CCPA合规性:可持续的方法

CCPA代表加州消费者隐私法案(2018),旨在加强美国加利福尼亚州的隐私权和消费者保护。

CCPA提供了加利福尼亚州的居民,有权了解有关这些数据的个人数据,无论是销售还是披露,以及谁。根据该法案,他们可以访问业务收集的个人信息,要求删除它,并从销售个人信息退出。

企业需要向消费者通知解释其隐私实践,而不是歧视消费者,以便在CCPA下行使其权利。

CCPA合规要求

对于CCPA合规性,PI(个人信息)被定义为识别的信息涉及,涉及描述,合理地能够与特定的消费者或家庭合理地或间接地链接或间接地联系在一起。“立法”文本指定了许多PI的示例,但声明这些不是排他性的。

示例包括典型标识符,例如:

  • 名称
  • 别名
  • 邮政地址
  • 独特的个人和在线标识符
  • IP地址
  • 电子邮件地址
  • 社会保障,驾驶执照和护照号码

它们还包括生物识别信息,地理位置数据,商业信息和互联网活动。

CCPA合规的要求包括:

  • 收集的消费者PI库存:CCPA符合性下的消费者权利涵盖了广泛的PI,包括可以与消费者或家庭相关联的信息,例如IP地址和购物历史。公司需要与正在收集的消费者数据进行完整库存。
  • 执行访问和删除请求的进程:CCPA合规授权根据要求授予消费权和删除权。公司需要能够在系统中找到所需的PI,在45天内完成请求,并考虑任何适用的例外,以满足或不符合请求。
  • PI分享和销售披露:对于CCPA合规性,公司必须允许消费者选择将其PI的“销售”退出到其他公司,该公司还包括任何转移PI以换取价值的东西。同一品牌下的联盟是与同一实体视为同一实体,而在不同品牌下的联盟是被视为单独的实体。一些联盟分享可能是“销售”,需要适当的披露。

谁需要遵守CCPA?

在加利福尼亚州的企业需要遵守CCPA的公司,他们收集或与加州居民有关的PI​​。公司要求CCPA合规性:

  • 被视为营利实体
  • 在加利福尼亚州做生意
  • 收集或收集消费者的PI
  • 仅或共同确定加工PI的目的
  • 符合以下一个或多个标准:
    • 从销售PI赚取50%或更多的年度收入
    • 适用于50,000或更多消费者,家庭或设备的PI
    • 年度总收入为2500万美元或更高

未能遵守CCPA的公司收到通知,如果在30天后未完成CCPA合规性,则可以预期公民案件,并且在数据泄露的情况下,每次违反每次违反罚款的风险。

你如何符合CCPA?

在4步过程中支持CCPA合规性

1.了解消费者权利

CCPA下的消费者权利大致分为以下五类:

  • 有权通知。这项权利包括“了解关于他们正在收集的个人信息”以及正确的“了解他们的个人信息是否被出售或披露以及谁。”
  • 退出的权利。这项权利是指具有PI销售的PI,使加州人能够“拒绝销售个人信息。”它不一定限制其他形式的个人信息处理。
  • 访问权。这一权利允许消费者获得已收集的关于它们的“特定个人信息”,以及该信息的来源,用于收集或销售该数据的目的,以及共享信息的第三方。
  • 删除权。这项权利允许消费者要求删除他们的个人信息,但受到某种条件。例如,公司仍然可以保护信息以防止欺诈或遵守其他法律义务。
  • 不歧视权。这项权利确保加州人可以在不担心歧视的情况下对其数据提供权限。具体而言,法规保证了“加州人的权利,即使他们行使隐私权,也是如此。”

2.查看您收集的消费者信息

    检查您拥有的消费者PI以及:

    • 它如何在不同的渠道上收集?
    • 它在哪里以及如何存储?提供了哪种类型的信息安全性?它需要进一步加强吗?
    • 它如何处理?
    • 您是否与任何其他实体共享消费者PI?如何以及为什么?如何使用共享的消费者信息?其他实体是否符合CCPA合规性?

