איך להיות תואם CCPA?
הפרטיות לצרכן קליפורניה החוק (CCPA) מגנה על המידע האישי של תושבי קליפורניה כי נאסף על ידי תאגידים, אתרי אינטרנט, וארגונים אחרים. אם אתה מפעיל עסק למטרות רווח שאוסף ושולט במידע אישי מתושבי קליפורניה, ייתכן שיהיה עליך לציית ל- CCPA, גם אם העסק שלך אינו ממוקם בקליפורניה. כדי לחייב את החוק, עליך גם להכנסות שנתיות ברוטו של יותר מ -19 מיליון אירו, לאסוף מידע אישי מיותר מ -50000 תושבי קליפורניה בכל שנה, או להרוויח 50% או יותר מההכנסות השנתיות שלך למכירת המידע האישי של תושבי קליפורניה. החוק נכנס לתוקף ב -1 בינואר 2020, והאכיפה תחילה ב -1 ביולי 2020.
חלק 1 מתוך 3: זיהוי נתוני הצרכן שבשליטתך
- 1סיווג את הנתונים שאתה אוסף כדי לקבוע אם הוא נופל תחת CCPA. CCPA מגן קטגוריות רחבות של נתונים מתארים או יכול להיות קשור תושב או ביתי קליפורניה בפרט. התחל על ידי יצירת רשימה של סוגי הנתונים שאתה אוסף וארגן אותם לקטגוריות, כולל:
- מזהים אישיים (שם, כתובת דואר, כתובת IP, כתובת דוא"ל, מספר ביטוח לאומי, מספר רישיון נהיגה)
- מידע מסחרי (בבעלות רכוש אישי, מוצרים או שירותים שנרכשו, היסטוריה או נטיות לצריכה)
- פעילות באינטרנט (היסטוריית גלישה וחיפוש, אינטראקציות עם אתרים, אפליקציות או מודעות)
- נתוני מיקום גיאוגרפי (שירותי מיקום)
- מידע ביומטרי (טביעות אצבע, דפוסי פנים, מדרגות הקלדה)
- מידע שמע, אלקטרוני, חזותי או אחר (תמונות, קטעי וידאו, קבצי קול)
- מידע מקצועי או תעסוקתי (תפקיד נוכחי, רישיונות או אישורים מוחזקים)
- מידע על חינוך (תארים שנצברו, בתי ספר למדו)
- 2נתוני מפות שנאספו על ידי העסק שלך במצב מחוצה לה ומחוצה לה. כאשר אתה ממפה את הנתונים שלך, אתה מציין כיצד קבוצות מידע שונות שאתה אוסף מלקוחות קשורות זו לזו. על ידי מציאת היחסים בין כל הנתונים שאתה אוסף, הן במצב לא מקוון והן במצב לא מקוון, תוכל לקבוע כל פיסת נתונים שאתה אוסף מכל לקוח.
- לדוגמה, נניח שאתה אוסף את שמות הלקוחות וכתובות הדוא"ל שלהם כאשר לקוחות מבצעים רכישות בחנות התקליטים שלך. אתה אוסף גם את שמות הלהקות שהם אוהבים אם הם מבקרים באתר שלך. כדי למפות את הנתונים, תחבר את השמות וכתובות הדוא"ל שנאספו בחנות לשמות הלהקות שאספת מביקורים באתר. לאחר מכן, תוכל גם לחבר כל אחת ממערכות המידע הללו לרכישות שביצעו הן בחנות שלך והן באתר שלך.
- בניגוד לתקנה הכללית של האיחוד האירופי להגנת נתונים (GDPR), ה- CCPA חל על כל נתוני הצרכן שעסק שלך אוסף מצרכנים מקליפורניה. אם יש לך חנות לבנים וטיטנים במדינה, הנתונים שאתה אוסף מלקוחות שמבקרים בחנות שלך מוגנים גם תחת CCPA.
- 3קבע אילו פיסות נתונים חייבות להישמר במערכת שלך. כאשר לקוח מוחק את חשבון הלקוח שלו באתר שלך, ייתכן שיש מידע אודותיו שנותר במערכת שלך. גלה בדיוק איזה מידע נשמר, מדוע הוא נשמר, כמה זמן הוא נשמר ואיפה הוא נשמר.
- לדוגמה, אם יש לך מדיניות החזר של 30 יום, ייתכן שיהיה עליך לשמור מידע על הזמנות הלקוח ב -30 הימים האחרונים במקרה שהוא יחזיר פריטים אלה. לאחר סיום תקופת ההחזרה למשך 30 יום, יהיה צורך למחוק מידע זה.
- אם באמצעות ניתוח זה אתה מגלה שאתה לא באמת צריך לשמור את המידע הזה לאחר שהלקוח מוחק את חשבונו, התאם את המערכת שלך כך שהמידע לא יישמר עוד.
