ArticleA Complete Guide to California Consumer Privacy Act

เผยแพร่แล้ว: 2022-08-12

ค้นหาว่าพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนียส่งผลกระทบต่อธุรกิจที่จัดการข้อมูลของผู้อยู่อาศัยอย่างไร และสิ่งที่คุณทำได้เพื่อลดความเสี่ยงในการละเมิดกฎข้อบังคับของพระราชบัญญัติ

*บทความนี้เขียนขึ้นในปี 2018 CCPA มีผลบังคับใช้ในวันที่ 1 มกราคม 2020

ผ่านไปสองสามเดือนแล้วตั้งแต่เกิดความตื่นตระหนกครั้งใหญ่ของ GDPR ในปี 2018 เราทุกคนมีเวลาที่จะสรุปการปฏิบัติตามข้อกำหนด หายใจเข้าออก และมองไปยังอนาคต (แต่หากคุณยังไม่ได้จัดการกับการปฏิบัติตาม GDPR หรือไม่รู้ว่า GDPR คืออะไร ตรวจสอบบทความของฉันเกี่ยวกับ GDPR สำหรับเว็บไซต์ในสหรัฐอเมริกา) ข้อบังคับด้านความเป็นส่วนตัวสำหรับหน่วยงานในสหรัฐฯ จะเป็นอย่างไรต่อไป

เป็นพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) ซึ่งลงนามในกฎหมายเมื่อวันที่ 23 กันยายน 2018 คราวนี้เราทุกคนควรจะสามารถหลีกเลี่ยงฮิสทีเรียที่เราเห็นกับ GDPR ได้ หวังว่า, เราทุกคนต่างทำการวิจัยและพิจารณาอย่างรอบคอบก่อนที่กฎหมายจะมีผลบังคับใช้ใน วันที่ 1 มกราคม 2020

ก่อนที่ฉันจะดำเนินการต่อ โปรดทราบว่าบทความนี้มุ่งเป้าไปที่เจ้าของเว็บไซต์ขนาดกลางถึงขนาดใหญ่แบบธุรกิจกับธุรกิจ (B2B) ไม่ว่าองค์กรของคุณจะเป็นภาครัฐหรือเอกชนก็ไม่เกี่ยวข้อง เช่นเดียวกับที่องค์กรของคุณตั้งอยู่ในแคลิฟอร์เนีย

ฉันพบว่าโพสต์บล็อกส่วนใหญ่เกี่ยวกับหัวข้อนี้และหัวข้อที่คล้ายคลึงกันนั้นเป็นที่น่าสงสัยอย่างมาก ดังนั้นการวิจัยสำหรับบทความนี้จึงขึ้นอยู่กับเนื้อหาของกฎหมายเท่านั้น ไม่ว่าคุณจะได้รับข้อมูลของคุณมาจากที่ใด ให้ตรวจสอบกับทนายความที่เชี่ยวชาญในเรื่องนี้ หากบริษัทของคุณเกี่ยวข้องกับข้อมูลส่วนบุคคลซึ่งเป็นส่วนหนึ่งของธุรกิจหลัก บทความนี้ไม่เหมาะสำหรับคุณ

นี่คือสิ่งที่ฉันจะกล่าวถึง:

  • พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนียคืออะไร
  • ใครได้รับการคุ้มครองโดย CCPA?
  • อะไรกันแน่ที่ได้รับการคุ้มครอง?
  • องค์กรใดบ้างที่ต้องปฏิบัติตาม?
  • สิทธิของผู้บริโภคคืออะไร?
  • มีขั้นตอนใดบ้างในการรับรองการปฏิบัติตาม CCPA
  • บทลงโทษสำหรับการไม่ปฏิบัติตามมีอะไรบ้าง?

มาดำน้ำกันเถอะ!

พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนียคืออะไร

ในปีพ.ศ. 2515 ผู้มีสิทธิเลือกตั้งของรัฐแคลิฟอร์เนียได้แก้ไขรัฐธรรมนูญของรัฐแคลิฟอร์เนียเพื่อรวมสิทธิความเป็นส่วนตัวไว้ในสิทธิที่ "โอนไม่ได้" ของทุกคน การแก้ไขนี้กำหนดสิทธิความเป็นส่วนตัวตามกฎหมายและบังคับใช้ได้สำหรับชาวแคลิฟอร์เนียทุกคน พื้นฐานของสิทธิความเป็นส่วนตัวนี้คือความสามารถของบุคคลในการควบคุมการใช้ รวมถึงการขายข้อมูลส่วนบุคคลของพวกเขา – AB 375, Section 2(a)

เพื่อสนับสนุนการแก้ไขนี้ เราได้ผ่านกฎหมายแคลิฟอร์เนียจำนวนหนึ่งไปแล้ว: พระราชบัญญัติคุ้มครองความเป็นส่วนตัวออนไลน์ สิทธิความเป็นส่วนตัวสำหรับผู้เยาว์ในแคลิฟอร์เนียในพระราชบัญญัติโลกแห่งดิจิทัล และส่องแสง

CCPA เป็นกฎหมายใหม่ที่สร้างขึ้นเพื่อปกป้องสิทธิของผู้อยู่อาศัย มันเริ่มต้นจากการริเริ่มการลงคะแนนเสียงที่เสนอ แต่ผู้สนับสนุนตกลงที่จะถอนออกภายใต้เงื่อนไขว่ากฎหมายใหม่จะต้องผ่านก่อนวันที่ 28 มิถุนายน 2018

นั่นคือเส้นตายในการสรุปสิ่งที่จะอยู่ในบัตรลงคะแนน เพื่อตอบสนองสิ่งนี้ ใบเรียกเก็บเงินที่ไม่สมบูรณ์ (บิลการประกอบ 375) ได้รับการฟื้นคืนชีพหลังจากก่อนหน้านี้ล้มเหลวในการดึง ก็ผ่านไปอย่างเร่งรีบ ความคิดริเริ่มในการลงคะแนนเสียงและ AB 375 ถูกเรียกว่า California Consumer Privacy Act แม้ว่าการริเริ่มการลงคะแนนเสียงและกฎหมายที่เป็นผลจะพิสูจน์ให้เห็นถึงความแตกต่างอย่างมาก

สมาชิกสมัชชาแห่งแคลิฟอร์เนียกลัวว่าหากกฎหมายไม่ผ่านในเวลาที่เหมาะสม และการริเริ่มดังกล่าวทำให้เข้าสู่บัตรลงคะแนน ผู้มีสิทธิเลือกตั้งจะผ่านกฎหมายที่จะเป็นเรื่องยากหากไม่เป็นไปไม่ได้สำหรับธุรกิจที่จะปฏิบัติตาม

ต่อมาในปี 2018 ฉบับแก้ไขผ่านวุฒิสภารัฐแคลิฟอร์เนีย (วุฒิสภาบิล 1121) แต่กฎหมายยังไม่สมบูรณ์และดูเหมือนว่าอาจมีการแก้ไขเพิ่มเติม

ก่อนที่เราจะลงรายละเอียดกฎหมายเราควรยอมรับว่าบางส่วนอาจมีการเปลี่ยนแปลง บางทีกฎหมายเองก็ไม่อาจบังคับใช้ได้

ขณะนี้มีความคิดริเริ่มในการจัดตั้งกฎหมายความเป็นส่วนตัวของข้อมูลของรัฐบาลกลางซึ่งจะแทนที่กฎหมายความเป็นส่วนตัวของข้อมูลของรัฐ สมาชิกสภานิติบัญญัติแห่งสหพันธรัฐอาจรู้สึกว่ากฎหมายของรัฐแคลิฟอร์เนียไม่เอื้ออำนวยหรือไม่ไปไกลพอ จากนั้นจึงเร่งรัดกฎหมายของรัฐบาลกลาง... การเคลื่อนไหวที่สะท้อนการกระทำของสภารัฐแคลิฟอร์เนีย

