Калифорнийский закон о защите прав потребителей (CCPA). О чем следует знать?

С 1 января в Калифорнии вступил в силу закон о конфиденциальности данных (CCPA). Это первый крупный закон США о защите персональных данных, который по условиям сравнивают с Европейским общим регламентом о защите данных (GDPR), действующим в ЕС с мая 2018 года.

Давайте рассмотрим, что влечет за собой CCPA и чего от него ожидать маркетологам.

Что такое CCPA?

California Consumer Privacy Act (CCPA)

Это Калифорнийский закон о защите прав потребителей, который дает жителям штата право узнавать, какие данные о них собирают компании, и запрашивать удаление всей информации.

Полное влияние новых прав не совсем ясно, потому что нормативные акты, используемые для обеспечения соблюдения закона, все еще дорабатываются. Тем не менее, компании в Калифорнии и за ее пределами уже пытаются соответствовать требованиям, чтобы продолжать вести бизнес в самом населенном штате страны.

Что такое личные данные в соответствии с CCPA?

CCPA определяет персональные данные как любую информацию, которая идентифицирует (относится, описывает, характеризует прямо или косвенно) конкретного потребителя:

Например, файлы “куки” могут рассматриваться как личные данные и, следовательно, тоже попадают под действие закона. Вам необходимо будет перечислить какую информацию вы собираете о пользователе и как планируете её использовать.

Требует ли CCPA политики использования файлов cookie на сайте?

Эта информация может быть включена в политику конфиденциальности сайта, не обязательно готовить отдельную страницу или баннер.

CCPA заменит CalOPPA и другие законы о конфиденциальности?

Нет. CalOPPA и другие законы о защите персональных данных будут продолжать существовать, и в Калифорнии придется соблюдать их все. 

В чем разница между CalOPPA и CCPA?

Для CalOPPA и CCPA важно, какие личные данные и как вы собираете, а также как будете их обрабатывать и использовать. 

CalOPPA

CCPA

В политике конфиденциальности необходимо указывать:

  • Как сайт отвечает запросам «Не отслеживать данные».

  • Дату вступления в силу политики конфиденциальности.

  • Как вы будете сообщать пользователям о любых изменениях в политике конфиденциальности.

  • Информацию о продаже данных пользователей и как отказаться от этого.

  • Методы проверки личности, которая запрашивает доступ, изменение или удаление данных.

  • Способы подачи таких запросов. 

  • К кому относится закон.

Действие закона распространяется на каждую компанию в мире, если она:

  1. Собирает на сайте или в онлайн-службе личную информацию об отдельных потребителях, проживающих в Калифорнии.
  2. Все собранные данные использует в личных целях. Например, закон не будет действовать для интернет-провайдеров, так как они передают или хранят личную информацию для третьих лиц.
  1. Собирает личные данные жителей Калифорнии.

  2. Превышает хотя бы один из трех показателей:

  • Годовой валовой доход не менее $25 млн;

  • Собирает личную информацию не менее 50 000 жителей Калифорнии, домохозяйств и/или устройств в год;

  • 50% годового дохода получено от продажи личной информации жителей Калифорнии.

Закон в основном предназначен для соцсетей, брокеров и крупных корпораций. Для частных лиц, некоммерческих, малых и средних компаний эти требования не распространяются.

Действие закона распространяется на каждого человека, если он:

Житель штата Калифорния 

  • Находится в Калифорнии временно или транзитом.

  • Проживает в Калифорнии, но временно находится за пределами штата.

Получение согласия от пользователей

Не требует предварительного согласия в любом случае.

Требует предварительного согласия только у несовершеннолетних перед продажей их личных данных. Если они моложе 13-ти лет, вы должны получить согласие их родителей или опекунов.

Активная ссылка “Не продавать мои личные данные”

Ссылка о продаже личных данных не обязательна. 

Требуется ссылка «Не продавать мои персональные данные» на сайте. Если пользователь нажимает на эту ссылку, это означает, что вам запрещено продавать его данные.

Какие штрафы за несоблюдение правил?

При этом сумма штрафа может быть пересмотрена и дается 30 дней, чтобы все исправить.

