Jste připraveni jednat o ochraně soukromí v Kalifornii?

Některé z nejznámějších technologických společností se sídlem v Kalifornii, ve státě, který 28. června 2018 schválil Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (CCPA). CCPA vstoupí v platnost až 1. ledna 2020, ale očekává se, že ovlivní podniky v celé Kalifornii, Spojených státech a ve skutečnosti na celém světě. CCPA ovlivní způsob, jakým podniky mohou zpracovat zákaznická data, a mnozí to považují za nejpřísnější zákon o ochraně údajů v historii USA.

Pokud cítíte pocit déjà vu, pak nejste sami. V květnu vstoupilo v platnost obecné nařízení Evropské unie (EU) o ochraně údajů (GDPR). GDPR byl horkým tématem zde na PCMag. Zatímco zákon byl učiněn napříč Atlantikem, pravdou je, že je to značka pro podniky na celém světě, protože se vztahuje na všechny občany EU bez ohledu na to, kde žijí. Stejně jako GDPR bude mít dopad nové CCPA dalekosáhlé důsledky nad rámec původního stavu. Mluvili jsme s několika experty, abychom se dozvěděli více o CCPA a některých jejích očekávaných důsledcích.

CCPA a vy: Úvod

CCPA zakládá právo spotřebitele požadovat, aby podniky zveřejnily, jaké údaje o nich se shromažďují. Pokud nepoužíváte nástroj, jako je virtuální privátní síť (VPN), je do jisté míry jisté, že nespočet podniků shromažďuje informace o vás, kdykoli jste online. Řeknout, že tento druh transparentnosti, který CCPA přinese, je velkým dílem, bylo by to podcenění.

John Tsopanis je produktový manažer ochrany osobních údajů na adrese 1touch.io, který pomáhá podnikům pochopit osobní údaje, se kterými manipulují. Tsopanis strávil posledních několik let konzultováním GDPR pro společnosti a připravuje se na to, aby udělal totéž s CCPA. Tsopanis vysvětluje CCPA v základních pojmech.

„1. ledna 2020 bude mít obyvatel v Kalifornii zákonné právo požádat jakoukoli velkou společnost v Americe:„ Zpracováváte některé z mých informací? “Řekl Tsopanis. „Do 45 dnů bude tato společnost povinna odpovědět zprávou s podrobnostmi o posledních 12 měsících. Bude muset ukázat, jaké konkrétní kategorie osobních údajů mají o dané osobě, s kým je sdílí, a jaké jsou důvody potřebují tyto informace poskytnout obyvatelům Kalifornie - všech 40 milionů - ve stanovené lhůtě. “

Rozdíly mezi GDPR a CCPA

Mezi tím, co GDPR dělá, a tím, co zahrnuje CCPA, existují určité podstatné rozdíly. Pro začátečníky bude CCPA používat opt-out základ pro souhlas, zatímco GDPR používá opt-in základ. To v podstatě znamená, že uživatelé budou muset aktivně oslovit společnosti, aby zjistili, jaké informace se používají. GDPR se navíc vztahuje na každou organizaci, která má osobní údaje o občanech EU.

Na druhou stranu se CCPA vztahuje pouze na ziskové společnosti, které zpracovávají údaje o obyvatelích Kalifornie. Organizace musí buď činit nejméně 24 milionů dolarů ročního příjmu, držet údaje 50 000 lidí, nebo alespoň polovinu svých příjmů při prodeji osobních údajů. Takže, pokud vlastníte malý butikový obchod a rozsah vašich online operací je webová stránka, která obsahuje seznam hodin a adresy vašeho obchodu, nemusíte se příliš starat o CCPA. Pokud však provozujete web pro elektronický obchod prostřednictvím poskytovatele na klíč nebo si udržujete svůj vlastní web pro elektronický ocas prostřednictvím obecné služby hostování webů, budete chtít věnovat pozornost.

Courtney Bowman je advokátem v soudním oddělení mezinárodní advokátní kanceláře Proskauer Rose LLP. Bowman vysvětluje, proč bude CCPA vyžadovat, aby společnosti pečlivě přemýšlely o využití svých dat daleko po roce 2020. „Tento požadavek na 12 měsíců znamená, že společnosti se budou muset alespoň jednou ročně podívat na své zásady ochrany osobních údajů a pokusit se zjistit, zda se něco změnilo., " ona řekla.

„Budou muset neustále sledovat, jaká data prodávají nebo sdělují třetím stranám, aby mohli odpovídajícím způsobem upravit své zásady ochrany osobních údajů, “ pokračoval Bowman. „Zákon také dává spotřebitelům právo na přístup nebo smazání svých osobních údajů v některých situacích a podniky budou muset zajistit, aby mohly toto právo skutečně účinně uplatnit. To od společností vyžaduje, aby se zapojily do mapování dat, aby zjistily, kde jsou jejich údaje. se nachází, a také se spojit se svými IT odděleními, aby zjistili, co musí udělat, aby se ujistili, že mohou plnit své povinnosti podle zákona. “

Široký dopad CCPA

V měsících vedoucích k GDPR bylo běžným tématem našeho pokrytí to, že v našem globalizovaném světě by GDPR ovlivnil podniky mimo Evropu. Většina koncernů koneckonců podniká v zahraničí a bude muset globálně změnit své online operace, aby dodržovaly zákon. Když jsme však hovořili s Tsopanisem, řekl, že americké společnosti si stále musí zvláštní pozornost CCPA všimnout.