มีเหตุผลสมควรที่สมาชิกสภานิติบัญญัติของรัฐและรัฐบาลกลางจะระมัดระวังการริเริ่มที่ขับเคลื่อนโดยผู้มีสิทธิเลือกตั้งและดูแลกฎหมายของรัฐแต่ละแห่ง ธุรกิจต่างๆ อาจต้องแบกรับคำสั่งทางเทคนิคที่ทำไม่ได้ หรือภาระหนักหนาที่ต้องปฏิบัติตามกฎหมายของ 50 รัฐที่แตกต่างกัน

ในฐานะนักพัฒนาเว็บ ฉันกลัวทั้งสองสถานการณ์นี้ แต่ในฐานะผู้บริโภคส่วนบุคคล ฉันผิดหวังกับกฎหมายของรัฐแคลิฟอร์เนีย มันไม่ได้ไปไกลพอที่จะปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้

ไม่ว่าจะเกิดอะไรขึ้น อีกสองสามปีข้างหน้าจะค่อนข้างวุ่นวาย แต่นี่คือจุดที่เรายืนอยู่ตอนนี้...

ใครได้รับการคุ้มครองโดย CCPA?

CCPA ใช้กับทุกคนที่อาศัยอยู่ในแคลิฟอร์เนีย ข้อความของกฎหมายอ่านว่า:

ผู้บริโภค หมายถึง บุคคลธรรมดาที่มีถิ่นที่อยู่ในแคลิฟอร์เนีย ตามที่กำหนดไว้ในมาตรา 17014 ของหัวข้อ 18 แห่งประมวลกฎหมายแห่งรัฐแคลิฟอร์เนีย ตามที่อ่านในหัวข้อดังกล่าวเมื่อวันที่ 1 กันยายน 2017 อย่างไรก็ตาม ระบุไว้ รวมถึงโดยตัวระบุที่ไม่ซ้ำกัน – AB 375 มาตรา 3, 1798.140

"บุคคลธรรมดา" สามารถคิดได้ว่าเป็นมนุษย์แต่ละคน ในทางตรงกันข้าม "นิติบุคคล" อาจเป็นนิติบุคคลก็ได้ คำจำกัดความของผู้อยู่อาศัยคือ:

คำว่า “ผู้มีถิ่นที่อยู่” ตามคำจำกัดความในกฎหมาย รวมถึง (1) บุคคลทุกคนที่อยู่ในรัฐเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ชั่วคราวหรือชั่วคราว และ (2) บุคคลทุกคนที่มีภูมิลำเนาในรัฐที่อยู่นอกรัฐเพื่อ วัตถุประสงค์ชั่วคราวหรือชั่วคราว บุคคลอื่นๆ ทั้งหมดเป็นผู้ไม่มีถิ่นที่อยู่ – ประมวลกฎหมายแคลิฟอร์เนีย หัวข้อ 18 มาตรา 17014

นักเทคโนโลยีที่ชาญฉลาดในองค์กรของคุณอาจแนะนำให้กรองผู้ใช้ตามรัฐ ทำให้ผู้ใช้ในแคลิฟอร์เนียได้รับประสบการณ์ที่ต่างออกไป แต่มีข้อบกพร่องสามประการในแนวทางนี้

ประการแรก ผู้อยู่อาศัยในแคลิฟอร์เนียจะได้รับการคุ้มครองไม่ว่าพวกเขาจะอยู่ในรัฐในขณะนั้นหรือไม่ ประการที่สอง เครื่องมือที่เราใช้ในการระบุตำแหน่งของผู้ใช้นั้นไม่สมบูรณ์ และประการที่สาม การรักษาประสบการณ์เว็บไซต์แยกต่างหากสำหรับผู้ใช้ในแคลิฟอร์เนียจะเป็นส่วนเพิ่มเติม ไม่จำเป็น ภาระ.

โปรดทราบว่าตลอดข้อความของกฎหมาย (รวมถึงชื่อ) คำว่า "ผู้บริโภค" ใช้เพื่อหมายถึงบุคคลธรรมดาทุกคนที่อาศัยอยู่ในแคลิฟอร์เนีย เป็นทางเลือกที่แปลกเพราะบุคคลไม่จำเป็นต้องซื้อสินค้าหรือบริการเพื่อให้ได้รับการคุ้มครองตามกฎหมาย

ป้องกันอะไร?

