Die Anforderungen des California Consumer Privacy Act (CCPA) zu erfüllen, kann entmutigend sein. Es ist leicht, den Gesamtzweck zu verstehen, aber die kniffligen Details, was genau Sie tun müssen, um die Anforderungen zu erfüllen, sind oft schwieriger zu verstehen.
Hier finden Sie eine praktische Checkliste zur Einhaltung des CCPA, mit der Sie sicherstellen können, dass Ihre Website mit diesem wichtigen Verbraucherdatengesetz konform ist.
Checkliste für die Einhaltung des CCPA
Verstehen, wie CCPA auf Sie anwendbar ist
Sind Sie befreit, weil Sie eine gemeinnützige Organisation sind?
Erfüllen Sie die Bedingungen für die Anwendung des CCPA?
Überprüfen Sie Ihre bestehenden Richtlinien und Praktiken
Identifizieren Sie die Daten, die Sie von Verbrauchern sammeln, den Zeitpunkt, an dem die Erhebung erfolgt und wie Sie die Daten verwenden.
Bewerten Sie Ihre Datenrichtlinien auf Einhaltung des CCPA.
Anpassen von Richtlinien und Praktiken
Datenschutzhinweise zum Zeitpunkt der Datenerfassung.
Verfahren und Beantwortung von Datenanfragen.
Sicherheitskontrollen, die auf dem neuesten Stand und der Art der Daten angemessen sind.
Vereinbarungen mit Dritten werden auf Einhaltung überprüft.
Mitarbeiter wurden im Umgang mit Daten geschult.
Warten Sie Ihr System
Bleiben Sie wachsam über Änderungen in der Datenverwaltung und -regulierung.
Stellen Sie sicher, dass die Mitarbeiter regelmäßig geschult werden.
Überprüfen Sie Ihre Datenschutzerklärung jährlich, um sicherzustellen, dass sie auf dem neuesten Stand bleibt.
Checkliste, um CCPA-konform zu werden
Lassen Sie uns die Checkliste etwas detaillierter durchgehen.
1. Verstehen Sie, wie der CCPA für Sie gilt
ein. Sind Sie davon ausgenommen, weil Sie eine gemeinnützige Organisation sind?
Der CCPA gilt nur für gewinnorientierte Organisationen, die Transaktionen mit in Kalifornien ansässigen Personen durchführen. Wenn sich Ihre gemeinnützige Organisation im Besitz oder unter der Kontrolle einer gewinnorientierten Muttergesellschaft befindet, gilt die Befreiung möglicherweise nicht.
b. Erfüllen Sie die Bedingungen für die Anwendung des CCPA?
Selbst wenn Sie eine gewinnorientierte Organisation sind, gilt das Gesetz nur, wenn Sie eine oder mehrere dieser Bedingungen erfüllen: jährlicher Bruttoumsatz über 25 Millionen US-Dollar; personenbezogene Daten von 50.000 oder mehr Einwohnern Kaliforniens jährlich zu kommerziellen Zwecken zu verarbeiten; Verkauft personenbezogene Daten, um über 50 % des Jahresumsatzes zu generieren.
2. Überprüfen Sie Ihre bestehenden Richtlinien und Praktiken
ein. Identifizieren Sie die Daten, die Sie von Verbrauchern sammeln, den Zeitpunkt, an dem die Erhebung erfolgt und wie Sie die Daten verwenden.
Der CCPA gilt für personenbezogene Daten, daher müssen Sie mit der Definition vertraut sein: Es handelt sich um Informationen, die zur Identifizierung einer Person verwendet werden können, entweder als Einzelperson oder als Teil eines Haushalts.
Dazu gehören die offensichtlichen persönlichen Daten wie Name, Adresse, Reisepass oder Sozialversicherungsnummer, aber auch E-Mail-Adresse, IP-Adresse und Benutzernamen, Beschäftigung und Krankengeschichte sowie biodynamische Daten wie Fingerabdrücke.
Ihr Dateninventar sollte es einfach machen, zu verfolgen, welche Daten an welchen Punkten Ihrer Customer Journey gesammelt werden.
b. Bewerten Sie Ihre Datenrichtlinien auf Einhaltung des CCPA.
Ihre Datenschutzerklärung sollte CCPA-konform sein, z. B. indem sie den Verbrauchern die Möglichkeit gibt, zu sehen, welche Daten in den letzten 12 Monaten über sie gesammelt wurden, indem sie die CCPA-Opt-out-Anforderungen erfüllt und den Nutzern mitteilt, wie sie Rechte wie den Zugriff auf ihre personenbezogenen Daten ausüben können.
Interne Datenrichtlinien sollten auch die Erwartungen an den Umgang Ihrer Mitarbeiter und Drittanbieter mit Daten in Übereinstimmung mit dem CCPA festlegen.
3. Passen Sie Richtlinien und Praktiken an
ein. Datenschutzhinweise zum Zeitpunkt der Datenerfassung.
