חוק פרטיות הצרכן של קליפורניה (CCPA) בתוקף החל מהיום, 1 בינואר 2020

החוק החדש חייב להשפיע על רוב בעלי האתרים ומפעילי האתר, כפי שקרה בעבר עם ה-GDPR האירופי. עם זאת, במובנים רבים, ה- CCPA אינו מחמיר כמו GDPRוהוא מכוון בצורה מפורשת יותר לחברות שמוכרות נתונים אישיים של צרכנים.

קודם כל, השפעות החוק מוגבלות לתושבי קליפורניה. עם זאת, זה לא אומר שעסקים מחוץ לקליפורניה לא יצטרכו לציית לחוק, אם הם עוסקים בלקוחות ממדינה זו. מכיוון שתושבי קליפורניה יכולים לגשת לכל אתר אינטרנט, ללא קשר למקום ממנו הוא מופעל, זה בעצם אומר שכל בעלי האתרים, בארה"ב ומחוצה לה, צריכים לנקוט בצעדים לקראת תאימות ל-CCPA.

ראינו זאת בעבר עם חוק ה-GDPR באירופה, שנועד לכל החברות המטפלות במידע האישי של אזרחי האיחוד האירופי. בזמן כניסת ה-GDPR לתוקף, בעלי אתרים בארה"ב ובמקומות אחרים צייתו ל-GDPR עבור כל הלקוחות שלהם, או שהחליטו פשוט לחסום את הגישה לאתרים שלהם אם הביקור בוצע מ-IP באיחוד האירופי.

אם אתה מנהל אתר בכל אחת מהמדינות האמריקאיות האחרות, ייתכן שאתה עומד בפני בחירה דומה כאן. אם אתה יכול להרשות לעצמך להשאיר את הלקוחות שלך המתגוררים בקליפורניה, ישנה אפשרות לחסום ביקורים מכתובות IP קליפורניות. עם זאת, חוקי פרטיות הנתונים צפויים להיות על סדר היום של המחוקקים גם בעתיד. אין זה בלתי צפוי שיותר, אם לא כל המדינות, יעבירו חקיקה דומה בעתיד. לכן, במקום לחסום בהדרגה לקוחות פוטנציאליים, אולי חכם יותר לציית כעת, ללא קשר למקום שבו העסק שלך ממוקם.

שנית, בניגוד ל-GDPR, השפעות החוק מוגבלות במידה מסוימת. CCPA יתייחס רק לחברות הבאות:

• אלה עם הכנסות ברוטו של לפחות 25 מיליון דולר
• אלה שיש להם מידע אישי על לפחות 50,000 תושבי קליפורניה/משקי בית /מכשירים בשנה
• לפחות 50% מההכנסות השנתיות שלהםנוצרות ממכירת הנתונים האישיים של תושבי קליפורניה

אם האתר שלך אוסף מידע אישי, אך אינו נופל תחת אחת מהקטגוריות לעיל, אז אתה חופשי לעשות עסקים כרגיל. הסתייגויות אלו הן סימן ברור לכך שהחוק לא תוכנן מתוך מחשבה על בעלי עסקים קטנים, אלא שהוא מכוון לתאגידים שמרוויחים ממכירת סטים גדולים של מידע אישי. עם זאת, הקפד לבדוק את מספר המבקרים הייחודיים מקליפורניה שיש לך באתר שלך. אם המספר הזה עולה על 50,000 בשנה, תצטרך לשקול ציות ל-CCPA.

אין הבדל גדול ממה שכבר דנו בנושאים הקשורים ל-GDPR בעבר, מכיוון שהנתונים האישיים המעורבים הם כמעט זהים: שמות, כתובות דוא"ל, מיקום, נתונים ביומטרייםוכו'. החוק מגדיר זאת ככל מידע ש"מזהה, מתייחס, מתאר, מסוגל להיות קשור, או יכול להיות מקושר באופן סביר, במישרין או בעקיפין, לצרכן או למשק בית מסוים". לידיעתך, מידע זמין לציבור, כמו גם מידע צרכני בלתי מזוההאו מצטבראינם נחשבים למידע אישי במסגרת CCPA.