CCPA ปกป้องข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถเชื่อมโยงกับบุคคลหรือครัวเรือนโดยตรงหรือโดยอ้อม

โปรดทราบว่าสามารถรวบรวมข้อมูลของผู้ใช้ที่ไม่ระบุชื่อได้ทั้งหมด เช่น โดยใช้คุกกี้หรือที่อยู่ IP จากนั้นจึงเชื่อมโยงข้อมูลดังกล่าวกับบุคคลในภายหลัง ซึ่งหมายความว่าข้อมูล "สามารถเชื่อมโยง" กับบุคคลได้

ดังนั้น หาก CCPA ใช้กับธุรกิจของคุณ คุณต้องเปิดเผยการเก็บรวบรวมนี้แก่บุคคลเมื่อมีการรวบรวมข้อมูล แม้ว่าบุคคลนั้นจะยังไม่ได้ระบุหรือไม่ได้รับการระบุก็ตาม เพราะสามารถระบุตัวบุคคลได้หมายความว่าคุณต้องปฏิบัติตาม ข้อมูลส่วนบุคคลรวมถึงแต่ไม่จำกัดเพียง:

(A) ตัวระบุ เช่น ชื่อจริง นามแฝง ที่อยู่ทางไปรษณีย์ ตัวระบุส่วนบุคคลที่ไม่ซ้ำ ตัวระบุออนไลน์ ที่อยู่ Internet Protocol ที่อยู่อีเมล ชื่อบัญชี หมายเลขประกันสังคม หมายเลขใบอนุญาตขับขี่ หมายเลขหนังสือเดินทาง หรือตัวระบุอื่นที่คล้ายคลึงกัน

(B) ข้อมูลส่วนบุคคลประเภทใด ๆ ที่อธิบายไว้ในหมวดย่อย (e) ของมาตรา 1798.80

(C) ลักษณะของการจำแนกประเภทที่ได้รับการคุ้มครองภายใต้กฎหมายแคลิฟอร์เนียหรือกฎหมายของรัฐบาลกลาง

(D) ข้อมูลทางการค้า รวมถึงบันทึกของทรัพย์สินส่วนบุคคล ผลิตภัณฑ์หรือบริการที่ซื้อ ได้รับ หรือพิจารณา หรือประวัติการซื้อหรือการบริโภคอื่น ๆ หรือแนวโน้ม

(E) ข้อมูลไบโอเมตริกซ์

(F) อินเทอร์เน็ตหรือข้อมูลกิจกรรมเครือข่ายอิเล็กทรอนิกส์อื่นๆ รวมถึงแต่ไม่จำกัดเพียง ประวัติการท่องเว็บ ประวัติการค้นหา และข้อมูลเกี่ยวกับปฏิสัมพันธ์ของผู้บริโภคกับเว็บไซต์อินเทอร์เน็ต แอปพลิเคชัน หรือโฆษณา

(G) ข้อมูลตำแหน่งทางภูมิศาสตร์

(H) ข้อมูลเสียง อิเล็กทรอนิกส์ ภาพ ความร้อน การดมกลิ่น หรือข้อมูลที่คล้ายกัน

(I) ข้อมูลทางวิชาชีพหรือที่เกี่ยวข้องกับการจ้างงาน

(J) ข้อมูลการศึกษา ซึ่งกำหนดเป็นข้อมูลที่ไม่มีข้อมูลระบุตัวบุคคลได้เปิดเผยต่อสาธารณะตามที่กำหนดไว้ในพระราชบัญญัติสิทธิการศึกษาของครอบครัวและความเป็นส่วนตัว (20 USC มาตรา 1232g, 34 CFR ส่วนที่ 99)

(K) การอนุมานจากข้อมูลใดๆ ที่ระบุในส่วนย่อยนี้เพื่อสร้างโปรไฟล์เกี่ยวกับผู้บริโภคที่สะท้อนถึงความชอบ ลักษณะเฉพาะ แนวโน้มทางจิตวิทยา ความชอบ ความโน้มเอียง พฤติกรรม ทัศนคติ สติปัญญา ความสามารถ และความถนัดของผู้บริโภค

– AB 375 มาตรา 3, 1798.140

องค์กรใดบ้างที่ต้องปฏิบัติตาม?