טיפ: במסגרת CCPA, ללקוח הזכות לדרוש את מחיקת כל המידע האישי שלהם מהמערכת שלך, גם אם פעולה זו תפגע ביכולתו לעשות שימוש מלא במוצרים ובשירותים הקיימים שלך.
- 4ערוך רשימה של ספקים שיש להם גישה לנתונים שאתה אוסף. אם אתה משתף את פרטי הלקוחות עם עסקים או שירותים אחרים, כל אחד מהם חייב לפעול על פי אותה מדיניות פרטיות שאתה עושה. פירוש הדבר שאם אתה נדרש לציית ל- CCPA, הם גם הם, גם אם הם לא היו אחרת.
- לדוגמא, נניח שבבעלותך אפליקציית משחקים לסמארטפון המאפשרת למשתמשים שלך לקשר את המשחק לפרופיל הפייסבוק שלהם. מכיוון שפייסבוק משתפת איתך מידע, יהיה עליך לציית ל- CCPA (בהנחה שפייסבוק חייבת לציית), גם אם מעולם לא אספת נתונים כלשהם מהמשתמשים שלך בעצמך.
- 5שמרו על מלאי מלא של הנתונים שאתם אוספים. במסגרת CCPA, לצרכנים הזכות לבקש העתק של כל המידע האישי שיש לך עליהם. המלאי מבטיח שתוכל לציית לחוק באופן מלא על ידי מתן רשימה שתוכל לספק לצרכן אם הוא יבקש זאת. כלול את המידע הבא במלאי הנתונים שלך:
- בין אם השימוש בנתונים שלך כולל מכירת מידע
- אילו קטגוריות נתונים מועברות לצדדים שלישיים
- אילו קטגוריות נתונים פטורות מהגנת CCPA מכיוון שהן חלות על חוק אחר
- אילו נתונים נאספו לפני למעלה מ- 12 חודשים (הנתונים שנאספו לפני למעלה מ- 12 חודשים פטורים מהגנת CCPA)
חלק 2 מתוך 3: עדכון האתר שלך
- 1צור הודעות פרטיות חדשות עבור לקוחות כאשר אתה אוסף את הנתונים שלהם. CCPA מחייב אותך להודיע ללקוחות מיד לפני איסוף הנתונים שלהם כי אתה שומר את הנתונים שלהם. הסביר בהודעה מדוע בדיוק אתה שומר את הנתונים, מה תעשה איתם, כיצד הם יאוחסנו ולמי תהיה גישה אליהם.
- כלול מידע אודות זכויות פרטיות צרכנים המתייחס ספציפית לצרכנים בקליפורניה במסגרת CCPA או ספק קישור לחוק כך שלקוחותיך יוכלו ללמוד עוד על כך אם הם רוצים.
- זה יכול גם להיות מועיל לקשר לדפים באתר שלך, בהם הלקוחות שלך יכולים לבטל הסכמה לאיסוף נתונים או לבקש רשימה של המידע האישי שלהם שכבר יש לך.
- אם הנתונים יימחקו אוטומטית לאחר תקופה מסוימת, הודע ללקוחותיך על כך בהודעת הפרטיות החדשה שלך. לדוגמא, ייתכן שההודעה שלך תקרא, "היסטוריית ההזמנות שלך תישמר למשך 30 יום ותמחק. מחיקה זו לא תשפיע על כל הוראות קבע או מנויים שיש לך למשלוחים חוזרים.
- 2עצב קישור ביטול הסכמה ברור ובולט בדף הבית שלך. תן ללקוחות שלך דרך נטולת טרחה לבטל את איסוף הנתונים כדי להגן על פרטיותם אם הם רוצים. ייתכן שתכלול תיאור קצר של זכויותיהם במסגרת CCPA.
- לדוגמה, יכול להיות שיש לך טקסט בפינה העליונה של דף הבית שכתוב עליו, "אם אתה לא רוצה שנשמור את המידע האישי שלך, לחץ כאן כדי לבטל את הסכמתך. אתה יכול גם לבקש שנמחק את כל המידע שיש לנו כבר. תודה."
- כאשר לקוחות לוחצים על הקישור לביטול הסכמה, כלול הצהרה בדבר זכותם לבטל את הסכמתם יחד עם תיאור הנתונים שאתה אוסף ואופן השימוש בהם, בדומה למה שמופיע בהודעת הפרטיות.
- הפוך את ביטול הסכמה לחד משמעי. אתה יכול גם לשלוח דוא"ל שנוצר אוטומטית כדי לאשר שהוא ביטל את הסכמתך ולא תוכל לאחסן, להשתמש או לשתף את המידע האישי שלהם עוד.
