Un ghid practic pas cu pas pentru Legea de Protecție a Consumatorilor din California (CCPA)
Există mii de articole pe web care analizează în detaliu limbajul și jargonul Legii de Protecție a Consumatorilor din California din 2018.
Dar ca proprietar de afaceri sau ofițer de protecție a datelor care gestionează datele rezidenților californieni, dorești să știi exact ce trebuie să faci pentru a respecta regulile, evitând în același timp amenzi grele și reclamațiile clienților.
Biroul procurorului general din California sancționează încălcările CCPA cu sume cuprinse între $2,500 PENTRU FIECARE încălcare (neintenționată) și $7,500 pentru fiecare încălcare intenționată.
Acest lucru ar putea însemna per câmp de date, per persoană, și așa cum am văzut cu amenzile GDPR, aceste sancțiuni masive pot fi dăunătoare pentru organizația ta.
Legea Drepturilor de Confidențialitate și de Aplicare din California din 2020 (CPRA), denumită și CCPA 2.0, a fost adoptată și va intra în vigoare începând cu ianuarie 2023. CPRA se inspiră foarte mult din predecesorul său, deci acum este momentul ideal să începi, dacă nu ești încă în conformitate cu CCPA.
Lasă următorul ghid să acționeze ca harta ta către conformitatea CCPA.
Urmărind acest ghid, compania ta va putea îndeplini următoarele obligații conform CCPA:
Cele șase (6) obligații de mai sus pot fi împărțite în diferite fluxuri de lucru și abordate simultan.
De asemenea, discut despre potențialele consecințe ale neconformității, inclusiv amenzi mari. Acest ghid este destinat să servească drept hartă pentru afaceri pentru a atinge conformitatea CCPA.
Pasul 1 te va ajuta să determini dacă firma ta intră sub incidența CCPA și trebuie să se conformeze.
CCPA nu afectează doar companiile bazate în California.
Dacă firma ta colectează informații personale ale rezidenților și gospodăriilor din California ȘI răspunsul este „Da” la UNUL dintre următoarele trei criterii, atunci ești sub incidența CCPA.
Dacă ai răspuns „Nu” la toate întrebările de mai sus, nu ești o afacere acoperită de CCPA.
Aceasta este împărțită în două părți: 1) informații personale și 2) ce este considerat rezident și gospodărie din California.
1.B.1. Mai întâi, ce este considerată informație personală?
Dacă datele pe care le colectezi pot fi folosite pentru a identifica un individ, o gospodărie sau un dispozitiv, atunci este o dată personală. Dacă ai clienți sau angajați, atunci colectezi informații personale. Cele mai comune exemple de date personale includ:
1.B.1.1. Excepții
Informațiile personale public disponibile, adică disponibile în înregistrările guvernamentale federale, statale sau locale, NU sunt sub incidența CCPA.
În plus, anumite informații financiare și informații medicale reglementate de Legea privind portabilitatea și responsabilitatea informațiilor de sănătate (HIPAA) sunt scutite de CCPA. Pasul 6 conține lista completă a excepțiilor de la CCPA.
Așadar, colectează organizația ta informații personale? Dacă nu, faci parte din norocoșii puțini cărora CCPA nu le se aplică.
Dacă desfășori afaceri în California, este sigur de presupus că ai informații personale ale rezidenților californieni fie ca clienți, fie ca furnizori.
CCPA acoperă doar acele persoane domiciliate în California, ceea ce înseamnă că locuiesc obișnuit în California. Chiar dacă un rezident din California pleacă temporar, el rămâne în sfera de aplicare a legii oriunde s-ar duce.
De exemplu, presupunem că un californian călătorește în New York și vizitează site-ul tău din New York (sau orice alt loc). În acest caz, acesta este sub incidența CCPA, iar organizația ta trebuie să trateze datele lor în mod responsabil.
Din acest motiv, majoritatea companiilor care desfășoară activități comerciale în SUA și îndeplinesc cerințele de mai sus din (1A) aleg să se conformeze proactiv CCPA.
Pasul 2 vă va ghida în identificarea datelor vizate, crearea unui inventar de date și elaborarea unui registru cu toate datele personale pe care le procesați în scopul atestării.
