Zgodność z CCPA w handlu elektronicznym

Opublikowany: 2019-11-20

Kalifornijska ustawa o ochronie prywatności konsumentów wejdzie w życie w styczniu 2020 r. – oto krótki przewodnik dotyczący zgodności dla firm zajmujących się handlem elektronicznym

W przypadku firm zajmujących się handlem elektronicznym zgodność z CCPA powinna być na wysokim poziomie w 2020 r. Podobnie jak Ogólne rozporządzenie o ochronie danych (lepiej znane jako RODO) w Europie, ma ono ogromny wpływ na sposób komunikowania się z klientami. W tym artykule przedstawiono podstawowe informacje o tym, co oznacza nowa ustawa i jak przygotować do niej firmę.

Zastrzeżenie: ten post nie stanowi porady prawnej – zasięgnij profesjonalnego radcy prawnego, aby upewnić się, że Twoje działania są zgodne!

Co to jest CCPA?

Gubernator Kalifornii podpisał ustawę Assembly Bill 375 w dniu 28 czerwca 2018 r. Kalifornijska ustawa o ochronie prywatności konsumentów, znana również jako CCPA, wejdzie w życie 1 stycznia 2020 r.

CCPA koncentruje się na prawach konsumentów do ochrony danych, jednak nie dotyczy to tylko firm fizycznie zlokalizowanych w Kalifornii. CCPA chroni prawa kalifornijskich konsumentów, niezależnie od granic stanowych. Niezależnie od tego, gdzie znajduje się Twoja firma, jeśli masz klientów w Kalifornii, musisz wziąć pod uwagę wpływ nowych zasad.

Detaliści i CCPA: kluczowe implikacje i wymagania

Co tak naprawdę oznacza zgodność z CCPA w handlu elektronicznym? Oto podstawy tego, co nakreśla Ustawa:

Gdy mieszkaniec Kalifornii zapyta, jakie dane osobowe są przechowywane przez odpowiednią firmę, firma będzie miała do 45 dni na odpowiedź. Odpowiedź musi zawierać pełny zapis, aby można ją było uznać za zgodną z CCPA.
Konsument z Kalifornii będzie mógł zrezygnować z udostępniania lub przechowywania swoich danych osobowych firmie, która dostarcza dane dowolnej stronie trzeciej.
Konsument z Kalifornii ma prawo wiedzieć, jakie dane zostały zakupione, komu zostały udostępnione i od jakiej firmy zostały zakupione.
Każdy mieszkaniec Kalifornii może zażądać usunięcia wszelkich przechowywanych przez siebie danych osobowych.
W przypadku mieszkańców Kalifornii w wieku poniżej 16 lat firmy muszą zapewnić funkcję „opt-in”.
W przypadku mieszkańców Kalifornii w wieku poniżej 13 lat rodzic lub opiekun musi wyrazić zgodę.
Konsumenci z Kalifornii nie mogą być karani przez firmę za korzystanie ze swoich praw zgodnie z CCPA.
Firmy są zobowiązane do oferowania konsumentom z Kalifornii łatwych do zobaczenia opcji rezygnacji, takich jak przycisk „Nie sprzedawaj moich informacji” w swojej witrynie internetowej.

Ustalanie, czy CCPA dotyczy Ciebie

CCPA dotyczy firm, które spełniają określone kryteria. To zawiera:

Każda firma, która sprzedaje mieszkańcom Kalifornii i generuje ponad 25 milionów dolarów przychodu każdego roku
Każda firma, która otrzymuje lub udostępnia dane osobowe ponad 50 000 Kalifornijczyków
Każda firma, która czerpie co najmniej połowę (50%) swoich rocznych przychodów ze sprzedaży danych osobowych mieszkańców Kalifornii

W większości oznacza to, że małe firmy są obecnie zwolnione z obowiązku przestrzegania przepisów CCPA. Chociaż może się to zmienić w przyszłości, większe firmy są obecnie jedynymi firmami, które muszą przygotować się na datę etapu CCPA.

CCPA a RODO

CCPA jest bardzo podobne do ogólnego rozporządzenia o ochronie danych (RODO) uchwalonego przez Unię Europejską w 2018 r. Dobrą wiadomością jest to, że firmy, które są uważane za zgodne z RODO, nie będą musiały wiele zmieniać, aby spełnić wymagania zgodności z CCPA.

