De CCPA is niet alleen voor bedrijven in Californië. Dit is wat je nodig hebt om te voldoen

Inhoudsopgave:

De CCPA is niet alleen voor bedrijven in Californië. Dit is wat je nodig hebt om te voldoen
De CCPA is niet alleen voor bedrijven in Californië. Dit is wat je nodig hebt om te voldoen
Anonim

De strengste wetgeving inzake gegevensbescherming in de Verenigde Staten is overal van toepassing op bedrijven. De CCPA beschermt de persoonsgegevens van Californische consumenten, waar deze ook worden verwerkt. We leggen uit hoe.

De CCPA

De California Consumer Privacy Act (CCPA) is op 1 januari 2020 in werking getreden en de handhaving begint op 1 juli 2020. Het biedt bepaalde rechten aan consumenten met betrekking tot hun persoonlijk identificeerbare informatie (PII). Het legt verplichtingen op aan bedrijven om de persoonlijke gegevens te beschermen, om de rechten van de consument met betrekking tot hun gegevens te handhaven en het legt beperkingen op aan wat het bedrijf met de gegevens kan doen.

Het staat bekend als de strengste gegevensbeschermingswetgeving in de Verenigde Staten. Er zijn veel parallellen met de Europese Algemene Verordening Gegevensbescherming. Het is opmerkelijk dat, net zoals de AVG van toepassing kan zijn op bedrijven buiten Europa, de CCPA niet beperkt is tot bedrijven in Californië. Beide regelingen zijn gericht op de persoon. Ze beschermen de gegevens en rechten van de personen, ongeacht de locatie van het bedrijf dat de gegevens heeft. Als, dat wil zeggen, uw bedrijf binnen het toepassingsgebied van de CCPA v alt.

GPDR is van toepassing op alle organisaties. Bij de CCPA zijn er kwalificatiecriteria. Als u hieraan voldoet, moet u zich aan de wet houden. Dat is het geval, of u nu in Californië, elders in de Verenigde Staten of waar dan ook ter wereld woont. En de verschillen tussen de CCPA en de AVG zijn voldoende om een kwalificerend, AVG-compliant bedrijf te dwingen stappen te ondernemen om te voldoen aan de CCPA, zodat kwalificerende Europese bedrijven geen gratis pas krijgen.

Welke bedrijven vallen binnen het bereik?

Voordat we dat kunnen beantwoorden, moeten we enkele definities uit de weg ruimen.

Consument betekent een natuurlijke persoon die inwoner is van Californië. Ze ‘consumeren’ goederen of diensten van bedrijven. Het is hun PII die wordt beschermd door de wet. De definitie van persoonlijk identificeerbare informatie is ruimer onder de CCPA dan onder de AVG. Het omvat:

  • De echte naam van een consument, alias, postadres, unieke persoonlijke identificatiecode, online identificatie-IP-adres, e-mailadres, accountnaam, burgerservicenummer, rijbewijsnummer, paspoortnummer of andere soortgelijke unieke identificatiegegevens.
  • Commerciële informatie, waaronder gegevens over persoonlijke eigendommen, producten of diensten die zijn gekocht, verkregen of overwogen, en andere aankoopgeschiedenissen of trends. Beschouwd betekent dat er een interactie was tussen het bedrijf en de consument, maar dat de consument uiteindelijk niet de goederen of diensten kocht die hij overwoog te kopen. Door rond te shoppen kun je bijna net zo veel digitale broodkruimels krijgen als bij een aankoop.
  • Biometrische informatie, geolocatiegegevens en informatie over elektronische netwerkactiviteit, inclusief maar niet beperkt tot browsegeschiedenis, zoekgeschiedenis en informatie over de interactie van een consument met een website, applicatie of advertentie.
  • Professionele, opleidings- en werkgerelateerde informatie.

Zaken betekent een organisatie waar al het volgende waar is:

  • Het is een organisatie die een eenmanszaak, partnerschap, naamloze vennootschap, vennootschap, vereniging of andere juridische entiteit is, gestructureerd en gerund voor de financiële winst van de eigenaren of aandeelhouders. Dat wil zeggen, het is een legaal opererende organisatie die zaken doet om geld te verdienen.
  • Het verzamelt ofwel de persoonlijke gegevens van consumenten, of iemand anders verzamelt het namens de organisatie.
  • Alleen of met anderen, het definieert de doeleinden en middelen voor de verwerking van de persoonlijke gegevens van consumenten. Dat wil zeggen, welke gegevens worden verzameld en hoe deze zullen worden verwerkt.
  • Het doet zaken in Californië.

