.

Житель Калифорнии определяется законом штата как любой, кто:

  • Находится в Калифорнии не по временным или временным причинам.
  • Проживает в Калифорнии, но находится за пределами штата по временным или временным причинам.

Как сделать ваш сайт совместимым с CCPA

Вот суть статьи — пошаговое руководство по требованиям веб-сайта CCPA. Прежде чем мы перейдем к мельчайшим деталям, вот ваш общий обзор необходимых обновлений веб-сайта.

  1. Добавьте гиперссылку на свою домашнюю страницу с надписью «Не продавать мои личные данные» . Эта ссылка должна вести людей на целевую страницу.
  2. Создайте целевую страницу с параметрами для запроса, перемещения, изменения или удаления данных : это еще не все, но мы дадим полные требования и несколько примеров в следующем разделе.
  3. Пересмотрите свою Политику конфиденциальности : включите язык, указывающий тип информации, которую вы собираете, как вы используете личные данные, описание прав потребителей и многое другое. Вскоре мы рассмотрим полный список всего, что вам нужно сказать.

Это три основных изменения, которые вы внесете на свой веб-сайт, чтобы обеспечить соответствие требованиям и избежать штрафов. Давайте рассмотрим эти три результата более подробно и покажем, как вносить необходимые обновления.

1. Добавьте гиперссылку на главную страницу с надписью «Не продавать мои личные данные».

Даже если ваша компания не продает личные данные, вам все равно нужна ссылка на главной странице с надписью «Не продавать мои личные данные». Эта ссылка должна вести пользователей на целевую страницу.

Для самой ссылки не существует обязательного стандарта размера или размещения ссылки. Что мы знаем, так это:

  • Ссылка должна быть размещена на главной странице.
  • Ссылка должна присутствовать, даже если вы не продаете личные данные.
  • Ссылка должна быть четко видна и кликабельна — ее нельзя скрыть — это еще один способ, которым плохой пользовательский опыт может вам стоить.

2. Создайте целевую страницу для запроса/удаления данных

Когда кто-то нажимает ссылку на главной странице «Не продавать мои личные данные», он попадает на эту целевую страницу.

Ваша целевая страница нуждается в трех основных элементах:

  1. Описание вашей политики продажи персональных данных : здесь вы описываете свою политику сбора данных — тип данных, которые вы собираете, как вы используете эти данные и свою политику продажи данных.
  2. Описание защищенных прав жителей Калифорнии на неприкосновенность частной жизни: в основном вам необходимо информировать пользователей о новом уровне защиты, предлагаемом CCPA, и их правах на доступ к любым данным, которые вы, возможно, собрали.
  3. Форма : это позволяет людям, которые хотят запрашивать, перемещать, изменять или удалять данные, делать именно это. В форму вы должны включить опцию, позволяющую людям выбирать, что вы будете делать с данными.

Предложите второй вариант запроса данных

CCPA требует, чтобы вы предоставили потребителям два или более методов для отправки запросов, связанных с данными, и осуществления их прав на защиту данных.

Таким образом, вам нужно два варианта, чтобы люди могли запрашивать или удалять данные.

Эта целевая страница считается одним вариантом. Второй вариант должен быть бесплатным номером. Конечно, вы можете предложить более двух методов, но первые два обязательны.

Советы по созданию целевой страницы CCPA

Совет 1: Если вы не продаете данные, отлично — так и скажите. Но вам все равно нужно предоставить пользователям возможность запрашивать, перемещать, изменять или удалять личные данные.

Совет 2. Вам нужно разместить на целевой странице форму, которая позволит людям запрашивать или удалять данные. Я бы порекомендовал сделать раскрывающееся поле, которое позволяет людям выбирать, как они хотят обрабатывать данные: запрошено для просмотра, перемещения, изменения или удаления личных данных.

Совет 3: Целевая страница не обязательно должна быть причудливой, но она должна быть четкой и прямой.

Совет 4. На этой целевой странице вы можете сказать все, поэтому вам следует добавить четкую и очевидную ссылку на политику конфиденциальности для получения дополнительной информации.

Совет 5. Хотя это и не является обязательным, рекомендуется отправлять людям «сообщение об успехе», подтверждающее, что запрос получен и вы работаете над предоставлением или изменением данных, как они указали.

Самый простой способ сделать это — направить людей на страницу благодарности после отправки формы. На странице должно быть простое подтверждающее сообщение, например: «Мы получили ваш запрос и предоставим вам информацию в течение 30 дней или раньше».

Эта страница благодарности также должна содержать ссылку на политику конфиденциальности на тот случай, если пользователь захочет получить дополнительную информацию о вашей политике сбора данных.

3. Пересмотрите свою политику конфиденциальности

Честно говоря, вы захотите привлечь к этому свою команду юристов. Но вы можете сделать много тяжелой работы прямо сейчас.

