Ako byť v súlade s CCPA?

JUDr. Bartolomej Gašparovič
JUDr. Bartolomej Gašparovič
12 min čítanie
Podľa zákona CCPA
Podľa zákona CCPA, ak zhromažďujete osobné údaje od svojich zákazníkov, zodpovedáte za zabezpečenie ich súkromia.

Kalifornia Consumer Privacy Act (CCPA) chráni osobné údaje obyvateľov Kalifornie, ktorý je zhromaždené spoločnosťami, webové stránky, a ďalších organizácií. Ak prevádzkujete neziskový podnik, ktorý zhromažďuje a kontroluje osobné údaje od obyvateľov Kalifornie, možno budete musieť dodržiavať CCPA, aj keď sa vaša firma nenachádza v Kalifornii. Aby ste spadali pod zákon, musíte mať aj ročný hrubý príjem viac ako 19 miliónov EUR, každoročne zbierať osobné údaje od viac ako 50000 obyvateľov Kalifornie alebo zarobiť 50% a viac z vašich ročných tržieb z predaja osobných údajov obyvateľov Kalifornie. Zákon nadobudol účinnosť 1. januára 2020, pričom účinnosť od 1. júla 2020.

Časť 1 z 3: identifikácia spotrebiteľských údajov, ktoré ovládate

  1. 1
    Údaje, ktoré zhromažďujete, kategorizujte, aby ste zistili, či spadajú pod CCPA. CCPA chráni široké kategórie údajov, ktoré opisuje, alebo by mohli byť spojené s konkrétnym Kalifornia rezident alebo domácnosť. Začnite tým, že si vytvoríte zoznam typov údajov, ktoré zhromažďujete, a usporiadate ich do kategórií vrátane:
    • Osobné identifikátory (meno, poštová adresa, IP adresa, e -mailová adresa, číslo sociálneho poistenia, číslo vodičského preukazu)
    • Komerčné informácie (vlastníctvo osobného majetku, zakúpené produkty alebo služby, história alebo tendencie spotreby)
    • Aktivita na internete (história prehliadania a vyhľadávania, interakcie s webmi, aplikáciami alebo reklamami)
    • Geolokačné údaje (lokalizačné služby)
    • Biometrické informácie (odtlačky prstov, vzory tváre, kadencia písania)
    • Zvukové, elektronické, vizuálne alebo iné senzorické informácie (fotografie, videá, zvukové súbory)
    • Informácie o profesii alebo zamestnaní (aktuálne zamestnanie, držané licencie alebo osvedčenia)
    • Informácie o vzdelaní (získané tituly, navštevované školy)
  2. 2
    Mapové údaje zhromaždené vašou firmou online aj offline. Pri mapovaní údajov určujete, ako navzájom súvisia rôzne súbory informácií, ktoré zhromažďujete od zákazníkov. Nájdením vzťahov medzi všetkými údajmi, ktoré zhromažďujete, či už online alebo offline, môžete určiť všetky údaje, ktoré zhromažďujete od každého jednotlivého zákazníka.
    • Predpokladajme napríklad, že pri nákupoch vo vašom obchode s nahrávkami zbierate mená zákazníkov a e -mailové adresy. Tiež zbierate názvy kapiel, ktoré sa im páčia, ak navštívia váš web. Ak chcete tieto údaje namapovať, spojili by ste mená a e -mailové adresy zhromaždené v obchode s názvami pásiem, ktoré ste získali pri návštevách webových stránok. Potom môžete tiež prepojiť všetky tieto sady informácií s nákupmi, ktoré uskutočnili vo vašom obchode a na vašom webe.
    • Na rozdiel od všeobecného nariadenia EÚ o ochrane údajov (GDPR) sa CCPA vzťahuje na všetky spotrebiteľské údaje, ktoré vaša spoločnosť zhromažďuje od spotrebiteľov z Kalifornie. Ak máte v štáte kamenný obchod, údaje zhromaždené od zákazníkov, ktorí navštívia váš obchod, sú tiež chránené podľa zákona CCPA.
  3. 3
    Zistite, ktoré údaje sa musia uchovávať vo vašom systéme. Keď zákazník odstráni svoj zákaznícky účet na vašom webe, môžu o ňom existovať informácie, ktoré zostanú vo vašom systéme. Zistite presne, aké informácie sa uchovávajú, prečo sa uchovávajú, ako dlho sa uchovávajú a kde sú uložené.
    • Ak máte napríklad 30-dňovú politiku vrátenia tovaru, možno budete musieť uchovávať informácie o objednávkach zákazníka za posledných 30 dní pre prípad, že by tieto položky vrátili. Po uplynutí 30-dňovej lehoty na vrátenie je potrebné tieto informácie vymazať.
    • Ak prostredníctvom tejto analýzy zistíte, že tieto informácie v skutočnosti nepotrebujete uchovávať potom, čo zákazník odstráni svoj účet, upravte svoj systém tak, aby sa informácie už neuchovávali.

