Калифорния има най-строгия закон за защита на данните сред щатите в САЩ. Законът за защита на личните данни на потребителите в Калифорния (CCPA), който влезе в сила на 1 януари 2020 г., скоро ще бъде заменен от нов щатски закон – California Privacy Rights Act (CPRA), който се очаква да влезе в сила на 1 януари 2023 г.

CPRA, известен като CCPA 2.0, разширява правата на жителите на Калифорния, като въвежда регулации за „чувствителни данни“, нови изисквания за оповестяване и ново определение за „споделяне“ на лични данни.

Според Berkeley Economic Advising and Research, CCPA/CPRA защитава лични данни на стойност над 12 милиарда долара годишно, използвани за реклама в щата.

Важно е организациите да разберат CCPA и предстоящите правила на CPRA и да се уверят, че уебсайтовете им са напълно съвместими. В противен случай рискуват глоби от $2,500 за всяко нарушение и до $7,500 за сериозни нарушения. Ако нарушите правата на 1,000 потребители, глобата може да достигне $7.5M ($7,500 × 1,000).

CCPA и CPRA засягат всички бизнеси, които събират, анализират или съхраняват данни на жители на Калифорния и отговарят на едно от следните условия:

1. -> Годишен оборот над $25 милиона.
2. -> Купуват, получават или продават лични данни на 50,000 или повече потребители, домакинства или устройства. Под CPRA този праг се увеличава до 100,000 потребители годишно.
3. -> 50% или повече от приходите идват от продажба на лични данни. Под CPRA обхватът включва и бизнеси, които не продават, а само споделят лични данни.

Поправките в CPRA насочват изискванията основно към по-големи компании, чиито бизнес модели зависят от събирането и споделянето на данни. Организациите, които обработват данни на над 4 милиона потребители, ще имат допълнителни задължения.

CCPA влезе в сила месец след европейския GDPR. Мнозина го наричат „калифорнийската версия на GDPR“, но това не е напълно вярно. Изискванията на CCPA не са толкова обширни, колкото GDPR по отношение на cookie съгласието.

CCPA vs. GDPR. Какво трябва да знаете?
GDPR се прилага за всички в ЕС или събиращи данни от жители на ЕС. CCPA се отнася за бизнеси, които събират данни от жители на Калифорния.

GDPR изисква политика за поверителност, CCPA не. GDPR изисква предварително съгласие за cookies, CCPA не. При GDPR бизнесите трябва да искат съгласие преди да продават лични данни, докато CCPA изисква само опция за отказ от продажба.

Спазването на GDPR не гарантира автоматично спазване на CCPA. Ако вече сте съвместими с GDPR, вероятно покривате част от CCPA, но трябва да направите промени в политиката си за поверителност. За подготовка за CCPA съответствие ви съветваме да обмислите следното:

1. -> Актуализирайте политиката си за поверителност според изискванията на CCPA и опишете какви данни събирате и обработвате.
2. -> Разработете уведомления за поверителност.
3. -> Добавете бутон или линк „Do Not Sell My Personal Information“ на началната страница.
4. -> Осигурете възможност за достъп, промяна и изтриване на данни от потребители, включително телефонен номер за връзка.
5. -> Въведете система за верификация на самоличността.
6. -> Подгответе карти или записи за личните данни на жители на Калифорния.
7. -> Въведете процес за получаване на съгласие от родители за деца под 13 г. и директно съгласие от тийнейджъри между 13–16 г.

CPRA ще въведе още изисквания, базирани на GDPR – за защита на данните, ограничение на целите и срока на съхранение.

От 2023 г. CPRA ще промени 5 потребителски права и ще добави 4 нови. Новите права включват:

1. -> Право на корекция – потребителите могат да поискат поправка на лични данни.
2. -> Право на отказ от автоматизирано профилиране.
3. -> Право да знаят как се използват автоматизирани технологии.
4. -> Право на ограничаване използването на чувствителни лични данни.

CPRA включва и правила за преносимост, изтриване на данни и лимит от 12 месеца за събиране на данни.

Вашият уебсайт съвместим ли е с CCPA?
Най-добрият начин да проверите е да се уверите, че сайтът ви има следните функции:

1. -> Достъп на потребителите до техните данни по заявка.
2. -> Възможност за изтриване на всички данни по заявка (с изключения).
3. -> Опция „Do Not Sell My Personal Data“.
4. -> Уведомления за минали употреби на данни.
5. -> Списък на всички трети страни, на които продавате данни.
6. -> Система за проверка на идентичността.
7. -> Няма дискриминация срещу потребители, избрали защита на данните.
8. -> Издаване на уведомления при нови цели за обработка.
9. -> Известие за събиране при нова цел на обработка.

Макар част от тези изисквания да може да изпълните сами, ние можем да ви помогнем да автоматизирате вашите CCPA/CPRA и GDPR политики и банери, за да сте в пълно съответствие без излишни разходи.

Ето пример за уеб дизайн, който създадохме с CCPA/CPRA и GDPR съвместимост. Разгледайте политиката за поверителност на Blockchains за вдъхновение.

CPRA е ясен сигнал, че Калифорния засилва правилата за защита на данните. Макар законът да влиза в сила през януари 2023 г., вашата организация трябва да се подготви още сега.

Нашият екип за уеб дизайн в Ню Джърси с радост ще ви помогне със съвети за защита на данните. Свържете се с нас на info@edesign.bg.