"Pokud jde o americké společnosti, GDPR byl zaměřen hlavně na hlavní organizace, které fungovaly napříč kanály. Kritéria pro společnosti, které se kvalifikují, jsou mnohem větší díky masivnímu řádu velikosti, " řekl Tsopanis. "V Kalifornii je 40 milionů lidí; 50 000 není ani 0, 1 procenta populace. Myslím, že míra expozice amerických společností je výrazně vyšší, než tomu bylo dříve pod GDPR."

Tsopanis nabízí příklad obřího rychlého občerstvení Wendyho. „Wendy's je 999. největší společností na žebříčku Fortune 1000 a má roční příjmy 1, 2 miliardy dolarů - 48krát vyšší, než je prahová hodnota použitelnosti podle tohoto zákona. V Americe musí být přinejmenším 1 000 miliard dolarů, které musí dodržovat tento zákon a významné řády vyšší než v kategorii 25 milionů dolarů. “

Nemusíme považovat společnost Wendy za technickou společnost, ale shromažďují spravedlivý podíl informací o uživateli. Jsou také dokonalým příkladem toho, jak budou společnosti všeho druhu ovlivněny CCPA. Když navštívíte jejich webové stránky, objednáte si jídlo prostřednictvím jejich prodejních systémů (POS) nebo dokonce použijete Wi-Fi v místní restauraci Wendy's, společnost shromažďuje vaše informace, a alespoň v Kalifornii, že „ Na všechny se bude vztahovat nařízení CCPA. Pokud společnost „malá“, jako je Wendy's, shromažďuje tolik dat o uživatelích, pak je naprosto děsivé přemýšlet o tom, co shromažďují větší společnosti. Jednoduše řečeno, CCPA bude mít obrovské důsledky.

Důležité objevy dat

Jedním z nejdůležitějších účinků CCPA je to, že Američané budou konečně schopni odhalit obrovské množství údajů o nákupu a prodeji dat, které společnosti dělají. „Tento zákon umožní americkým lidem konečně odhalit masovou síť organizací pro nákup a prodej dat, které byly dříve zcela anonymní. To povede k dramatickému kulturnímu posunu ve způsobu, jakým je vnímáno soukromí údajů, a nakonec v v určitém bodě vedou k harmonizovanému federálnímu zákonu o ochraně soukromí, “řekl Tsopanis.

Když Cambridge Analytica skandál se zlomil, upoutal pozornost milionů lidí, ať už to byli technologové nebo ne. To lidi velmi znepokojilo, kdo shromažďuje jejich informace a co se s nimi děje, a CCPA je zčásti reakcí na to. Tsopanis tvrdí, že výsledná odhalení budou masivní.

„Pro každého novináře v zemi je to dar z nebes. Kalifornie je ekonomika 2, 7 bilionu dolarů - pátá největší na světě - a je postavena na velkých datech. Každá žádost o přístup od každé společnosti Fortune 1000 odhalí celou síť společností zabývajících se nákupem a prodejem dat, které se budou podrobovat intenzivní kontrole, “vysvětlil Tsopanis. "Nevíme přesně, co najdeme, když lidé začnou získávat zprávy o svých údajích, ale určitě existují určitá zajímavá odhalení."

Jen 18 měsíců na přípravu

Pokud jsme se dozvěděli něco od GDPR, je to, že společnosti musí plánovat co nejdříve, aby byly připraveny na termín. S ohledem na to americké společnosti nemají moc času vůbec. GDPR byl přijat v dubnu 2016 a společnosti měly něco přes dva celé roky, aby se přizpůsobily a dodržovaly nařízení. Vzhledem k tomu, že CCPA vstoupí v platnost začátkem roku 2020, znamená to, že větší společnosti mají nyní na přípravu pouhých 18 měsíců.

Tato lhůta pravděpodobně způsobí, že i nejzkušenější techničtí profesionálové budou vystresováni. „Množství práce, které je třeba udělat za 18 měsíců, je větší, než bylo nutné pro GDPR, s méně času na to as americkými společnostmi pocházejícími z nižší úrovně zralosti soukromí než Evropa, “ varuje Tsopanis.

Aby vyhověl, bezpečnostní veterán doporučuje společnostem věnovat náležitou péči vývoji jejich procesů. „V příštích šesti měsících je třeba, aby organizace vyvinuly nějaký způsob sledování osobních údajů v celé organizaci, “ řekl Tsopanis. „Potřebují způsob, jak snadno získat přístup k tomu, jaké osobní informace byly zaslány třetí straně a v jakou dobu, a pak je musí být schopen je sledovat v průběhu 12 měsíců až do provedení, a být připraven poskytnout tyto informace na požádání, když regulace vstupuje do hry.

„V zásadě to bude vyžadovat téměř všechny významné americké společnosti, aby prováděly hlavní činnosti v oblasti identifikace dat, a budou schopny automatizovat a reagovat na žádosti o přístup k datovým subjektům od obyvatel Kalifornie v den vynucení, “ pokračoval Tsopanis. „Je také důležité si uvědomit, že když zákon přijde v roce 2020, musí být schopen poskytnout zprávu o uživatelských informacích v předchozích 12 měsících. Efektivně to znamená, že podniky musí tyto údaje sledovat 1. ledna 2019."

Z právního hlediska Bowman říká, že před termínem by mohly být provedeny nějaké změny. „Předpokládáme, že před tím, než vstoupí v platnost, uvidíme nějaké revize zákona, “ řekla. „Protože byl vypracován poměrně rychle, i poté, co vstoupí v platnost, mohou existovat některé šedé oblasti, které z hlediska našeho porozumění zůstanou vynikající. Koneckonců, GDPR trvalo roky, než se vypracovaly, a stále existuje několik částí GDPR které jsou nejednoznačné. “