Как сделать ваш сайт WordPress совместимым с CCPA

Опубликовано: 2020-04-29

После введения GDPR еще в 2018 году появился еще один закон, который призван еще больше повлиять на веб-мастеров WordPress в их стремлении соблюдать местные правила конфиденциальности данных.

Его имя? Калифорнийский закон о защите прав потребителей (сокращенно CCPA).

Этот новый законодательный акт призван обеспечить калифорнийцам усиленную защиту в отношении использования их личной информации. Он вступил в силу в начале 2020 года.

Это руководство расскажет вам, каковы требования соответствия веб-сайта CCPA. В нем также объясняется, что это означает для вашего веб-сайта на практике и как внести необходимые изменения. Итак, без лишних слов, давайте начнем с обсуждения основных тем CCPA.

Что такое Калифорнийский закон о конфиденциальности потребителей (CCPA)?

Закон CCPA был принят еще в 2018 году. Первоначально представленный как добровольная инициатива, закон был принят соответствующими органами Законодательного собрания штата Калифорния всего за семь дней.

Закон был резко ускорен через законодательные органы после того, как политики прислушались к растущему хору опасений со стороны избирателей, которые считали, что калифорнийское законодательство не поспевает за объемом персональных данных, которыми клиенты невольно делятся с бизнесом.

Во-вторых, скандал с Cambridge Analytica, охвативший Facebook, и введение законов об Общем регламенте защиты данных (GDPR) в ЕС повысили важность продвижения этого законодательства.

После тех событий в июне 2018 года в закон вносились поправки еще дважды. Генеральный прокурор Калифорнии выпустил руководство, чтобы помочь компаниям лучше понять, как внести необходимые коррективы в свою деятельность. Закон официально вступил в силу с 1 января 2020 года.

Что касается деталей CCPA, закон в основном следует примеру своего предшественника GDPR. Он предоставляет гражданам Калифорнии право:

  • Узнайте, какая личная информация о них собирается
  • Знать, продается или раскрывается ли их личная информация и кому
  • Скажите нет продаже их личной информации
  • Запросить удаление их личной информации
  • Доступ к их личной информации
  • Равный сервис и цена, даже если они реализуют свои права на конфиденциальность

Поняв закон, вы, вероятно, задаетесь вопросом, применяются ли эти законы к вам, особенно если ваш веб-сайт или бизнес зарегистрированы за пределами штата Калифорния.

Применяется ли CCPA к вашему бизнесу?

Раскрытие последствий любого закона о конфиденциальности, вероятно, является самой сложной частью. Но теперь прошло достаточно времени, чтобы пыль осела. Есть несколько четких указаний относительно того, как и когда следует применять этот закон.

Прежде всего следует отметить, что этот закон касается защиты личной информации граждан и жителей Калифорнии. Это означает, что к компаниям или организациям, имеющим отношения с упомянутыми выше гражданами, будет применяться закон, независимо от их местонахождения.

В рамках руководства, опубликованного Генеральным прокурором Калифорнии, закон применяется к коммерческим организациям, отвечающим следующим критериям:

  1. Имеет годовой валовой доход более 25 000 000 долларов США
  2. Ежегодно покупает или получает в деловых или коммерческих целях, продает или передает личную информацию 50 000 или более потребителей в Калифорнии.
  3. Получает 50% или более своей годовой выручки от продажи личной информации калифорнийских потребителей.

Если вы сидите и думаете: «Отлично, мой бизнес не соответствует ни одному из этих критериев, мне не нужно вносить никаких изменений», вы правы лишь отчасти. Этот новый закон может по-прежнему применяться к вам дополнительно. Если вы заключаете сделки с компаниями, которые должны соблюдать CCPA, вам все равно может потребоваться внести необходимые изменения для соблюдения требований.