หากองค์กรของคุณไม่ได้ทำธุรกิจในรัฐแคลิฟอร์เนีย แสดงว่าคุณอยู่ในที่ชัดเจน และผู้ที่เรียกดูเว็บไซต์ของคุณจากในแคลิฟอร์เนียไม่ได้หมายความถึงเจตนาที่จะทำธุรกิจในรัฐนี้ แต่ถ้าบริษัทของคุณทำธุรกิจในแคลิฟอร์เนีย คุณต้องถามตัวเองสองสามคำถาม:

  1. องค์กรของคุณมีรายได้รวมประจำปีเกิน 25 ล้านดอลลาร์หรือไม่? (โปรดทราบว่าตัวเลขปรับตามดัชนีราคาผู้บริโภค)
  2. องค์กรของคุณจัดการกับข้อมูลส่วนบุคคลของผู้บริโภค ครัวเรือน หรืออุปกรณ์มากกว่า 50,000 รายในแต่ละปีหรือไม่?
  3. องค์กรของคุณมีรายได้ 50 เปอร์เซ็นต์หรือมากกว่าต่อปีจากการขายข้อมูลส่วนบุคคลของผู้บริโภคหรือไม่?

หากคุณสามารถตอบใช่สำหรับคำถามสามข้อนี้ องค์กรของคุณต้องปฏิบัติตาม หากองค์กรของคุณอยู่ภายใต้เกณฑ์เหล่านี้ทั้งหมด แต่เป็นเจ้าของโดยเอนทิตีที่ใหญ่กว่า (ที่มีการควบคุมมากกว่า 50%) ซึ่งเกินเกณฑ์ใดเกณฑ์หนึ่ง องค์กรของคุณจะต้องปฏิบัติตามอีกครั้ง

สิทธิของผู้บริโภคคืออะไร?

สิทธิ์ที่มอบให้กับผู้อยู่อาศัยในแคลิฟอร์เนียภายใต้กฎหมายนี้มีความคล้ายคลึงกันหลายประการกับสิทธิ์ที่มอบให้กับพลเมืองของสหภาพยุโรปภายใต้ GDPR เช่นเดียวกับ GDPR ธุรกิจต้องแจ้งให้ผู้ใช้ทราบเมื่อเก็บรวบรวมข้อมูลและสิ่งที่พวกเขาจะทำกับข้อมูลก่อนที่จะรวบรวมข้อมูล:

ธุรกิจที่รวบรวมข้อมูลส่วนบุคคลของผู้บริโภค จะต้องแจ้งให้ผู้บริโภคทราบเกี่ยวกับประเภทของข้อมูลส่วนบุคคลที่จะรวบรวม ณ หรือก่อนถึงจุดรวบรวม และวัตถุประสงค์ในการใช้ประเภทของข้อมูลส่วนบุคคล – AB 375 ส่วนที่ 3 1798.100(ข)

และพวกเขามีสิทธิที่จะขอข้อมูลทั้งหมดที่ธุรกิจได้เก็บรวบรวม:

ผู้บริโภคมีสิทธิที่จะขอให้ธุรกิจที่รวบรวมข้อมูลส่วนบุคคลของผู้บริโภคเปิดเผยต่อผู้บริโภคนั้นเกี่ยวกับหมวดหมู่และข้อมูลส่วนบุคคลเฉพาะที่ธุรกิจได้รวบรวม – AB 375, Section 3, 1798.100(a)

จากสิ่งนี้ ผู้บริโภคมีสิทธิที่จะทราบประเภทของแหล่งข้อมูลที่รวบรวมข้อมูล วัตถุประสงค์ทางธุรกิจของการรวบรวมข้อมูล และหมวดหมู่ของบุคคลที่สามที่ข้อมูลถูกแบ่งปันด้วย

