CCPA-conformiteit
De Wet van de Privacy van de Consumentenbescherming van Californië(CCPA) breidt de rechten van consumenten in Californië uit om te bepalen hoe hun persoonlijke informatie wordt verzameld, opgeslagen, en gebruikt. De nadruk ligt op de bescherming van de consument tegen de ongeoorloofde verkoop of uitwisseling van persoonlijke informatie. De CCPA is in 2018 vastgesteld en is op 1 januari 2020 in werking getreden.
De CCPA verleent de consument de volgende nieuwe rechten:
- Recht om de categorieën persoonlijke informatie over hen te kennen die wordt verzameld, gebruikt, gedeeld, of verkocht in de afgelopen 12 maanden.
- recht om bepaalde soorten persoonlijke informatie te schrappen die door een zaken en/of hun dienstverleners wordt gehouden.
- Recht om uit van de verkoop van hun persoonlijke informatie te kiezen.
- recht op non-discriminatie in termen van prijs of dienst voor het uitoefenen van een privacyrecht uit hoofde van CCPA.
Voor CCPA-doeleinden wordt persoonlijke informatie in deze context gedefinieerd als:
Informatie die identificeert, verband houdt met, beschrijft, kan worden geassocieerd met of redelijkerwijs direct of indirect kan worden gekoppeld aan een bepaalde consument of een bepaald huishouden. (Sectie 1798.140)
In dit verband omvat het bepaalde gegevenselementen die niet als persoonsgegevens in de context van andere wet- of regelgeving kunnen worden beschouwd. Handelaren moeten dit in gedachten houden wanneer zij bepalen of en hoe zij de wet moeten naleven.
CCPA vereist ook ondernemingen om redelijke veiligheid te verstrekken, en omvat uitgebreide gegevensbeschermingsbepalingen voor consumenten, met inbegrip van het recht om juridische actie te voeren als er een gegevensinbreuk is.
Raadpleeg uw juridische adviseur om te bepalen of en hoe u aan om het even welke vereisten zou moeten voldoen CCPA die op u en uw zaken van toepassing kunnen zijn. Dit omvat de nieuwe vereisten inzake kennisgeving, opt-out en registratie die bedrijven volgens de wet moeten uitvoeren.
Zakelijke vereisten
CCPA is op ondernemingen met winstoogmerk van toepassing die zaken in Californië doen en om het even welke volgend ontmoeten:
- Een bruto jaaromzet van meer dan 25 miljoen dollar hebben
- Koop, ontvang of verkoop de persoonlijke informatie van 100.000 of meer inwoners van Californië, huishoudens of apparaten
- Afleiden 50% of meer van hun jaarlijkse opbrengst van het verkopen van de persoonlijke informatie van de inwoners van Californië.
CCPA-compatibiliteitsgids
Deze sectie verstrekt een overzicht op hoog niveau van de stappen die voor verkopers worden vereist om privacyverordeningen zoals de Wet van de Privacy van de consument van Californië (CCPA) na te leven.
GDPR en CCPA
Als uw zaken zowel de Algemene Verordening van de Bescherming van Gegevens(GDPR) als CCPA moeten naleven, kunt u wat werk van uw GDPR nalevingsprogramma voor CCPA gebruiken. Hoewel de verordeningen enkele gelijkenissen vertonen, zijn er enkele verschillen:
- De definitie van persoonlijke informatie verschilt per verordening.
- De GDPR bepaalt dat consumenten zich moeten aanmelden voordat hun persoonsgegevens voor bepaalde doeleinden kunnen worden gebruikt; de CCPA geeft consumenten het recht om te weigeren.
- De CCPA heeft aanvullende vereisten inzake gegevensinventarisatie en -toewijzing.
- De regels hebben verschillende vereisten voor het privacybeleid.
Ondernemingen die aan de GDPR voldoen, kunnen aanvullende verplichtingen uit hoofde van de CCPA hebben. Meer leren, zie ]3 {:target= "_blank"} het [ Cpa- Werkblad.
Routekaart voor naleving
Er is een gecoördineerde inspanning nodig om een plan te ontwikkelen en uit te voeren om de naleving aan te pakken. Gebruik deze roadmap als gids om middelen te mobiliseren en aan taken voorrang te geven zodat u zich op veelvoudige fronten kunt bewegen. Het proces is in wezen hetzelfde voor alle Commerce -installaties, met de volgende uitzondering:
-
Adobe Commerce op wolkeninfrastructuur: Merchants met opslag die op Adobe wordt ontvangen wolkeninfrastructuur{:target= "_blank"} kan hun Manager van de Rekening van Adobe Commerce Technische of de Steun van de Klant voor hulp vragen met het antwoorden op consumentenverzoeken.
