Защо вашият бизнес трябва да обръща внимание на спазването на CCPA

Защо фирмите трябва да обърнат внимание на Закона за поверителност на потребителите в Калифорния - CCPA

Известната слънчева, спокойна култура на сърфистите в Калифорния опровергава ролята си в изместването на националните разговори по горещи проблеми чрез приемането на забележителни законодателни актове. Първата, която прехвърли всичко - от замърсяването на въздуха до медицинската марихуана до законодателството за развод без вина, Калифорния води борбата за благоприятни за потребителите закони за поверителност на данните.

Най- Закон за поверителност на потребителите в Калифорния (ССРА) е най-изчерпателният и приложим закон за поверителност на данните на Съединените щати. Трудно е да се надценява влиянието му върху практиките за поверителност.

Какво трябва да знаете за CCPA

Правилата за поверителност са сложни, това е вярно. Но те са управляеми за всеки бизнес с правилния подход. Ако сте в началото на своето пътуване за спазване на поверителността (вдъхновяваща музика), ето какво трябва да знаете за CCPA и вашия бизнес. 

Въпросът за 25 милиона долара: CCPA важи ли за мен?

Въпрос номер едно, който получаваме от клиентите е, Така че трябва ли да се притеснявам за CCPA или не?

CCPA се прилага за бизнеси с нестопанска цел, които оперират в Калифорния, събират и контролират личната информация на жителите на Калифорния и отговарят на едно от следните изисквания:

  • Годишните брутни приходи над $25 милиона
  • Събира лична информация от повече от 50,000 XNUMX жители, домакинства или устройства в Калифорния всяка година *
  • Получава 50% или повече от годишните приходи от продажба на лична информация на жителите на Калифорния

*Прагът за събирана лична информация ще бъде повишен до 100,000 2023 през XNUMX г., когато Законът за правата на поверителност на Калифорния стане приложим.

Това може да звучи така, сякаш е само за големи корпорации. Не е. Изследователите оценяват колкото 75% от фирмите в Калифорния печелят под 25 милиона долара годишни приходи ще бъдат засегнати от закона.

Всичко е за индивида (права)

Индивидуалното право на потребителя да контролира как се използва неговата лична информация е в основата на CCPA. Правата, кодифицирани от CCPA, включват правото на:

  • Знайте каква информация събирате за тях и защо
  • Искате да изтриете тяхната информация от вашите бази данни
  • Знайте с кои компании трети страни споделяте техните данни или от които купувате техните данни
  • Поръчайте отговор за включване, преди да продадете данни за всеки на възраст под 16 години
  • Отказ от продажбата на лична информация

Последното – правото да се откаже продажбата на лична информация – е голямото. С широка дефиниция на това какво съставлява „продажба“ на данни (продажба, отдаване под наем, пускане, разкриване, разпространение, предоставяне или прехвърляне... лична информация на потребителя срещу пари or нещо друго ценно), това изискване може да се окаже най-хлъзгавото, за да се хване за бизнеса.

Управление на заявки за индивидуални права

Ако позволите на трети страни да използват данните, които събирате за свои собствени цели и трябва да отговарят на CCPA, вие имам да имате сигурни, ефективни процеси за картографиране на данни, които ви позволяват да идентифицирате, променяте и премахвате лична информация за потребителите в рамките на сроковете на CCPA.

Това означава, че трябва:

  • Имате процеси за подаване на индивидуални права за заявки за информация/изтриване. Това трябва да включва поне два начина за подаване на заявки.  
    • Изисква се безплатен телефонен номер, с изключение на фирми, работещи само онлайн – имейл адресът може да заеме мястото на безплатния номер.  
    • По принцип всички компании могат да предоставят или уеб формуляр, или имейл адрес за изпращане на заявки.
    • Преди да финализирате процесите си, прегледайте се със специалист по поверителност, за да сте сигурни, че правите правилния избор.
  • Знайте, че можете да изпълните стриктното 10-дневно потвърждение на заявката и 45-дневния график за завършване
  • Знайте, че вашият екип може правилно да идентифицира и проверява записите с информация за потребителите 

Прозрачност със зъби

с строги изисквания за уведомяване на клиентите за практиките за събиране на данни, можете да благодарите на CCPA за всички тях Актуализация на нашата политика за поверителност имейли, които сте получавали от всяка компания, на която някога сте давали своя имейл адрес. 

Съобщенията за поверителност, съвместими с CCPA, трябва да са достъпни и конкретно да посочват какъв тип информация събирате, какво правите с нея и с кого я споделяте. Той също така трябва ясно да описва правата на вашите потребители. (Виж по-горе). 

Нещо повече, трябва да кажете на потребителите всичко това в или преди момента на събиране и да предоставите (очевидно) Не продавайте моите лични данни бутон на началната си страница.

Странична лента — ако вашата политика за поверителност е четири страници с плътен легален език, пренапишете я в удобен за потребителя стил. По този начин ще помогнете на клиентите ви да го разберат и ще подобрят изживяването си на вашия сайт. 

Пазете го в тайна, пазете го

CCPA изисква от вас да поддържате разумни процедури за сигурност на място за защита на чувствителната потребителска информация. Законодателството не определя какво е „разумна процедура за сигурност“, но първото нещо, което трябва да направите, е да се уверите, че разбирате пълния жизнен цикъл на записа с данни. Това означава, че трябва да знаете каква информация събирате, защо я събирате, кога я събирате, къде я съхранявате, колко дълго я съхранявате и с кого я споделяте. 