Verrassend genoeg is de uitdrukking "zakendoen in Californië" niet gedefinieerd in de wet. Het is echter volgens de Californische ondernemingswet gedefinieerd als "het aangaan van herhaalde en opeenvolgende transacties van zijn bedrijf in deze staat, anders dan interstatelijke of buitenlandse handel."

Onder de belastingwetten van Californië is het toegepast op bedrijven die online zaken doen zonder enige fysieke aanwezigheid in Californië. Een bedrijf buiten Californië dat webservers heeft die in een andere derde staat worden gehost en dat 50.000 webbezoekers ontvangt van inwoners van Californië, v alt mogelijk onder de CCPA. En het hoeft geen e-commercesite te zijn. Als de site bezoekersinformatie over de consumenten bijhoudt of gerichte advertenties naar hen stuurt, kan dat voldoende zijn om ze in de categorie 'doet zaken in Californië' te plaatsen.

Een bedrijf v alt binnen de reikwijdte van de CCPA als een van de volgende zaken waar is.

  • Het heeft een jaarlijkse bruto-inkomsten van meer dan USD 25, 000, 000.
  • Het koopt of ontvangt voor commerciële doeleinden, of verkoopt of deelt voor commerciële doeleinden, de persoonlijke gegevens van 50.000 of meer consumenten, huishoudens of apparaten per jaar. Apparaten zijn inbegrepen omdat ze eigendom zijn van en worden gebruikt door een consument en informatie over het apparaat kan worden gebruikt om de consument te identificeren.
  • Het ha alt 50 procent of meer van zijn jaarlijkse inkomsten uit de verkoop van persoonlijke gegevens van consumenten.

Transparantie en mededelingen

De CCPA stelt het verplicht om specifieke informatie op te nemen in uw privacybeleid. Dit omvat een beschrijving van de rechten van de consument onder de CCPA, zoals hun recht om te verzoeken:

  • Welke persoonlijke gegevens en de categorieën gegevens die het bedrijf over hen heeft.
  • De bronnen waaruit de persoonlijke gegevens zijn verzameld.
  • De doeleinden achter het verzamelen of verkopen van persoonlijke gegevens.
  • Derden waarmee de persoonsgegevens worden gedeeld. Als u bijvoorbeeld een verzekeringsmakelaar was, zou een categorie verzekeringsmaatschappijen zijn.
  • Dat hun persoonlijke gegevens door het bedrijf worden verwijderd. Dit is slechts in enkele gevallen mogelijk. Er zijn negen uitzonderingen en de consument moet worden verteld wat die zijn. Als de consument bijvoorbeeld midden in een contract met het bedrijf zit en financiële verplichtingen jegens het bedrijf heeft, heeft het bedrijf een legitiem belang om zijn persoonlijke gegevens te bewaren totdat zijn financiële verplichtingen jegens het bedrijf zijn vereffend.
  • De categorieën van de persoonlijke gegevens van de consument die het bedrijf heeft verkocht.
  • Aan wie de persoonlijke gegevens zijn verkocht, per categorie, voor elke koper van de gegevens.
  • Aan wie de gegevens zijn gedeeld (niet verkocht) voor een zakelijk doel. In ons voorbeeld van een verzekeringsmakelaar zou dit een lijst zijn van verzekeringsmaatschappijen waarmee de persoonlijke gegevens van de consument zijn gedeeld, zodat die verzekeringsmaatschappijen verzekeringsoffertes kunnen verstrekken.

De consument moet ook worden geïnformeerd dat hij het recht heeft niet te worden gediscrimineerd voor het uitoefenen van zijn rechten onder de CCPA. Ze moeten toegang hebben tot dezelfde prijzen, goederen en diensten als elke andere consument.

U moet consumenten twee methoden bieden om verzoeken in te dienen of hun rechten uit te oefenen, waaronder een gratis nummer. Als uw bedrijf uitsluitend online actief is en een directe relatie heeft met de consument, hoeft u geen gratis nummer op te geven. In plaats daarvan moet u een e-mailadres opgeven voor het indienen van verzoeken en een manier om verzoeken in te dienen via de website zelf.