นอกจากนี้ ผู้ใช้มีสิทธิที่จะขอให้ลบข้อมูลของตนออกจากบันทึกของคุณและจากบันทึกของผู้ให้บริการทั้งหมดของคุณ

ผู้บริโภคมีสิทธิที่จะขอให้ธุรกิจลบข้อมูลส่วนบุคคลใด ๆ เกี่ยวกับผู้บริโภคที่ธุรกิจได้รวบรวมจากผู้บริโภค – AB 375, Section 3, 1798.105(a)

หากธุรกิจหลักของคุณเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้บริโภค มีสิทธิ์เพิ่มเติมที่คุณต้องระวังและเตรียมรับมือ แต่อีกครั้ง บทความนี้ไม่เหมาะสำหรับคุณ

มีขั้นตอนใดบ้างในการรับรองการปฏิบัติตาม CCPA

ก่อนอื่น คุณต้องแจ้งให้ผู้ใช้ทราบเกี่ยวกับการรวบรวมข้อมูลทั้งหมดล่วงหน้า CCPA ต่างจาก GDPR ตรงที่ไม่ต้องใช้กลไกการยินยอมในเชิงบวก ตัวอย่างเช่น เมื่อผู้ใช้กรอกแบบฟอร์ม ข้อความง่ายๆ ที่เปิดเผยว่าคุณจะทำอะไรกับข้อมูลก็เพียงพอแล้ว ผู้ใช้ไม่จำเป็นต้องทำเครื่องหมายในช่องที่อธิบายว่าตนเข้าใจและยินยอมให้มีการรวบรวม

คุณต้องจัดเตรียมวิธีการอย่างน้อยสองวิธีให้กับผู้ใช้เพื่อขอข้อมูลของพวกเขา หรือเพื่อลบข้อมูลของพวกเขา วิธีใดวิธีหนึ่งเหล่านี้ต้องเป็นหมายเลขโทรฟรี อีกอันสามารถเป็นที่อยู่เว็บไซต์ได้

คำขอทั้งหมดต้องได้รับการตรวจสอบและตอบกลับภายใน 45 วัน ระยะเวลานี้สามารถขยายได้อีก 45 วัน ตราบใดที่คุณแจ้งให้ผู้บริโภคทราบภายในช่วง 45 วันแรก การเปิดเผยของคุณต่อผู้ใช้จะต้องมีการเก็บรวบรวมข้อมูลในช่วง 12 เดือนก่อนหน้า ดังนั้นตรวจสอบให้แน่ใจว่าคุณสามารถจัดเก็บและเรียกข้อมูลที่จำเป็นได้ตั้งแต่วันที่ 1 กรกฎาคม 2019

ธุรกิจที่ได้รับคำขอของผู้บริโภคที่ตรวจสอบได้จากผู้บริโภคให้เข้าถึงข้อมูลส่วนบุคคลจะต้องดำเนินการตามขั้นตอนในทันทีเพื่อเปิดเผยและส่งมอบข้อมูลส่วนบุคคลที่กำหนดโดยส่วนนี้ให้กับผู้บริโภคโดยไม่เสียค่าใช้จ่าย – AB 375, Section 3, 1798.100(d)

คุณไม่จำเป็นต้องตอบกลับคำขอข้อมูลของผู้ใช้รายเดียวมากกว่าหนึ่งครั้งในระยะเวลา 12 เดือนใดๆ

คุณต้องอัปเดตนโยบายความเป็นส่วนตัวของคุณเพื่อเปิดเผยคำอธิบายเกี่ยวกับสิทธิ์ของผู้บริโภคตามมาตรา 1798.110, 1798.115 และ 1798.125 ของ CCPA คุณต้องนำเสนอวิธีการที่มีอยู่สำหรับการร้องขอเกี่ยวกับข้อมูลของพวกเขา