Други неща, които определено трябва да са в списъка ви със задачи, включват:

  • Ограничаване и актуализиране на вашите структури за разрешаване на достъп (Ще се изненадате колко компании забравят да премахнат бивши служители от своите системи)
  • Укрепване на процесите за актуализиране на софтуер/хардуер и корекция на вашия бизнес, така че да не оставяте системите си уязвими за хакове
  • Създаване на фирмени политики за силни пароли, използване на VPN (без публичен Wi-Fi!) и разделяне на работни/лични устройства
  • Криптиране на данни в покой и когато се прехвърлят към други компании.

След като се справите с тези стъпки, помислете за оценка на поверителността и сигурността за вашата система и за всеки от вашите доставчици на услуги.

Защо CCPA наистина, Наистина въпроси

CCPA е само началото. Това е първият широк закон за поверителност на данните в Америка, но дори не е близо до последния. Спазването на CCPA ще позволи на вашия бизнес бързо да се адаптира към промените, които вече са видими на хоризонта. 

Още правила за поверителност са на път

Наследникът на CCPA, Закон за поверителността на данните в Калифорния (ЗКИР), вече е приет от избирателите в Калифорния. CPRA изяснява неясни раздели на CCPA, добавя допълнителна защита на потребителите и добавя излагане на гражданска отговорност за вашата компания, ако пробив на данни разкрие чувствителната лична информация на вашите клиенти. 

С изключение на правото на достъп, CPRA, както е написано сега, ще се прилага за личната информация, която събирате от клиентите си на или след 1 януари 2022 г. Това означава, че въпреки че CPRA не влиза в сила до януари 2023 г., вие трябва да може ефективно да проследява отделните записи с данни до края на 2021 г. 

Спазването на CCPA ефективно ще постигне това и ще направи пътуването ви към съответствие с CPRA много по-лесно.

CPRA също така драстично увеличи вероятността да видим стабилни правоприлагащи действия чрез създаване и финансиране на Калифорнийската агенция за защита на поверителността, която ще разполага със значително финансиране и персонал за разглеждане на жалби за поверителност. С прилагането на CCPA, управлявано от офиса на главния прокурор на Калифорния, предприятията успяха да заобиколят контрола или да избегнат нарушения на поверителността. Това ще бъде значително по-малко вероятно с повишеното ниво на контрол от CPRA.

Правила за поверителност в други държави

Невада, Мейн, Масачузетс, Ню Йорк, Върмонт и Илинойс също имат закони за защита на данните в книгите, въпреки че те се различават в много отношения от CCPA и не се считат за изчерпателен закон за поверителност. Други щати имат активни предстоящи сметки. Дори ако нито един от тези закони не отговаря на стандартите на Калифорния, шансовете са много високи през следващите пет години във вашия щат да има регулация. Ако можете да накарате вашата компания да спазва CCPA сега, отговарянето на бъдещите изисквания ще бъде по-бързо, по-ефективно и по-евтино.

Глоби, такси, забрани, о, Боже!

Нищо не е по-лошо за електронната търговия от пробив на данни. Хаковете често водят до неудобно лоша реклама, но също така нанасят удар върху репутацията ви пред потребителите, което се изразява в загубени продажби и намалени приходи.

Но не става въпрос само за доверието на потребителите. Несъответствието също представлява реален финансов риск, който може да изтощи резервите ви, докато продажбите ви намаляват.

Съгласно CCPA, неуспешното разрешаване на проблеми със несъответствието в рамките на 30 дни от предизвестието може да доведе до разпореждане, което може да затвори вашия бизнес. Може да бъдете подложени на глоба от 2,500-7,000 долара за запис от щата Калифорния. Прагът на CCPA за събиране на данни е 50,000 2,500 записа годишно. Да бъдеш таксуван от $7,500 или $XNUMX дори за част от толкова много записи е много пари.

Освен това отделните клиенти могат да ви съдят директно, ако има нарушение на нередактирани или некриптирани данни в размер на $100-750 на запис. 

Обучение, обучение, обучение

Изследванията оценяват това 30% от всички хакове може да се дължи на вътрешна човешка грешка и почти 95% от облачните пробиви са причинени по невнимание от грешки на служителите.

Дори страхотните програми за поверителност ще се провалят, ако вашите служители и доставчици не го разбират. Започнете да обучавате служителите си за спазването на CCPA и най-добрите практики за поверителност на данните сега. Ако доставчиците ви не могат или не искат да отговорят на очакванията ви, намерете нови. 

Преди да започнете да мислите, че поверителността принадлежи единствено на света на ИТ работниците, припомнете си в какъв взаимосвързан свят, свързан с хипервръзки и споделяне на информация живеем. маркетингов отдел за вашия екип по продажбите до вашите представители за обслужване на клиенти, спазването на поверителността и обучението трябва да бъдат адресирани на всяко ниво от вашия бизнес. 

Отнема време, за да се развие силна култура на информираност за поверителността, така че не губете повече от нея.

Бъдете добрият човек

Данните за потребителите не са просто инструмент – това е най-ценната валута в света. Трябва да го пазите толкова внимателно, колкото и вашите патенти, авторски права и продуктови формули. Дори ако CCPA технически не се отнася за вас, потребителите имат малка толерантност към фирми, които играят бързо и губят личната си информация.

Вместо да гледате на изискванията за поверителност като на разходен център, мислете за тях като за основна добавена стойност, която изгражда доверие с вашите клиенти и индивидуализира тяхното изживяване.

Изграждане на вашето цифрово бъдеще

Дигиталното доверие или колко увереност имат потребителите, че бизнесът се държи етично онлайн, ще бъде ключов проблем за потребителите през следващото десетилетие. Постигането на CCPA съвместимост сега ще създаде силната основа, от която се нуждаете, за да се адаптирате към инфраструктурата за поверителност на данните, която се изгражда около вас в реално време. Вместо да бъдете затворени, изградете скеле за практиката за поверителност, което ще ви спести време и пари в дългосрочен план.

Какво мислите?

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните за коментарите ви.