Ar esate pasirengęs Kalifornijos vartotojų privatumo aktui?

Kai kurių labiausiai žinomų technologijų bendrovių būstinė yra Kalifornijoje - valstijoje, kuri 2018 m. Birželio 28 d. Priėmė 2018 m. Kalifornijos vartotojų privatumo įstatymą (CCPA). CCPA neįsigalios iki 2020 m. Sausio 1 d., Tačiau tikimasi, kad tai paveiks verslą Kalifornijoje, JAV ir, tiesą sakant, visame pasaulyje. CCPA turės įtakos tam, kaip įmonės gali tvarkyti klientų duomenis, ir daugelis mano, kad tai yra griežčiausias duomenų apsaugos įstatymas JAV istorijoje.

Jei jaučiate déjà vu jausmą, tada nesate vienas. Gegužės mėn. Įsigaliojo Europos Sąjungos (ES) bendrasis duomenų apsaugos reglamentas (GDPR). „PCMag“ čia buvo aktuali GDPR tema. Nors įstatymas buvo priimtas už Atlanto, tiesa, jis žymimas viso pasaulio įmonėms, nes jis galioja visiems ES piliečiams, nesvarbu, kur jie gyvena. Panašiai kaip ir GDPR, naujojo CCPA poveikis turės toli siekiančią reikšmę, neapsiribodamas jo kilmės valstybe. Kalbėjomės su keliais ekspertais, norėdami daugiau sužinoti apie CCPA ir kai kurias jos numatomas pasekmes.

CCPA ir jūs: įžanga

CCPA nustato vartotojo teisę reikalauti, kad įmonės atskleistų, kokie duomenys yra renkami apie juos. Jei nenaudojate tokio įrankio, kaip virtualus privatus tinklas (VPN), yra tikras, kad nesuskaičiuojama daugybė įmonių renka informaciją apie jus, kai esate prisijungę. Sakyti, kad toks skaidrumas, kurį užtikrins CCPA, yra didelis dalykas, būtų per maža reikšmė.

Johnas Tsopanis yra privatumo produktų vadovas įmonėje „1touch.io“, kuri padeda įmonėms suprasti jų tvarkomus asmeninius duomenis. „Tsopanis“ pastaruosius kelerius metus praleido konsultuodamas įmones pagal GDPR ir ruošiasi daryti tą patį su CCPA. Tsopanis paaiškina CCPA paprastai.

„2020 m. Sausio 1 d. Kalifornijos gyventojas turės juridinę teisę paklausti bet kurios didelės Amerikos kompanijos:„ Ar tvarkote bet kurią mano informaciją? “, - teigė P. Tsopanis. "Per 45 dienas ta įmonė bus įpareigota atsakyti pateikdama ataskaitą, kurioje bus išsamiai aprašyti paskutiniai 12 mėnesių. Ji turės parodyti, kokias konkrečios kategorijos asmeninę informaciją jie turi apie tą asmenį, su kuo ja dalijasi ir kokios yra priežastys. Jie privalo per tą laiką perduoti šią informaciją Kalifornijos gyventojams - visiems 40 milijonų."

Tarp GDPR ir CCPA skirtumai

Tarp to, ką daro GDPR, ir to, ką apima CCPA, yra keletas esminių skirtumų. Pradedantiesiems, CCPA naudos atsisakymo pagrindą sutikimui, tuo tarpu GDPR naudojasi pasirinkimo pagrindu. Tai iš esmės reiškia, kad vartotojai turės aktyviai kreiptis į įmones, kad sužinotų, kokia informacija yra naudojama. Be to, GDPR taikomas visoms organizacijoms, turinčioms asmens duomenis apie ES piliečius.