טיפ: לתכנת את הודעת הפרטיות שלך כך שלקוחות שכבר ביטלו את הסכמתם לא יתבקשו להסכים מחדש כשאתה משנה או מעדכן את מדיניות הפרטיות שלך.
- 3ספק לפחות שתי שיטות שלקוחות יכולים להשתמש בהן כדי להגיש בקשות למידע שלהם. תחת CCPA, ללקוחות הזכות לבקש את המידע האישי שלהם שיש לך ולבקש שהוא יימחק או יימחק. החוק מחייב אותך לספק לפחות 2 דרכים שבהן לקוחות יכולים ליצור קשר עם החברה שלך לשם כך.
- אם יש לך אתר, דף יצירת קשר בדוא"ל הוא בדרך כלל האפשרות הקלה ביותר. צור טופס טקסט עם אפשרויות שהלקוח יכול לבחור וששלחו את כל ההודעות לאותה כתובת דוא"ל, כך שתוכל לטפל בהן ביעילות.
- כאופציה שנייה, ייתכן שיהיה לך קו טלפון אוטומטי זמין. תוכל גם לספק כתובת שבה יוכלו לשלוח לך טופס בדואר, אם כי זו הדרך הפחות יעילה עבור הלקוח לגשת לנתונים שלו או לבקש להסיר אותם.
- 4כלול התאמות עבור קטינים למתן הסכמה. ל- CCPA הגנה מיוחדת למידע אישי של קטינים. בעוד מבוגרים נבחרים באופן אוטומטי ויש להם את הזכות לבטל את הסכמתם, הקטינים מבוטלים באופן אוטומטי. בני נוער בגילאי 13 עד 16 יכולים לתת הסכמה עבורך לאסוף ולהשתמש במידע האישי שלהם, אך אם הם מתחת לגיל 13 הם יצטרכו לקבל הסכמה מהורה או אפוטרופוס.
- אם עדיין לא תבקש את גיל הלקוח שלך לפני שתאסוף את המידע האישי שלו, תצטרך להתחיל לעשות זאת כדי לוודא שאתה מציית לחוק.
חלק 3 מתוך 3: חיזוק אבטחת הנתונים שלך
- 1התייעץ עם אחרים בענף שלך כדי לקבוע שיטות עבודה מומלצות לאבטחת נתונים. עמותות סחר או העמותה המקומית לעסקים קטנים שלך הם מקומות טובים למצוא אנשי קשר שיכולים לחלוק את השיטות והמדיניות הטובות ביותר לאבטחת נתונים. טכנולוגיות המידע ודרישות האבטחה ישתנו בהתאם לאיזה מגזר אתה נמצא, סוגי הנתונים שאתה אוסף ומה אתה עושה עם אותם נתונים.
- לדוגמא, אם אתה מנהל בוטיק לבגדים ואוסף את שמות הלקוחות והדואר האלקטרוני עבור העלון השבועי שלך, יהיו לך דרישות אבטחה שונות מאשר חברת כושר שאספה מידע בריאותי ופיזי על לקוחותיה.
- איש מקצוע מוסמך לאבטחת מערכות מידע (CISSP) יכול גם לעזור לך לפתח שיטות אבטחת נתונים חזקות. עבור אל https://isc2.org/Certifications/CISSP# למידע נוסף על הסמכת CISSP או מצא איש מקצוע מוסמך בקרבתך.
- 2פיתחו מדיניות פרטיות בכל החברה. שלח את המחויבות של החברה שלך להגנה על המידע האישי של הלקוחות שלך באופן מקוון ומחוצה לה. כלול הצהרה על זכויות כל לקוח במסגרת CCPA.
- המדיניות מספקת ללקוחותיך מידע על סוגי המידע שאתה אוסף וכיצד אתה משתמש במידע זה. הוא מתאר גם כיצד מדיניות הפרטיות והאבטחה שלך עומדת בדרישות החוק של CCPA.
- אמור חזק כי ללקוחותיך הזכות לבטל את הסכמתך לאיסוף הנתונים שלך, לברר בדיוק איזה מידע יש לך אודותיהם וכל המידע שלהם יימחק מהמערכת שלך.
טיפ: אמנם ישנן תבניות מקוונות בהן תוכלו להשתמש כדי לגבש את מדיניות הפרטיות שלכם, מומלץ לתת לעורך דין לקרוא עליה ולוודא שהיא תואמת לחלוטין את ה- CCPA לפני שתשתפו אותה עם הלקוחות.
- 3עדכן את חוזי הספקים שלך כך שיכללו את מדיניות הפרטיות שלך. במסגרת CCPA, אם אתה אוסף מידע אישי מהלקוחות שלך, אתה אחראי להבטיח שהוא יישאר פרטי. כל ספקים או ארגונים אחרים שאיתם אתה משתף את הנתונים האלה צריכים לעמוד באותה מדיניות פרטיות שאתה עושה. בדרך כלל, תוכל להשיג זאת באמצעות חוזה עם ספקים אלה.