Așa cum discutăm în Pasul 4, organizația dvs. trebuie să poată, cel puțin, informa rezidenții din California despre categoriile de informații pe care le colectați, dezvăluiți și vindeți.
În plus, organizația dvs. trebuie să poată oferi rezidenților din California acces la informațiile pe care le colectați și să onoreze cererile de ștergere a datelor care nu mai sunt necesare, toate în termen de 45 de zile.
Prin urmare, organizația dvs. trebuie să poată localiza rapid informațiile personale în toate sistemele de afaceri și depozitele de date. Pentru a gestiona această sarcină complexă, multe organizații au creat un inventar centralizat de date pentru conformitatea cu CCPA.
Un inventar de date este o listă a intrărilor și ieșirilor de date pentru fiecare sistem și aplicație de afaceri. Pentru CCPA, inventarul se va concentra pe identificarea datelor personale vizate și asigurarea că practicile dvs. de gestionare a datelor îndeplinesc cerințele CCPA.
Un inventar de date este esențial și pentru afacerea dvs. deoarece va servi ca un registru al datelor pe care le procesați, pe care Procurorul General vi le va solicita în cazul unui incident.
Următoarele etape vă vor permite să creați un inventar de date:
2.A.1.1. Identificați sistemele și aplicațiile vizate.
Utilizați resurse precum diagramele de infrastructură IT, diagramele de flux de date sau diagramele de rețea pentru a crea o listă a sistemelor și aplicațiilor din organizația dvs. care gestionează informații personale.
Dacă organizația dvs. nu dispune de diagrame detaliate, puteți începe cu activele IT care cu siguranță colectează informații personale, cum ar fi portalurile de plată, software-ul de eCommerce și de gestionare a comenzilor și software-ul de resurse umane.
Urmăriți fluxurile de date din aceste sisteme fie prin integrări automate, fie prin procese manuale. Intervievați proprietarii de sisteme și aplicații pentru a determina posibilele integrări ale sistemului și intervievați utilizatorii pentru a vedea dacă datele sunt transferate din aceste sisteme prin procese manuale (de exemplu, descărcare și trimitere).
2.A.1.2. Categorizează activele de date conform cerințelor CCPA.
Consultați-vă cu echipa juridică despre cum să catalogați și să categorizați activele de date ale echipelor afectate. Categoriile de informații personale și câmpurile de date asociate, așa cum sunt definite în CCPA, sunt următoarele:
Categorie | Câmpuri de date (listă neexhaustivă) |
Identificatori | Nume, pseudonim, adresă poștală, identificator personal unic, identificator online, adresă IP, adresă de email, nume de cont, număr de securitate socială, număr de permis de conducere, număr de pașaport sau alți identificatori similari |
Informații despre înregistrările clienților | Nume, semnătură, număr de securitate socială, caracteristici fizice sau descriere, adresă, număr de telefon, număr de pașaport, număr de permis de conducere sau carte de identitate, numărul poliței de asigurare, educație, angajare, istoricul locurilor de muncă, număr de cont bancar, număr de card de credit sau debit, alte informații financiare, informații medicale, informații despre asigurarea de sănătate |
Caracteristici ale clasificărilor protejate conform legilor din California sau federale | Rasă, religie, orientare sexuală, identitate de gen, expresie de gen, vârstă |
Informații comerciale | Înregistrări ale proprietății personale, produse sau servicii achiziționate, obținute sau considerate, sau alte istorii sau tendințe de cumpărare sau consum |
Informații biometrice | Culoarea părului, culoarea ochilor, amprente, înălțime, scanări ale retinei, recunoașterea feței, vocea și alte date biometrice |
Informații legate de activitatea pe internet sau alte rețele electronice | Istoricul navigării, istoricul căutărilor și informații privind interacțiunea unui consumator cu un site web, aplicație sau publicitate |
Date de geolocație | |
Informații audio, electronice, vizuale, termice, olfactive sau similare | |
Informații profesionale sau legate de angajare | |
Informații educaționale | Informații care nu sunt „informații personale identificabile disponibile public” așa cum sunt definite în California Family Educational Rights and Privacy Act |
Inferențe | Preferințe, caracteristici, tendințe psihologice, predispoziții, comportament, atitudini, inteligență, abilități, aptitudini |
2.A.1.3. Prioritizează-ți sistemele și aplicațiile în funcție de risc.