Я предполагаю, что если вы зашли так далеко, вы либо специалист по маркетингу в компании, либо сотрудник самого бизнеса. В любом случае, у вас должен быть доступ к команде юристов, чтобы усовершенствовать язык Политики конфиденциальности. НО — вам все равно нужно будет предоставить юридическому отделу тип собираемых вами данных и причину, по которой вы это делаете.

Во-первых, мы рассмотрим все, что должна раскрывать ваша обновленная политика конфиденциальности. Затем мы дадим советы по информации, которую вам нужно передать юридическому отделу.

Ваша политика конфиденциальности должна раскрывать:

  1. Описание прав потребителей в соответствии с CCPA;
  2. Описание по крайней мере одного назначенного способа для потребителей отправлять им запросы CCPA;
  3. Список категорий личной информации потребителей, которую они собрали за предыдущие 12 месяцев;
  4. Список категорий личной информации, которую они продали за предыдущие 12 месяцев (или, если предприятия не продавали личную информацию, они должны указать это); а также
  5. Список категорий личной информации, которую они раскрывали (не продавали) в коммерческих целях в течение предшествующих 12 месяцев (или, если они не раскрывали личную информацию, они должны это указать).

В соответствии с CCPA регулируемые предприятия должны обновлять свою политику конфиденциальности не реже одного раза в 12 месяцев.

Советы по пересмотру вашей политики конфиденциальности для CCPA

Мы работали с клиентами над тем, чтобы они соответствовали требованиям CCPA, и до сих пор самым большим препятствием была политика конфиденциальности.

Совет 1. Вы можете внести большую ясность и ускорить процесс, если предоставите своим юристам полный список всех типов данных, которые вы собираете. Такие данные:

  • Имя и фамилия
  • Эл. адрес
  • Номер телефона
  • Ge0-регион
  • Код города
  • Тип информации, загружаемой с вашего веб-сайта
  • айпи адрес
  • Данные о профессиональной занятости

Все это и многое другое. По сути, перечислите буквально каждый тип информации, которую пользователи веб-сайта могут предоставить вам.

Совет 2. Не забывайте о микросайтах или субдоменах, которыми вы владеете, а также об информации, которую вы собираете из этих источников.

Совет 3. В конечном счете, ваша команда юристов напишет Политику конфиденциальности, поэтому может быть полезно дать им описание того, как вы, маркетолог или сотрудник, ответственный за сбор данных, используете данные. Это может помочь им определить, что должно быть в Политике конфиденциальности.

Совет 4. Закон CCPA не запрещает вам продавать данные, но если вы это сделаете, вы должны раскрыть информацию и позволить пользователям отказаться от нее.

Авторы отмечают: мы не работаем с клиентами, которые продают персональные данные своих пользователей, но на всякий случай следуем требованиям CCPA.

Совет 5: ЕСЛИ вы продаете данные несовершеннолетних в возрасте 13–16 лет, вы должны получить предварительное согласие, прежде чем продавать их данные. Для несовершеннолетних младше 13 лет требуется согласие их родителей или опекунов.

Примечание автора: смотрите — если вы тот, кто продает данные людей, не делайте этого. Это отстой, и ты это знаешь.

Совет 6: Обязательно сохраняйте все согласия, полученные от несовершеннолетних, родителей или опекунов.

Совет 7. Храните документацию обо всех, кто дал или отклонил согласие, а также дату отправки запроса.

Совет 8. Используете ли вы CRM? Если это так, вам необходимо указать это, а также любые другие источники, из которых могут собираться или обрабатываться данные.

Штрафы CCPA и как их избежать

Несоблюдение будет стоить вам.

Не только огромные штрафы, но и генеральный прокурор может возбудить гражданское дело против вас или вашего бизнеса, если вы не будете соблюдать требования в течение 30 дней после получения уведомления о нарушении.

И это штраф в размере 7500 долларов за нарушение. Таким образом, если вы нарушите CCPA-права 1000 пользователей, вы можете получить штраф в размере 7 500 000 долларов США.

Последняя вещь

Поздравляем! Вы не только дошли до конца этого руководства CCPA из 2000 слов, но теперь у вас должно быть все необходимое для соответствия требованиям веб-сайта CCPA.

Одно можно сказать наверняка — CCPA не исчезнет в ближайшее время, и эти правила обязательно распространятся на другие штаты. Мы уже внедряем процесс соответствия CCPA на каждом создаваемом веб-сайте.

И последнее — соблюдение требований CCPA требует приличного объема работы. Если это становится невыносимым или вы хотите, чтобы другая пара глаз перепроверила ваше соответствие, позвоните BrandExtract. Мы можем подключиться и помочь сделать ваше соответствие требованиям пуленепробиваемым (или надежным) или просто управлять процессом за вас.