Например, если вы покупаете список адресов электронной почты в маркетинговых целях у калифорнийского поставщика, который содержит миллионы записей, вам придется внести коррективы, предусмотренные CCPA. Точно так же, если вы предоставляете услуги веб-дизайна WordPress крупным компаниям, вам нужно обратить внимание на то, чтобы предоставить веб-сайт, соответствующий требованиям.

CCPA против GDPR

Законодательство CCPA и GDPR, хотя и очень похоже, имеет некоторые ключевые различия. Во-первых, GDPR гораздо шире, чем CCPA.

GDPR содержит обязательства по назначению сотрудников по защите данных, ведению реестра операций по обработке и необходимости проведения оценок воздействия на защиту данных в определенных обстоятельствах. Такие юридические обязательства не связаны с CCPA, даже несмотря на наличие аналогичных положений.

Далее, GDPR работает по фундаментальному принципу, согласно которому должна существовать правовая основа для обработки любого аспекта персональных данных. Однако CCPA даже не распространяется на некоторые наборы персональных данных. Например, медицинские записи и личная информация, записанные для целей кредитной отчетности, не подпадают под действие CCPA, поскольку считается, что они подпадают под действие отдельного действующего законодательства.

Наконец, разрозненные законы различаются по одному последнему правовому принципу, а именно по вопросу о предварительном согласии. CCPA не требует от компаний запрашивать предварительное согласие на обработку личной информации, которая является центральной правовой основой, на которой основан GDPR.

Фактически, согласно CCPA, бизнесу не требуется предварительное согласие пользователя на обработку его данных, а веб-сайту не требуется предварительное разрешение пользователя на продажу его данных третьим лицам. Однако гражданин Калифорнии имеет право «отказаться» от этой обработки и запросить как просмотр, так и запрос на удаление своих данных.

Другими словами, CCPA стремится обеспечить прозрачность данных и защиту постфактум. Напротив, GDPR фокусируется на предоставлении гражданам ЕС возможности предварительного согласия на обработку персональных данных.

Как сделать ваш сайт совместимым с CCPA

Если ваш сайт WordPress необходимо обновить, чтобы он соответствовал требованиям соответствия веб-сайта CCPA, следующие шаги должны помочь вам убедиться, что вы не нарушаете новый закон о конфиденциальности.

Обновите свою политику конфиденциальности

Скорее всего, вы уже установили политику конфиденциальности, чтобы привести свой веб-сайт в соответствие с GDPR, но вам нужно будет обновить ее, чтобы отразить изменения в соответствии с требованиями CCPA. Во-первых, вам необходимо включить новые права посетителей веб-сайта, изложенные в соответствии с CCPA.

Затем вам нужно будет указать несколько способов связи, чтобы потребители могли отправлять свои запросы на осуществление своих прав в соответствии с законодательством. Также рекомендуется обновлять данные, которые вы собираете, как вы их получаете и для каких целей они используются, если какая-либо информация изменилась с момента введения GDPR.

Не забудьте разъяснить прозрачный пошаговый процесс того, как клиенты могут получить доступ к своим данным и запросить их удаление. Наконец, измените дату своей политики конфиденциальности, чтобы показать, что эти обновления произошли после введения нового закона.

(Примечание. Если вы продаете личную информацию 4 000 000 или более потребителей в Калифорнии в год, вам может потребоваться раскрытие дополнительной информации.)

Сообщите клиентам, где они могут узнать больше о вашей Политике конфиденциальности и CCPA.

Информирование клиентов о политике конфиденциальности и их правах в соответствии с CCPA является обязательным требованием в процессе сбора их данных. Обратите внимание, что вам не нужно согласие (в соответствии с GDPR); вместо этого вам нужно сообщить им, где они могут узнать больше о том, что вы собираете и почему.

Отличный способ сообщить своим клиентам — это уведомление о конфиденциальности или панель cookie, как вы уже делаете для целей GDPR.

