Hvorfor din virksomhed skal være opmærksom på CCPA-overholdelse

Hvorfor virksomheder bør være opmærksomme på California Consumer Privacy Act - CCPA

Californiens berømte solbeskinnede, tilbagelænede surferkultur modsiger sin rolle i at skifte nationale samtaler om hot-button-spørgsmål gennem vedtagelsen af ​​skelsættende lovgivningsmæssige retsakter. Californien er den første, der har vedtaget alt fra luftforurening til medicinsk marihuana til lov om skilsmisse uden skyld, og fører kampen for forbrugervenlige love om databeskyttelse.

California Consumer Privacy Act (CCPA) er USA's mest omfattende og håndhævelige databeskyttelseslovgivning. Det er svært at overvurdere dets indvirkning på privatlivspraksis.

Hvad du behøver at vide om CCPA

Privatlivsregler er komplekse, det er sandt. Men de er overskuelige for hver eneste virksomhed med den rigtige tilgang. Hvis du er i begyndelsen af ​​din rejse til overholdelse af privatlivets fred (cue-inspirerende musik), er her, hvad du behøver at vide om CCPA og din virksomhed. 

Spørgsmålet på $25 millioner: Gælder CCPA mig?

Det første spørgsmål, vi får fra kunder, er, Så skal jeg bekymre mig om CCPA eller ej?

CCPA gælder for profitvirksomheder, der opererer i Californien, indsamler og kontrollerer californiske beboeres personlige oplysninger og opfylder et af følgende krav:

  • Årlig bruttoindtægt over $25 millioner
  • Indsamler personlige oplysninger fra mere end 50,000 californiske beboere, husstande eller enheder hvert år *
  • Modtager 50 % eller mere af den årlige omsætning fra salg af californiske beboeres personlige oplysninger

*Tærsklen for indsamlede personlige oplysninger vil blive hævet til 100,000 i 2023, når California Privacy Rights Act bliver håndhævet.

Det lyder måske som om det kun er for store virksomheder. Det er ikke. Forskere vurderer så mange som 75 % af de californiske virksomheder tjener under 25 millioner dollars i årlig omsætning vil blive påvirket af loven.

Det handler om individet (rettigheder)

En forbrugers individuelle ret til at kontrollere, hvordan deres personlige oplysninger bruges, er kernen i CCPA. Rettigheder kodificeret af CCPA omfatter retten til:

  • Ved, hvilke oplysninger du indsamler om dem og hvorfor
  • Anmode dig om at slette deres oplysninger fra dine databaser
  • Ved, hvilke tredjepartsvirksomheder du deler deres data med eller køber deres data fra
  • Giv mandat til et tilvalgssvar, før du sælger data til alle på 16 år og derunder
  • Fravælg salg af personlige oplysninger

Den sidste – retten til at nægte salg af personlige oplysninger – er den store. Med en bred definition af, hvad der består af at "sælge" data (sælge, leje, frigive, afsløre, formidle, stille til rådighed eller overføre ... en forbrugers personlige oplysninger for penge or noget andet værdifuldt), kan dette krav være det glatteste at få fat i for virksomheder.

Håndtering af individuelle rettighedsanmodninger

Hvis du tillader tredjeparter at bruge de data, du indsamler til deres egne formål og skal være CCPA-kompatibel, have at have sikre, effektive datakortlægningsprocesser, der lader dig identificere, ændre og fjerne personlige oplysninger for forbrugere inden for CCPA's tidslinjer.

Det betyder, at du skal:

  • Har processer for indsendelse af individuelle rettigheder til at vide/slette anmodninger. Dette bør omfatte mindst to måder at indsende anmodninger på.  
    • Et gratis telefonnummer er påkrævet, undtagen for virksomheder, der kun er online – en e-mailadresse kan træde i stedet for det gratisnummer.  
    • Generelt kan alle virksomheder angive enten en webformular eller e-mailadresse til at indsende anmodninger.
    • Før du afslutter dine processer, skal du gennemgå med en privatlivsekspert for at sikre dig, at du træffer de rigtige valg.
  • Ved, at du kan opfylde den strenge 10-dages anmodningsbekræftelse og 45-dages færdiggørelsestidslinje
  • Ved, at dit team kan identificere og verificere forbrugeroplysninger korrekt 

Gennemsigtighed med tænder

Med strenge krav for at underrette kunderne om dataindsamlingspraksis, kan du takke CCPA for alle disse Opdatering til vores privatlivspolitik e-mails, du har modtaget fra alle virksomheder, du nogensinde har givet din e-mailadresse til. 