ตามที่ระบุไว้ข้างต้น หนึ่งในวิธีการเหล่านั้นต้องเป็นหมายเลขโทรฟรี คุณต้องเปิดเผยหมวดหมู่ข้อมูลทั้งหมดที่คุณรวบรวมในช่วง 12 เดือนที่ผ่านมาและอัปเดตข้อมูลนั้นอย่างน้อยทุก 12 เดือน

ในเวลาเดียวกัน คุณต้องตรวจสอบให้แน่ใจว่าทุกคนที่จัดการกับคำถามของผู้บริโภคเกี่ยวกับแนวทางปฏิบัติด้านความเป็นส่วนตัวของธุรกิจหรือการปฏิบัติตามชื่อนี้จะได้รับแจ้งถึงข้อกำหนดทั้งหมด พวกเขายังจำเป็นต้องรู้วิธีสั่งการให้ผู้บริโภคใช้สิทธิของตนภายใต้มาตราเหล่านั้นด้วย

คุณอาจเห็นบางคนแนะนำว่าคุณต้องมีลิงก์ในหน้าแรกของคุณที่ชื่อ "ห้ามขายข้อมูลส่วนบุคคลของฉัน" แต่ข้อกำหนดนั้นเฉพาะสำหรับธุรกิจที่ขายข้อมูลส่วนบุคคลของผู้บริโภค ดังที่ได้กล่าวไว้ก่อนหน้านี้ในบทความนี้ หากคุณขายข้อมูลส่วนบุคคลของผู้บริโภค บทความนี้ไม่เหมาะสำหรับคุณ

สุดท้ายนี้ คุณไม่สามารถเลือกปฏิบัติต่อผู้ใช้ที่ใช้สิทธิ์ความเป็นส่วนตัวที่ได้รับจาก CCPA การเลือกปฏิบัติรวมถึงการปฏิเสธสินค้าหรือบริการ การเรียกเก็บราคาที่สูงขึ้น หรือการจัดหาสินค้าและบริการในระดับที่แตกต่างกันหรือมีคุณภาพ

คุณอาจเสนอสิ่งจูงใจทางการเงินสำหรับการรวบรวมข้อมูลส่วนบุคคล แต่พึงระวังว่าโปรแกรมจูงใจเหล่านี้ไม่ได้มีลักษณะบังคับหรือน่าคิด

บทลงโทษสำหรับการไม่ปฏิบัติตามมีอะไรบ้าง?

บทลงโทษที่ประเมินโดยอัยการสูงสุดแห่งรัฐแคลิฟอร์เนียนั้นค่อนข้างน้อยเมื่อเทียบกับการลงโทษที่มาพร้อมกับการละเมิด GDPR โปรดทราบว่าในกรณีที่มีการกล่าวหาว่าละเมิด คุณจะมีเวลา 30 วันในการแก้ไขปัญหา และคุณจะต้องจ่ายค่าปรับก็ต่อเมื่อคุณไม่ทำเช่นนั้น

หากคุณพบว่ามีการละเมิดและไม่แก้ไขปัญหา คุณจะต้องเสียค่าปรับทางแพ่ง 2,500 ดอลลาร์สำหรับการละเมิดโดยไม่ได้ตั้งใจ และ 7,500 ดอลลาร์สำหรับการละเมิดโดยเจตนา บทลงโทษเหล่านี้เบาบางจนบางบริษัทเลือกที่จะเพิกเฉยต่อกฎหมายอย่างแน่นอน แต่พวกเขาทำอย่างนั้นในอันตรายมาก

ต้นทุนที่เพิ่มขึ้นจากการถูกพบว่าละเมิด CCPA คือความเสี่ยงที่เพิ่มขึ้นจากการถูกฟ้องร้องดำเนินคดีแบบกลุ่ม ความเสียหายตามกฎหมายจำกัดไว้ที่ $100 - $750 ต่อผู้บริโภคต่อเหตุการณ์หรือความเสียหายจริง แล้วแต่จำนวนใดจะสูงกว่า แต่เนื่องจากการจัดการข้อมูลของบุคคลหลายพันคนเป็นเรื่องปกติ ความเสียหายโดยรวมในการดำเนินคดีแบบกลุ่มจึงอาจมีขนาดใหญ่

