Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA): как подготовить свой бизнес

Опубликовано: 2022-07-14

Вы житель Калифорнии? Если да, то вам следует беспокоиться о CPRA. Особенно, если вы хотите открыть там бизнес и собирать конфиденциальную информацию от своих потребителей.

Как и GDPR, CPRA был создан, чтобы установить стандарты для Соединенных Штатов и избежать неправильного понимания и неправильного использования личных данных потребителей. Более того, хотя CPRA не будет применяться до начала 2023 года, любые данные, собранные после 1 января 2022 года, подпадают под действие CPRA.

Есть много вещей, которые нужно узнать о CPRA, и нам есть что вам рассказать. Так что никуда не уходите, потому что в этой статье мы подробно обсудим CPRA.

Как подготовить свой бизнес к CPRA

Соответствие CPRA

Компании, которые работают в Калифорнии или собирают личную информацию от жителей Калифорнии, независимо от того, в маркетинговых целях это или нет, подпадают под действие CPRA, если они:

  • Годовой доход превышает 25 миллионов долларов .
  • Умудряется получать более 50% дохода от продажи и обмена личной информацией жителей Калифорнии.
  • Покупает, передает и продает личную информацию более чем 100 000 калифорнийских домохозяйств.

Существенным изменением, внесенным из CCPA в CPRA, является удаление требования об использовании личной информации только в маркетинговых целях. Так что теперь, даже если компания не извлекает выгоду из личной информации потребителей, вы все равно обязаны соблюдать закон.

Соответствие CPRA довольно интересно, потому что, если вы представляете малый или средний бизнес, вам, возможно, придется соблюдать не CPRA, а CCPA. Первоначально вы должны определить, должен ли ваш бизнес соответствовать CCPA или CPRA. Многие думают, что они оба одинаковы, но правда в том, что у них есть некоторые ключевые различия. Для сравнения, CPRA ослабляет многие ограничения, которые есть в CCPA, в то время как некоторые малые и средние предприятия не подпадают под действие CPRA. Однако в то же время он усиливает и многие слабые стороны CCPA.

Примечание. Если вам интересно узнать о CPRA, вы можете прочитать больше на веб-сайте Осано .

В чем разница между CCPA и CPRA?

CPRA считается поправкой к CCPA, предлагая подход GDPR, расширяя индивидуальные права и многое другое. Вот два основных различия между ними:

  • Соблюдение CCPA означает, что вы покупаете, продаете или получаете акции в маркетинговых целях. Это также применимо, если вы покупаете, продаете или получаете доли с личной информацией около 50 000 потребителей и домохозяйств. Однако для CPRA требуется более 100 000 потребителей и домохозяйств.
  • Соблюдение CCPA означает, что вы получаете не менее 50% годового дохода от продажи личной информации потребителей. С CPRA это от продажи и обмена личной информацией. Необходимо иметь SSL-сертификат, когда вы делитесь личной информацией с веб-сайтом. Поэтому важно покупать сертификаты SSL у известных поставщиков SSL, таких как ClickSSL, которые предлагают сертификаты SSL с проверкой подлинности того же уровня шифрования.

CPRA также включало создание Калифорнийского агентства по защите конфиденциальности (CaIPPA), специального агентства по защите конфиденциальности, которым управляют пять членов правления. Эти участники должны быть экспертами в области конфиденциальности, прав потребителей и технологий. В противном случае они не смогут пройти квалификацию. Кроме того, они могут работать не более восьми лет в агентстве по защите конфиденциальности.

Поправки

Согласно CCPA, физические лица могут запрашивать доступ к своим личным данным только в течение одного года с момента их хранения и сбора. Однако с CPRA у вас есть право сделать это в любое время.

Более того, когда CCPA определяет «продажу», это не означает точное совместное использование. С другой стороны, CPRA включает в себя «Продать» и «Поделиться». Кроме того, CPRA разъясняет право запрещать (отказываться) компаниям от обмена и продажи своей личной информации другим сторонам.

Наконец, давайте не будем забывать, что как CCPA, так и CPRA позволяют подавать в суд на компании. Потребители могут сделать это, если компания раскрывает конфиденциальную информацию без разрешения и вызывает утечку данных, которая раскрывает пароли и имена пользователей.

Что нового в CPRA и как это повлияет на ваш бизнес?

Новые поправки были внесены как в CPRA, так и в CCPA, чтобы включить новые права, которые предприятия обязаны соблюдать. Почему так? По данным SalesForce, около 46% потребителей считают, что у них недостаточно контроля над своими личными данными. К сожалению, только 10% считают, что имеют достаточный контроль над своими личными данными.

Тем не менее, предприятия, которые нарушают эти законы, столкнутся с огромными штрафами в тысячи долларов и будут привлечены к ответственности за умышленное нарушение конфиденциальности данных.

