Det kan være skræmmende at opfylde kravene i California Consumer Privacy Act (CCPA). Det er let at forstå det overordnede formål, men de besværlige detaljer om præcis, hvad du skal gøre for at overholde reglerne, er ofte sværere at forstå.
Her er en praktisk CCPA-overholdelsestjekliste, der hjælper dig med at sikre, at dit websted overholder denne vigtige forbrugerdatalov.
CCPA-tjekliste til overholdelse
Forstå, hvordan CCPA gælder for dig
Er du fritaget, fordi du er en nonprofitorganisation?
Opfylder du betingelserne for, at CCPA kan ansøge?
Gennemgå dine eksisterende politikker og fremgangsmåder
Identificer de data, du indsamler fra forbrugere, det tidspunkt, hvor indsamlingen finder sted, og hvordan du bruger dataene.
Vurder dine datapolitikker for overholdelse af CCPA.
Juster politikker og praksis
Meddelelser om beskyttelse af personlige oplysninger på tidspunktet for dataindsamlingen.
Procedure og svar på dataanmodning.
Sikkerhedskontroller opdaterede og passende til datatypen.
Tredjepartsaftaler kontrolleres for at sikre overholdelse.
Medarbejdere uddannet i datahåndtering.
Vedligehold dit system
Vær opmærksom på ændringer i datastyring og -regulering.
Sørg for, at personalet modtager regelmæssig uddannelse.
Gennemgå din privatlivspolitik årligt for at sikre, at den forbliver opdateret.
Tjekliste til at blive CCPA-kompatibel
Lad os gennemgå tjeklisten lidt mere detaljeret.
1. Forstå, hvordan CCPA gælder for dig
en. Er du fritaget, fordi du er en non-profit?
CCPA gælder kun for for-profit organisationer, der deltager i transaktioner med indbyggere i Californien. Hvis din nonprofitorganisation ejes eller kontrolleres af et for-profit moderselskab, gælder undtagelsen muligvis ikke.
b. Opfylder du betingelserne for, at CCPA gælder?
Selvom du er en for-profit organisation, gælder loven kun, hvis du opfylder en eller flere af disse betingelser: årlige bruttoindtægter over $ 25 millioner; behandle personlige oplysninger om 50.000 eller flere indbyggere i Californien til kommercielle formål årligt; sælger personlige oplysninger for at generere over 50% af de årlige indtægter.
2. Gennemgå dine eksisterende politikker og praksisser
en. Identificer de data, du indsamler fra forbrugere, det tidspunkt, hvor indsamlingen finder sted, og hvordan du bruger dataene.
CCPA gælder for personoplysninger, så du skal være bekendt med, hvordan dette defineres: Det er oplysninger, der kan bruges til at identificere nogen, enten individuelt eller som en del af en husstand.
Dette inkluderer de åbenlyse personoplysninger som navn, adresse, pas eller personnummer, men også e-mail-adresse, IP-adresse og brugernavne, ansættelses- og sygehistorie og biodynamiske data som fingeraftryk.
Din databeholdning skal gøre det nemt at spore, hvilke data der indsamles, og på hvilke punkter i din forbrugerrejse.
b. Vurder dine datapolitikker for overholdelse af CCPA.
Din privatlivspolitik skal være i overensstemmelse med CCPA, f.eks. ved at give forbrugerne mulighed for at se, hvilke data om dem der er blevet indsamlet i løbet af de foregående 12 måneder, opfylde CCPA-fravalgskrav og fortælle brugerne, hvordan de kan udøve rettigheder såsom adgang til deres personlige oplysninger.
Interne datapolitikker bør også angive forventninger til, hvordan dine medarbejdere og tredjepartspartnere vil håndtere data i overensstemmelse med CCPA.
3. Juster politikker og praksis
en. Meddelelser om beskyttelse af personlige oplysninger på tidspunktet for dataindsamlingen.
CCPA kræver, at du informerer brugerne om, hvilke data der indsamles, hvordan hver kategori af data er defineret, og hvad deres rettigheder er i henhold til CCPA – for eksempel hvordan man anmoder om sletning eller videregivelse af data og muligheden for at bruge en fravalgsanmodning til at nægte salg af personlige oplysninger. Du skal være sikker på, at du opfylder CCPA-cookiebannerkravene.
b. Procedure og svar på dataanmodning.
Du skal planlægge dit svar på forbrugernes anmodninger, så dit system skal konfigureres, så kundernes anmodninger om at få adgang til deres data kan opfyldes hurtigt og nemt inden for fristen på 45 dage og gratis. Der bør være mindst to måder at anmode om videregivelse af data på, f.eks. en telefonlinje og e-mailadresse.
c. Opdaterede sikkerhedskontroller og passende til datatypen.
Databrud kan vise sig at være meget skadelige og dyre for virksomheder, så det er vigtigt at være sikker på, at du har passende kontroller på plads for at reducere risikoen. Dette bør omfatte en beredskabsplan for hændelser, der skal anvendes i tilfælde af en overtrædelse.
d. Tredjepartsaftaler kontrolleres for at sikre overholdelse.
Du er ansvarlig for, hvordan dine kunders data håndteres – også selvom det ikke er dig, der håndterer dem. Sørg for, at dine tredjepartsaftaler kræver, at partnere overholder CCPA og accepterer ansvar for overtrædelser, der opstår. Hvis du eller dine tredjeparter indsamler data fra brugere, har du sandsynligvis brug for en cookiepolitik på dit websted.
e. Medarbejdere uddannet i datahåndtering.
Det, der betyder noget, er, hvordan dit system fungerer i praksis, ikke hvad der står i et dokument et eller andet sted. Den måde, dine medarbejdere håndterer data på, er altafgørende, og regelmæssig træning kan hjælpe med at forhindre utilsigtede brud.
4. Vedligehold dit system
en. Vær opmærksom på ændringer i datastyring og -regulering.
Loven forbliver ikke den samme for evigt – sørg for at holde øje med udviklingen i lovgivningen, der kan betyde, at du skal ændre din tilgang. Dette kan være gennem retspraksis, der påvirker, hvordan loven fortolkes, eller nye regler og bestemmelser, der medfører ændringer. Tildeling af denne opgave til nogen vil hjælpe med at sikre ansvarlighed, da det er alt for let for det at falde mellem jobroller.
b. Sørg for, at personalet modtager regelmæssig uddannelse.
Medarbejderne har brug for regelmæssige genopfriskninger for at sikre, at de forbliver i overensstemmelse med reglerne og for at fortælle nye medarbejdere, hvad de skal gøre. Et krav om at tilbyde regelmæssig træning kan også være inkluderet i dine tredjepartskontrakter.
c. Gennemgå din privatlivspolitik årligt for at sikre, at den forbliver opdateret.
En privatlivspolitik bør ikke være noget, du gør én gang og derefter glemmer det. Hvis du kontrollerer din politik årligt, sikrer du, at den er opdateret. Data, du indsamler, skal også matches med den privatlivspolitik, der var gældende på tidspunktet for brugerens samtykke.
Opnå overholdelse af angivne standarder på den nemme måde
Har du brug for hjælp til at sikre, at dit websted opfylder kravene i CCPA? Konsekvenserne af at overtræde loven omfatter bl.a. CCPA-bøder på op til 7.500 dollars pr. overtrædelse opkrævet af Californiens justitsminister, hvilket gør manglende overholdelse potentielt meget dyr. Læs mere om CCPA i vores ultimative guide.
Lad CookieHub rådgive dig om bedste praksis, så du har en problemfri og kompatibel service til kunderne. Udforsk vores prisside for at finde den bedste løsning til dine behov.