5 einfache Maßnahmen zur Vorbereitung auf den kalifornischen Verbraucherschutzgesetz

Hat DS-GVO an den westlichen Ufern der Vereinigten Staaten angespült? In gewisser Weise ja. And in gewisser Weise nein.

Im Januar 1, 2020, während Die meisten von uns pflegten die Ergebnisse der Nacht zuvor. Kalifornien nahm das Geschenkpapier vom Kalifornien Verbraucher Gesetz (CCPA). Dieser umfassende Akt enthält einige der strengsten Anforderungen in Bezug auf die Verwendung und den Missbrauch privater Daten von kalifornischen Verbrauchern- was passend ist, wenn man bedenkt, dass Kalifornien allein das Land wäre fünftegrößte Volkswirtschaft der Welt, fallenden zwischen Deutschland und Großbritannien. Brücke US-Unternehmen haben erhebliche Beziehungen zum Staat und seinen 39 Millionen Verbraucher.

With der Fußabdruck der kalifornischen Wirtschaft auf der nationalen Bühne, Viele Organisationen befassen sich mit CCPA und frage michg, "Was tun wir jetzt?"

Hier sind fünf einfache Schritte, die Sie zuerst ausführen müssen.

1. Fragen Sie sich: „Sind wir im Rahmen?

Der Der kalifornische Gesetzgeber hat die CCPA entworfen mit Blick auf den Verbraucher. Das Gesetz gibt Verbraucher das Recht zu wissen, was personenbezogene Daten (PII) ist being gesammelt, verwendet, geteilt, oder verkauft. Es gewährt ihnen auch die Power zu haben ihre PII gelöscht und weiterführende das Recht zu verhindern den Verkauf ihrer persönlichen Daten an Dritte. Wann Verbraucher trainieren ihr Fähigkeit die Verteilung ihrer PII zu begrenzen or entfernen es insgesamt, das Gesetz sichert ihre Recht auf Nichtdiskriminierung als Ergebnis.

Woher wissen Sie, ob die CCPA für Sie gilt? Zum einen the Gesetz gilt für für den Profit Entitäten dass Geschäfte im Bundesstaat Kalifornien machen und weiterführende wer Verbraucher-PII sammeln oder haben es sammelte in ihrem Namen. Zusätzlich these Arten von Organisationen sollen treffen mindestens ein der folgenden Anforderungs für CCPA zu beantragen:

  1. Schönen tagRoss Jahresumsatz of zu Ende $ 25 Mio. OR
  2. Kaufen, erhalten, oder verkaufen Sie die persönlichen Daten von 50,000 oder mehr Verbrauchern, Unternehmen, oder Haushalte OR
  3. 50 ableiten Prozent oder mehr ihrer jährlichen Einnahmen aus dem Verkauf von PII für Verbraucher

Von kalifornischen Gerichten und der Generalstaatsanwaltschaft wird erwartet, dass sie weitere Einzelheiten mitteilen um Die Definition von "Geschäfte in Kalifornien machen" Der kalifornische Generalstaatsanwalt hat diese Anleitung noch nicht bereitgestellt, aber eine erstellt Kurzer Überblick über die Datenschutzrechte der Verbraucher.

In der Zwischenzeit wenn Ihre Organisation erhebliche oder wiederholte Transaktionen mit Verbrauchern in Kalifornien hat-sogar if Ihr Unternehmen ist nicht in Kalifornien gechartert-und Sie fallen in die anderen Kategorien oben, Sie wären gut beraten Achten Sie genau auf dieses Gesetz.

2. Ordnen Sie Ihre Daten zu.

Ob für e-discovery, Datensicherheit, Zu Zwecken der Information Governance haben Organisationen in den letzten Jahren Datenmapping-Übungen durchgeführt. Das Ergebnis dieser Übungen is erhöht Sichtbarkeit und Klarheit darüber, wo Daten in der Organisation vorhanden sind und was diese Daten enthalten. Dieser Prozess ist für die Einhaltung der CCPA noch wichtiger.

Im Falle einer DSAR (Data Subject Access Request) §1798.130 (a) (2) bietet Entitäten 45 Tage zu umdrehen die relevanten Informationen für Verbraucher auf Anfrage und kostenlos für den anfragenden Verbraucher. Im Voraus zu wissen, wo diese Informationen gespeichert sind, ist für die Einhaltung von entscheidender Bedeutung mit die CCPA-Anforderungen.

Wenn sich die Daten als Teil von befinden die Der Prüfungsprozess enthält keine personenbezogenen Daten von kalifornischen Verbrauchern-oder du triffst den anderen nicht Verbindlichkeiten der CCPA-Anwendbarkeit-Ihre Datenzuordnungsübung wird nicht war vergebens. Heine solide Perspektive haben of Ihre Datenlandschaft kommt dir gut zugute über die Einhaltung der CCPA hinaus. Es vereinfacht und klärt du bist-discovery-Prozesse, Antworten auf Verstöße, und Information Governance im Allgemeinen.