Alle bedrijven verzamelen informatie over hun klanten. Informatie die online wordt verzameld, moet vergezeld gaan van mededelingen. U moet de consumenten informeren over:

  • De categorieën persoonsgegevens die worden verzameld.
  • De doeleinden waarvoor de categorieën persoonsgegevens zullen worden gebruikt.
  • Het verzamelen van eventuele aanvullende informatiecategorieën of ander gebruik van de gegevens dat zal plaatsvinden nadat de eerste openbaarmakingen zijn gedaan. Met andere woorden, als u meer gegevens gaat verzamelen met de verstrekte gegevens, moet u dit aangeven voordat de oorspronkelijke gegevens worden verzameld. En evenzo, als u andere soorten verwerking gaat doen nadat de extra gegevens zijn verzameld, moet u de consument hiervan op de hoogte stellen.

Als u persoonlijke gegevens verkoopt of anderszins openbaar maakt, moet u aangeven welke categorieën persoonlijke gegevens in de afgelopen 12 maanden zijn verkocht of gedeeld. Als er geen persoonlijke gegevens zijn verkocht of gedeeld, moet u dat feit vermelden.

Verkoop mijn persoonlijke gegevens niet

U moet een duidelijke en opvallende link op uw website plaatsen met de titel 'Verkoop mijn persoonlijke informatie niet'. Dit moet de gebruiker in staat stellen om te registreren dat hij geen toestemming geeft of opt-in voor de verkoop of het delen van zijn persoonlijke gegevens. Deze link moet toegankelijk zijn zonder te registreren of een account aan te maken op de website.

Een andere link "Verkoop mijn persoonlijke gegevens niet" moet worden opgenomen in uw privacybeleid.

Sancties

Er zijn civielrechtelijke boetes van USD 2.500 voor niet-naleving van de CCPA of USD 7.500 voor elke volgende overtreding, een zogenaamde opzettelijke overtreding, omdat u het oorspronkelijke probleem niet hebt opgelost. Met name voorziet de CCPA er ook in dat particuliere eisers een civiele class action-rechtszaak tegen het bedrijf kunnen aanspannen om een schadevergoeding te eisen tussen USD 100 en USD 750 per getroffen consument, of daadwerkelijke schadevergoeding, afhankelijk van wat het hoogste is.

Verzoeken om consumentengegevens

Als een consument een recht wil uitoefenen dat hem toegang geeft tot zijn persoonlijke gegevens, moet je binnen 45 dagen na ontvangst van een "verifieerbaar verzoek" reageren. Dit betekent dat het verzoek ergens moet worden vastgelegd en u ervoor moet zorgen dat de consument die het verzoek heeft gedaan, ook die consument is. Als u de gegevens van persoon A naar persoon B stuurt, heeft u zojuist een niet-conforme transactie gedaan.

Als het verzoek ongewoon complex is of als u een groot aantal verzoeken afhandelt, kunt u de 45 dagen met nog eens 90 dagen verlengen. Als u dat doet, moet u de consument binnen de eerste periode van 45 dagen op de hoogte stellen en hem de redenen geven die tot de verlenging hebben geleid.

U moet de gegevens van de voorgaande periode van 12 maanden vanaf de datum van ontvangst van het verzoek verstrekken. De gegevens moeten worden teruggestuurd in een “gemakkelijk bruikbaar formaat” zoals PDF of in gedrukte vorm. Je kunt niet verwachten dat de consument hetzelfde type software krijgt dat je gebruikt voor de verwerking, alleen om zijn gegevens in te laden om het te zien. Ze moeten de informatie die ze van je ontvangen naar iedereen kunnen sturen, en iedereen moet het document "ongehinderd" kunnen openen en lezen.

De gegevens moeten "schriftelijk" zijn. Dus als de gegevens zijn gecodeerd - u kunt datums opslaan als Juliaanse dagnummers - moet deze weer worden weergegeven in woorden en datums.

U kunt de gegevens aan hen retourneren via hun account bij het bedrijf, of per post of e-mail naar keuze van de consument.

En na dat alles kun je geen kosten in rekening brengen voor het afhandelen van gegevensverzoeken.

