1. ComputerePCsSikkerhed Californien Consumer Privacy Act (CCPA) For Dummies

California Consumer Privacy Act (CCPA) træder i kraft 1. januar 2020. Er din virksomhed klar til CCPA-overholdelse?

Mange virksomheder har brugt de sidste 18 til 24 måneder på at arbejde på deres datastyring og privatlivsprogrammer for at overholde EU's almindelige databeskyttelsesforordning (GDPR), der trådte i kraft i maj 2018. Hvis du er en af ​​disse virksomheder, meget af det arbejde, du allerede har gjort for at opnå GDPR-overholdelse, hjælper dig med CCPA-lovgivningen, men der er nogle vigtige forskelle - som jeg forklarer i denne artikel.

Hvad er CCPA?

California Consumer Privacy Act (CCPA) definerer personlige oplysninger som ”oplysninger, der identificerer, vedrører, beskriver, er i stand til at blive forbundet med eller med rimelighed kunne knyttes direkte eller indirekte til en bestemt forbruger eller husholdning.” Denne definition er bredere end GDPRs definition af personlige oplysninger, som er begrænset til oplysninger relateret til "identificerede eller identificerbare levende personer."

California Consumer Privacy Act (CCPA)

Fra dette tidspunkt er CCPA-kravene ikke blevet afsluttet og vil sandsynligvis blive ændret, før den endelige version er vedtaget. Gå til det officielle CCPA-websted, der findes på https://oag.ca.gov/privacy/ccpa for at læse de seneste opdateringer til CCPA-lovgivningen.

Gælder CCPA for mit firma?

CCPA gælder for enhver for-profit-virksomhed (og enhver enhed, der kontrollerer eller kontrolleres af en virksomhed og deler fælles branding - såsom et delt navn, servicemark eller varemærke - med virksomheden), der udfører forretninger i staten Californien og mødes en eller flere af følgende tærskler:

* Har en årlig bruttoindtægt på over $ 25 millioner

* Køber, modtager, sælger eller deler personlige oplysninger til kommercielle formål for 50.000 eller flere forbrugere, husholdninger eller enheder årligt

* Modtager halvdelen eller mere af sine årlige indtægter fra at sælge forbrugernes personlige oplysninger

Retningslinjer for CCPA-overholdelse

Hvis du spørger, er vi GDPR-kompatible, betyder det også, at vi også er CCPA-kompatible? Ligesom GDPR, der definerer de registreredes specifikke rettigheder, definerer CCPA specifikke rettigheder for californiske forbrugere, herunder:

* Retten til adgang til specifikke personlige oplysninger, der er indsamlet om forbrugeren, men begrænset til data indsamlet i de sidste 12 måneder.

* Retten til at blive underrettet om de typer oplysninger og de formål, som informationerne skal bruges til, før eller når informationen indsamles. Krav til privatlivspolitikker og meddelelser i henhold til CCPA er mindre detaljerede end for GDPR, men der er specifikke krav til, hvor meddelelser skal placeres på websteder, og hvordan meddelelser skal modtages af forbrugerne.

* Retten til at anmode om en kopi af de personlige oplysninger, der er indsamlet i et bærbart og let læsbart format. Virksomheder er dog kun forpligtet til at give personlige oplysninger til en forbruger højst to gange i en periode på 12 måneder.

* Retten til at blive glemt (med bredere undtagelser end dem, der er angivet under GDPR)

* Retten til at begrænse behandlingen ("fravælgelse") af personlige oplysninger underlagt nogle begrænsninger. Forbrugerne har ret til at fravælge videregivelse eller salg af deres personlige oplysninger (med forbehold af nogle begrænsninger), og virksomheder skal iøjnefaldende vise et opt-out-link (og et gratis telefonnummer) på deres websted. Der forventes mere receptpligtig vejledning på dette område, og nogle eller alle følgende forventes i vid udstrækning:

* Hvor og hvordan et opt-out-link eller -knap skal vises på et websted

* Et obligatorisk, ensartet fravalgslogo eller -knap, som forbrugerne let kan genkende

* En webformular, der giver forbrugere mulighed for at fravælge nogle eller alle markedsføringskampagner (såsom e-mail-lister, loyalitetsprogrammer og så videre) fra virksomheden

I modsætning til GDPR definerer CCPA-lovgivningen (i sin nuværende form) ikke en individuel ret til at få urigtige oplysninger rettet eller til at gøre indsigelse mod behandlingen af ​​personlige oplysninger.

Minimumskrav til CCPA-overholdelse

For at forberede sig til CCPA skal virksomhederne vedtage en overholdelsesstrategi og oprette en ccpa-overholdelsestjekliste, der minimalt indeholder følgende komponenter:

Identificere. Identificer, mærk, klassificer (eller kategoriser) og indeksér de personlige oplysninger, som du indsamler og gemmer på alle personer (ikke kun Californiens forbrugere). Flere privatlivsregler kommer - det er uundgåeligt.

                         * Definere. Oprettelse af hensigtsmæssige politikker og processer for datastyring for at sikre overholdelse af CCPA-krav. Sørg for, at du har tilstrækkelige procedurer på plads (og automatiserer så meget som muligt) med et CCPA-kompatibelt websted til at reagere på de forskellige forbrugerrettigheder, som forbrugerne kan udøve i henhold til CCPA. I de fleste tilfælde har virksomheder kun 45 dage til at svare på bekræftede anmodninger fra forbrugere.

                         * Beskyt. Hvis du allerede har implementeret principperne om "privacy by design" og "privacy as default" og dataminimeringskravet specificeret under GDPR, er du i gang med en god start.

           * Administrer. Overholdelse er ikke en engangsaktivitet; det kræver, at løbende ledelse skal være vellykket. Alle i din virksomhed skal forstå, hvad CCPA specifikt kræver af dem i deres individuelle jobroller. Kravene defineret under CCPA er stadig under udvikling, så omhyggelighed og opmærksomhed er afgørende for overholdelse.

Hvis du vil vide mere om CCPA-implementering og din CCPA-overholdelsesfrist, skal du tjekke følgende ressourcer:
* Californiens kontor for retsadvokaten (https://oag.ca.gov/privacy/ccpa)
* Californians til forbrugernes privatliv (https://caprivacy.org)
* Den internationale sammenslutning af privatlivspersoner (https://iapp.org)