Die Anforderungen des California Consumer Privacy Act (CCPA) zu erfüllen, kann entmutigend sein. Es ist leicht, den Gesamtzweck zu verstehen, aber die kniffligen Details, was genau Sie tun müssen, um die Anforderungen zu erfüllen, sind oft schwieriger zu verstehen.
Hier finden Sie eine praktische Checkliste zur Einhaltung des CCPA, mit der Sie sicherstellen können, dass Ihre Website mit diesem wichtigen Verbraucherdatengesetz konform ist.
Checkliste für die Einhaltung des CCPA
Verstehen Sie, wie der CCPA auf Sie
zutrifftSind Sie davon ausgenommen, weil Sie eine gemeinnützige Organisation sind?
Erfüllen Sie die Bedingungen für die Anwendung des CCPA?
Überprüfen Sie Ihre bestehenden Richtlinien und Praktiken
Identifizieren Sie die Daten, die Sie von Verbrauchern sammeln, den Zeitpunkt, an dem die Erfassung erfolgt, und wie Sie die Daten verwenden.
Bewerten Sie Ihre Datenrichtlinien auf die Einhaltung des CCPA.
Anpassen von Richtlinien und Praktiken
Datenschutzbenachrichtigungen zum Zeitpunkt der Datenerfassung.
Verfahren und Antwort auf die Datenanforderung.
Die Sicherheitskontrollen sind auf dem neuesten Stand und entsprechen der Art der Daten.
Vereinbarungen mit Dritten werden überprüft, um die Einhaltung zu gewährleisten.
Die Mitarbeiter wurden im Umgang mit Daten geschult.
Pflegen Sie Ihr System
Bleiben Sie wachsam über Änderungen in der Data Governance und Regulierung.
Stellen Sie sicher, dass die Mitarbeiter regelmäßig geschult werden.
Überprüfen Sie Ihre Datenschutzrichtlinie jährlich, um sicherzustellen, dass sie auf dem neuesten Stand bleibt.
Checkliste, um CCPA-konform zu werden
Lassen Sie uns die Checkliste etwas detaillierter durchgehen.
1. Verstehen Sie, wie der CCPA für Sie gilt
ein. Sind Sie davon ausgenommen, weil Sie eine gemeinnützige Organisation sind?
Der CCPA gilt nur für gewinnorientierte Organisationen, die Transaktionen mit in Kalifornien ansässigen Personen durchführen. Wenn sich Ihre gemeinnützige Organisation im Besitz oder unter der Kontrolle einer gewinnorientierten Muttergesellschaft befindet, gilt die Befreiung möglicherweise nicht.
b. Erfüllen Sie die Bedingungen für die Anwendung des CCPA?
Selbst wenn Sie eine gewinnorientierte Organisation sind, gilt das Gesetz nur, wenn Sie eine oder mehrere dieser Bedingungen erfüllen: jährlicher Bruttoumsatz über 25 Millionen US-Dollar; personenbezogene Daten von 50.000 oder mehr Einwohnern Kaliforniens jährlich zu kommerziellen Zwecken zu verarbeiten; Verkauft personenbezogene Daten, um über 50 % des Jahresumsatzes zu generieren.
2. Überprüfen Sie Ihre bestehenden Richtlinien und Praktiken
ein. Identifizieren Sie die Daten, die Sie von Verbrauchern sammeln, den Zeitpunkt, an dem die Erfassung erfolgt, und wie Sie die Daten verwenden.
Der CCPA gilt für personenbezogene Daten, daher müssen Sie wissen, wie dies definiert wird: Es handelt sich um Informationen, die verwendet werden können, um eine Person zu identifizieren, entweder einzeln oder als Teil eines Haushalts.
Dazu gehören die offensichtlichen persönlichen Daten wie Name, Adresse, Reisepass oder Sozialversicherungsnummer, aber auch E-Mail-Adresse, IP-Adresse und Benutzernamen, Beschäftigung und Krankengeschichte sowie biodynamische Daten wie Fingerabdrücke.
Ihr Dateninventar sollte es einfach machen, zu verfolgen, welche Daten an welchen Punkten Ihrer Customer Journey gesammelt werden.
b. Bewerten Sie Ihre Datenrichtlinien auf die Einhaltung des CCPA.
Ihre Datenschutzrichtlinie sollte mit dem CCPA konform sein, z. B. indem sie den Verbrauchern die Möglichkeit gibt, zu sehen, welche Daten über sie in den letzten 12 Monaten gesammelt wurden, indem sie die CCPA-Opt-out-Anforderungen erfüllt und den Nutzern mitteilt, wie sie Rechte wie den Zugriff auf ihre personenbezogenen Daten ausüben können.
Interne Datenrichtlinien sollten auch die Erwartungen darlegen, wie Ihre Mitarbeiter und Drittpartner mit Daten in Übereinstimmung mit dem CCPA umgehen werden.
3. Passen Sie Richtlinien und Praktiken an
ein. Datenschutzbenachrichtigungen zum Zeitpunkt der Datenerfassung.
