Jak sprawić, by Twoja witryna WordPress była zgodna z CCPA

Opublikowany: 2020-04-29

Po wprowadzeniu RODO w 2018 r. pojawiło się teraz inne prawo, które ma w jeszcze większym stopniu wpłynąć na webmasterów WordPressa, aby zachować zgodność z lokalnymi przepisami o ochronie danych.

Jego nazwa? California Consumer Protection Act (w skrócie CCPA).

Ten nowy akt prawny ma na celu zapewnienie Kalifornijczykom zwiększonej ochrony w zakresie wykorzystywania ich danych osobowych. Weszło w życie z początkiem 2020 roku.

W tym przewodniku dowiesz się, jakie są wymagania dotyczące zgodności witryny z ustawą CCPA. Wyjaśnia również, co to oznacza w praktyce dla Twojej witryny i jak wprowadzić niezbędne zmiany. Więc bez dalszych ceregieli zacznijmy od omówienia głównych tematów CCPA.

Czym jest kalifornijska ustawa o ochronie prywatności konsumentów (CCPA)?

Ustawa CCPA została uchwalona z powrotem w 2018 r. Początkowo wprowadzona jako dobrowolna inicjatywa, przeforsowanie ustawy przez odpowiednie organy ustawodawcze stanu Kalifornia zajęło tylko siedem dni.

Prawo zostało radykalnie wprowadzone przez organy ustawodawcze po tym, jak politycy zwrócili uwagę na rosnący chór obaw ze strony wyborców, którzy uważali, że kalifornijskie prawo nie nadąża za ilością danych osobowych, które klienci nieświadomie udostępniają firmom.

Po drugie, skandal z Cambridge Analytica, który ogarnął Facebooka, oraz wprowadzenie w UE przepisów dotyczących ogólnego rozporządzenia o ochronie danych (RODO) zwiększyły znaczenie wprowadzenia tych przepisów.

Od tych wydarzeń w czerwcu 2018 r. ustawa była nowelizowana dwukrotnie. Kalifornijski Prokurator Generalny wydał wytyczne, aby pomóc firmom lepiej zrozumieć, jak wprowadzić niezbędne zmiany w ich działalności. Ustawa oficjalnie weszła w życie 1 stycznia 2020 r.

Jeśli chodzi o szczegóły CCPA, prawo w większości podąża za przykładem swojego poprzednika RODO. Zapewnia obywatelom Kalifornii prawo do:

  • Dowiedz się, jakie dane osobowe są na ich temat gromadzone
  • Dowiedz się, czy ich dane osobowe są sprzedawane lub ujawniane i komu
  • Powiedz nie sprzedaży ich danych osobowych
  • Poproś o usunięcie swoich danych osobowych
  • Uzyskaj dostęp do ich danych osobowych
  • Równa obsługa i cena, nawet jeśli korzystają z prawa do prywatności

Rozumiejąc prawo, prawdopodobnie zastanawiasz się, czy te przepisy dotyczą Ciebie, zwłaszcza jeśli Twoja witryna lub firma jest zarejestrowana poza stanem Kalifornia.

Czy CCPA dotyczy Twojej firmy?

Najtrudniejszą częścią jest prawdopodobnie wyjaśnienie implikacji jakiegokolwiek prawa dotyczącego prywatności. Ale teraz było wystarczająco dużo czasu, by opadł kurz. Istnieją jasne wytyczne dotyczące tego, jak i kiedy należy stosować to prawo.

Pierwszą kwestią, na którą należy zwrócić uwagę, jest to, że prawo to dotyczy ochrony danych osobowych obywateli i mieszkańców Kalifornii. Oznacza to, że firmy lub organizacje, które mają do czynienia z wyżej wymienionymi obywatelami, będą miały do ​​nich zastosowanie prawo, bez względu na ich lokalizację.

Zgodnie z wytycznymi wydanymi przez Prokuratora Generalnego stanu Kalifornia, prawo ma zastosowanie do organizacji nastawionych na zysk, które spełniają następujące kryteria:

  1. Ma roczny dochód brutto przekraczający 25 000 000 $
  2. Rocznie kupuje lub otrzymuje, w celach biznesowych lub handlowych, sprzedaje lub udostępnia dane osobowe 50 000 lub więcej kalifornijskich konsumentów
  3. Pozyskuje 50% lub więcej swoich rocznych przychodów ze sprzedaży danych osobowych kalifornijskich konsumentów.

Jeśli siedzisz i myślisz: „Świetnie, moja firma nie spełnia żadnego z tych kryteriów, nie muszę wprowadzać żadnych zmian”, masz tylko częściowo rację. To nowe prawo może nadal obowiązywać Cię przez przedłużenie. Jeśli zawierasz transakcje z firmami, które muszą przestrzegać CCPA, nadal konieczne może być wprowadzenie niezbędnych zmian w celu zachowania zgodności.

