Калифорнийский закон о защите прав потребителей (CCPA). О чем следует знать?

С 1 января в Калифорнии вступил в силу закон о конфиденциальности данных (CCPA). Это первый крупный закон США о защите персональных данных, который по условиям сравнивают с Европейским общим регламентом о защите данных (GDPR), действующим в ЕС с мая 2018 года.

Давайте рассмотрим, что влечет за собой CCPA и чего от него ожидать маркетологам.

Что такое CCPA?

California Consumer Privacy Act (CCPA)

Это Калифорнийский закон о защите прав потребителей, который дает жителям штата право узнавать, какие данные о них собирают компании, и запрашивать удаление всей информации.

Полное влияние новых прав не совсем ясно, потому что нормативные акты, используемые для обеспечения соблюдения закона, все еще дорабатываются. Тем не менее, компании в Калифорнии и за ее пределами уже пытаются соответствовать требованиям, чтобы продолжать вести бизнес в самом населенном штате страны.

Что такое личные данные в соответствии с CCPA?

CCPA определяет персональные данные как любую информацию, которая идентифицирует (относится, описывает, характеризует прямо или косвенно) конкретного потребителя:

Реальные имена или псевдонимы;
Почтовые адреса;
Имена аккаунтов;
Социальное обеспечение, водительские права и номер паспорта;
Покупка товара или услуги, просмотр или история просмотров/покупок;
Биометрические данные (рост, вес, отпечатки пальцев);
Геолокация;
Профессиональная информация, например, о трудоустройстве;
Информация об образовании, которая не является общедоступной.

Например, файлы “куки” могут рассматриваться как личные данные и, следовательно, тоже попадают под действие закона. Вам необходимо будет перечислить какую информацию вы собираете о пользователе и как планируете её использовать.

Требует ли CCPA политики использования файлов cookie на сайте?

Эта информация может быть включена в политику конфиденциальности сайта, не обязательно готовить отдельную страницу или баннер.

CCPA заменит CalOPPA и другие законы о конфиденциальности?

Нет. CalOPPA и другие законы о защите персональных данных будут продолжать существовать, и в Калифорнии придется соблюдать их все.

В чем разница между CalOPPA и CCPA?

Для CalOPPA и CCPA важно, какие личные данные и как вы собираете, а также как будете их обрабатывать и использовать.

CalOPPA	CCPA
В политике конфиденциальности необходимо указывать:
Как сайт отвечает запросам «Не отслеживать данные». Дату вступления в силу политики конфиденциальности. Как вы будете сообщать пользователям о любых изменениях в политике конфиденциальности.	Информацию о продаже данных пользователей и как отказаться от этого. Методы проверки личности, которая запрашивает доступ, изменение или удаление данных. Способы подачи таких запросов. К кому относится закон.
Действие закона распространяется на каждую компанию в мире, если она:
Собирает на сайте или в онлайн-службе личную информацию об отдельных потребителях, проживающих в Калифорнии. Все собранные данные использует в личных целях. Например, закон не будет действовать для интернет-провайдеров, так как они передают или хранят личную информацию для третьих лиц.	Собирает личные данные жителей Калифорнии. Превышает хотя бы один из трех показателей: Годовой валовой доход не менее $25 млн; Собирает личную информацию не менее 50 000 жителей Калифорнии, домохозяйств и/или устройств в год; 50% годового дохода получено от продажи личной информации жителей Калифорнии. Закон в основном предназначен для соцсетей, брокеров и крупных корпораций. Для частных лиц, некоммерческих, малых и средних компаний эти требования не распространяются.
Действие закона распространяется на каждого человека, если он:
Житель штата Калифорния	Находится в Калифорнии временно или транзитом. Проживает в Калифорнии, но временно находится за пределами штата.
Получение согласия от пользователей
Не требует предварительного согласия в любом случае.	Требует предварительного согласия только у несовершеннолетних перед продажей их личных данных. Если они моложе 13-ти лет, вы должны получить согласие их родителей или опекунов.
Активная ссылка “Не продавать мои личные данные”
Ссылка о продаже личных данных не обязательна.	Требуется ссылка «Не продавать мои персональные данные» на сайте. Если пользователь нажимает на эту ссылку, это означает, что вам запрещено продавать его данные.

Какие штрафы за несоблюдение правил?

От $100 до $750 на каждого потребителя за инцидент или фактический ущерб, вызванный утечкой данных, если он выше.
$2500 за непреднамеренные нарушения и $7500 за каждое преднамеренное.

При этом сумма штрафа может быть пересмотрена и дается 30 дней, чтобы все исправить.

Нужно ли получать предварительное согласие перед сбором и обработкой данных пользователей?

Нет, в отличие от многих других законов о конфиденциальности, CCPA не требует получения предварительного согласия на сбор и обработку данных пользователей, за исключением несовершеннолетних.

Если у вас есть пользователи 13-16 лет, вы должны получить разрешение перед продажей их личной информации непосредственно от них. Если они моложе, необходимо получить разрешение от родителей или опекунов.

Вы можете запрашивать согласие каждый раз, когда несовершеннолетний калифорниец заходит сайт, или непосредственно перед продажей данных. Продажа данных без согласия нарушает права пользователя и влечет за собой штраф.