คำแนะนำ

บางทีสิ่งที่น่าเป็นห่วงที่สุดเกี่ยวกับกฎหมายใหม่เหล่านี้ก็คือความรู้ที่ยังมีอีกมากมายที่จะตามมา ไม่ว่าเราจะเริ่มเห็นกฎหมายของรัฐเพิ่มเติมที่ออกแบบมาเพื่อปกป้องความเป็นส่วนตัวของข้อมูลของเราหรือกฎหมายของรัฐบาลกลางที่จะผ่านและยึดหรือแทนที่กฎหมายของรัฐ

เป็นไปไม่ได้ที่จะรู้ว่ากฎหมายในอนาคตเหล่านี้อาจรวมถึงอะไรบ้าง แต่เราสามารถคาดเดาอย่างมีการศึกษาได้ และมีแนวทางปฏิบัติเพิ่มเติมอีกสองสามข้อที่จะช่วยรับรองการปฏิบัติตามข้อกำหนดในทุกรัฐและสหภาพยุโรป:

  • กำหนดกระบวนการกำจัดข้อมูลลูกค้าหลังจากระยะเวลาที่กำหนด
  • ต้องมีกลไกการยินยอมในเชิงบวกในทุกจุดของการรวบรวมข้อมูล
  • เก็บข้อมูลน้อยลง!

คำแนะนำสุดท้ายนั้นง่ายต่อการเข้าใจและทำให้คุณไม่ต้องรับผิดชอบมากมาย มีหลายสิ่งหลายอย่างในเว็บไซต์สมัยใหม่ส่วนใหญ่ที่บันทึก ติดตาม และควบคุมกิจกรรมของผู้ใช้

สิ่งเหล่านี้ส่วนใหญ่ไม่ได้รวบรวมข้อมูลสำหรับเจ้าของเว็บไซต์จริงๆ พวกเขารวบรวมข้อมูลสำหรับเครือข่ายโฆษณาเป้าหมาย บริการ "ฟรี" เช่น การวิเคราะห์ การโฮสต์แบบอักษร เครือข่ายการส่งเนื้อหา วิดเจ็ตการแชร์ และอื่นๆ ที่คล้ายคลึงกันนั้นฟรี

คุณจ่ายเงินสำหรับพวกเขาด้วยความเป็นส่วนตัวของผู้ใช้ของคุณ อย่าใช้บนเว็บไซต์ของคุณเมื่อเป็นไปได้ หรือกำหนดค่าในลักษณะที่คุณไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้อีกต่อไป

ทรัพยากร

  • บิลสมัชชารัฐแคลิฟอร์เนียหมายเลข 375
  • บิลวุฒิสภารัฐแคลิฟอร์เนียหมายเลข 1121
  • บทความของ Data Privacy Monitor เกี่ยวกับ CCPA โดยปกติฉันจะไม่เชื่อมโยงไปยังบล็อก แต่โพสต์ของ DPM และ Alan L. Friel นั้นยอดเยี่ยมอย่างสม่ำเสมอ

กฎระเบียบ CCPA สามารถครอบงำได้ หวังว่า เราได้ช่วยรวบรวมทุกสิ่งที่คุณจำเป็นต้องรู้ ในขณะที่คุณพิจารณาตรวจสอบไซต์ของคุณ เรายินดีที่จะสนทนา สำหรับข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับเว็บและการพิจารณาด้านดิจิทัลสำหรับแบรนด์ของคุณ ต่อไปนี้คือเคล็ดลับและแหล่งข้อมูลบางส่วนที่จะช่วยคุณ:

  • เรียนรู้สิ่งที่จะทำให้ไซต์ของคุณสามารถเข้าถึงได้
  • ค้นหากุญแจสำคัญในการรักษาความปลอดภัยเว็บไซต์และวิธีทำให้เว็บไซต์ของคุณปลอดภัย
  • ดูวิธีสร้างเว็บไซต์ธุรกิจที่มีส่วนร่วม (และทำให้เกิด Conversion)