Na przykład, jeśli kupisz listę e-mailową w celach marketingowych od kalifornijskiego dostawcy, który posiada miliony rekordów, będziesz musiał wprowadzić poprawki określone przez CCPA przez rozszerzenie. Podobnie, jeśli świadczysz usługi projektowania stron internetowych WordPress dla dużych firm, musisz zwrócić uwagę, aby zapewnić zgodną witrynę internetową.

CCPA a RODO

Przepisy CCPA i RODO, choć bardzo podobne, mają pewne kluczowe różnice. Po pierwsze, RODO jest znacznie bardziej dalekosiężne niż CCPA.

RODO zawiera obowiązki w zakresie wyznaczania inspektorów ochrony danych, prowadzenia rejestru czynności przetwarzania oraz konieczności przeprowadzania Oceny Skutków Ochrony Danych w określonych okolicznościach. Z CCPA nie wiążą się takie zobowiązania prawne, chociaż obowiązują podobne przepisy.

Następnie RODO działa na fundamentalnej zasadzie, że powinna istnieć podstawa prawna przetwarzania dowolnego aspektu danych osobowych. Jednak CCPA nie ma zastosowania nawet do niektórych zestawów danych osobowych. Na przykład dokumentacja medyczna i dane osobowe zarejestrowane dla celów sprawozdawczości kredytowej nie są objęte CCPA, ponieważ uważa się, że są objęte odrębnymi obowiązującymi przepisami.

Wreszcie, odmienne prawa różnią się jedną ostateczną zasadą prawną, którą jest kwestia uprzedniej zgody. CCPA nie wymaga od firm proszenia o uprzednią zgodę na przetwarzanie danych osobowych, co jest głównym filarem prawnym, na którym opiera się RODO.

W rzeczywistości, zgodnie z CCPA, firma nie potrzebuje uprzedniej zgody użytkownika przed przetwarzaniem jego danych, ani strona internetowa nie potrzebuje uprzedniej zgody użytkownika przed sprzedażą ich danych stronom trzecim. Obywatel Kalifornii ma jednak prawo do „zrezygnowania” z takiego przetwarzania i żądania zarówno wglądu, jak i żądania usunięcia swoich danych.

Innymi słowy, CCPA ma na celu zapewnienie przejrzystości i ochrony danych po fakcie. Z kolei RODO koncentruje się na zapewnieniu obywatelom UE prawa do uprzedniej zgody na przetwarzanie danych osobowych.

Jak sprawić, by Twoja witryna była zgodna z CCPA

Jeśli Twoja witryna WordPress musi zostać zaktualizowana, aby spełnić wymagania dotyczące zgodności witryny z ustawą CCPA, poniższe kroki powinny pomóc w upewnieniu się, że nie naruszysz nowych przepisów dotyczących prywatności.

Zaktualizuj swoją politykę prywatności

Prawdopodobnie wdrożyłeś już politykę prywatności, aby dostosować swoją witrynę do RODO, ale musisz ją zaktualizować, aby odzwierciedlić zmiany wymagane przez CCPA. Po pierwsze, musisz uwzględnić nowe prawa odwiedzających witrynę zgodnie z CCPA.

Następnie musisz podać kilka metod kontaktu, aby konsumenci mogli składać wnioski o skorzystanie z praw wynikających z przepisów. Dobrym pomysłem jest również aktualizowanie, jakie dane zbierasz, jak je pozyskujesz i do jakich celów są one wykorzystywane, jeśli którekolwiek z tych informacji zmieniły się od czasu wprowadzenia RODO.

Pamiętaj, aby przedstawić przejrzysty, krok po kroku proces, w jaki klienci mogą uzyskać dostęp do swoich danych i zażądać ich usunięcia. Na koniec zmień datę swojej polityki prywatności, aby pokazać, że te aktualizacje miały miejsce po wprowadzeniu nowego prawa.

(Uwaga: jeśli sprzedajesz dane osobowe 4 000 000 lub więcej kalifornijskich konsumentów rocznie, może być konieczne podanie dodatkowych informacji)

Poinformuj klientów, gdzie mogą dowiedzieć się więcej o Twojej Polityce prywatności i CCPA

Informowanie klientów o polityce prywatności i przysługujących im prawach wynikających z CCPA jest wymogiem przy zbieraniu ich danych. Uwaga, nie potrzebujesz zgody (zgodnie z RODO); zamiast tego musisz poinformować ich, gdzie mogą dowiedzieć się więcej o tym, co zbierasz i dlaczego.

Doskonałym sposobem na poinformowanie klientów jest powiadomienie o prywatności lub pasek plików cookie, tak jak robisz to już do celów RODO.