    Tip: Podľa zákona CCPA má zákazník právo požadovať vymazanie všetkých svojich osobných údajov z vášho systému, aj keď by to bránilo jeho schopnosti plne využívať vaše existujúce produkty a služby.

  4. 4
    Vytvorte si zoznam predajcov, ktorí majú prístup k údajom, ktoré zhromažďujete. Ak zdieľate informácie o zákazníkovi s inými spoločnosťami alebo službami, každý z nich musí dodržiavať rovnaké zásady ochrany osobných údajov ako vy. To znamená, že ak sa od vás požaduje, aby ste dodržiavali CCPA, oni tiež, aj keď by inak neboli.
    • Predpokladajme napríklad, že vlastníte aplikáciu pre smartfóny, ktorá umožňuje vašim používateľom prepojiť hru s ich profilom na Facebooku. Pretože Facebook s vami zdieľa informácie, budete musieť dodržiavať CCPA (za predpokladu, že Facebook musí dodržiavať), aj keď ste sami nikdy nezbierali žiadne údaje od svojich používateľov.
    Podľa zákona CCPA musíte najmenej raz za 12 mesiacov skontrolovať všetky svoje zásady ochrany osobných
    Podľa zákona CCPA musíte najmenej raz za 12 mesiacov skontrolovať všetky svoje zásady ochrany osobných údajov, ktoré sa týkajú osobných údajov zákazníkov.
  5. 5
    Viesť kompletný súpis údajov, ktoré zhromažďujete. Podľa zákona CCPA majú spotrebitelia právo požiadať o kópiu všetkých osobných údajov, ktoré o nich máte. Inventár zaisťuje, že budete plne dodržiavať zákony, a poskytne vám zoznam, ktorý môžete poskytnúť spotrebiteľovi, ak o to požiada. Do inventára údajov zahrňte nasledujúce informácie:
    • Či používanie vašich údajov zahŕňa predaj informácií
    • Aké kategórie údajov sa potenciálne prenášajú na tretie strany
    • Aké kategórie údajov sú vyňaté z ochrany CCPA, pretože spadajú pod iný zákon
    • Aké údaje boli zhromaždené pred viac ako 12 mesiacmi (údaje zhromaždené pred viac ako 12 mesiacmi sú vyňaté z ochrany CCPA)

Časť 2 z 3: Aktualizácia vašej webovej stránky

  1. 1
    Pri zbere ich údajov vytvorte pre zákazníkov nové oznámenia o ochrane osobných údajov. Podľa zákona CCPA musíte zákazníkov bezprostredne pred zhromažďovaním ich údajov upozorniť, že ich údaje uchovávate. V oznámení presne vysvetlite, prečo údaje uchovávate, čo s nimi urobíte, ako budú uložené a kto k nim bude mať prístup.
    • Zahrňte informácie o právach spotrebiteľa na ochranu súkromia, ktoré sa podľa zákona CCPA vzťahujú konkrétne na spotrebiteľov v Kalifornii, alebo poskytnite odkaz na zákon, aby sa vaši zákazníci mohli o nich dozvedieť viac, ak chcú.
    • Tiež môže byť užitočné prepojenie na stránky na vašom webe, kde sa vaši zákazníci môžu odhlásiť zo zhromažďovania údajov alebo požiadať o zoznam svojich osobných údajov, ktoré už máte.
    • Ak sa údaje po určitej dobe automaticky odstránia, dajte o tom vedieť svojim zákazníkom vo svojom novom oznámení o ochrane osobných údajov. Vaše upozornenie môže napríklad znieť „Vaša história objednávok bude uchovávaná 30 dní a potom bude odstránená. Toto odstránenie neovplyvní žiadne trvalé objednávky ani predplatné, ktoré máte pri opakovaných dodávkach.
  2. 2
    Na svojej domovskej stránke vytvorte jasný a nápadný odkaz na zrušenie. Poskytnite svojim zákazníkom bezproblémový spôsob, ako sa odhlásiť zo zberu údajov, aby chránili svoje súkromie, ak chcú. Môžete tiež zahrnúť stručný opis ich práv podľa CCPA.
    • V hornom rohu domovskej stránky sa napríklad môže nachádzať text „Ak nechcete, aby sme ukladali vaše osobné informácie, kliknutím sem ich deaktiváciu zrušíte. Môžete tiež požiadať o odstránenie všetkých informácií, ktoré už máme. Ďakujem."
    • Keď zákazníci kliknú na odkaz na zrušenie, uveďte vyhlásenie o svojom práve na deaktiváciu spolu s popisom údajov, ktoré zhromažďujete, a spôsobu, akým ich používate, podobne ako je to uvedené v oznámení o ochrane osobných údajov.
    • Zrušte jednoznačnosť odmietnutia. Môžete tiež odoslať automaticky vygenerovaný e-mail a potvrdiť tak, že sa odhlásili a že už nebudete ukladať, používať ani zdieľať ich osobné údaje.