Concentrează-te mai întâi pe scenariile cu cel mai mare risc pentru conformitatea cu CCPA (adică acolo unde ești cel mai probabil să întâlnești presiunea regulatorilor și a clienților).
De exemplu, sistemele care procesează categorii de date sensibile, precum caracteristicile clasificărilor protejate sau date biometrice sau de geolocație, ar trebui să aibă prioritate față de sistemele care procesează identificatori cu risc scăzut, precum nume sau email.
Dacă identificarea manuală și maparea informațiilor personale în infrastructura ta sunt sarcini prea intimidante, există mai multe aplicații software terțe pe piață care scanează automat sistemele tale de afaceri pentru a identifica instanțe de date personale. Exemple populare includ:
OneTrust – o platformă tehnologică de management al confidențialității care ajută organizațiile să demonstreze responsabilitatea și conformitatea cu reglementări globale precum GDPR.
Big ID – capturează și gestionează metadatele tehnice, de afaceri și de securitate în întregul tău mediu de date. Cataloghează și mapează automat date sensibile și personale cu o înțelegere profundă a datelor, incorporând metadate active și clasificare.
Rezultatul pentru pasul 2 ar trebui să fie un inventar centralizat, funcțional de date care poate servi ca un registru pentru activitățile de procesare a datelor ale afacerii tale.
Pasul 3 vă va ghida în crearea unei politici de confidențialitate conforme cu CCPA, a unei politici privind cookie-urile, și a unui mecanism de renunțare.
Astăzi, toate companiile care colectează, stochează sau procesează date personale ar trebui să aibă deja o Politică de Confidențialitate publicată. Dacă Politica dvs. de Confidențialitate este deja în conformitate cu GDPR, atunci aceste obligații vă vor fi în mare parte familiare.
La un nivel general, Politica dvs. de Confidențialitate trebuie să includă:
Deoarece acesta este un ghid practic, vă vom furniza o opțiune potrivită. Multe site-uri vă permit să generați o politică de confidențialitate folosind doar informațiile de contact ale afacerii dvs. și datele pe care le colectați.
Vă recomandăm următoarele:
După ce aveți toate politicile generate, trimiteți-le echipei dvs. juridice pentru revizuire. Asigurați-vă că această politică include în mod exact toate categoriile de date pe care le colectați, cum le procesați și le compilați, de ce și dacă le vindeți. De cele mai multe ori, echipa dvs. juridică nu va avea cunoștințe specifice despre activitățile dvs. de procesare a datelor, astfel încât ei nu vor putea să le corecteze.
Cel mai adesea, Politica de Confidențialitate este plasată în următoarele locații:
De asemenea, trebuie să plasați un link către Politica de Confidențialitate și orice Termeni Asociați de Serviciu, oriunde compania dvs. colectează informații personale. Fie că este vorba de newslettere, înscrieri prin e-mail, opt-in-uri SMS sau chiar înregistrări la evenimente în persoană.
CCPA stipulează că Politica de Confidențialitate trebuie să fie actualizată cel puțin o dată la fiecare 12 luni. Aceasta trebuie să includă un rezumat ușor de citit despre ce s-a schimbat.
Majoritatea companiilor trimit e-mail tuturor utilizatorilor stocați și includ o secțiune în partea de sus a politicii lor de confidențialitate care detaliază orice schimbări recente.
Mai mult, Politica dvs. de Confidențialitate trebuie să fie actualizată în cazul oricăror schimbări semnificative în modul în care procesați datele personale.
De exemplu, dacă compania dvs. decide să înceapă să vândă informații personale într-un mod în care nu a făcut-o anterior, trebuie să actualizați Politica de Confidențialitate și să informați utilizatorii și clienții despre noua activitate de procesare, prin e-mail sau altă metodă.