-
op-gebouw: De handelaren met op-gebouw installaties van Adobe Commerce of Magento Open Source moeten hun eigen processen en hulpmiddelen ontwikkelen om aan consumentenverzoeken met betrekking tot privacyverordeningen te antwoorden en te beheren.
Stap 1: Samenstellen van een interfunctioneel team dat de naleving van de regelgeving moet aanpakken
Stel een team samen dat de volgende functionele rollen in uw zaken vertegenwoordigt, en plant een opleidingszitting om hen aan snelheid op de wetgeving te brengen. Vervolgens wijst u de vereiste taken toe aan de belanghebbenden op basis van hun rol.
- Bedrijfsstrategie en -activiteiten
- Juridisch
- Informatietechnologie
- Gebruikerservaring
- Klantenservice
- Administratieve ondersteuning
Vanuit zakelijk perspectief moet u bepalen of uw bedrijf deze privacybeschermingsmaatregelen alleen uitbreidt tot consumenten in Californië, of deze beschikbaar maakt voor alle consumenten, ongeacht hun locatie.
Stap 2: Maak een inventaris van uw digitale eigenschappen
Belanghebbenden: Informatietechnologie, Juridische, Administratieve Steun
Maak een inventaris van uw digitale eigenschappen, inclusief alle integraties en wie toegang heeft tot uw consumentengegevens.
-
Bepaal welke persoonlijke openbare en persoonlijke gegevens worden verzameld via uw websites en mobiele toepassingen. In een standaard Commerce-database worden bijvoorbeeld de volgende soorten persoonlijke en persoonlijke gegevens opgeslagen:
-
Openbaar: De lijsten van de wens, productoverzichten
-
Privé: De Informatie van de klant, de Informatie van de Orde, de Punten van de Terugbetaling, het Registratie van het Cadeautje, het Boek van het Adres, de Krediet van de Opslag, de Methoden van de Betaling, de Abonnementen van de Newsletter, Uitnodigingen.
Als de Commerce -installatie is aangepast, worden mogelijk aanvullende persoonlijke gegevens verzameld. De persoonlijke informatie zou ook in koekjes, markeringen, en andere technologieën kunnen verblijven die informatie verzamelen.
-
-
Identificeer de partijen met wie u gegevens deelt. In de lijst moeten dienstverleners en derden worden opgenomen. Onder andere advertentienetwerken, internetserviceproviders, gegevensanalytische providers, overheidsentiteiten, besturingssystemen en platforms, sociale netwerken en wederverkopers van consumentengegevens die niet rechtstreeks persoonlijke informatie van uw consumenten verzamelen.
-
Dienstverleners: De entiteiten die toegang tot uw consumentengegevens voor een bedrijfsdoel hebben, en de diensten namens u verlenen. Adobe is bijvoorbeeld een serviceprovider, net als sommige ontwikkelaars van aanpassingen, extensies en services.
Controleer de standaardinstellingen van Google Universal Analytics, Google Tag Manager (en alle andere gegevensservices die u gebruikt) en breng de wijzigingen aan die nodig zijn om aan de verordening te voldoen. Meer leren, zie de Montages van de Privacy van Google.
-
Andere Derde Partijen: De entiteiten met wie u consumentengegevens deelt of verkoopt. U kunt bijvoorbeeld consumentengegevens delen met een reclamenetwerk in ruil voor reclame.
-
Stap 3: Wijs de klantenreis en het proces van de gegevensinzameling in uw opslag toe
Belanghebbenden: Ervaring van de Gebruiker, de Technologie van de Informatie, Administratieve Steun
-
Identificeer elk punt in de [ klantenreis ] waar de persoonlijke informatie wordt verzameld, en het type van informatie dat bij elke stap wordt verzameld.
Bezoekers van uw site moeten hiervan vooraf op de hoogte worden gesteld of op het punt waar de gegevens worden verzameld. Een winkel zonder aangepaste integratie verzamelt bijvoorbeeld persoonlijke gegevens wanneer een klantenaccount wordt gemaakt en tijdens het afrekenen. Als uw winkel aangepaste integraties heeft, zijn er mogelijk aanvullende gegevensposten en kenmerken die moeten worden geïdentificeerd.