Теперь давайте проясним здесь несколько важных вещей. Во-первых, когда вы представляете бизнес, в соответствии с CPRA вы обязаны объяснить, почему вы собираете личную информацию и кому вы делитесь этой информацией. Однако в соответствии с CCPA вы имеете право спросить, почему собираются ваши личные данные. Кроме того, люди имеют право информировать бизнес о недостоверной информации или о необходимости внесения каких-либо поправок.

В рамках CPRA у потребителей больше прав. Это включает в себя получение знаний о том, где используется их информация, и как исправить неточную информацию, которую они могут увидеть.

Вот несколько вещей, которые ваш бизнес может применить, чтобы адаптироваться к этим правилам:

  • Определите цель, для которой вы собираете данные
  • Применять меры безопасности для защиты личной информации
  • Показать список организаций, которым передаются данные, и почему ваша компания делится ими с ними для сбора личной информации.
  • Укажите все источники информации, которые ваша компания использует и собирает.
  • Продолжайте обновлять информацию о конфиденциальности и покажите, что ваш бизнес всегда соблюдает последние законы. Не забывайте доставлять обновления по электронной почте, веб-сайту, телефону и в социальных сетях.
  • Внедрите процедуры, которые гарантируют, что вы обрабатываете и проверяете данные на подлинность. Кроме того, добавьте функцию отказа, чтобы пользователи могли прекратить делиться своей личной информацией, если они того пожелают.

Новая категория защищенных данных

CPRA ввел понятие конфиденциальной личной информации (SPI). Это вынуждает предприятия, которые собирают информацию такого типа, обеспечивать более надежную защиту данных. SPI включает в себя следующие типы личной информации:

  • Данные о здоровье
  • Генетические данные
  • Религиозные данные
  • Этническое происхождение
  • Геолокация
  • Данные о сексуальной ориентации лица
  • ID-карты, водительские права, номера социального страхования и многое другое
  • Этническое и расовое происхождение

CPRA накладывает ограничения на новую категорию данных. Он также добавляет новые требования к компаниям, которые собирают SPI, в том числе обновленные цели и раскрытие информации, требования по отказу от сбора данных и многое другое.

Минимизация данных и ограничения хранения

Компании обязаны свести к минимуму или ограничить хранение, использование и обмен личной информацией, когда это возможно. В целом, CPRA не позволяет компаниям хранить личную информацию дольше, чем это необходимо. Кроме того, компании должны информировать CPRA о сроках хранения каждой личной информации, которую они собирают.

Итак, что вы должны сделать по этому поводу? Во-первых, ваша компания должна указать, как долго она будет хранить личные данные и будет ли это дольше, чем необходимо. Это следует отметить в политике компании, включая удаление данных, и обеспечить соблюдение всех законов.

Возмездие не допускается

Важно знать, что CPRA не допускает дискриминации потребителей, которые отказываются от своей информации. Это включает в себя следующее:

  • Отказ в предоставлении видов товаров и услуг потребителю
  • Предоставление потребителю товаров и услуг другого уровня или качества.
  • Взимание различных цен на ваши товары или услуги, включая скидки или любые другие преимущества.
  • Идти против члена команды, кандидата, подавшего заявку в вашу компанию, или даже независимого подрядчика за осуждение права отказа

Используйте безопасные для конфиденциальности инструменты для вашего маркетинга

Когда вы инвестируете большие бюджеты в маркетинг и рекламу, вы должны убедиться, что ваши инвестиции действительно окупаются. Для этого вам нужна платформа маркетинговой аналитики, которая будет собирать данные со всех ваших маркетинговых каналов и предоставлять вам ценные отчеты для принятия дальнейших решений на основе данных.

RedTrack — это ваше решение, обеспечивающее конфиденциальность (которое соответствует GDPR, CCPA, CCPR и т. д.), но при этом предоставляет результаты анализа ваших маркетинговых усилий и показывает вам реальные цифры вашей эффективности.

Рассмотрите возможность использования платформы управления согласием (CMP)

CMP — отличный способ помочь вашему бизнесу управлять любыми документами компании и согласиями пользователей на законных основаниях, прежде чем данные будут собраны, сохранены или даже переданы. Они гарантируют, что вы соблюдаете законы о конфиденциальности, и даже информируют вас о любых изменениях. Кроме того, CMP могут управлять вашими запросами на информацию о данных и контролировать всех сторонних поставщиков.

Вот некоторые CMP, которые вы можете использовать, чтобы быть в курсе законов о конфиденциальности и управлять запросами данных:

  • OneTrust
  • Quantcast
  • TrustArc
  • Кукибот
  • Краунпик

Завершение

Это все для этой статьи. Это новые поправки, которые были внесены в CPRA. Однако не думайте, что они будут единственными, которые когда-либо производились, CPRA постоянно меняется!

Общая цель CPRA — обеспечить, чтобы потребители имели достаточный контроль над своими данными и не чувствовали себя неуверенно в связи с утечкой данных или потерей контроля над своими личными данными. В конце концов, данные принадлежат потребителям, и они могут решать, как их данные будут использоваться.