Hoe voor te bereiden

Afbeelding
Afbeelding

Dat lijkt misschien verbijsterend, en het waren slechts de hoogtepunten. Er zit veel in de CCPA. Waar begin je?

Tenzij je er onlangs een hebt gedaan, is het eerste wat je moet doen een oefening in het in kaart brengen van gegevens. Dit worden ook wel data-landschapsoefeningen genoemd. U moet de reikwijdte van en het doel achter uw gegevensverzamelings- en verwerkingsactiviteiten identificeren en documenteren. Dat omvat:

  • Welke persoonlijke informatie verzamelt u precies?
  • Hoe wordt die informatie gebruikt in het bedrijf?
  • Waar wordt die informatie opgeslagen?
  • Wat zijn de workflows die persoonlijke gegevens binnen uw bedrijf en naar partners verplaatsen?
  • Met wie deelt u de persoonlijke gegevens en waarom?
  • Welk intern beleid heeft u voor het gebruik en de beveiliging van persoonlijke gegevens? Zijn ze nog voldoende?

Zonder te weten waarom u persoonlijke gegevens verzamelt, welke gegevens u verzamelt en in welke systemen deze zijn opgeslagen, zult u het erg moeilijk vinden om de persoonlijke gegevens te beschermen en te reageren op verzoeken om toegang tot gegevens of verzoeken om gegevens te verwijderen. Maar als u een gedocumenteerde set locaties voor elk type gegevens hebt en een procedure die een medewerker door het proces van gegevensverzameling leidt, wordt een verzoek om toegang tot gegevens beheersbaar in plaats van omslachtig.

Als het geautomatiseerd of gedeeltelijk geautomatiseerd kan worden, des te beter. Voordat u aan automatisering kunt denken, moet u natuurlijk nog steeds weten waarom, wat en waar uw persoonlijke gegevens worden verwerkt.

Controleer uw technische beveiligingen

De wetgeving inzake gegevensbescherming schuwt het om de specifieke soorten bescherming op te sommen die u moet gebruiken om persoonlijke gegevens te beschermen. Alle oplossingen die ze voorschrijven, kunnen achterhaald raken en wat voor het ene bedrijf goed is om te implementeren, is niet geschikt voor het andere. Maar de persoonsgegevens moeten voldoende worden beschermd. Zorg ervoor dat deze standaard voorzorgsmaatregelen aanwezig zijn:

  • Gegevens in transit: Dit kan worden afgehandeld met SSL/TLS, VPN's en andere oplossingen die de verbindingen tussen eindpunten beveiligen.
  • Gegevens in rust: Zorg ervoor dat databases en andere silo's met persoonlijke gegevens die zich op uw netwerken bevinden, worden beschermd, indien mogelijk versleuteld, en dat er beperkingen worden gesteld aan hun toegang op basis van de rollen van het personeel. U moet het maken van willekeurige spreadsheets die persoonlijke gegevens bevatten tot een minimum beperken. Hoe kunt u ze controleren en opnemen in verzoeken om toegang tot en verwijdering van gegevens?
  • Netwerkbeveiliging: pas zoveel mogelijk van de standaard best practices op het gebied van beveiliging toe, in verhouding tot de hoeveelheid persoonlijke gegevens die u bezit, uw waargenomen risico en uw budget.
  • E-mailbeveiliging: De meeste malware-aanvallen beginnen met een e-mail. Vergeet niet dat uw medewerkers naast technische oplossingen ook degenen zijn die in de frontlinie de e-mail openen. Vergeet de training voor cybersecuritybewustzijn van het personeel niet. Sommige e-mailservices, zoals Microsoft 365, bezorgen e-mail op een veilige manier tijdens transport en in rust.

Communicatieverantwoordelijkheden vervullen

Pas uw privacybeleid aan of maak het aan om te voldoen aan de CCPA, en voeg de verplichte informatie toe die u moet verstrekken. Gebruik gewoon Engels en maak het toegankelijk en gemakkelijk te begrijpen. Verwarring of dubbelzinnigheid zal geen enkele partij goed dienen.

Voeg de vereiste meldingen toe aan de punten op uw website die persoonlijke gegevens verzamelen, en maak deze even duidelijk.