CCPA-kompatible fortrolighedserklæringer skal være tilgængelige og specifikt angive, hvilken type information du indsamler, hvad du laver med dem, og hvem du deler den med. Det skal også klart beskrive de rettigheder, dine forbrugere har. (Se ovenfor). 

Hvad mere er, skal du fortælle forbrugerne alt det på eller før tidspunktet for afhentning og give en (oplagt) Sælg ikke mine personlige data knappen på din startside.

Sidebjælke - hvis din privatlivspolitik er på fire sider med tæt juridisk, så omskriv den i en brugervenlig stil. Dette vil både hjælpe dine kunder med at forstå det og forbedre deres oplevelse på dit websted. 

Hold det hemmeligt, hold det sikkert

CCPA kræver, at du vedligeholder rimelige sikkerhedsprocedurer på plads for at beskytte følsomme forbrugeroplysninger. Lovgivningen beskriver ikke, hvad en "rimelig sikkerhedsprocedure" er, men det første du skal gøre er at sikre dig, at du forstår hele livscyklussen af ​​en datapost. Det betyder, at du skal vide, hvilke oplysninger du indsamler, hvorfor du indsamler dem, hvornår du indsamler dem, hvor du opbevarer dem, hvor længe du opbevarer dem, og hvem du deler dem med. 

Andre ting, der helt sikkert bør være på din to-do-liste inkluderer:

  • Begrænsning og opdatering af dine tilladelsesadgangsstrukturer (Du vil blive overrasket over, hvor mange virksomheder, der glemmer at fjerne tidligere ansatte fra deres systemer)
  • Styrkelse af din virksomheds software-/hardwareopdaterings- og patchprocesser, så du ikke efterlader dine systemer sårbare over for hacks
  • Oprettelse af virksomhedspolitikker for stærke adgangskoder, VPN-brug (ingen offentlig Wi-Fi!) og adskillelse af arbejde/personlige enheder
  • Kryptering af data i hvile, og når de overføres til andre virksomheder.

Når du har løst disse trin, skal du overveje en privatlivs- og sikkerhedsvurdering for dit system og for hver af dine tjenesteudbydere.

Hvorfor CCPA egentlig, Virkelig Matters

CCPA er kun begyndelsen. Det er USA's første brede lov om databeskyttelse, men den er ikke engang tæt på den sidste. At være CCPA-kompatibel vil give din virksomhed mulighed for hurtigt at tilpasse sig de ændringer, der allerede er synlige i horisonten. 

Flere privatlivsforordninger er på vej

CCPA's efterfølger, den California Privacy Records Act (CPRA), er allerede blevet vedtaget af vælgere i Californien. CPRA præciserer vage dele af CCPA, tilføjer yderligere forbrugerbeskyttelse og tilføjer civilretligt ansvar for din virksomhed, hvis et databrud afslører dine kunders følsomme personlige oplysninger. 

Med undtagelse af retten til indsigt vil CPRA, som det er skrevet nu, gælde for de personlige oplysninger, du indsamler fra dine kunder den 1. januar 2022 eller senere. Det betyder, at selvom CPRA først træder i kraft i januar 2023, vil du behov for effektivt at kunne spore individuelle dataposter inden udgangen af ​​2021. 

At være CCPA-kompatibel vil effektivt opnå dette og gøre din rejse mod CPRA-overholdelse meget lettere.