    Tip: Naprogramujte si oznámenie o ochrane osobných údajov tak, aby zákazníci, ktorí sa už odhlásili, neboli pri zmene alebo aktualizácii vašich zásad ochrany osobných údajov požiadaní o opätovný súhlas.

  3. 3
    Zadajte najmenej 2 spôsoby, ktoré môžu zákazníci použiť na odosielanie žiadostí o informácie. Podľa zákona CCPA majú zákazníci právo požiadať o svoje osobné údaje, ktoré máte, a požiadať o ich vymazanie alebo vymazanie. Zákon vyžaduje, aby ste poskytli najmenej 2 spôsoby, ako môžu zákazníci kontaktovať vašu spoločnosť, aby to urobili.
    • Ak máte webovú stránku, stránka s e -mailovým kontaktom je zvyčajne najľahšou možnosťou. Vytvorte textový formulár s možnosťami, ktoré si zákazník môže vybrať, a nechajte tieto správy odosielať na rovnakú e -mailovú adresu, aby ste ich mohli efektívne spracovať.
    • Ako druhú možnosť môžete mať k dispozícii aj automatickú telefónnu linku. Môžete tiež zadať adresu, na ktorú vám môžu poslať formulár e -mailom, aj keď by to bol najmenej účinný spôsob, akým by zákazník mohol získať prístup k svojim údajom alebo požiadať o ich odstránenie.
  4. 4
    Zahrňte ubytovanie pre mladistvých na poskytnutie súhlasu. CCPA má osobitnú ochranu osobných údajov mladistvých. Kým dospelí sú automaticky prihlásení a majú právo sa odhlásiť, mladiství sa automaticky odhlasujú. Tínedžeri vo veku 13 až 16 rokov vám môžu dať súhlas na zhromažďovanie a používanie ich osobných údajov, ale ak majú menej ako 13 rokov, budú musieť získať súhlas rodiča alebo zákonného zástupcu.
    • Ak ešte pred zozbieraním jeho osobných údajov nepožiadate o vek svojho zákazníka, budete musieť začať s tým, aby ste sa uistili, že dodržiavate zákony.

