自2018年6月加州州长杰里·布朗将《加州消费者隐私法》(CCPA)签署为州法律以来,全国各地的许多公司都被迫考虑该法律可能对它们产生的影响。如果你是公司的老板或决策者,你应该经历一个确定CCPA是否适用于你的过程——毕竟,CCPA的影响范围比加州当地的企业要广得多。
事实上,CCPA会影响与加利福尼亚州消费者(以及也符合其他标准)的任何企业的任何实体。因此,如果您认为CCPA可能适用于您,值得一定的研究和采取行动,以确保您不要将受害者归咎于任何CCPA处罚。
CCPA是一种隐私法,类似于欧洲的GDPR(一般数据保护法规);与GDPR一样,它允许消费者查看他们的个人数据的权利,选择退出收集或销售该数据,并请求删除某些数据。与GDPR一样,涉及违反法律时,还有CCPA罚款。那么你如何避免招致重型的CCPA处罚?以下是您需要做的一些事情。
知道CCPA处罚
显然,为了避免被处罚和支付罚款,你首先必须了解CCPA罚款所附带的行为,每次违反最高可达2500美元,“故意违反”最高可达7500美元。该法律还允许消费者有权就数据泄露问题对违规公司采取私人法律行动,赔偿每位消费者每次事件100至750美元,或实际损失(以金额较大者为准)。如果确定一家公司没有提供合理的数据安全措施来保护其消费者的个人信息,这些“无意的”违规行为也可能导致罚款。
虽然对于年收入超过2500万美元的公司来说,这似乎不是一笔很大的费用,但当你考虑到这些公司经常接触到多少消费者——以及他们处理的是谁的数据——这些费用加起来可能是一笔巨大的钱。此外,检察总长有可能将每一条被曝光的个人信息视为单独的违规行为,也就是说,如果该公司拥有每个消费者的6条被曝光的个人信息,那么5000个消费者的信息被曝光实际上可能被视为3万次违规行为。
履行评估
现在你已经知道了避免CCPA罚款的重要性,是时候采取行动让自己变得合规了。你要做的第一件事就是进行CCPA评估。这会让你对公司目前的状况有一个大致的了解,也会让你知道为了完全符合CCPA,你需要采取哪些步骤。作为评估的一部分,你需要看看你收集了什么类型的数据,从谁那里收集这些数据以及收集这些数据的方法。你还应该看看你当前的隐私政策和你已经有哪些保护措施。如果您在欧洲做生意,那么您可能已经在遵循GDPR的道路上采取了一些步骤。
遵守规则的下一个重要步骤是创建一个包含您的组织已经收集和共享的所有数据/个人信息的数据地图。您的数据映射将是遵从性的关键,它可以帮助您查看在您意识到商业目的不需要时可能想要删除的个人信息。数据地图还将帮助您识别与您共享消费者信息的第三方和/或服务提供商。您与这些组织的合同和协议将需要重新谈判,以符合CCPA。
你CCPA评估可能是你看着自己内部的东西,但是它也可以快速和有效的外部专家或服务采取一看,显示你事情你可能错过和帮助你想出-和执行行动计划前进。外部服务提供者的价值主张之一是,他们可以提供多种解决方案——创建数据地图、管理客户请求的门户、创建必要的文档并为您的员工提供ccpa要求的培训。
制定一个计划
在制定和执行行动计划时,为了避免CCPA的处罚,你需要包括哪些内容?再次强调,这是你可能需要从隐私法律或合规方面的专家那里寻求帮助的地方,但这里有一些最值得注意的事情,你需要开始计划,以避免CCPA罚款:
开发特定于CCPA的新隐私政策附录
CCPA的一大部分是为消费者提供有关收集和使用数据的相关信息,以及向他们解释他们的权利和方面的有关该数据的选择。因此,绘制新的隐私声明将是CCPA截止日期方法的优先事项。这将包括新的CCPA兼容条款和条件,每个站点用户将在使用您的网站之前看到并同意。
在必要时提取新的合同
如上所述,第三方合同也将受CCPA的影响,因此现在是开始创建新合同和在必要时重新谈判的过程的好时机。
要求管理
由于消费者现在可以选择请求访问以查看其数据,或者从系统中删除,因此需要一个系统来管理这些请求。未能这样做可能会导致罚款。值得注意的是,组织为45天响应此类请求,因此在开发系统时效率将成为关键。
为您的组织制定内部隐私政策,该组织确定您的员工如何确保根据CCPA的隐私和安全要求处理个人信息,并响应消费者的要求适当。
你的行动计划可能还有很多其他方面,但使用像SixFifty Privacy这样的服务可以帮助你制定一个全面的计划,以及在执行计划的时候提供帮助。
执行新的培训和政策
由于CCPA具有如此潜在的深远后果,因此重要的是对公司的各个部分的意识延伸。这对那些将积极参与实施新的隐私政策的人来说尤为重要。谈到CCPA处罚时,总有可能调查贵公司。就像您在税收期间审计的地方有关的政策并跟踪所有内容,您应该有类似的程序,以表明您正在遵守CCPA。
此外,您的公司的培训应在必要时改变所有员工了解您的新政策和程序。目前的员工都应该预期接受该培训,以便加快速度。然后,CCPA要求每年的培训进行更新,以及处理消费者请求的任何新员工(可能是人力资源,客户服务,及其),还需要在船上培训中CCPA。
继续安排
最后,为了确保您不招致任何CCPA罚款,您必须敏锐地意识到CCPA合规性的时间表和相关截止日期。虽然法律在技术上已经有效,但您需要记住的截止日期是“操作日期”,这是当企业预期符合的“操作日期”,并且在其中可以评估惩罚和罚款。该日期是1月1日,2020年1月。避免罚款的唯一万维令人信服是旨在在该日期之前完全符合CCPA。这也意味着您有不到一年的时间准备好,应该越早开始,而不是稍后开始,以免缺失截止日期。
You might view the CCPA as anything from a mild inconvenience to a huge pain — or anything in between — but if you take the time and effort to make sure everything is in order as soon as possible, it doesn’t have to be something you lose any sleep over. To make it even easier, SixFifty Privacy can help you out with compliance, providing an assessment, a timeline, and aid in executing your plan for compliance. Take the assessment, and we will be in contact to help you out in no time.