-
Zie de volgende onderwerpen voor toepasselijke gegevensstroomdiagrammen en de afbeeldingen van de gegevensbestandentiteit voor elke versie:
Stap 4: Vestig procedures en mechanismen om op klantenverzoeken te antwoorden
Belanghebbenden: de Dienst van de Klant, de Technologie van de Informatie, Ervaring van de Gebruiker, Administratieve Steun
Vanuit het oogpunt van gegevensbeheer zijn bij elk verzoek om persoonlijke informatie de volgende partijen betrokken:
-
Onderwerpen van Gegevens (Consumenten): Onder CCPA, om het even welke persoon in Californië die persoonlijke informatie verstrekt om een aankoop te maken en/of een klantenrekening te handhaven zou een verzoek kunnen voorleggen om tot hun persoonlijke gegevens toegang te hebben of te schrappen.
-
Entiteiten handelend als Ondernemingen binnen het werkingsgebied van CCPA (Merken): Commerce de handelaren verzamelen en slaan persoonlijke informatie van hun klanten en gasten op die aankopen in hun opslag maken.
-
Bewerker van Gegevens (de Leveranciers van de Technologie): Adobe Commerce en de Magento Open Source handelen als bewerkers van het persoonlijke gegeven dat als deel van de diensten wordt opgeslagen die aan handelaren worden verleend. Als verwerker verwerkt de Adobe persoonsgegevens overeenkomstig de toestemming en instructies van de handelaar, overeenkomstig de licentieovereenkomst.
Merchants zijn verantwoordelijk voor het volgende:
-
Identificeer de partijen betrokken bij het Verzoek van de Toegang van het Onderwerp van Gegevens (DSAR) en verifieer de identiteit van om het even welke persoon die verzoeken om te weten, te kiezen of te schrappen. Dit is van toepassing op een persoon met een wachtwoord of een persoon die in uw winkel winkelt als gast.
-
De consument binnen 45 dagen na ontvangst van een controleerbaar verzoek van de consument informatie verstrekken en aan hem verstrekken in antwoord op zijn verzoek om rechten, tenzij dit niet mogelijk is. (De wet bevat een aantal andere vereisten voor een bedrijf om naleving te handhaven bij vertragingen van maximaal 45 dagen).
Handelaren moeten binnen 45 dagen op elke DSAR reageren, te beginnen op de dag waarop het verzoek is ontvangen. Indien nodig kunnen handelaren tot 45 dagen langer reageren, in totaal maximaal 90 dagen vanaf de dag van ontvangst van het verzoek. Dit vereist dat de handelaar de klant meedeelt om de reden voor de vertraging te verklaren.
-
Ontwikkel een mechanisme om de vereiste berichten in uw opslag te presenteren en de reactie van de consument te verzamelen.
-
Stel responsprocedures vast en documenteer elk van de volgende verzoeken:
-
Verzoeken om te kennen - de Bezoekers aan uw opslag moeten van om het even welke regelingen op de hoogte worden gesteld dat u hun persoonlijke informatie met derden moet verkopen of delen, en moeten worden toegestaan om te weigeren. De details van uw gebruik van persoonlijke gegevens en de partijen met wie u gegevens deelt of verkoopt, kunnen in uw privacybeleid worden gehandhaafd.
-
Verzoeken om uit te kiezen - als het persoonlijke gegeven wordt verkocht of aan derden in ruil voor waardevolle overweging overgebracht, vereist CCPA a niet Verkoop Mijn Verbinding van Info op elk punt waar het wordt verzameld. Aanvullende door de gebruiker ingeschakelde invoerbesturingselementen, zoals selectievakjes en knoppen, kunnen worden gebruikt in e-mailcommunicatie, voorkeursinstellingen voor websites of in websiteformulieren op het punt van gegevensverzameling, zodat individuen een geldige "opt-out"-aanvraag kunnen indienen.
-
Verzoeken om te schrappen
- Handelaren wier winkels op Adobe Commerce Cloud worden gehost, dienen contact op te nemen met de Adobe Support voor hulp bij het verwijderen van persoonlijke gegevens. Neem voor meer informatie contact op met de technische accountmanager of de klantenondersteuning van de Adobe.
- Handelaars die installaties van Adobe Commerce of Magento Open Source op gebouw in werking stellen moeten hun eigen proces en manuscript uitvoeren om persoonlijke informatie op verzoek te schrappen.
-
Stap 5: Schrijf de inhoud voor de vereiste klantenberichten
Belanghebbenden: Juridische dienst, de Dienst van de Klant, Ervaring van de Gebruiker, de Technologie van de Informatie, Administratieve Steun
-
Bepaal in samenwerking met uw juridisch adviseur de soorten berichten die aan uw website moeten worden toegevoegd om aan verplichtingen CCPA te voldoen.