Нужно ли получать предварительное согласие перед сбором и обработкой данных пользователей?

Нет, в отличие от многих других законов о конфиденциальности, CCPA не требует получения предварительного согласия на сбор и обработку данных пользователей, за исключением несовершеннолетних.

Если у вас есть пользователи 13-16 лет, вы должны получить разрешение перед продажей их личной информации непосредственно от них. Если они моложе, необходимо получить разрешение от родителей или опекунов.

Вы можете запрашивать согласие каждый раз, когда несовершеннолетний калифорниец заходит сайт, или непосредственно перед продажей данных. Продажа данных без согласия нарушает права пользователя и влечет за собой штраф.

Убедитесь, что вы сохраняете каждое согласие, полученное от несовершеннолетних и их родителей. Хорошей практикой является хранение документации всех, кто дал или отклонил согласие.

Соответствует ли ваша политика конфиденциальности требованиям CCPA?

Политика конфиденциальности – это документ, который объясняет пользователям, что вы делаете с их данными. Он также может предоставить им информацию о правах на неприкосновенность частной жизни.

Убедитесь, что ваша политика конфиденциальности включает такую информацию:

69% интервьюируемых ответили, что прекратят взаимодействовать с компанией, если она будет слишком агрессивно собирать персональные данные.

Исследование accenture.com/us-en

Если вы придерживаетесь правил GDPR, можно не обращать внимание на CCPA?

Скорее всего, вы уже выполняете некоторые требования CCPA, просто соблюдая правила GDPR, но вам еще есть над чем поработать:

Также обратите внимание на «чувствительные данные». GDPR ограничивает сбор данных о веоисповедании, этнической принадлежности, сексуальных предпочтениях, генетических и биометрических данных, и т. д. CCPA не предусматривает таких ограничений.

Что означает «Продажа» данных?

«Продажа» - достаточно широкое понятие. Это может быть:

Создать емейл-рассылку

Зарегистрироваться

Как подготовиться маркетологу к CCPA?

1. Учитывайте местонахождение ваших подписчиков

Если вы не знаете, что ваши подписчики находятся в Калифорнии, – это не освобождает вас от закона. Опрашивайте ваших клиентов, собирайте их местоположение, чтобы не попасть впросак.

Например, в форме подписки/регистрации можно просить подписчиков указывать страну проживания, либо определяйте, где они находятся, с помощью геолокации. Для пользователей, которые живут в странах ЕС, Канаде или других местах, где законы о данных требуют подтверждения, добавьте чек-бокс об ознакомлении с правилами.

 

2. Приготовьтесь «быть забытыми»

Этот раздел закона позволяет калифорнийцам требовать, чтобы вы удалили всю информацию о них или частично. Подобное положение также является ключевым элементом GDPR.

3. Оповестите своих клиентов об изменениях в Условиях использования вашего сервиса или Политике конфиденциальности

Например, отправьте емейл-рассылку пользователям о том, что вы соблюдаете закон и в связи с этим обновляете условия использования. 

Как вариант, можно не выделять отдельное письмо, а добавить описание об обновлении Privacy Policy в футере.

4. Учитывайте законодательство всех стран, где могут находиться ваши подписчики

CASL – Канадский закон от спама (2014 г.).

PDPB – Закон о защите личных данных, Индия (2018 г.).

GDPR – Общий регламент конфиденциальности данных, Европейский союз (2018 г.).

Также указывайте информацию об изменении всех правил и законов прямо на сайте и желательно на самом видном месте.

5. Подготовьте ваш сайт к CCPA

Лучше подготовиться заранее, ведь вскоре и другие штаты могут принять аналогичные законы. Массачусетс, Мэриленд, Вашингтон, округ Колумбия, и другие штаты США уже обсуждают вопрос о принятии собственных законов о конфиденциальности и защите данных. Обещаем держать вас в курсе всех обновлений.

До новых встреч в нашем блоге!

Даже если вы не нашли интересующие вас функции в списке возможностей eSputnik, мы открыты к предложениям и внедрим решения, способные повысить эффективность работы с системой.