Powiadomienie o zgodności/prywatności dostarczane za pośrednictwem paska plików cookie lub stopki

To powiadomienie będzie bardzo podobne do tego, które już podajesz w celu zapewnienia zgodności z RODO. Te informacje o zgodności/prywatności są w zasadzie bardzo skróconymi wersjami Twojej polityki prywatności.

Pamiętaj, aby dołączyć listę kategorii danych osobowych, które zbierasz od konsumentów, a dla każdej kategorii wymień cele komercyjne, w których będą one wykorzystywane.

W przypadku wyświetlania za pomocą stopki lub paska plików cookie będziesz mieć ograniczoną przestrzeń, więc przed umieszczeniem linków do swojej Polityki prywatności i strony „Nie sprzedawaj moich danych osobowych” bądź jak najbardziej bezpośredni i rzeczowy.

Upewnij się, że opcja opt-in/rezygnacja jest dostępna

Jak wspomniano, nie musisz uzyskiwać zgody do celów CCPA. Musisz jednak zapewnić konsumentom możliwość rezygnacji z gromadzenia danych osobowych. Mając to na uwadze, warto połączyć to uprawnienie z uprzednią zgodą wymaganą dla RODO, jeśli masz już te parametry.

Biorąc pod uwagę kryteria wielkości firmy obowiązujące dla CCPA, prawdopodobnie wdrożyłeś już podobną architekturę witryny, więc warto wprowadzić niezbędne poprawki, aby spełnić wymagania CCPA.

Dodaj stronę „Nie sprzedawaj moich informacji” i umieść link do niej na swojej stronie głównej

Jeśli sprzedajesz dane osobowe mieszkańców Kalifornii, nowe prawo wymaga od Ciebie posiadania strony internetowej zatytułowanej „Nie sprzedawaj moich danych osobowych” lub „Nie sprzedawaj moich informacji”.

Na nowo utworzonej stronie internetowej musisz zawrzeć następujące informacje:

  • Szczegóły dotyczące prawa konsumenta do rezygnacji ze sprzedaży jego danych osobowych
  • Formularz kontaktowy do złożenia wniosku o rezygnację
  • Informacje dotyczące innych sposobów kontaktu w celu rezygnacji
  • Link do Twojej Polityki Prywatności
  • Ciężar dowodu wymagany w przypadku, gdy konsument wybrał upoważnionego przedstawiciela do złożenia wniosku o rezygnację w jego imieniu

Powinieneś umieścić link do tej strony w stopce swojej witryny, aby nigdy nie dzieliło go więcej niż jedno kliknięcie.

Uzyskaj uprzednią zgodę od nieletnich w wieku od 13 do 16 lat przed sprzedażą danych

Ponownie, jeśli prowadzisz działalność polegającą na sprzedaży danych osobowych mieszkańców Kalifornii, nie będziesz mógł tego robić w przypadku osób w wieku od 13 do 16 lat bez uprzedniej zgody. Możesz zdecydować się na użycie paska plików cookie, aby dołączyć wiadomość w tym celu wraz z towarzyszącym jej polem zgody.

Lub, jeśli nie jesteś zainteresowany gromadzeniem danych o osobach w tym wieku, możesz ustanowić politykę niszczenia wszystkich danych dotyczących osób, które spełniają to kryterium, co powinno być szczegółowo opisane w Twojej Polityce prywatności.

Streszczenie

Chociaż bez wątpienia prawdą jest, że ustawa CCPA nie jest tak daleko idąca jak RODO, należy ją jednak traktować poważnie. Prawdopodobnie będzie to tylko jedno z kilku stanowych przepisów dotyczących prywatności, które wejdą w życie w Ameryce w 2020 roku.

Wiele osób użyje CCPA jako szablonu wycinania i wklejania przepisów odnoszących się do ich stanów. Dlatego warto teraz dostosować swoją witrynę WordPress, aby spełniała wymagania dotyczące zgodności witryny z CCPA, abyś mógł zachować zgodność zarówno na rynku UE (RODO), jak i na rynkach Ameryki Północnej (CCPA i in.). Więcej szczegółowych informacji na temat CCPA można znaleźć na stronie internetowej Departamentu Sprawiedliwości stanu Kalifornia.

W WP White Security poważnie traktujemy zgodność i bezpieczeństwo. Opracowujemy wysokiej jakości niszowe wtyczki zabezpieczające i narzędzia administracyjne, które pomagają administratorom lepiej zarządzać i zabezpieczać ich witryny WordPress. Zajrzyj do naszego portfolio wtyczek, aby zobaczyć, jak możemy pomóc Ci lepiej chronić Twoją witrynę i zarządzać jej użytkownikami?