Убедитесь, что вы сохраняете каждое согласие, полученное от несовершеннолетних и их родителей. Хорошей практикой является хранение документации всех, кто дал или отклонил согласие.

Соответствует ли ваша политика конфиденциальности требованиям CCPA?

Политика конфиденциальности – это документ, который объясняет пользователям, что вы делаете с их данными. Он также может предоставить им информацию о правах на неприкосновенность частной жизни.

Убедитесь, что ваша политика конфиденциальности включает такую информацию:

Какие данные вы собираете и как их обрабатываете.
Почему вы собираете и обрабатываете информацию.
Как вы планируете использовать полученные данные.
Как пользователи могут запрашивать доступ, изменение, перемещение или удаление своих личных данных.
О методе проверки личности человека, который отправляет запрос.
О продаже личных данных пользователей и как они могут запретить продажу.

69% интервьюируемых ответили, что прекратят взаимодействовать с компанией, если она будет слишком агрессивно собирать персональные данные.

Исследование accenture.com/us-en

Если вы придерживаетесь правил GDPR, можно не обращать внимание на CCPA?

Скорее всего, вы уже выполняете некоторые требования CCPA, просто соблюдая правила GDPR, но вам еще есть над чем поработать:

Придется внести изменения в политику конфиденциальности.
Расширить перечень «личных данных». Так как в случае с калифорнийским законом персональной может быть любая информация, которая определяет, описывает, ассоциируется или может быть напрямую или косвенно связана с конкретной персоной.
Добавить ссылку «Не продавать мою личную информацию» на стартовой странице.

Продумать методы запросов на доступ, изменение и удаление данных, а также проверки персоны, делающей запрос, связанный с данными.
Собирать предварительное согласие несовершеннолетних перед продажей их личных данных.

Также обратите внимание на «чувствительные данные». GDPR ограничивает сбор данных о веоисповедании, этнической принадлежности, сексуальных предпочтениях, генетических и биометрических данных, и т. д. CCPA не предусматривает таких ограничений.

Что означает «Продажа» данных?

«Продажа» - достаточно широкое понятие. Это может быть:

«Предоставление личной информации» третьей стороне за денежное или иное ценное вознаграждение.
Любое действие с базой, которое включает в себя перенос, раскрытие или обнародование личных данных пользователя. При чем это не обязательно денежная сделка или платеж.

Создать емейл-рассылку

Зарегистрироваться

Как подготовиться маркетологу к CCPA?

1. Учитывайте местонахождение ваших подписчиков

Если вы не знаете, что ваши подписчики находятся в Калифорнии, – это не освобождает вас от закона. Опрашивайте ваших клиентов, собирайте их местоположение, чтобы не попасть впросак.

Например, в форме подписки/регистрации можно просить подписчиков указывать страну проживания, либо определяйте, где они находятся, с помощью геолокации. Для пользователей, которые живут в странах ЕС, Канаде или других местах, где законы о данных требуют подтверждения, добавьте чек-бокс об ознакомлении с правилами.

2. Приготовьтесь «быть забытыми»

Этот раздел закона позволяет калифорнийцам требовать, чтобы вы удалили всю информацию о них или частично. Подобное положение также является ключевым элементом GDPR.

3. Оповестите своих клиентов об изменениях в Условиях использования вашего сервиса или Политике конфиденциальности

Например, отправьте емейл-рассылку пользователям о том, что вы соблюдаете закон и в связи с этим обновляете условия использования.

Как вариант, можно не выделять отдельное письмо, а добавить описание об обновлении Privacy Policy в футере.

4. Учитывайте законодательство всех стран, где могут находиться ваши подписчики

CASL – Канадский закон от спама (2014 г.).

PDPB – Закон о защите личных данных, Индия (2018 г.).

GDPR – Общий регламент конфиденциальности данных, Европейский союз (2018 г.).

Также указывайте информацию об изменении всех правил и законов прямо на сайте и желательно на самом видном месте.

5. Подготовьте ваш сайт к CCPA

Обновите Политику конфиденциальности. Добавьте информацию, как, почему и какую личную информацию вы собираете и как её обрабатываете. Укажите как ваши пользователи могут запрашивать доступ, изменение или удаление своих личных данных, которые вы собрали.
Если вы используете поп-апы для оповещения о сборе данных, убедитесь, что в них актуальная информация.

Установите проверку для тех, кто запрашивает данные о себе или их удаление.
Добавьте ссылку «Не продавать мою личную информацию» на главной странице, чтобы пользователь легко мог её найти и нажать.
Позаботьтесь о получении предварительного согласия от несовершеннолетних 13-16 лет перед продажей их персональных данных. Для несовершеннолетних младше 13 лет вы должны получить предварительное согласие их родителей.

Лучше подготовиться заранее, ведь вскоре и другие штаты могут принять аналогичные законы. Массачусетс, Мэриленд, Вашингтон, округ Колумбия, и другие штаты США уже обсуждают вопрос о принятии собственных законов о конфиденциальности и защите данных. Обещаем держать вас в курсе всех обновлений.

До новых встреч в нашем блоге!