    3.向消费者披露您的隐私政策

      根据CCPA合规性要求,您需要在收集点或之前通知您的消费者在收集点或之前的披露,包括“要收集的个人信息类别以及所用的类别的目的。”

      本披露应“通过公开发布的隐私声明,特别是由消费者的要求提供”。他们还必须每年更新。对于CCPA合规性,公司网站主页上的隐私链接应指示披露,这些披露还应允许消费者选择退出销售的PI。

      4.回应消费者权利要求

      对于CCPA合规性,组织必须在45天内回应消费者权利要求,除非他们可以表明这些请求是“明显毫无根据的或过度”。在某些情况下,响应时间可以延长45或90天,具体取决于请求的复杂性,但只有在初始45日期之前的初始45天期间将消费者通知消费者。

      在响应请求时,组织将选择以书面形式或电子格式提供信息。在电子格式的情况下,法律规定,“信息应处于便携式,并且在技术上是可行的,以一种易用的格式,允许消费者将这些信息传送到其他实体而不阻碍。”

      要满足CCPA合规性的这些标准,您需要以下最小密钥数据工作流程:

      • 收到。不管它来自的渠道,都必须记录出来的任何新的请求。在许多情况下,法律规定,组织需要至少提供两种可用于提出请求的方法 - 免费电话号码和网站地址。
      • 审查。CCPA下的消费者权利不是绝对的,因此需要审查任何入境请求,以确定它是否符合所有相关标准,并且可以在不妨碍任何组织的其他法律义务的情况下进行。
      • 取回。如果批准入站请求,则需要检索相关信息。此外,需要处理删除信息或开放其销售的请求。
      • 回应。一旦必要的流程完成,包括在加工/销售周围的检索,删除或控制,需要向消费者发送响应。

      制作可持续的CCPA合规策略

      CCPA合规是一个正在进行的过程,要求您在介绍新渠道和广告系列时对法律进行更新时快速回复。为了有效地管理合规流程,您需要将数据放在CCPA合规策略的中心。

      实施数据为中心的隐私策略可帮助您随着宣布更严格的规定而更快地回复。随着消费者信息范围的扩展,您需要跟踪所有PI的来源,了解PI的处理方式以及为何进行处理,了解哪些策略适用于哪些数据集,并维护粒度控制以限制特定过程。

      以更具体的条款评估这些广泛的能力,您将需要以下可持续CCPA合规能力:

      • PI发现和分类:一种不可或缺的能力,可帮助隐私团队将PI存储在整个企业的数据生态系统中。对于CCPA合规性,您需要扫描数据并定期给出它。监控数据后,您必须能够对其进行分类和系统化,并符合其使用。投资自动PI发现工具可帮助您按照CCPA演变,随着新法规强调消费者权利。自动PI分类使您可以在不同的PI类下正确标记数据,确保新源将有效地畅销。
      • 业务流程管理:您是对知识和传达如何以及为什么使用PI的负责任。业务流程管理通过映射与PI相关联的业务流程来解释处理背后的目的来提供数据上下文。例如,文档业务流程有助于确定是否可以整体执行删除请求,或者是否需要保留某些信息以符合其他义务。

      符合CCPA的可持续数据为中心的方法可确保您的组织数据隐私政策与CCPA合规性要求进行对齐,并且必要的流程到位。全面的数据策略将帮助您的组织迅速遵守未来的任何数据隐私法规。

      相关资源狗万新闻c

      博客

      CCPA下的个人信息是什么?

      Infographic.

      如何准备CCPA

      白皮书

      消费者权利要求管理指南

      1mantbex

      更多的故事如此

      11月2日,2020年11月2日 -3.

      CCPA下的个人信息是什么?

      阅读更多
      箭
      2020年7月15日 -5.

      数据专业人员数据主体权利指南

      阅读更多
      箭
      2020年7月1日 -2

      CCPA的执法是我们的

      阅读更多
      箭