Der CCPA verlangt von Ihnen, dass Sie die Nutzer darüber informieren, welche Daten erhoben werden, wie jede Datenkategorie definiert ist und welche Rechte sie im Rahmen des CCPA haben – z. B. wie Sie die Löschung oder Offenlegung von Daten beantragen können und die Möglichkeit, einen Opt-out-Antrag zu verwenden, um den Verkauf personenbezogener Daten abzulehnen. Sie müssen sicherstellen, dass Sie die Anforderungen des CCPA-Cookie-Banners erfüllen.
b. Verfahren und Antwort auf die Datenanforderung.
Sie müssen Ihre Reaktion auf Verbraucheranfragen so planen, dass Ihr System so eingerichtet ist, dass Kundenanfragen für den Zugriff auf ihre Daten schnell und einfach, innerhalb der 45-Tage-Frist und kostenlos erfüllt werden können. Es sollte mindestens zwei Möglichkeiten geben, die Offenlegung von Daten anzufordern, z. B. eine Telefonleitung und eine E-Mail-Adresse.
c. Aktuelle Sicherheitskontrollen und entsprechend der Art der Daten.
Datenschutzverletzungen können sich für Unternehmen als sehr schädlich und kostspielig erweisen, daher ist es wichtig, sicherzustellen, dass Sie über angemessene Kontrollen verfügen, um das Risiko zu verringern. Dies sollte einen Incident-Response-Plan enthalten, der im Falle eines Verstoßes verwendet werden kann.
d. Vereinbarungen mit Dritten werden überprüft, um die Einhaltung zu gewährleisten.
Sie sind dafür verantwortlich, wie mit den Daten Ihrer Kunden umgegangen wird – auch wenn Sie es nicht sind, die den Umgang damit durchführen. Stellen Sie sicher, dass Ihre Vereinbarungen mit Dritten die Partner zur Einhaltung des CCPA verpflichten und die Haftung für auftretende Verstöße übernehmen. Wenn Sie oder Ihre Drittanbieter Daten von Nutzern sammeln, benötigen Sie wahrscheinlich eine Cookie-Richtlinie auf Ihrer Website.
e. Die Mitarbeiter wurden im Umgang mit Daten geschult.
Was zählt, ist, wie Ihr System in der Praxis funktioniert, nicht das, was irgendwo in einem Dokument steht. Die Art und Weise, wie Ihre Mitarbeiter Daten verwalten, ist von entscheidender Bedeutung, und regelmäßige Schulungen können dazu beitragen, unbeabsichtigte Verstöße zu verhindern.
4. Pflegen Sie Ihr System
ein. Bleiben Sie wachsam über Änderungen in der Data Governance und Regulierung.
Das Gesetz bleibt nicht für immer gleich – achten Sie auf rechtliche Entwicklungen, die bedeuten könnten, dass Sie Ihren Ansatz ändern müssen. Dies kann durch Rechtsprechung geschehen, die sich auf die Auslegung des Gesetzes auswirkt, oder durch neue Regeln und Vorschriften, die Veränderungen mit sich bringen. Die Zuweisung dieser Aufgabe an jemanden trägt dazu bei, die Verantwortlichkeit zu gewährleisten, da es allzu leicht ist, dass sie zwischen den Jobrollen liegt.
b. Stellen Sie sicher, dass die Mitarbeiter regelmäßig geschult werden.
Die Mitarbeiter müssen regelmäßig aufgefrischt werden, um sicherzustellen, dass sie die Vorschriften einhalten, und um neuen Mitarbeitern zu sagen, was zu tun ist. Die Anforderung, regelmäßige Schulungen anzubieten, kann auch in Ihren Verträgen mit Dritten enthalten sein.
c. Überprüfen Sie Ihre Datenschutzrichtlinie jährlich, um sicherzustellen, dass sie auf dem neuesten Stand bleibt.
Eine Datenschutzerklärung sollte nicht etwas sein, das man einmal tut und dann vergisst. Wenn Sie Ihre Richtlinie jährlich überprüfen, stellen Sie sicher, dass sie auf dem neuesten Stand ist. Die von Ihnen erfassten Daten sollten auch mit der zum Zeitpunkt der Zustimmung des Benutzers geltenden Datenschutzrichtlinie abgeglichen werden.
Compliance auf einfache Weise erreichen
Benötigen Sie Hilfe, um sicherzustellen, dass Ihre Website die Anforderungen des CCPA erfüllt? Zu den Folgen eines Gesetzesverstoßes gehören CCPA-Geldstrafen von bis zu 7.500 US-Dollar pro Verstoß, die vom kalifornischen Generalstaatsanwalt erhoben werden, was die Nichteinhaltung potenziell sehr kostspielig macht.
Lassen Sie sich von CookieHub zu Best Practices beraten, damit Sie Ihren Kunden einen reibungslosen, konformen Service bieten. Erkunden Sie unsere Preisseite, um die beste Lösung für Ihre Anforderungen zu finden.