Document hoe u gaat verifiëren dat een consument echt die consument is wanneer u verzoeken om gegevenstoegang of verwijdering ontvangt. Welk bewijs moet u verkrijgen, hoe vraagt u het aan en welke mededeling wordt er naar de consument gestuurd om het aan te vragen?

Beoordeel uw partners

Bedrijven waarmee u gegevens deelt, kunnen u ook in de problemen brengen als ze zich niet aan de CCPA houden.

U moet rekening houden met gegevensbeschermingsovereenkomsten, of gegevensbeschermingsaddendums bij bestaande contracten, of zeer strenge due diligence voor andere bedrijven waarmee u persoonlijke gegevens deelt.

Professionele hulp zoeken

Dit artikel is geen vervanging voor professioneel juridisch advies, noch creëert het een advocaat-cliëntrelatie, noch is het een verzoek om juridisch advies te geven. De duivel zit in de details - zoals altijd - en bedrijven kunnen elke combinatie van gebruiksscenario's hebben.

Zoek de juiste professionele begeleiding als u niet over de juiste vaardigheden in huis beschikt om de wet te interpreteren.

Populair onderwerp

Aanbevolen

Hoe u kunt zien wie er is verbonden met uw wifi-netwerk
2023

Hoe u kunt zien wie er is verbonden met uw wifi-netwerk

7 manieren om ruimte op de harde schijf vrij te maken op Windows
2023

7 manieren om ruimte op de harde schijf vrij te maken op Windows

Hoe zich te ontdoen van de meldingen, geluiden en meegeleverde software van Avast
2023

Hoe zich te ontdoen van de meldingen, geluiden en meegeleverde software van Avast

Bestandskenmerken wijzigen met Attrib vanaf de Windows-opdrachtprompt
2023

Bestandskenmerken wijzigen met Attrib vanaf de Windows-opdrachtprompt

Hoe u uw Ubuntu Linux-systeem in de vorige staat kunt herstellen
2023

Hoe u uw Ubuntu Linux-systeem in de vorige staat kunt herstellen

Hoe meldingen op iPhone en iPad te beheren
2023

Hoe meldingen op iPhone en iPad te beheren

Beginner: uw gegevens onderhouden, archiveren en back-uppen in Outlook 2013
2023

Beginner: uw gegevens onderhouden, archiveren en back-uppen in Outlook 2013

Stop met het testen van software op uw pc: gebruik in plaats daarvan momentopnamen van virtuele machines
2023

Stop met het testen van software op uw pc: gebruik in plaats daarvan momentopnamen van virtuele machines

Hoe FC (Bestandsvergelijking) te gebruiken vanaf de Windows-opdrachtprompt
2023

Hoe FC (Bestandsvergelijking) te gebruiken vanaf de Windows-opdrachtprompt

Beginner: notities gebruiken in Outlook 2013 voor eenvoudige bureaubladherinneringen
2023

Beginner: notities gebruiken in Outlook 2013 voor eenvoudige bureaubladherinneringen

Hoe maak je een back-up en herstel je je apps en PPA's in Ubuntu met Aptik
2023

Hoe maak je een back-up en herstel je je apps en PPA's in Ubuntu met Aptik

Hoe weet u welke distro en versie van Linux u gebruikt
2023

Hoe weet u welke distro en versie van Linux u gebruikt

Een scanner gebruiken op uw Mac OS X-computer
2023

Een scanner gebruiken op uw Mac OS X-computer

Gebruik het menu Services van uw Mac om snelle acties uit te voeren
2023

Gebruik het menu Services van uw Mac om snelle acties uit te voeren

De beste alternatieve bestandsbeheerders voor Windows, Mac en Linux
2023

De beste alternatieve bestandsbeheerders voor Windows, Mac en Linux

Hoe verjaardag (en andere) Facebook-meldingen te stoppen
2023

Hoe verjaardag (en andere) Facebook-meldingen te stoppen

Hoe u uw zoek- en app-geschiedenis in de Google Play Store op uw Android-apparaat kunt wissen
2023

Hoe u uw zoek- en app-geschiedenis in de Google Play Store op uw Android-apparaat kunt wissen

Android-updates voor uw Nexus-apparaten installeren zonder te wachten
2023

Android-updates voor uw Nexus-apparaten installeren zonder te wachten