CCPA jest nieco bardziej rygorystyczne dzięki szerszej definicji danych osobowych. Istnieje jednak wiele opcji, które mogą pomóc firmie wdrożyć wymagania dotyczące zgodności przed terminem styczeń 2020 r.

Konsekwencje niezgodności

Prokurator Generalny i kalifornijski system sądowy są przygotowane do wyciągnięcia kilku różnych konsekwencji dla firm niespełniających wymogów.

Nieumyślne naruszenia mogą skutkować grzywną w wysokości do 2500 USD za każde.
Każde z zamierzonych naruszeń grozi grzywną w wysokości 7500 USD.
Grzywny są naliczane za osobę lub konto.

Grzywny sumują się szybko. Często, jeśli naruszenie dotyczy jednego konsumenta, dotyczy także innych.

Aby oszacować potencjalne szkody finansowe, możesz pomnożyć liczbę konsumentów w Kalifornii przez 7500 USD. Na przykład: jeśli masz 25 klientów z Kalifornii. Tych 25 klientów pomnożonych przez 7500 USD oznacza, że możesz zostać ukarany grzywną w wysokości do 187 500 USD za wykrycie naruszenia przez jednego konsumenta.

Te kary mogą wydawać się przerażające – więc co musisz zrobić, aby ich uniknąć?

Kluczowe kroki przygotowania do zgodności z CCPA

Oto kluczowe kroki dla detalistów przygotowujących się do zgodności z CCPA.

Audyt procesów gromadzenia i zarządzania danymi

Niezbędna jest dokładna ocena sposobu, w jaki Twoja firma gromadzi i zarządza danymi osobowymi.

Szczegółowe zagłębienie się w to, gdzie przechowujesz dane konsumentów i jak ich używasz, jest niezbędne, aby zapobiec celowemu i niezamierzonemu naruszeniu, które może kosztować Twoją firmę tysiące grzywien.

Powinieneś również zbadać dane, które zbierasz z witryn stron trzecich; dostawcy zewnętrzni powinni dostarczyć na żądanie Certyfikat Zgodności z CCPA, aby upewnić się, że otrzymane dane nie spowodują szkód dla Twojej firmy w procesie sądowym.

Plan na prośby konsumentów

Zgodnie z ustawą CCPA masz do 45 dni na udzielenie odpowiedzi na prośby o dane osobowe od konsumentów z Kalifornii. Musisz mieć plan, aby szybko rozwiązać te prośby. Może to obejmować zatrudnienie personelu, który zajmie się tymi sprawami skutecznie i zgodnie z wymogami prawa. Wymagane będą również narzędzia do ekstrakcji danych, formatowanie odpowiedzi i dogłębne zrozumienie prawa.

Przygotuj się na przyszłe regulacje

Wielu ekspertów uważa, że RODO i CCPA to dopiero początek bitwy o prawa do danych. Kalifornia jest po prostu pierwszym stanem, który traktuje prawa konsumentów na tyle poważnie, by uchwalić prawodawstwo. Przyszłe regulacje są bardzo prawdopodobne, ponieważ coraz więcej państw zaangażuje się w prawa konsumentów do danych.

Stężenie na uderzenie

Trudno dokładnie wiedzieć, czego można się spodziewać po osiągnięciu CCPA – ale istnieją pewne prognozy, które możemy poczynić na podstawie RODO.

Po pierwsze, prawdopodobnie zobaczysz, że Twoja baza danych e-mail zostanie uszkodzona. Oto ile z ich adresowalnych baz danych stracili marketerzy, gdy RODO weszło w życie w 2018 roku:

Jednak jest tutaj srebrna podszewka. Odzyskanie tych strat było właściwie dość szybkie. Rok po wejściu przepisów bazy danych z powodzeniem odzyskały 93% poziomu sprzed RODO.

Jak to się stało tak szybko? Oto kolejna lekcja, którą możemy wyciągnąć, jeśli chodzi o zgodność z CCPA. Poniżej znajdują się najlepsze strategie stosowane przez firmy w celu odzyskania swoich baz danych – pozdrawiam tych, którzy chcą do 2020 roku:

1 stycznia oznacza nowy przełom w przepisach dotyczących prywatności w Stanach Zjednoczonych – wszelkie przygotowania, które teraz zrobisz, przyniosą korzyści w krótkim okresie i dobrze przygotują Cię na zmiany w prywatności danych, które nadejdą.