Časť 3 z 3: Posilnenie zabezpečenia vašich údajov

  1. 1
    Poraďte sa s ostatnými vo vašom odvetví a zistite osvedčené postupy pre bezpečnosť údajov. Obchodné združenia alebo vaše miestne združenie malých podnikov sú dobrým miestom na nájdenie kontaktov, ktorí môžu zdieľať najlepšie metódy a politiky zabezpečenia údajov. Požiadavky na informačné technológie a zabezpečenie sa budú líšiť v závislosti od sektora, v ktorom sa nachádzate, typov údajov, ktoré zhromažďujete, a toho, čo s nimi robíte.
    • Ak napríklad prevádzkujete butik s oblečením a zbierate mená a e -maily svojich zákazníkov pre svoj týždenný spravodaj, mali by ste iné bezpečnostné požiadavky ako fitnes spoločnosť, ktorá o svojich klientoch zhromažďovala zdravotné a fyzické informácie.
    • Certifikovaný odborník na bezpečnosť informačných systémov (CISSP) vám môže tiež pomôcť vyvinúť silné postupy zabezpečenia údajov. Ak sa chcete dozvedieť viac o certifikácii CISSP, navštívte stránku https://isc2.org/Certifications/CISSP# alebo vyhľadajte certifikovaného odborníka vo svojom okolí.
    CCPA sa nevzťahuje na zhromažďovanie osobných údajov obyvateľov Kalifornie
    CCPA sa nevzťahuje na zhromažďovanie osobných údajov obyvateľov Kalifornie, ak sa tieto zhromažďujú úplne mimo Kalifornie.
  2. 2
    Vypracovať celopodnikové zásady ochrany osobných údajov. Komunikujte so záväzkom svojej spoločnosti chrániť osobné údaje svojich zákazníkov online aj offline. Zahrňte vyhlásenie o právach každého zákazníka podľa CCPA.
    • Tieto zásady poskytujú vašim zákazníkom informácie o tom, aké typy informácií zhromažďujete a ako tieto informácie používate. Tiež popisuje, ako sú vaše zásady ochrany osobných údajov a zabezpečenia údajov v súlade s právnymi požiadavkami CCPA.
    • Dajte dôrazne najavo, že vaši zákazníci majú právo odhlásiť sa z vášho zberu údajov, presne zistiť, aké informácie o nich máte, a vymazať všetky svoje informácie z vášho systému.

    Tip: Aj keď existujú online šablóny, ktoré môžete použiť na formulovanie vašich zásad ochrany osobných údajov, je vhodné nechať ich prečítať zástupcovi a uistiť sa, že je v úplnom súlade s CCPA, než ho budete zdieľať so zákazníkmi.

  3. 3
    Aktualizujte svoje dodávateľské zmluvy tak, aby obsahovali vaše zásady ochrany osobných údajov. Podľa zákona CCPA, ak zhromažďujete osobné údaje od svojich zákazníkov, zodpovedáte za zabezpečenie ich súkromia. Všetci dodávatelia alebo iné organizácie, s ktorými zdieľate tieto údaje, musia dodržiavať rovnaké zásady ochrany osobných údajov ako vy. Bežne by ste to dosiahli prostredníctvom zmluvy s týmito predajcami.
    • Zahrňte kópiu svojich zásad ochrany osobných údajov a uistite sa, že sa na nich podpíšu všetci ostatní predajcovia. Môžete tiež chcieť nezávisle overiť, či majú zavedené zabezpečenie údajov, aby poskytovali rovnakú úroveň zabezpečenia ako vy. Certifikovaný informačnej bezpečnosti profesionálne môže vyhodnotiť svoj systém pre vás.
  4. 4
    Zabezpečte požadované školenie o ochrane osobných údajov a údajov pre všetkých zamestnancov. Všetci vaši zamestnanci, ktorí zaobchádzajú s údajmi zákazníkov, musia porozumieť vašim novým zásadám ochrany osobných údajov a požiadavkám CCPA. Všetci zamestnanci, ktorí sa zameriavajú na zákazníkov, navyše musia vedieť, ako zákazníkom vysvetliť CCPA a ako vybaviť požiadavky zákazníkov na kontrolu ich údajov alebo zrušenie zberu údajov. Toto školenie vyžaduje CCPA.
    • Ak vyhľadáte na internete „Školenie zamestnancov CCPA“, nájdete mnoho spoločností zaoberajúcich sa bezpečnosťou a ochranou osobných údajov, ktoré ponúkajú školenia o dodržiavaní zásad CCPA pre zamestnancov. Vyhodnoťte tieto ponuky kurzov a spoločnosti, ktoré ich poskytujú, a potom si vyberte ten, ktorý by podľa vás bol pre váš tím najvhodnejší.
  5. 5
    Posilnite svoj tím simulovanými únikmi údajov. Po školení spolupracujte s členmi vášho tímu, ktorí majú na starosti bezpečnosť údajov, aby pripravili plán pre prípad, že dôjde k narušeniu ochrany údajov. Vykonajte cvičné cvičenia, aby ste identifikovali a opravili problémy s vašim plánom a zaistili, že každý člen vášho tímu presne vie, za čo je v prípade porušenia zodpovedný.
    • Je tiež vhodné vykonať niekoľko neohlásených cvičení, aby ste vedeli, že váš tím je pripravený. Majte na pamäti, že skutočné porušenie ochrany údajov nebude oznámené vopred. Chcete sa ubezpečiť, že váš tím pre bezpečnosť údajov je pripravený upustiť od všetkého a okamžite riešiť porušenie.
    • Ak pracujete s externou spoločnosťou na zabezpečení svojich údajov, môžete stále vykonávať cvičné cvičenia. Požiadajte ich, aby vytvorili cvičný výcvik, aby ste videli, ako funguje ich systém a čo sa stane v prípade porušenia.
  6. 6
    Skontrolujte a zdokumentujte audity zabezpečenia údajov. Nechajte certifikovaného odborníka na bezpečnosť informačných systémov alebo iného odborníka na bezpečnosť údajov, aby vykonali audit vášho systému na nedostatky. Vypracujú správu, ktorú si môžete prezrieť a naplánovať, ako opraviť všetky diery vo vašom systéme a odstrániť všetky narušenia bezpečnosti.
    • Vykonajte audit najmenej raz za 6 mesiacov. Uložte výsledky svojich auditov zabezpečenia údajov. Predtým, ako sa pripravíte na spustenie nového auditu, prezrite si správu z posledného auditu a poznačte si všetky zmeny alebo inovácie, ktoré boli odvtedy vykonané.
    Ktoré ponúkajú školenia o dodržiavaní zásad CCPA pre zamestnancov
    Toto školenie vyžaduje CCPA. Ak vyhľadáte na internete „Školenie zamestnancov CCPA“, nájdete mnoho spoločností zaoberajúcich sa bezpečnosťou a ochranou osobných údajov, ktoré ponúkajú školenia o dodržiavaní zásad CCPA pre zamestnancov.
  7. 7
    Aktualizujte svoje zásady ochrany osobných údajov raz za 12 mesiacov. Podľa zákona CCPA musíte najmenej raz za 12 mesiacov skontrolovať všetky svoje zásady ochrany osobných údajov, ktoré sa týkajú osobných údajov zákazníkov. Vykonajte všetky aktualizácie, ktoré odrážajú zmeny v technológiách alebo sú vyžadované zákonom.
    • Upozornite svojich zákazníkov, že ste zmenili alebo aktualizovali svoje zásady ochrany osobných údajov. Môžete to urobiť tak, že im pošlete e-mail alebo vytvoríte preklikávacie okno na svojom webe.
    • Ak máte kamenný obchod, umiestnite značky s novými zásadami ochrany osobných údajov v blízkosti registračných pokladníc a na vnútornú stranu vchodových dverí.