CCPA impune ca afacerile să informeze consumatorii înainte sau în momentul colectării datelor că afacerea dorește permisiunea de a colecta aceste date. (Informare, nu neapărat consimțământ, așa cum cere GDPR) – În terminologia CCPA, acest lucru este cunoscut sub numele de Dreptul la Divulgare.
Consimțământul pentru cookie-uri în cadrul CCPA se bazează pe un mecanism de renunțare, în locul mecanismului de acceptare GDPR. Această cerință CCPA reglementează explicit modul în care companiile pot folosi cookie-urile pe site-ul lor.
Acest lucru înseamnă că site-urile pot încărca cookie-uri, dar trebuie să informeze clientul și să le ofere un mod facil de renunțare.
Primul pas este să adunați informații despre toate cookie-urile de pe fiecare pagină a site-ului dvs., să identificați cine este proprietarul acestora (intern sau terță parte) și să descrieți ce face cookie-ul cu informațiile personale.
În funcție de dimensiunea companiei dvs. și de câte echipe au acces la codul site-ului dvs., această sarcină poate varia ca și complexitate. Mai jos este un proces pas cu pas despre cum puteți aduna toate informațiile necesare privind utilizarea cookie-urilor de către compania dvs.
Sperăm că există o listă definită de utilizatori/echipe care au acces la codul site-ului dvs., cum ar fi echipa dvs. de securitate sau echipa de marketing.
Contactați aceste echipe pentru a vedea dacă au plasat vreun cookie pe site-ul dvs. și în ce scop sau dacă au permis unei terțe părți să plaseze cookie-uri (exemple comune includ Snapchat, Facebook, Pinterest etc.).
Odată ce aveți o listă completă a cookie-urilor pe care le colectați și în ce scop, puteți include aceste informații în Politica dvs. de Confidențialitate sau puteți redacta o politică separată privind cookie-urile.
Oricum, trebuie să vă asigurați că politica privind cookie-urile sau politica de confidențialitate oferă informații precise și clare despre fiecare cookie. Poate că aveți deja o politică privind cookie-urile, dar pentru conformitatea CCPA, politica privind cookie-urile companiei dvs. trebuie să:
Site-urile menționate mai sus pentru generarea politicii de confidențialitate oferă și opțiuni pentru generarea politicii privind cookie-urile. Asigurați-vă că căutați pe web „Generator de politică privind cookie-urile”. Mai jos sunt favoritele noastre:
Când un utilizator accesează site-ul dvs., trebuie să-l informați imediat despre colectarea cookie-urilor. Practica comună este să includeți un banner pentru cookie-uri – pop-up-ul care apare pe majoritatea site-urilor informându-vă despre colectarea lor de cookie-uri.
De exemplu, accesați https://trustarc.com/ și priviți în partea de jos a ecranului.
Exemplu de limbaj pentru banner-ul cookie:
„Acest site folosește cookie-uri și tehnologii asociate pentru funcționarea site-ului, analize și publicitate de la terți, așa cum este descris în Politica noastră de Confidențialitate și de Procesare a Datelor. Puteți alege să consimțiți la utilizarea acestor tehnologii, să respingeți tehnologiile non-esențiale sau să gestionați preferințele dvs. Pentru a opta pentru neimpartirea informațiilor legate de aceste tehnologii cu terțe părți, selectați „Refuz toate” sau trimiteți o solicitare „Nu vinde informațiile mele”.
Bannerul pentru cookie-uri ar trebui să:
Dacă nu aveți capabilitățile necesare în cadrul companiei pentru a crea un mecanism de renunțare pentru cookie-uri, luați în considerare achiziționarea instrumentelor online pentru a automa gestionarea consimțământului pentru cookie-uri. Companii precum TrustArc și OneTrust oferă capabilități software gata de utilizat pentru a gestiona cookie-urile pe site-ul dvs.
Pasul 4 vă va ghida prin drepturile acordate utilizatorilor în conformitate cu CCPA și cum se așteaptă ca organizația dvs. să răspundă solicitărilor utilizatorilor.
În primul și în primul rând, compania dvs. trebuie să furnizeze informații de contact pentru ca clienții să își poată exercita drepturile. Odată ce primiți o astfel de solicitare, compania dvs. trebuie să verifice identitatea înainte de a continua.
Compania dvs. trebuie să ofere metode digitale și non-digitale prin care clienții să poată lua legătura pentru a-și exercita drepturile. Cel puțin, trebuie să furnizați un număr de telefon gratuit și o adresă web.
Exemple comune includ o cutie poștală electronică specifică, număr de telefon, adresă de corespondență sau o funcționalitate de auto-servire concepută special pentru solicitările de drepturi.
În Pasul 3.A.1., veți vedea că Politica dvs. de Confidențialitate trebuie să aibă aceste metode de contact enumerate.
De asemenea, puteți folosi canale stabilite precum centrele de apel, caracteristicile de chat online, cutiile poștale electronice, etc. Totuși, va trebui să instruiți angajații/roboții de chat AI să îndrume acești clienți prin canalele corespunzătoare către echipa dvs. de confidențialitate a datelor sau cine gestionează solicitările privind drepturile consumatorilor (CRRs).
4.A.1.1. Determinați persoanele implicate. Cine sunt părțile interesate implicate în procesul dvs.? La cine vor apela instinctiv clienții dvs. când vor să-și exercite drepturile? Aceasta ar trebui să includă proprietarii de sisteme/date, personalul centrului de apel și echipa dvs. de confidențialitate a datelor. Luați în considerare crearea unui tabel RACI.
4.A.1.2. Elaborați un proces concret, pas cu pas care să ghideze părțile interesate prin procesul specific companiei dvs. Procesul ar trebui să includă:
4.A.1.3. Automați & Creați șabloane. Ar trebui să căutați să automatizați aceste fluxuri de lucru folosind orice instrumente existente la dispoziția dvs. După cum s-a menționat, solicitările de drepturi trebuie îndeplinite în 45 de zile, așa că orice întârzieri în lanțul informațional fac toată diferența.
În plus, creați șabloane ale formularelor dvs. de intrare și răspunsuri pentru fiecare drept de mai jos și diferitele lor scenarii.
Răspunsurile pot fi livrate fie electronic, fie prin poștă.
Înainte de a acorda drepturile unui client, compania dvs. trebuie să își facă datoria de a verifica identitatea solicitantului pentru a evita furtul de identitate și frauda. Puteți utiliza de asemenea acest proces pentru a confirma faptul că sunt rezident al Californiei.
4.A.2.1. Pentru o solicitare care cere acces la anumite informații personale (vezi pasul 4.B.), afacerea trebuie să verifice identitatea consumatorului la un „grad de certitudine rezonabil de mare”, ceea ce poate include potrivirea a cel puțin trei puncte de date „fiabile” în același mod.
În funcție de informațiile pe care le colectați, exemplele ar putea include:
Și în scopuri de răspundere, compania dvs. ar trebui să colecteze o „declarație semnată sub pedeapsa pentru mărturie mincinoasă că solicitantul este consumatorul a cărui informație personală face obiectul cererii.”
4.A.2.2. Pentru o solicitare de ștergere a datelor (vezi pasul 4.C.), afacerea trebuie să verifice identitatea consumatorului cu certitudine, bazându-se pe riscul de a cauza un prejudiciu utilizatorului prin ștergerea neautorizată. De exemplu, ștergerea istoricului de angajare sau a istoricului de comenzi este mai sensibilă și potențial dăunătoare decât ștergerea unei adrese de livrare vechi.
Aici este un exemplu excelent de formular de solicitare și verificare de auto-servire:
4.A.2.3. Scenariu tipizat
Dacă verificarea nu reușește, informați clientul că nu a fost verificat și că nu se califică pentru solicitarea sa în acest moment.
Dacă verificarea reușește, puteți continua cu îndeplinirea solicitării privind drepturile lor.
Multe instrumente de verificare, cum ar fi verificarea prin selfie sau software-ul de verificare a permisului de conducere, produc diferite tipuri de verificări. Alegerea celui potrivit pentru organizația dvs. depinde de sensibilitatea datelor personale pe care le colectați și de numărul de solicitări pe care le primiți ca organizație.