-
Bericht van Inzameling: Een bericht dat bij of vóór de tijd wordt gegeven wordt de persoonlijke informatie verzameld van de consument. De kennisgeving moet in gewone taal worden geschreven en moet voor de gemiddelde persoon gemakkelijk te begrijpen zijn. De kennisgeving moet opvallend zijn en in een of meer dezelfde talen worden geleverd als de inhoud van uw website.
-
Bericht van Recht om uit te kiezen: Een bericht dat consumenten van hun recht op om uit de verkoop van hun persoonlijke informatie op de hoogte brengt.
-
Bericht van Financiële Aansporing: Een bericht dat elke financiële aansporing, prijs, of de dienstverschil verklaart dat uw bedrijf in ruil voor persoonlijke informatie ontvangt.
-
hoe te om een Verzoek om de Inzameling en het Gebruik van Persoonlijke Informatie voor te leggen: Instructies voor individuen om een verzoek voor te leggen dat u de persoonlijke informatie openbaart die u over het individu hebt verzameld, die omvatten:
- Specifieke persoonlijke gegevens die u over de consument hebt verzameld
- Categorieën persoonlijke gegevens die u over de consument hebt verzameld
- Categorieën bronnen waaruit de persoonsgegevens worden verzameld
- Categorieën persoonlijke informatie over de consument die u voor zakelijke doeleinden hebt verkocht of openbaar gemaakt
- Categorieën derden aan wie de persoonsgegevens voor zakelijke doeleinden zijn verkocht of bekendgemaakt
- De redenen waarom uw bedrijf persoonlijke gegevens verzamelt en/of verkoopt
-
-
Verzend de inhoud naar het team en, indien mogelijk, naar uw juridische adviseur voor controle.
-
Bepaal waar de berichten verschijnen, hoe zij (voor elk bezoek, bij authentificatie of bij klik-door) functioneren, en hun positie en formaat met betrekking tot andere inhoud.
-
Geef de goedgekeurde inhoud door aan uw ontwikkelingsteam.
Stap 6: Controleer uw overeenkomsten met serviceproviders
Belanghebbenden: Juridische, Administratieve Steun
Controleer en werk zo nodig alle dienstverleningscontracten bij om de CCPA-vereisten te weerspiegelen.
Stap 7: Je privacybeleid bijwerken
Belanghebbenden: Juridische, Administratieve Steun
Controleer uw huidige privacybeleid en overweeg wat, als om het even welk, extra informatie noodzakelijk is.
-
Gebruik van Persoonlijke Informatie: U moet openbaar maken welke persoonlijke informatie wordt verzameld, en om het even welke financiële prikkels u in ruil van de verkoop van persoonlijke informatie ontvangt. U moet ook uitleggen hoe de prikkel in het kader van de CCPA is toegestaan en hoe de waarde van de persoonlijke gegevens wordt berekend.
-
Leeftijd van Toestemming: Als u persoonlijke informatie over minderjarigen verzamelt of gebruikt, kunt u aan de volgende vereisten onderworpen zijn:
-
Minors < 13: De ouderlijke vergunning wordt vereist voor minderjarigen onder de leeftijd van 13 om aan de verkoop van hun persoonlijke informatie te kiezen.
-
Minderjarigen 13 tot < 16: Minderjarigen van minstens 13 jaar en minder dan 16 jaar kunnen zich aanmelden bij de verkoop van hun persoonlijke informatie, op voorwaarde dat de zaken een redelijk proces om de actie te documenteren tot stand brengen. Het proces moet in het 0} van het bedrijf {privacybeleid 🔗 worden beschreven. Wanneer een bedrijf verzoeken van minderjarigen in deze leeftijdsgroep ontvangt, moet het hen op de hoogte stellen van hun recht om later af te zien en uitleggen hoe ze dat moeten doen.
note important IMPORTANT Handelaars mogen de persoonlijke gegevens van kinderen niet opslaan op Commerce -platform of -systemen. Als er reden is om aan te nemen dat verzamelde gegevens tot een minderjarige behoren, moet deze onmiddellijk van een Commerce -platform worden verwijderd om schending van de licentievoorwaarden van de Adobe te voorkomen. -
Stap 8: alle gerelateerde procedures documenteren en registers bijhouden
Belanghebbenden: de Dienst van de Klant, Administratieve Steun
Gedurende 24 maanden nadat elk verzoek om individuele rechten is ontvangen, wordt een register bijgehouden van het verzoek en de antwoorden van uw bedrijf.