CPRA øgede også dramatisk sandsynligheden for, at vi vil se robuste håndhævelsesforanstaltninger ved at oprette og finansiere California Privacy Protection Agency, som vil have betydelige midler og personale til at håndtere privatlivsklager. Med CCPA-håndhævelse administreret af Californiens Attorney Generals kontor, har virksomheder været i stand til at undgå undersøgelser eller undgå at blive udleveret krænkelser af privatlivets fred. Dette vil være betydeligt mindre sandsynligt med CPRA's øgede kontrolniveau.

Privatlivsbestemmelser i andre stater

Nevada, Maine, Massachusetts, New York, Vermont og Illinois har også databeskyttelseslove på bøgerne, selvom de adskiller sig på mange måder fra CCPA og ikke anses for at være en omfattende privatlivslovgivning. Andre stater har aktive regninger afventende. Selvom ingen af ​​disse verserende love matcher Californiens standarder, er oddsene meget høje for, at der vil være en regulering i din stat inden for de næste fem år. Hvis du kan få din virksomheds CCPA-kompatibel nu, vil matchning af fremtidige krav være hurtigere, mere effektivt og billigere.

Bøder, gebyrer, påbud, Oh My!

Intet er værre for e-handel end et databrud. Hacks resulterer ofte i pinligt dårlig omtale, men de giver også et slag mod dit omdømme hos forbrugerne, som udmønter sig i tabt salg og nedsat omsætning.

Det handler dog ikke kun om forbrugertillid. Manglende overholdelse udgør også en reel økonomisk risiko, der kan dræne dine reserver, mens dit salg er nede.

I henhold til CCPA kan manglende løsning af problemer med manglende overholdelse inden for 30 dage efter varsel resultere i et påbud, der kan lukke din virksomhed. Du kan blive underlagt en bøde på $2,500-7,000 pr. rekord fra staten Californien. CCPAs tærskel for dataindsamling er 50,000 poster om året. At blive opkrævet $2,500 eller $7,500 for selv en brøkdel af så mange poster er mange penge.

Desuden kan individuelle kunder sagsøge dig direkte, hvis der er et brud på ikke-redigerede eller ikke-krypterede data til en værdi af $100-750 pr. 

Træning, træning, træning

Forskning vurderer det 30 % af alle hacks kan tilskrives interne menneskelige fejl og næsten 95 % af skybaserede brud er utilsigtet forårsaget af medarbejderes fejl.

Selv store databeskyttelsesprogrammer vil mislykkes, hvis dine medarbejdere og leverandører ikke forstår det. Begynd at træne dine medarbejdere i CCPA-overholdelse og bedste praksis for databeskyttelse nu. Hvis dine leverandører ikke kan eller vil opfylde dine forventninger, så find nye. 

Før du går og tænker, at privatlivets fred udelukkende tilhører it-medarbejdernes verden, så husk, hvilken sammenkoblet, hyperlinket, informationsdelingsverden vi lever i. Fra din marketings afdeling til dit salgsteam til dine kundeservicerepræsentanter, overholdelse af privatlivets fred og uddannelse bør behandles på alle niveauer i din virksomhed. 

Det tager tid at udvikle en stærk privatlivsbevidsthedskultur, så spild ikke mere af det.

Vær den gode fyr

Forbrugerdata er ikke kun et værktøj – det er verdens mest værdifulde valuta. Du skal beskytte det lige så omhyggeligt, som du gør dine patenter, copyrights og produktformler. Selvom CCPA teknisk set ikke gælder for dig, har forbrugerne ringe tolerance over for virksomheder, der spiller hurtigt og løst med deres personlige oplysninger.

I stedet for at se privatlivskravene som et omkostningscenter, så tænk på dem som en kerneværditilvækst, der opbygger tillid til dine kunder og individualiserer deres oplevelse.

Byg din digitale fremtid

Digital tillid, eller hvor meget tillid brugerne har til, at en virksomhed opfører sig etisk online, vil være et centralt forbrugerproblem i løbet af det næste årti. At blive CCPA-kompatibel nu vil skabe det stærke fundament, du har brug for til at tilpasse dig den databeskyttelsesinfrastruktur, der bygges omkring dig i realtid. I stedet for at blive pakket ind, skal du bygge stilladserne for privatlivspraksis, der sparer dig tid og penge i det lange løb.

Hvad mener du?

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.