3. Stellen Sie sicher, dass Ihr Team über CCPA Bescheid weiß - auch wenn Sie nicht in Kalifornien sind.

Wie bei der DSGVO ist es wichtig, diejenigen zu informieren, die berühren, verwalten, oder Verbraucherdaten sammeln über die Auswirkungen der CCPA-Bestimmungen in Bezug auf die Aufbewahrungunter Verwendung von, oder verkaufen PII für Verbraucher, insbesondere in Kalifornien. Aber Denk daran, dass Kalifornien ist nicht der einzige Staat mit Datenschutzbestimmungen an Ort und Stelle. Andere Staaten haben entweder Gesetze bereits erlassen oder in Bearbeitung Bestehen ähnlich Vorschriften. In Nevada, New York, Maine und North Dakota beispielsweise sind die Datenschutzbestimmungen enger gefasst, und in Massachusetts, New Jersey und Pennsylvania gibt es Datenschutzgesetze, die sich in verschiedenen Durchführungsbestimmungen befinden.

Obwohl die Strafen für jeden Verstoß der CCPA erscheinen auf dem Individuum relativ klein Rekord Ebene, wenn über die extrapoliert gesamt Menge von Potenzial Aufzeichnungen kann ein Verstoß unglaublich teuer sein. Zu Bleiben Sie auf dem neuesten Stand Anleitung zur Anwendung der CCPA sowie neue Gesetze aus anderen Staaten, Bildung wird kritisch sein. Sicherstellen, dass Ihre Teams sind kenntnisreich und Prozesse werden geändert, um neuen Anforderungen Rechnung zu tragen. Dies ist für die Gewährleistung der Einhaltung von entscheidender Bedeutung.

4. Üben, üben, üben

Obwohl gutbeabsichtigt, ein nicht verfolgter Prozess bietet nur wenige Vorteile. CCPA-Compliance-Prozesse zuvor in die Tat umsetzen Sie müssen um Erlaubnis gebeten werdens damit die Fehler aus dem System entfernt werden.

Die richtigen Mitarbeiter in Ihrem Unternehmen zu haben, die die CCPA-Anforderungen verstehen, sowie interne Prozesse und Benchmarks zu entwickeln, ist der wichtigste Schritt, den Ihr Unternehmen unternehmen kann, um die Einhaltung sicherzustellen. Beispiele für diese internen Prozesse können sich darauf beziehen, wie Daten, die möglicherweise CCPA oder anderen Datenschutzbestimmungen unterliegen, erstellt und verwaltet werden, und zerstört. Darüber hinaus kann es sinnvoll sein, Tischübungen zu erstellen, die eine DSAR-Anfrage simulieren, und die Zeitspanne zu bewerten, die erforderlich ist, um Informationen zu isolieren und an einen anfragenden Verbraucher zu liefern.

Tischübungen durchführen das replizieren die Bedingungen und Anforderungen typischer DSARs und das Ermöglichen, dass Compliance-Verfahren in Testszenarien ausgeführt werden, bietet Sie mit einem Benchmark-Standard als zukünftige Referenz.

5. Denken Sie zwei Schritte voraus.

Bewusstseinsbildung, Benchmarks, und verarbeitenes sind die ersten Schritte zur CCPA-Bereitschaft, aber cCompliance ist ein fortlaufender Prozess, der sich je nach den Bedingungen ändert. Bauen Sie Meilensteine ​​und Kontaktpunkte ein, um Ihre Benchmarks zu überprüfen und Verfahren, sowie erfrischend und informieren Sie Ihre Teams über die neuesten Entwicklungen Datenschutz Gesetze, wird sicherstellen, dass sich Ihre harte Arbeit heute in Zukunft auszahlt. Zu Beginn könnte es sein Es ist ratsam, sich regelmäßig mit häufiger Trittfrequenz zu treffen. Sobald das Muskelgedächtnis der Compliance einsetzt, können sich diese Update-Meetings weiter ausbreiten.

CCPA sowie andere Datenschutzgesetze sind noch nicht in Ordnung abgestimmt. Es wird mehr Hinweise geben, wenn Fälle vor Gericht gebracht werden und führen zu Meinungen. Bleiben Sie auf dem neuesten Stand in der realen Anwendung dieser Datenschutz Gesetze werden sich als entscheidend erweisen, um Ihre zukünftige Einhaltung sicherzustellen.

In der Zwischenzeit Ihre Daten verstehen und sinnvolle Prozesse aufbauen, Die Schulung Ihrer Teams kommt Ihnen weit über Ihre Arbeit in CCPA hinaus zugute.

By Dan Pelc, Director of Solutions & Integration bei NightOwl Global

Siehe auch auf unserer Partnerseite: Relativitätsblog