Det kan være skræmmende at opfylde kravene i California Consumer Privacy Act (CCPA). Det er let at forstå det overordnede formål, men de besværlige detaljer om præcis, hvad du skal gøre for at overholde reglerne, er ofte sværere at forstå.
Her er en praktisk CCPA-overholdelsestjekliste, der hjælper dig med at sikre, at dit websted overholder denne vigtige forbrugerdatalov.
CCPA-tjekliste til overholdelse
Forstå, hvordan CCPA gælder for dig
Er du fritaget, fordi du er en non-profit?
Opfylder du betingelserne for, at CCPA gælder?
Gennemgå dine eksisterende politikker og fremgangsmåder
Identificer de data, du indsamler fra forbrugere, det tidspunkt, hvor indsamlingen finder sted, og hvordan du bruger dataene.
Vurder dine datapolitikker for overholdelse af CCPA.
Tilpas politikker og praksis
Meddelelser om beskyttelse af personlige oplysninger på tidspunktet for dataindsamling.
Procedure for dataanmodning og svar.
Sikkerhedskontroller opdaterede og passende til typen af data.
Tredjepartsaftaler kontrolleres for at sikre overholdelse.
Medarbejdere uddannet i datahåndtering.
Vedligehold dit system
Vær opmærksom på ændringer i datastyring og -regulering.
Sørg for, at personalet modtager regelmæssig uddannelse.
Læs din privatlivspolitik årligt for at sikre, at den forbliver opdateret.
Tjekliste til at blive CCPA-kompatibel
Lad os gennemgå tjeklisten lidt mere detaljeret.
1. Forstå, hvordan CCPA gælder for dig
en. Er du fritaget, fordi du er en non-profit?
CCPA gælder kun for for-profit organisationer, der deltager i transaktioner med indbyggere i Californien. Hvis din nonprofitorganisation ejes eller kontrolleres af et profitsøgende moderselskab, gælder fritagelsen muligvis ikke.
b. Opfylder du betingelserne for, at CCPA gælder?
Selvom du er en for-profit organisation, gælder loven kun, hvis du opfylder en eller flere af disse betingelser: årlige bruttoindtægter over $ 25 millioner; behandle personlige oplysninger om 50.000 eller flere indbyggere i Californien til kommercielle formål årligt; sælger personlige oplysninger for at generere over 50% af de årlige indtægter.
2. Gennemgå dine eksisterende politikker og praksisser
en. Identificer de data, du indsamler fra forbrugere, det tidspunkt, hvor indsamlingen finder sted, og hvordan du bruger dataene.
CCPA gælder for personoplysninger, så du skal være bekendt med, hvordan dette defineres: det er oplysninger, der kan bruges til at identificere nogen, enten individuelt eller som en del af en husstand.
Dette inkluderer de åbenlyse personoplysninger som navn, adresse, pas eller personnummer, men også e-mail-adresse, IP-adresse og brugernavne, ansættelses- og sygehistorie og biodynamiske data som fingeraftryk.
Din databeholdning skal gøre det nemt at spore, hvilke data der indsamles, og på hvilke punkter i din forbrugerrejse.
b. Vurder dine datapolitikker for overholdelse af CCPA.
Din privatlivspolitik skal være i overensstemmelse med CCPA, for eksempel ved at give forbrugerne mulighed for at se, hvilke data om dem der er blevet indsamlet i løbet af de foregående 12 måneder, opfylde CCPA-fravalgskrav og fortælle brugerne, hvordan de kan udøve rettigheder såsom adgang til deres personlige oplysninger.
Interne datapolitikker bør også angive forventninger til, hvordan dine medarbejdere og tredjepartspartnere vil håndtere data i overensstemmelse med CCPA.
3. Juster politikker og praksis
en. Meddelelser om beskyttelse af personlige oplysninger på tidspunktet for dataindsamling.
CCPA kræver, at du informerer brugerne om, hvilke data der indsamles, hvordan hver kategori af data defineres, og hvad deres rettigheder er under CCPA – for eksempel hvordan man anmoder om sletning eller videregivelse af data og muligheden for at bruge en fravalgsanmodning til at nægte salg af personlige oplysninger. Du skal være sikker på, at du opfylder CCPA-cookiebannerkravene.
b. Procedure for dataanmodning og svar.
Du skal planlægge dit svar på forbrugernes anmodninger, så dit system skal konfigureres, så kundernes anmodninger om adgang til deres data kan opfyldes hurtigt og nemt inden for fristen på 45 dage og gratis. Der bør være mindst to måder at anmode om videregivelse af data på, f.eks. en telefonlinje og e-mailadresse.
c. Opdaterede sikkerhedskontroller og passende til datatypen.
Databrud kan vise sig at være meget skadelige og dyre for virksomheder, så det er vigtigt at være sikker på, at du har passende kontroller på plads for at reducere risikoen. Dette bør omfatte en beredskabsplan for hændelser, der skal anvendes i tilfælde af en overtrædelse.
d. Tredjepartsaftaler kontrolleres for at sikre overholdelse.
Du er ansvarlig for, hvordan dine kunders data håndteres – også selvom det ikke er dig, der håndterer. Sørg for, at dine tredjepartsaftaler kræver, at partnere overholder CCPA og accepterer ansvar for overtrædelser, der opstår. Hvis du eller dine tredjeparter indsamler data fra brugere, har du sandsynligvis brug for en cookiepolitik på dit websted.
e. Medarbejdere uddannet i datahåndtering.
Det, der betyder noget, er, hvordan dit system fungerer i praksis, ikke hvad der er skrevet i et dokument et eller andet sted. Den måde, dine medarbejdere håndterer data på, er altafgørende, og regelmæssig træning kan hjælpe med at forhindre utilsigtede brud.
4. Vedligehold dit system
en. Vær opmærksom på ændringer i datastyring og -regulering.
Loven forbliver ikke den samme for evigt – sørg for at holde øje med udviklingen i loven, der kan betyde, at du skal ændre din tilgang. Dette kan være gennem retspraksis, der påvirker, hvordan loven fortolkes, eller nye regler og bestemmelser, der medfører ændringer. Tildeling af denne opgave til nogen vil hjælpe med at sikre ansvarlighed, da det er alt for let for det at falde mellem jobroller.
b. Sørg for, at personalet modtager regelmæssig uddannelse.
Arbejdstagere har brug for regelmæssige genopfriskninger for at sikre, at de forbliver kompatible og for at fortælle nyt personale, hvad de skal gøre. Et krav om at tilbyde regelmæssig træning kan også være inkluderet i dine tredjepartskontrakter.
c. Læs din privatlivspolitik årligt for at sikre, at den forbliver opdateret.
En privatlivspolitik bør ikke være noget, du gør en gang og derefter glemmer det. Hvis du kontrollerer din politik årligt, sikrer du, at den er opdateret. Data, du indsamler, skal også matches med den privatlivspolitik, der var gældende på tidspunktet for brugerens samtykke.
Opnå overholdelse af angivne standarder på den nemme måde
Har du brug for hjælp til at sikre, at dit websted opfylder kravene i CCPA? Konsekvenserne af at overtræde loven omfatter CCPA-bøder på op til $ 7.500 pr. overtrædelse, der opkræves af California Attorney General, hvilket gør manglende overholdelse potentielt meget dyr.
Lad CookieHub rådgive dig om bedste praksis, så du har en problemfri, kompatibel service til kunderne. Udforsk vores prisside for at finde den bedste løsning til dine behov.