Skip to main content

1 februarie 2020 6 minute citite

Legea privind confidențialitatea consumatorilor din California (CCPA) este în vigoare începând de astăzi, 1 ianuarie 2020

Pe măsură ce sărbătorim începutul noului an, aruncăm o privire mai atentă la noua lege a confidențialității din California pentru 2020, care va avea un impact asupra modului în care companiile gestionează datele personale. Numit California Consumer Privacy Actsau CCPA, este menit să ofere rezidenților din California mai mult control asupra modului în care datele lor personale sunt stocate și procesate. Începând de astăzi, 1 ianuarie 2020, această lege a confidențialității este în vigoare.

Pe cine va afecta această nouă legislație? Care sunt principalele lucruri de știut despre CCPA? Ce puteți face pentru a vă asigura că, în calitate de proprietar al site-ului web, îl respectați?

Noua lege este obligată să afecteze majoritatea proprietarilor și operatorilor de site-uri web, așa cum sa întâmplat anterior cu GDPR european. Cu toate acestea, în multe privințe, CCPA nu este la fel de strictă precum GDPRși se adresează mai explicit companiilor care vând datele personale ale consumatorilor.

Ce site-uri web va avea impact CCPA?

În primul rând, efectele legii sunt limitate la rezidenții din California. Totuși, asta nu înseamnă că afacerile din afara Californiei nu vor trebui să respecte legea, dacă au de-a face cu clienți din acest stat. Deoarece rezidenții din California pot accesa orice site web, indiferent de unde este operat, înseamnă, practic, că toți proprietarii de site-uri web, din SUA și din străinătate, ar trebui să ia măsuri pentru a se conforma CCPA.

Am mai văzut acest lucru cu legea GDPR din Europa, care era destinată tuturor companiilor care manipulează informațiile personale ale cetățenilor UE. La momentul în care GDPR a intrat în vigoare, proprietarii de site-uri web din SUA și din alte părți fie respectau GDPR pentru toți clienții lor, fie au decis să blocheze pur și simplu accesul la site-urile lor dacă vizita era efectuată de la o IP din Uniunea Europeană.

Dacă conduceți un site web în oricare dintre celelalte state americane, s-ar putea să vă confruntați cu o alegere similară aici. Dacă vă puteți permite să lăsați deoparte clienții care locuiesc în California, există opțiunea de a bloca vizitele de la IP-uri din California. Cu toate acestea, legile privind confidențialitatea datelor vor fi probabil și pe ordinea de zi a legiuitorilor în viitor. Nu este de neprevăzut că mai multe state, dacă nu toate, vor adopta legislații similare în viitor. Deci, în loc să blocați progresiv potențialii clienți, ar putea fi mai înțelept să vă conformați acum, indiferent de locul în care se află afacerea dvs.

În al doilea rând, spre deosebire de GDPR, efectele legii sunt oarecum limitate. CCPA va viza numai următoarele companii:

  • cei cu venituri brute de cel puțin 25 milioane USD
  • cei care au informații personale pe cel puțin 50.000 de rezidenți /gospodării /dispozitive din Californiape an
  • cel puțin 50% din veniturile lor anualesunt generate din vânzarea datelor personale ale californienilor

Dacă site-ul dvs. web colectează informații personale, dar nu se încadrează în una dintre categoriile de mai sus, atunci sunteți liber să faceți afaceri ca de obicei. Aceste avertismente sunt un semn clar că legea nu a fost concepută având în vedere proprietarii de afaceri mici, ci mai degrabă că vizează corporațiile care profită din vânzarea unor seturi mari de informații personale. Cu toate acestea, asigurați-vă că verificați numărul de vizitatori unici din California pe care îi aveți pe site-ul dvs. Dacă acest număr depășește 50.000 într-un an, atunci va trebui să luați în considerare conformitatea cu CCPA.

Ce sunt considerate date cu caracter personal conform CCPA?

Nu există o mare diferență față de ceea ce am discutat deja în subiectele legate de GDPR anterior, deoarece datele personale implicate sunt aproape aceleași: nume, adrese de e-mail, locație, date biometriceetc. Legea definește acest lucru ca orice informație care „identifică, se referă la, descrie, poate fi asociat cu, sau ar putea fi în mod rezonabil legat, direct sau indirect, cu un anumit consumator sau gospodărie". Vă rugăm să rețineți că informațiile disponibile publicului, precum și informațiile deidentificatesau agregate ale consumatorilornu sunt considerate informații personale conform CCPA.

