CCPA Healthcare清单:CCPA合规对您的业务意味着什么以及您应该制作什么变化?

加利福尼亚州消费者隐私法案 (CCPA)于2020年1月1日颁布,使消费者能够通过企业对收集和销售个人信息进行控制。 涵盖的企业 需要通过以下方式对其网站和内部客户管理流程进行更改 CCPA医疗保健 清单:

  • 在收集之前或在收集时通知消费者,将获得哪些类别的个人信息以及它们将如何使用
  • 在您的主页上包含一个链接,使消费者能够选择销售他们的个人信息 允许在16岁以下的消费者(或他们的监护人)来选择 
  • 更新您的隐私政策,以反映加州消费者的新权利
  • 为消费者提供至少两种方法,以便对其个人信息进行可验证的请求(至少,免费电话号码和网站)
  • 培训员工处理可验证的消费者请求

CCPA对您的业务意味着什么以及您应该制作什么变化?

CCPA在加州司法部长可以将案件抵御实体之前给企业提供6个月的宽限期。未能遵守可能导致每次违规和消费者诉讼的罚款高达7,500美元。此外,2020年1月1日的12个月“回顾”期间需要企业将消费者的个人信息记录返回2019年1月1日。

CCPA合规性

涵盖的业务必须为加州消费者提供下面列出的所有权利。

选择退出

消费者有权选择退出他或她的个人信息。销售消费者个人信息的业务必须: 

  • 在其网站的主页上添加清晰可见的“请勿将我的个人信息”链接到一个单独的网页,使消费者能够选择退出。 (您可以通过维护包含所需披露的独立且清晰可见的加州消费者特定的网页来避免此主页链接。)
  • 披露在其隐私政策或任何“加利福尼亚州的消费者隐私权的具体描述中选择退出的权利”以及退出页面的链接。
  • 培训负责处理客户咨询的所有工作人员有关选择退出的权利以及如何帮助客户这样做。

企业不能要求消费者创建一个帐户,以便完成退出过程。

选择未成年人 

CCPA的退出要求为16岁以下的儿童修改,企业必须收取选择加入同意,以销售此类个人信息。 

CCPA禁止从消费者收集的个人信息销售:

  • 13岁至16岁,除非消费者选择了
  • 13岁以下,除非父母或法定监护人肯定授权销售

涵盖业务需要询问消费者是否是16或以上,或者如果卖出儿童的个人信息,他们将负责违反法律。故意无视消费者年龄和出售儿童数据的企业将被起诉具有实际知识。 

知道和访问权限

当业务从消费者收集个人信息时,消费者可以要求以下内容:

  • 在请求前12个月内收集,出售或披露的个人信息和特定作品的类别
  • 收集该信息的来源
  • 该信息收集或销售的业务或商业目的
  • 与何种书或其共享该信息的特定第三方和第三方类别

企业也需要在其网站隐私政策或网站上的其他地方披露: 

  • 收集的个人信息类别以及业务如何在收集时或之前使用此类信息
  • 消费者如何行使他或她有关个人信息的收集和销售或其他披露的权利
  • 单独列出的个人信息类别销售和披露于12个月期间或没有销售或披露的陈述

只要信息未出售或保留,访问权限的权利不适用于为单个事务收集的信息,以便将其链接到个人信息。

删除权

消费者有权要求企业删除其个人信息。涵盖企业还需要告知消费者有权在本组织的隐私政策中删除个人信息。但是,这不适用于受保护的健康信息,因为这些规则受HIPAA的管辖。

消费者右侧存在九个例外,以删除信息是否有必要保留消费者的个人信息,原因如下:

  1. 交易: 填写收集个人信息的交易,提供消费者所要求的良好或服务,或者在业务持续与消费者的持续业务关系的背景下合理预测,或者在业务和消费者之间执行合同。
  2. 安全: 检测安全事件,防止恶意,欺骗,欺诈或非法活动;或起诉那些对该活动负责的人。
  3. 错误: 调试以识别和修复损害现有预期功能的错误。
  4. 自由言论: 术语术语,确保另一个消费者的权利行使他或她的自由言论权,或违法行使另一个权利。
  5. Calecpa合规性: 符合加州电子通信隐私法案
  6. 公共利益研究: 在公共或同行评审的科学,历史或统计研究中,遵守所有其他适用的道德和隐私法,当企业删除信息可能会使不可能或严重损害实现此类研究时如果消费者提供了知情同意。
  7. 预期内部用途: 为了基于消费者与业务的关系,仅能够与消费者的期望相比,内部用途。
  8. 合法合规: 遵守法律义务。
  9. 其他内部用途: 否则,在内部使用消费者的个人信息,以合法的方式,与消费者提供信息的上下文兼容。

如果业务拒绝删除该信息,则必须告知消费者其拒绝和任何上诉权的原因。

可验证的消费者请求

所涵盖的企业需要至少提供两种可验证消费者请求的方法。如果业务有一个,那么必须是免费电话号码,第二个网站。尚未写入核心消费者请求的完整规则。但是,加州司法部长必须采取法规,以帮助企业确定消费者请求到2019年6月28日核查.CCPA对消费者的要求“通过消费者维护的密码保护的账户提交的消费者在业务中提交消费者登录到帐户“作为可验证。但是,企业可能不需要消费者创建帐户才能提交可验证请求。

在12个月期间,企业不需要响应来自同一消费者的任何两个可核解的消费者请求。业务必须通过消费者的账户免费提供此信息,或者通过发布邮件或电子通信的消费者的偏好,以便容易允许消费者将信息传送到另一方。 

企业有45天的时间来回应可验证的消费者请求,但如果有复杂性或大量请求,则可能在45天内延长期限。企业必须在45天内向消费者通知消费者。对请求的答复应涵盖业务收到日期之前的12个月期间。

平等的服务和价格

企业无法通过拒绝商品或服务,收取不同的价格,提供不同或较低的商品或服务,或建议不同的价格,质量或服务,歧视CCPA根据CCPA行使他或她权利的消费者。

但是,如果差异是“合理相关”对消费者数据的价值,CCPA确实允许业务提供不同的价格,水平或质量,以及商品和服务。在卓越的质量,服务或定价与消费者数据的价值直接相关的情况下,企业也可以向消费者提供财务激励措施以换取消费者的收集,销售或删除他或她的个人信息。消费者必须能够随时选择选择并选择退出此类计划。

我们为维持技术意识和保护的最前沿的位置而自豪。我们不仅是HIPAA,ADA和GDPR对医疗保健行业的合规性的专家,还提供了CCPA合规性的定制审核。 联系我们在线 或者打电话 (866)932-9944 to learn more.


Clement是医疗网络专家的营销总监,在B2B的数字营销,通信和品牌管理中经验丰富&B2C技术,消费品,高等教育和医疗器械组织。他毕业于爱丁堡大学与主人’S营销和业务分析。除了推进卫生学院,克莱门特对新兴的人类计算机互动和生物技术发展形成热情。

问题?让我们的专家帮助!

填写下面的表格或 称呼 866-932-9944 周一至周五上午9点至下午5点。

  • 联系我们

  • 联系我们


  • 通讯

    获取促销和当前的商业技巧。立即注册我们的时事通讯。