Conform CCPA, orice rezident al Californiei poate exercita Dreptul la Acces și Informație, ceea ce înseamnă că poate solicita afacerii dvs. următoarele:
Compania dvs. trebuie să răspundă în termen de 45 de zile de la solicitare, cu o perioadă suplimentară de extindere de 45 de zile disponibilă atunci când este necesar pentru o solicitare de date mare sau complicată.
CCPA impune, de asemenea, o perioadă de retroactivitate de 12 luni de la momentul solicitării, ceea ce înseamnă că utilizatorul poate cere informațiile de mai sus doar până la 12 luni de la momentul solicitării.
De asemenea, impune ca utilizatorul să primească aceste informații într-un format ușor de utilizat, care să le permită să le transmită altora fără obstacole nejustificate. Răspunsurile pot fi trimise electronic sau prin poștă.
Cu unele excepții, CCPA permite consumatorilor să solicite afacerii dvs. să șteargă informațiile personale colectate despre ei din sistemele dvs. și de la furnizorii de servicii directe cu care ați împărtășit datele personale.
Odată ce ați primit și verificat o solicitare de ștergere, notificați imediat furnizorii dvs. de servicii pentru a avea suficient timp să îndeplinească cerința.
Compania dvs. va fi în continuare integral responsabilă pentru asigurarea faptului că furnizorii de servicii își îndeplinesc obligațiile.
Compania dvs. trebuie să răspundă în termen de 45 de zile de la solicitare, cu o perioadă suplimentară de extindere de 45 de zile, disponibilă atunci când este necesar pentru o solicitare de date mare sau complexă. Răspunsurile pot fi trimise electronic sau prin poștă.
Ștergerea nu este necesară dacă afacerea are nevoie de informații personale:
Chiar dacă compania dvs. se încadrează în una dintre aceste excepții, există totuși o perioadă de 45 de zile pentru a răspunde clientului și pentru a explica de ce nu puteți îndeplini solicitarea lor de ștergere.
Conform CCPA, consumatorii pot refuza „vânzarea” informațiilor lor personale.
O „vânzare” este definită în mod vag ca transferul datelor personale către o terță parte în schimbul unei compensații financiare, care depășește scopul inițial al colectării datelor.
Pentru a exercita acest drept, afacerile care vând informații personale trebuie să furnizeze un buton/link „Nu Vinde Informațiile Mele Personale” pe pagina de start a afacerii, care îndrumă utilizatorul către o pagină web unde consumatorii pot refuza ca informațiile lor personale să fie vândute terților.
Este, de asemenea, o practică bună să includeți un link pe pagina dvs. de aterizare sau în subsolul site-ului dvs.
Referință: Subsolul Coca-Cola
Compania dvs. ar trebui să nu vândă în mod implicit informațiile personale ale consumatorilor cu vârste cuprinse între 13-16 ani.
Totuși, compania dvs. trebuie să creeze un proces care să le permită să opteze pentru aceasta.
Conform CCPA, consumatorii pot refuza prelucrarea informațiilor lor personale în scopuri de marketing, fie de către companie, fie de către o terță parte.
CCPA interzice afacerilor să discrimineze consumatorii pentru exercitarea drepturilor lor CCPA. Mai precis, afacerea nu poate:
Chiar dacă compania dvs. se încadrează în una dintre aceste excepții, există totuși o perioadă de 45 de zile pentru a răspunde clientului și pentru a explica de ce nu puteți îndeplini solicitarea lor de ștergere.
Conform CCPA, consumatorii pot refuza „vânzarea” informațiilor lor personale.
O „vânzare” este definită în mod vag ca transferul datelor personale către o terță parte în schimbul unei compensații financiare, care depășește scopul inițial al colectării datelor.
Pentru a exercita acest drept, afacerile care vând informații personale trebuie să furnizeze un buton/link „Nu Vinde Informațiile Mele Personale” pe pagina de start a afacerii, care îndrumă utilizatorul către o pagină web unde consumatorii pot refuza ca informațiile lor personale să fie vândute terților.
Este, de asemenea, o practică bună să includeți un link pe pagina dvs. de aterizare sau în subsolul site-ului dvs.
