Med ankomsten av 2020 trådte California Consumer Privacy Act (CCPA) offisielt i kraft. Imidlertid kan riksadvokatens kontor teknisk sett ikke begynne håndhevelsen før i juli; det er derfor viktig at utgivere bruker denne fristen for å få orden på sakene sine hvis de ikke allerede har gjort det. Ved å regulere innsamling, behandling og deling av personopplysninger, gir loven utgivere muligheten til å bli fullstendig transparente om deres datapraksis, slik at de kan plassere personvern, sikkerhet og ansvarlig bruk av forbrukerinformasjon i kjernen av deres virksomhet.
Så med det i tankene, la oss se nærmere på hva CCPA betyr for digitale utgivere og hva de kan gjøre for å sikre overholdelse.
Hvem gjelder CCPA for?
Ved første inspeksjon kan noen utgivere føle at CCPA ikke påvirker dem; dette er tilfellet av to hovedgrunner. For det første gjelder det bare virksomheter som tjener 25 millioner dollar eller mer i årlige inntekter, har data fra over 50 000 forbrukere, eller tjener mer enn halvparten av sin årlige inntekt ved å selge personopplysninger. For det andre gjelder det bare selskaper som behandler personopplysningene til innbyggere i California.
Til tross for dette resonnementet, anbefales det at alle utgivere tar sikte på å overholde CCPA. Vilkårene kan være gjenstand for endring eller ikke, men uansett anbefales det at utgivere følger gjeldende retningslinjer, spesielt med andre statlige og nasjonale datalover som for tiden er under utvikling, og som sannsynligvis vil gjelde universelt. På samme måte er det heller ineffektivt for datapraksis å endres i henhold til staten; i henhold til Californias størrelse vil enhver delstatslov i hovedsak bli en proxy for føderal regulering. Derfor, i stedet for å prøve å finne måter rundt dataforskrifter som CCPA, må digitale utgivere akseptere behovet for å tilpasse seg dem.
Hvilke datarettigheter gir det?
CCPA gir forbrukere rett til å forstå en bedrifts datainnsamlingspraksis, til å få tilgang til personopplysninger som er samlet inn om dem i løpet av de siste 12 månedene, og til slutt få denne informasjonen slettet hvis de ønsker det. Videre gir det dem også rett til ikke å få sine personlige data delt eller solgt, ettersom det nå er grunnleggende at alle utgivere inkluderer en opt-out-lenke på nettsiden deres. Loven gir forbrukere rett til like tjenester og priser, slik at virksomheter ikke kan diskriminere dem hvis de velger å utøve rettighetene sine i henhold til CCPA, for eksempel ved å velge bort salg av data til tredjeparter.
Hva er implikasjoner for manglende overholdelse?
Bøtene for manglende overholdelse av CCPA er for tiden opp til $7500 per forsettlig brudd, og $2500 per brudd uten hensikt. I tillegg kan utgivere måtte betale kompensasjon på opptil $750 til alle personer som er berørt, selv om manglende overholdelse ikke ser ut til å ha gjort noen skade. Men selv om de potensielle bøtene som følge av brudd på CCPA utvilsomt vil være skadelige for utgivere, kan den dårlige pressen knyttet til et brudd være enda større. Ved å overholde forskriften kan utgivere bygge forbrukernes tillit og opprettholde et positivt omdømme.
Tre trinn til utgiveroverholdelse
Trinn 1: Forstå dataflyter. Det første trinnet for utgivere er at de får grep om dataflytene sine, forstår hva de samler inn, hvor det er lagret og hva det brukes til. Ved å implementere enhetlige datalagringssystemer kan de få oversikt over dataene de har og oppfylle forespørsler om tilgang eller sletting fra forbrukere raskt og effektivt, noe som er avgjørende gitt fristen på 45 dager. Utgivere må også forstå hvilke tredjeparter de deler data med; CCPA har et sterkt fokus på salg av data, men dette krever ikke nødvendigvis en finansiell transaksjon, det gjelder også utlevering av informasjon til forretningsformål som ikke krever betaling. Ved å ta i bruk bransjespesifikasjoner som ads.txt og sellers.json kan utgivere få et bedre overblikk over dataforsyningskjeden og en dypere forståelse av hvem de deler dataene sine med.
Trinn 2: Bestem databehov. Når de forstår dataflyter, kan utgivere benytte anledningen til å bestemme hvilke personopplysninger de virkelig trenger å samle inn, lagre og dele. For eksempel, med de utledede dataene som brukes i adferdsbasert annonsemålretting fortsatt litt av et spørsmålstegn under CCPA, kan det hende at utgivere ønsker å utforske andre alternativer, for eksempel integrert annonsering som bruker innholdsmålretting og ikke krever personlig informasjon. Jo mindre personopplysninger utgivere samler inn, jo mindre er risikoen for brudd på CCPA.
Trinn 3: Gi full åpenhet. Når de forstår datapraksisen deres, må utgivere sørge for at disse er fullstendig avslørt på deres nettsteder. De kan bruke IABs CCPA Compliance Framework for Publishers and Technology Companies både for veiledning i hvordan man forklarer datapraksis til brukere via tydelige avsløringer, og som en operasjonell mekanisme for overholdelse. Rammeverket gjør det mulig for utgivere å inkludere den nødvendige "ikke selg min personlige informasjon"-kobling, og automatisk sende et signal til nedstrøms teknologipartnere når lenken klikkes for å sikre at de respekterer brukerens valg.
Til tross for at CCPA nå er i full effekt, har utgivere fortsatt tid til å få datapraksisen opp på bunnen av. Ved å vurdere datastrømmene deres, avgjøre hvilken informasjon som er viktig og sikre fullstendig gjennomsiktig avsløring, kan de få mest mulig ut av muligheten CCPA og andre datalover gir og sette forbrukerpersonvern i sentrum av virksomheten deres.