Der CCPA verlangt von Ihnen, dass Sie die Nutzer darüber informieren, welche Daten erhoben werden, wie die einzelnen Datenkategorien definiert sind und welche Rechte sie nach dem CCPA haben – zum Beispiel, wie sie die Löschung oder Offenlegung von Daten beantragen können und die Möglichkeit, einen Opt-out-Antrag zu nutzen, um den Verkauf personenbezogener Daten abzulehnen. Sie müssen sicherstellen, dass Sie die Anforderungen des CCPA-Cookie-Banners erfüllen.
b. Verfahren und Beantwortung von Datenanfragen.
Sie müssen Ihre Reaktion auf Verbraucheranfragen planen, daher sollte Ihr System so eingerichtet sein, dass Kundenanfragen auf Zugriff auf ihre Daten schnell und einfach, innerhalb der 45-Tage-Frist und kostenlos erfüllt werden können. Es sollte mindestens zwei Möglichkeiten geben, die Offenlegung von Daten anzufordern, z. B. eine Telefonleitung und eine E-Mail-Adresse.
c. Aktuelle Sicherheitskontrollen und angemessen für die Art der Daten.
Datenschutzverletzungen können sich für Unternehmen als sehr schädlich und kostspielig erweisen, daher ist es wichtig, sicherzustellen, dass Sie über angemessene Kontrollen verfügen, um das Risiko zu reduzieren. Dies sollte einen Incident-Response-Plan enthalten, der im Falle eines Verstoßes verwendet werden kann.
d. Vereinbarungen mit Dritten werden auf Einhaltung überprüft.
Sie sind dafür verantwortlich, wie mit den Daten Ihrer Kunden umgegangen wird – auch wenn nicht Sie es sind, der die Verarbeitung übernimmt. Stellen Sie sicher, dass Ihre Vereinbarungen mit Dritten die Partner zur Einhaltung des CCPA verpflichten und die Haftung für auftretende Verstöße übernehmen. Wenn Sie oder Ihre Drittanbieter Daten von Nutzern sammeln, benötigen Sie wahrscheinlich eine Cookie-Richtlinie auf Ihrer Website.
e. Mitarbeiter wurden im Umgang mit Daten geschult.
Entscheidend ist, wie Ihr System in der Praxis funktioniert, nicht was irgendwo in einem Dokument steht. Die Art und Weise, wie Ihre Mitarbeiter Daten verwalten, ist von entscheidender Bedeutung, und regelmäßige Schulungen können dazu beitragen, unbeabsichtigte Verstöße zu verhindern.
4. Pflegen Sie Ihr System
ein. Bleiben Sie wachsam über Änderungen in der Datenverwaltung und -regulierung.
Das Gesetz bleibt nicht für immer dasselbe – achten Sie auf Entwicklungen im Gesetz, die bedeuten könnten, dass Sie Ihren Ansatz ändern müssen. Dies kann durch Rechtsprechung geschehen, die sich auf die Auslegung des Gesetzes auswirkt, oder durch neue Regeln und Vorschriften, die Veränderungen mit sich bringen. Die Zuweisung dieser Aufgabe an jemanden trägt dazu bei, die Verantwortlichkeit zu gewährleisten, da es allzu leicht ist, dass sie zwischen den Jobrollen liegt.
b. Stellen Sie sicher, dass die Mitarbeiter regelmäßig geschult werden.
Die Mitarbeiter müssen regelmäßig aufgefrischt werden, um sicherzustellen, dass sie die Vorschriften einhalten, und um neuen Mitarbeitern zu sagen, was sie tun sollen. Die Anforderung, regelmäßige Schulungen anzubieten, kann auch in Ihren Verträgen mit Dritten enthalten sein.
c. Überprüfen Sie Ihre Datenschutzerklärung jährlich, um sicherzustellen, dass sie auf dem neuesten Stand bleibt.
Eine Datenschutzerklärung sollte nicht etwas sein, das man einmal macht und dann vergisst. Wenn Sie Ihre Richtlinie jährlich überprüfen, stellen Sie sicher, dass sie auf dem neuesten Stand ist. Die von Ihnen erfassten Daten sollten auch mit der zum Zeitpunkt der Zustimmung des Benutzers geltenden Datenschutzrichtlinie abgeglichen werden.
Compliance auf einfache Weise erreichen
Benötigen Sie Hilfe, um sicherzustellen, dass Ihre Website die Anforderungen des CCPA erfüllt? Zu den Folgen eines Verstoßes gegen das Gesetz gehören CCPA-Bußgelder von bis zu 7.500 US-Dollar pro Verstoß, der vom kalifornischen Generalstaatsanwalt erhoben wird, was die Nichteinhaltung potenziell sehr kostspielig macht. Lesen Sie mehr über CCPA in unserem ultimativen Leitfaden.
Lassen Sie sich von CookieHub zu Best Practices beraten, damit Sie einen reibungslosen, konformen Service für Ihre Kunden haben. Erkunden Sie unsere Preisseite , um die beste Lösung für Ihre Bedürfnisse zu finden.