Уведомление о соответствии/конфиденциальности доставляется через панель cookie или нижний колонтитул

Это уведомление будет очень похоже на то, которое вы уже предоставляете для соблюдения GDPR. Эти уведомления о соответствии/конфиденциальности в основном представляют собой чрезвычайно сжатые версии вашей политики конфиденциальности.

Обязательно включите список категорий личной информации, которую вы собираете от потребителей, и для каждой категории укажите коммерческие цели, для которых она будет использоваться.

У вас будет ограниченное пространство при отображении через нижний колонтитул или панель cookie, поэтому будьте максимально прямолинейны и конкретны, прежде чем включать ссылки на свою Политику конфиденциальности и страницу «Не продавать мою личную информацию».

Убедитесь, что возможность подписки/отказа доступна

Как уже упоминалось, вам не нужно получать согласие для целей CCPA. Однако вам нужно будет предоставить потребителям возможность отказаться от сбора персональных данных. Имея это в виду, имеет смысл объединить это разрешение с предварительным согласием, необходимым для GDPR, если у вас уже есть эти параметры.

Учитывая критерии размера компании для CCPA, вполне вероятно, что вы уже внедрили подобную архитектуру веб-сайта, поэтому имеет смысл внести необходимые изменения, чтобы также соответствовать требованиям CCPA.

Добавьте страницу «Не продавать мою информацию» и разместите ссылку на нее на главной странице.

Если вы продаете личную информацию жителей Калифорнии, то согласно новому закону вы обязаны иметь веб-страницу с заголовком «Не продавать мою личную информацию» или «Не продавать мою информацию».

На этой недавно созданной веб-странице вам необходимо включить следующую информацию:

  • Подробная информация о праве потребителя на отказ от продажи своих персональных данных
  • Контактная форма для отправки запроса на указанный отказ
  • Информация о других способах связи для отказа
  • Ссылка на вашу политику конфиденциальности
  • Бремя доказывания, необходимое, когда потребитель выбрал уполномоченного агента для подачи запроса на отказ от его имени

Вы должны разместить ссылку на эту страницу в нижнем колонтитуле своего веб-сайта, чтобы она была на расстоянии одного клика.

Получите предварительное согласие несовершеннолетних в возрасте от 13 до 16 лет перед продажей данных

Опять же, если вы занимаетесь продажей личных данных жителей Калифорнии, вам не будет разрешено делать это в отношении лиц в возрасте от 13 до 16 лет без предварительного согласия. Вы можете использовать свою панель cookie, чтобы включить сообщение об этом с сопроводительным полем согласия.

Или, если вы не заинтересованы в сборе данных о лицах этого возраста, вы можете установить политику уничтожения всех данных, касающихся тех, кто соответствует этому критерию, что должно быть подробно описано в вашей Политике конфиденциальности.

Резюме

Хотя CCPA, несомненно, не так далеко идущий, как GDPR, к нему все равно следует относиться серьезно. Скорее всего, это всего лишь один из нескольких законов о конфиденциальности на уровне штата, которые должны вступить в силу в Америке в течение 2020 года.

Многие будут использовать CCPA в качестве шаблона для вырезания и вставки законов, касающихся их штатов. Поэтому имеет смысл настроить ваш сайт WordPress, чтобы он соответствовал требованиям соответствия веб-сайта CCPA, чтобы вы могли продолжать соответствовать требованиям как на рынках ЕС (GDPR), так и на рынках Северной Америки (CCPA и др.). Для получения более подробной информации о CCPA посетите веб-сайт Министерства юстиции штата Калифорния.

Здесь, в WP White Security, мы серьезно относимся к соблюдению требований и безопасности. Мы разрабатываем высококачественные нишевые плагины для обеспечения безопасности и администрирования, которые помогают администраторам лучше управлять и защищать свои веб-сайты WordPress. Почему бы не взглянуть на наше портфолио плагинов, чтобы узнать, как мы можем помочь вам лучше защитить ваш веб-сайт и управлять его пользователями?