Ваш сайт хиропрактики нарушает CCPA? (И это не шутка про HIPAA)

Содержание
Когда HIPAA не спасает: CCPA врывается в кабинет
Вы хиропрактик в Калифорнии? Поздравляю: вы теперь не только целитель позвоночника, но и, возможно, нарушитель приватности. Потому что CCPA (California Consumer Privacy Act) смотрит на ваш сайт и видит не медицинские записи, а данные, которые вы собираете через куки, формы обратной связи и даже пиксели Facebook. И HIPAA тут не поможет.
Да, защищенная медицинская информация (PHI) освобождена от CCPA. Но только та, что подпадает под HIPAA. А вот данные, которые вы собираете на сайте — например, IP-адреса, поведение пользователя, заполненные формы «Записаться на прием» — это уже территория CCPA. И если вы не предупредили пациента, что его данные продаются (да, даже ретаргетинг — это «продажа» по CCPA), готовьтесь к штрафу до $7,500 за каждое нарушение.
Что именно попадает под CCPA в вашей клинике?
Представьте: пациент заходит на ваш сайт, чтобы узнать о лечении спины. Вы используете Google Analytics, пиксель Facebook и, может быть, чат-бота. Все эти инструменты собирают данные: откуда пришел пользователь, сколько времени провел, на какие страницы кликнул. Это не PHI, это «потребительские данные». И CCPA требует, чтобы вы:
- Сообщили, какие данные собираете и зачем.
- Дали возможность отказаться от продажи данных (кнопка «Do Not Sell My Personal Information»).
- Предоставили доступ к собранным данным по запросу.
И да, данные сотрудников тоже подпадают под CCPA. Так что если у вас в клинике работают люди, их личная информация (зарплата, адрес, номер соцстрахования) тоже требует защиты по CCPA. HIPAA тут бессилен.
Как не получить штраф: 3 шага для хиропрактика
Во-первых, не паникуйте. Во-вторых, сделайте аудит своего сайта. Какие куки вы используете? Есть ли у вас форма подписки на рассылку? Используете ли ретаргетинг? Если да — вам нужна политика конфиденциальности, которая соответствует CCPA. И не забудьте про кнопку отказа от продажи данных.
Во-вторых, обучите персонал. Если администратор спрашивает у пациента номер телефона для записи — это сбор данных. И если вы потом используете этот номер для SMS-рассылки без согласия, это нарушение CCPA. Да, даже если пациент сам оставил номер.
В-третьих, проверьте договоры с третьими лицами. Google, Facebook, ваш хостинг-провайдер — все они обрабатывают данные ваших пациентов. По CCPA вы обязаны заключить с ними договоры, которые ограничивают использование данных. Иначе ответственность ляжет на вас.
Аналогия для тех, кто устал от законов
CCPA — это как если бы вы пришли в ресторан, заказали стейк, а официант записал ваш номер телефона, чтобы потом продать его спам-рассылке. Вы бы возмутились? Вот и пациенты возмущаются. Только теперь за это штрафуют.
Кстати, официальный сайт Генерального прокурора Калифорнии — ваш лучший друг. Там есть примеры политик конфиденциальности и ответы на частые вопросы. Не поленитесь заглянуть.
Что дальше?
Не откладывайте compliance на потом. Штрафы CCPA не шутка, а пациенты становятся все более осведомленными. Сделайте аудит сегодня, и ваша спина скажет вам спасибо. Ну, или хотя бы юрист.

Редакционный комитет NakedPact
Статья подготовлена редакцией NakedPact. Наша миссия — анализировать, упрощать и выявлять несправедливые условия и скрытые риски в повседневных договорах для защиты граждан и потребителей.
Источники и правовые ссылки

Вы владелец веб-сайта?
Хотите сообщить пользователям о прозрачности обработки данных? Динамически используйте наш значок и продемонстрируйте соответствие вашей платформы требованиям.
Рекомендуемое чтение

Data Breach: Cosa fare se non riesci a notificare il Garante entro 72 ore?

Псевдонимизация данных в Японии: ваше секретное оружие для конкурентного преимущества

Возраст имеет значение: как ICO меняет правила игры для безопасности детей в интернете
🛡️ Защитите свои права одним кликом
Не рискуйте подписывать кабальные условия. Установите бесплатное расширение NakedPact для Chrome или Firefox и мгновенно анализируйте любой контракт в сети.
Не доверяйте, проверяйте.
Теперь, когда вы знаете о рисках, не подписывайте вслепую. Загрузите контракт в NakedPact, и ИИ найдет скрытые условия. Это 100% бесплатно.
Проанализировать контракт сейчас