Referință: Subsolul Coca-Cola
Compania dvs. ar trebui să nu vândă în mod implicit informațiile personale ale consumatorilor cu vârste cuprinse între 13-16 ani.
Totuși, compania dvs. trebuie să creeze un proces care să le permită să opteze pentru aceasta.
Conform CCPA, consumatorii pot refuza prelucrarea informațiilor lor personale în scopuri de marketing, fie de către companie, fie de către o terță parte.
CCPA interzice afacerilor să discrimineze consumatorii pentru exercitarea drepturilor lor CCPA. Mai precis, afacerea nu poate:
Oriunde este posibil pentru afacerea dvs., păstrați o înregistrare a întregului proces al solicitării drepturilor.
Analizați acordurile dvs. cu părțile terțe, cu acele afaceri cu care împărtășiți date personale, și determinați dacă acestea au anexe referitoare la CCPA.
Afacerile au permisiunea de a împărtăși informații personale cu părțile terțe și furnizorii de servicii în scopuri de afaceri, atâta timp cât există stipulări în contractul scris care interzic furnizorului de servicii din partea a treia să vândă informațiile personale sau să utilizeze datele personale în alt scop decât scopul specific de a executa serviciile specificate în contract.
Deci, dacă nu ați făcut-o deja, luați legătura cu părțile dvs. terțe și furnizorii de servicii pentru a înțelege ce fac ei cu informațiile pe care le împărtășiți.
Dacă este necesar, creați anexe la contractele dvs. scrise cu cerințe detaliate privind utilizarea datelor și politicile de păstrare. S-ar putea să trebuiască să schimbați furnizorii de servicii care nu pot respecta standardele dvs. de afaceri.
Înțelegeți dacă există excepții care vă acoperă.
Informațiile personale ale angajaților sunt excluse din majoritatea cerințelor CCPA.
Acestea includ drepturile și cerințele care permit consumatorilor să solicite:
Această excludere nu se referă la toate datele „angajatului” indiferent de context. În mod specific, excluderea se aplică informațiilor personale colectate de o afacere astfel încât persoana acționează ca solicitant de loc de muncă sau ca angajat, proprietar, director, ofițer, membru al personalului medical sau contractor al acelei afaceri și în măsura în care informațiile personale sunt procesate în contextul rolului sau fostului rol al persoanei.
Angajații au în continuare dreptul la o notificare privind confidențialitatea. În plus, angajații au dreptul de a începe o acțiune privată dacă sunt afectați de o încălcare a datelor cauzată de neglijența angajatorului în menținerea măsurilor de protecție rezonabile.
CCPA nu se aplică informațiilor medicale acoperite de Legea privind Confidențialitatea Informațiilor Medicale (CMIA) sau informațiilor de sănătate protejate în temeiul Legii privind Portabilitatea și Răspunderea Asigurărilor de Sănătate (HIPAA) și a Legii privind Tehnologia Informației pentru Economia și Sănătatea Clinică (HITECH) din 2009.
Ghidul de mai sus a fost un manual pas cu pas, fără jargon juridic, destinat ofițerilor de confidențialitate a datelor, proprietarilor de afaceri și managerilor de proiect pentru a începe călătoria lor spre conformitatea cu CCPA.
Este necesar să înțelegeți ce date personale colectați și procesați pentru a exercita mai bine drepturile clienților dvs. și pentru a proteja mai eficient datele valoroase. Sperăm că puteți utiliza lista de mai sus pentru a demara fluxurile de muncă.
Este esențial să rețineți că strategia privind confidențialitatea datelor este în prezent condusă de reglementări, dar într-o zi s-ar putea să nu mai fie așa.
Deși conformitatea cu reglementările ar trebui să fie o strategie minimă, luați în considerare că clienții dvs. speră să colaboreze cu o afacere în care pot avea încredere.
Și încrederea începe și se termină cu confidențialitatea, așa că asigurați-vă că oferiți clienților dvs. confidențialitatea datelor pe care o așteaptă, nu doar ceea ce este impus de lege.
După cum întotdeauna, consultați-vă cu echipa juridică pentru a vă asigura că strategiile dvs. sunt aliniate cu sfaturile juridice ale companiei.