אתה עדיין יכול לאסוף ואפילו למכור מידע אישי, אבל אתה צריך להקל על המשתמשים לבטל את הסכמתך לתהליך זה. החוק אומר במפורש שאם עסק מוכר את המידע האישי של המשתמשים, עליו לספק קישור ברור בדף הבית שלהם, שכותרתו "אל תמכור את המידע האישי שלי". כמו כן, זה לא חוקי להציע שירותים או תכונות שונות על סמך הבחירה להצטרף או לבטל את הסכמתך. כל הלקוחות עדיין צריכים ליהנות מאותם שירותים.

בדומה ל-GDPR, עליך להעניק ללקוחות את הזכות לגישה לנתונים, למחוק את הנתונים האישיים שלהם, ולבקש חשיפה של כל הקטגוריות של נתונים אישייםשנאספים ונמכרים (אם זה המקרה). זה ייעשה על בסיס שנתי. לפי בקשה, עליך לספק את הנתונים האישיים מ -12 החודשים הקודמים שקדמו לבקשה. כמו כן, הלקוח רשאי להגיש תביעות כאלה רק פעמיים בשנה.

כמו כן, אנא הקפד לכלול את הדברים הבאים במדיניות הפרטיות שלך:

• כל קטגוריות המידע שאתה אוסף ומעבד
• לשם מה קטגוריות המידע הללו משמשות
• איך המידע נאסף
• מהו הנוהל לבקשת גישה, שינוי, העברה או מחיקה של הנתונים האישיים של אנשים
• כיצד מאומתת זהותו של מי שמגיש בקשה
• אם נמכרים נתונים אישיים, יש לתאר זאת כאן
• כיצד לבטל הסכמה למכירת הנתונים שלהם

לא בהכרח, אבל רוב הסיכויים שאם נקטת צעדים כדי לעמוד ב-GDPR, אתה גם תואם CCPA. כל התנאים לעיל נמצאים גם ב-GDPR, למעט כללים מפורשים למכירת נתונים אישיים.

הסיכון העיקרי שעומד בפני בעלי אתרים הוא של פרצת נתונים. על פי החוק, החברה אחראית למניעת גישה בלתי מורשית וגניבה של נתוני צרכנים. אם זה יקרה, לכל משתמש שהנתונים שלו דלפו יש את הזכות להגיש בקשה להשבת נזקים בסכום שבין $100 ל-$750. פרצת מידע גדולה, שבה נגנבים נתונים של אלפי משתמשים, עלולה להוביל חברה לפשיטת רגל. תכפילו 1000 x $750 ותקבלו אומדן של ההשפעה.

עם זאת, לפני שתתקיים תביעה אזרחית כלשהי, לחברות מתאפשרות 30 יום "לרפא את ההפרה שנתגלתה", אם זה אפשרי.

מכיוון שנתוניםלא מזוהים, כמו גם נתונים מצטברים, אינם נופלים תחת הכללים של CCPA, רוב כלי הניתוח תואמים כברירת מחדל. עם זאת, עליך להקפיד לקרוא את הסכם עיבוד הנתונים ואת מדיניות הפרטיות של כל צד שלישי שכזה, כדי לוודא שיש לך את כל המידע על השימוש בנתונים אישיים. כחלק מהמאמץ לציית ל-GDPR, Visitor Analytics הפך גם לתואם CCPA. החברה שלנו אינה עוסקת במכירה או שיתוף של נתונים עם אחרים. לא ניתן לחבר את הנתונים שאנו אוספים לזהות של כל אדם או משק בית, או מכשיר.

אם אתה צריך פרטים נוספים על חוק הפרטיות החדש, אתה יכול לקרוא את הטקסט המלא של 1.81.5. חוק פרטיות הצרכן בקליפורניהכאן. אם ברצונך לדעת יותר על האופן שבו Visitor Analytics מצייתת לחוקי הפרטיות, אנא קרא את מדיניות הפרטיותוהסכם עיבוד הנתוניםשלנו.