- כלול עותק של מדיניות הפרטיות שלך וודא שכל הספקים האחרים יחתמו עליה. ייתכן שתרצה לאמת באופן עצמאי שיש להם אבטחת נתונים כדי לספק את אותה רמת אבטחה שאתה עושה. איש מקצוע מוסמך לאבטחת מידע יכול להעריך עבורכם את המערכת שלהם.
- 4לספק הדרכה בנושא פרטיות ואבטחת נתונים לכל העובדים. כל העובדים שלך המטפלים בנתוני לקוחות צריכים להבין את מדיניות הפרטיות החדשה שלך ואת דרישות ה- CCPA. בנוסף, כל העובדים הפונים ללקוחות צריכים לדעת להסביר ללקוחות את CCPA וכיצד לטפל בבקשות הלקוחות לבדיקת הנתונים שלהם או לביטול איסוף הנתונים. הכשרה זו נדרשת על ידי ה- CCPA.
- אם תחפש באינטרנט "קורס הכשרה לעובדי CCPA", תמצא חברות אבטחת מידע ופרטיות רבות המציעות הדרכות תאימות CCPA לעובדים. הערך את הצעות הקורס האלה ואת החברות שמספקות אותם, ואז בחר את ההשקעה שאתה חושב שתתאים ביותר לצוות שלך.
- 5קידחו את הצוות שלכם עם הפרות נתונים מדומות. לאחר האימון, עבוד עם חברי הצוות שלך האחראים על אבטחת הנתונים בכדי להגיע לתוכנית במקרה שיש הפרת נתונים. הפעל תרגילי תרגול כדי לזהות ולתקן בעיות בתוכנית שלך וודא שכל אחד מחברי הצוות שלך יודע בדיוק על מה הם אחראים במקרה של הפרה.
- זה גם רעיון טוב להריץ כמה תרגילים שלא הוכרזו כדי שתדעו שהצוות שלכם מוכן. זכור כי הפרת נתונים אמיתית לא תוכרז מבעוד מועד. אתה רוצה לוודא שצוות אבטחת הנתונים שלך מוכן להפיל הכל ולהתמודד עם הפרה באופן מיידי.
- אם אתה עובד עם חברה חיצונית למען אבטחת הנתונים שלך, אתה עדיין יכול להפעיל תרגילי תרגול. בקש מהם להקים תרגיל תרגול כדי שתוכל לראות כיצד המערכת שלהם עובדת ומה יקרה במקרה של פריצה.
- 6סקור ותעד ביקורת אבטחת נתונים. בקש ממומחה מוסמך לאבטחת מערכות מידע או איש מקצוע אחר לאבטחת נתונים לבקר את המערכת שלך לגבי חולשות. הם יפיקו דוח שתוכל להסתכל עליו ולתכנן כיצד לתקן כל חורים במערכת שלך ולמנוע כל הפרות אבטחה.
- הפעל ביקורת לפחות אחת ל -6 חודשים. שמור את התוצאות של ביקורת אבטחת הנתונים שלך בקובץ. לפני שתתכונן לנהל ביקורת חדשה, עיין בדוח מהביקורת האחרונה ורשום את כל השינויים או השדרוגים שבוצעו מאז.
- 7עדכן את מדיניות הפרטיות שלך אחת ל -12 חודשים. CCPA מחייב אותך לבדוק את כל מדיניות הפרטיות שלך המכסה את המידע האישי של הלקוחות לפחות אחת ל -12 חודשים. בצע עדכונים המשקפים שינויים בטכנולוגיה או הנדרשים על פי חוק.
- הודע ללקוחותיך ששינית או עדכנת את מדיניות הפרטיות שלך. אתה יכול לעשות זאת על ידי שליחת דוא"ל או יצירת חלון לחיצה באתר שלך.
- אם יש לך חנות לבנים, יש להציב שלטים עם מדיניות הפרטיות החדשה ליד הקופות ובפנים דלת הכניסה.
- CCPA אינו חל על איסוף המידע האישי של תושבי קליפורניה אם אוסף זה מתרחש לחלוטין מחוץ לקליפורניה. לדוגמא, אם תושב קליפורניה ביקר בחנות הלבנים שלך בקולורדו, כל עסקה או חילופי מידע לא ייפלו תחת CCPA.
- ה- CCPA אוסר עליכם להפלות לקוחות המסרבים לאפשר לכם לאסוף את הנתונים שלהם או להתעקש למחוק את הנתונים שלהם. לדוגמה, אינך יכול לגבות מהם מחירים שונים מלקוחות אחרים, לספק מוצרים או שירותים באיכות נמוכה יותר או לסרב לספק להם סחורות או שירותים אלא אם כן הם מספקים את המידע האישי שלהם.