Tipy

  • CCPA sa nevzťahuje na zhromažďovanie osobných údajov obyvateľov Kalifornie, ak sa tieto zhromažďujú úplne mimo Kalifornie. Ak by napríklad obyvateľ Kalifornie navštívil váš kamenný obchod v Colorade, žiadna transakcia alebo výmena informácií by nespadala pod CCPA.

Varovania

  • CCPA vám zakazuje diskriminovať zákazníkov, ktorí vám odmietnu umožniť zhromažďovanie ich údajov alebo trvajú na vymazaní ich údajov. Nemôžete im napríklad účtovať iné ceny ako iným zákazníkom, poskytovať tovar alebo služby nižšej kvality alebo odmietnuť poskytnúť im tovar alebo služby, pokiaľ neposkytnú svoje osobné údaje.
Prečítajte si tiež: Ako rozpustiť spoločnosť?

Prečítajte si tiež:

  1. Ako nahlásiť phishingový email banky v Európe?
  2. Ako skontrolovať firmu v lepšej obchodnej kancelárii?
  3. Ako vyšetriť neziskové spoločnosti?
Právne vylúčenie zodpovednosti Obsah tohto článku je zameraný na vaše všeobecné informácie a nemá slúžiť ako náhrada profesionálneho práva alebo finančného poradenstva. Nie je zámerom, aby sa na neho používatelia spoľahli pri prijímaní akýchkoľvek investičných rozhodnutí.
Súvisiace články
  1. Ako nájsť prácu s účtovníctvom na diaľku?Oskar Ružička
  2. Ako financovať svoje počiatočné náklady?Ida Šimková
  3. Ako sa stať realitným investorom?Boleslav Dvonč
  4. Ako byť úspešným správcom nehnuteľnosti?doc. Vendelín Lupták Th.D.
  5. Ako zmeniť stanovy neziskových organizácií?ThDr. Jakub Balog DrSc.
  6. Ako zrušiť spoločnosť?ThDr. Zdenko Varga
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail