1. ComputersPCsSecurityCalifornia Закон за поверителност на потребителите (CCPA) За манекените

Калифорнийският закон за поверителност на потребителите (CCPA) влиза в сила от 1 януари 2020 г. Готов ли е вашият бизнес за спазване на CCPA?

Много предприятия са прекарали последните 18 до 24 месеца в работа по своите програми за управление на данните и поверителност, за да се съобразят с Общия регламент за защита на данните на Европейския съюз (GDPR), който влезе в сила през май 2018 г. Ако сте един от тези предприятия, голяма част от работата, която вече сте свършили, за да постигнете спазването на GDPR, ще ви помогне със закона за CCPA, но има някои важни разлики - които обяснявам в тази статия.

Какво е CCPA?

Калифорнийският закон за поверителност на потребителите (CCPA) определя личната информация като „информация, която идентифицира, отнася се, описва, може да бъде свързана или би могла да бъде свързана пряко или косвено с конкретен потребител или домакинство.“ Това определение е по-широко от определението на GDPR за личната информация, което е ограничено до информация, свързана с „идентифицирани или идентифицируеми живи лица“.

Закон за поверителност на потребителите в Калифорния (CCPA)

Към настоящия текст изискванията на CCPA не са финализирани и вероятно ще бъдат изменени преди приемането на окончателната версия. Отидете на официалния уебсайт на CCPA, намиращ се на https://oag.ca.gov/privacy/ccpa, за да прочетете последните актуализации на закона за CCPA.

Прилага ли се CCPA за моята компания?

CCPA се прилага за всеки бизнес с печалба (и за всяко образувание, което контролира или се контролира от бизнес и споделя общи търговски марки - като споделено име, сервизна марка или търговска марка - с бизнеса), което извършва бизнес в щата Калифорния и се среща един или повече от следните прагове:

* Има годишни брутни приходи над 25 милиона долара

* Купува, получава, продава или споделя лична информация за търговски цели на 50 000 или повече потребители, домакинства или устройства годишно

* Получава половината или повече от годишните си приходи от продажба на лична информация на потребителите

Насоки за съответствие на CCPA

Ако питате, ние сме съвместими с GDPR, означава ли това, че сме съвместими и с CCPA? Подобно на GDPR, който определя специфични права на субектите на данни, CCPA определя специфични права на потребителите в Калифорния, включително:

* Правото на достъп до конкретна лична информация, която се събира за потребителя, но е ограничена до данни, събрани през последните 12 месеца.

* Правото да бъдете уведомени за видовете информация и целите, за които ще се използва информацията, преди или когато се събира информацията. Изискванията за политиките за поверителност и известията по CCPA са по-малко подробни, отколкото за GDPR, но има специфични изисквания за това къде трябва да се публикуват известия на уебсайтове и как потребителите да получават известия.

* Правото да поискате копие на личната информация, която е събрана в преносим и лесно четим формат. От фирмите обаче се изисква само да предоставят лична информация на потребител не повече от два пъти за период от 12 месеца.

* Правото да бъдеш забравен (с по-широки изключения от тези, предвидени в GDPR)

* Правото да се ограничи обработката („отказ“) на лична информация, предмет на някои ограничения. Потребителите имат право да се откажат от разкриването или продажбата на личната си информация (при спазване на някои ограничения), а предприятията трябва да показват видимо връзка за отказ (и телефонен номер без такси) на своя уебсайт. В тази област се очакват повече указания за предписване на информация и някои или всички от следните:

* Къде и как трябва да се показва връзка или бутон за отказване на уебсайт

* Задължително, равномерно лого или бутон за отказване, което потребителите лесно могат да разпознаят

* Уеб формуляр, който позволява на потребителите да се откажат от някои или всички маркетингови промоции (като имейл списъци, програми за лоялност и т.н.) от бизнеса

За разлика от GDPR, законът на CCPA (в сегашния си вид) не определя индивидуалното право на коригиране на неточна информация или възражение срещу обработването на лична информация.

Минимални изисквания за съответствие на CCPA

За да се подготвят за CCPA, предприятията трябва да приемат стратегия за съответствие и да създадат контролен списък за съответствие в ccpa, който минимално включва следните компоненти:

Идентифицирайте. Идентифицирайте, етикетирайте, класифицирайте (или категоризирайте) и индексирайте личната информация, която събирате и съхранявате на всички лица (не само на потребителите в Калифорния). Предстоят още правила за поверителност - това е неизбежно.

                         * Определете. Създайте подходящи политики и процеси за управление на данните, за да гарантирате спазването на изискванията на CCPA. Уверете се, че имате подходящи процедури (и да автоматизирате колкото е възможно повече) с уебсайт, съвместим с CCPA, за да отговорите на различните права на потребителите, които потребителите могат да упражняват съгласно CCPA. В повечето случаи предприятията имат само 45 дни да отговорят на проверени заявки от потребителите.

                         * Защита. Ако вече сте внедрили принципите „поверителност по дизайн“ и „поверителност по подразбиране“ и изискването за минимизиране на данни, посочени в GDPR, вие започвате с добро начало.

           * Управление. Спазването не е еднократна дейност; изисква текущото управление да бъде успешно. Всеки от вашия бизнес трябва да разбере какво CCPA конкретно изисква от тях в своите индивидуални работни роли. Изискванията, определени в CCPA, все още се развиват, така че старанието и осведомеността са от съществено значение за спазването им.

За да научите повече за прилагането на CCPA и срока за спазване на CCPA, разгледайте следните ресурси:
* Калифорнийската служба на генералния прокурор (https://oag.ca.gov/privacy/ccpa)
* Калифорнийци за поверителност на потребителите (https://caprivacy.org)
* Международната асоциация на професионалистите за поверителност (https://iapp.org)