Ce trebuie să fac pentru a fi conform CCPA?

Puteți colecta și chiar vinde informații personale, dar trebuie să faceți mai ușor pentru utilizatori să renunțe la acest proces. Legea spune în mod explicit că, dacă o companie vinde informațiile personale ale utilizatorilor, trebuie să furnizeze un link clar pe pagina lor de pornire, intitulat „Nu vinde informațiile mele personale”. De asemenea, este ilegal să oferiți diferite servicii sau caracteristici în funcție de alegerea de a vă înscrie sau de a renunța. Toți clienții trebuie să beneficieze în continuare de aceleași servicii.

Similar cu GDPR, trebuie să acordați clienților dreptul de acces la date, de a-și șterge datele personaleși de a solicita dezvăluirea tuturor categoriilor de date cu caracter personalcolectate și vândute (dacă este cazul). Acest lucru se va face anual. La cerere, trebuie să furnizați datele personale din ultimele 12 luni anterioare solicitării. De asemenea, clientul poate depune astfel de reclamații de maximum două ori pe an.

De asemenea, asigurați-vă că includeți următoarele în politica de confidențialitate:

  • toate categoriile de informații pe care le colectați și procesați
  • la ce sunt folosite aceste categorii de informații
  • modul în care sunt colectate informațiile
  • care este procedura de solicitare a accesului la, modificarea, mutarea sau ștergerea datelor personale ale acestora
  • modul în care se verifică identitatea persoanei care depune cererea
  • dacă datele cu caracter personal sunt vândute, atunci acest lucru trebuie descris aici
  • cum să renunțați la vânzarea datelor lor

Conformitatea GDPR înseamnă automat că sunteți și conform CCPA?

Nu neapărat, dar sunt șanse ca dacă ați luat măsuri pentru a respecta GDPR, să fiți și conform CCPA. Toate condițiile de mai sus se regăsesc și în GDPR, cu excepția regulilor explicite pentru vânzarea datelor cu caracter personal.

Care sunt riscurile nerespectării CCPA?

Principalul risc cu care se confruntă proprietarii de site-uri web este acela al unei breșe de date. Conform legii, compania este responsabilă pentru prevenirea accesului neautorizat și a furtului datelor consumatorilor. Dacă acest lucru s-ar întâmpla, orice utilizator ale cărui date sunt scurse are dreptul de a solicita recuperarea daunelor în sumă cuprinsă între 100 USD și 750 USD. O breșă mare a datelor, în care datele a mii de utilizatori sunt furate, ar putea duce o companie la faliment. Înmulțiți 1000 x 750 USD și obțineți o estimare a impactului.

Cu toate acestea, înainte de a exista vreo acțiune civilă, companiilor li se acordă 30 de zile pentru a „vindeca încălcarea constatată”, dacă acest lucru este posibil.

Conformitatea CCPA cu instrumentele de analiză

Deoarece datele deidentificate, precum și datele agregate, nu intră sub incidența regulilor CCPA, majoritatea instrumentelor de analiză sunt probabil conforme în mod implicit. Cu toate acestea, ar trebui să vă asigurați că citiți acordul de prelucrare a datelor și politicile de confidențialitate ale oricăror astfel de terți, pentru a vă asigura că aveți toate informațiile despre utilizarea datelor cu caracter personal. Ca parte a efortului de a respecta GDPR, Visitor Analytics a devenit și conform CCPA. Compania noastră nu se angajează în vânzarea sau partajarea datelor cu alții. Datele pe care le colectăm nu pot fi conectate la identitatea niciunui individ sau gospodărie sau dispozitiv.

Dacă aveți nevoie de mai multe detalii despre noua lege a confidențialității, puteți citi textul integral al 1.81.5. Legea privind confidențialitatea consumatorilor din Californiaaici. Dacă doriți să aflați mai multe despre modul în care Visitor Analytics respectă legile de confidențialitate, vă rugăm să citiți Politica noastră de confidențialitateși Acordul de prelucrare a datelor.