CCPA, kita vertus, taikoma tik pelno siekiančioms įmonėms, kurios tvarko duomenis apie Kalifornijos gyventojus. Organizacija turi arba uždirbti bent 24 mln. USD pajamų per metus, turėti 50 000 žmonių duomenis arba bent pusę savo pajamų parduoti parduodant asmens duomenis. Taigi, jei jūs turite nedidelę parduotuvėlę, o jūsų internetinių operacijų mastas yra internetinis puslapis, kuriame pateikiamos jūsų parduotuvės valandos ir adresas, jums nereikės per daug jaudintis dėl CCPA. Bet jei jūs valdote el. Prekybos svetainę per „iki raktų“ teikėją arba prižiūrite savo el. Pašto svetainę naudodamiesi bendrąja interneto prieglobos paslauga, tuomet norėsite atkreipti dėmesį.

Courtney Bowmanas yra tarptautinės advokatų kontoros „Proskauer Rose LLP“ bylų skyriaus teisėjas. Bowmanas paaiškina, kodėl ta CCPA reikalaus kompanijų atidžiai apgalvoti savo duomenų naudojimą po 2020 m. “Šis 12 mėnesių reikalavimas reiškia, kad bendrovės turės bent kartą per metus peržiūrėti savo privatumo politiką ir bandyti išsiaiškinti, ar kas nors pasikeitė., " Ji pasakė.

"Jie turės nuolat stebėti, kokius duomenis jie parduoda ar atskleidžia trečiosioms šalims, kad jie galėtų atitinkamai pakoreguoti savo privatumo politiką", - tęsė Bowmanas. "Įstatymas vartotojams taip pat suteikia teisę gauti prieigą prie savo asmeninės informacijos arba ją ištrinti tam tikrose situacijose, o įmonės turės užtikrinti, kad jos tikrai galėtų greitai įgyvendinti šią teisę. Tam reikės, kad įmonės dalyvautų duomenų žemėlapiuose, kad išsiaiškintų, kur yra jų duomenys. yra įsikūrusi, taip pat palaiko ryšį su savo IT skyriais, kad išsiaiškintų, ką jie turi padaryti, kad įsitikintų, jog gali vykdyti savo pareigas pagal šį aktą “.

CCPA platus poveikis

Mėnesiais iki GDPR sukūrimo mūsų tema buvo ta, kad globalizuotame pasaulyje GDPR paveiks ne tik Europos įmones. Galų gale, dauguma didelių kompanijų užsiima verslu užsienyje ir, norėdamos laikytis įstatymų, turės pakeisti savo internetines operacijas visame pasaulyje. Tačiau kai mes kalbėjome su „Tsopanis“, jis sakė, kad Amerikos kompanijoms vis dar reikia atkreipti ypatingą dėmesį į CCPA.

"Kalbant apie Amerikos kompanijas, GDPR daugiausia buvo sutelktas į pagrindines organizacijas, veikiančias per kanalus. Kriterijai, keliami kriterijus atitinkančioms įmonėms, yra daug didesni, atsižvelgiant į didžiulę masto eiliškumą", - sakė D. Tsopanis. "Kalifornijoje gyvena 40 milijonų žmonių; 50 000 nėra net 0, 1 procento gyventojų. Manau, kad Amerikos kompanijų rizikos laipsnis yra žymiai didesnis nei buvo anksčiau pagal GDPR."

„Tsopanis“ siūlo greito maisto milžinės Wendy pavyzdį. „Wendy's“ yra 999-oji didžiausia „Fortune 1000“ įmonė, jos metinės pajamos siekia 1, 2 milijardo JAV dolerių - tai 48 kartus viršija ribą, taikomą pagal šį įstatymą. Bent jau Amerikoje yra 1000 milijardų bendrovių, kurių reikia laikytis šį įstatymą ir reikšmingus laipsnius, didesnius nei kategorija 25 mln. USD “.

Mes negalime laikyti Wendy technologijų kompanija, tačiau jie sukaupia nemažą dalį informacijos apie vartotojus. Jie taip pat yra puikus pavyzdys, kaip CCPA paveiks visų rūšių įmones. Kai lankotės jų tinklalapyje, užsisakote maisto naudodamiesi jų pardavimo vietose (POS) sistemomis ar net tiesiog naudojate „Wi-Fi“ vietiniame Wendy restorane, įmonė renka jūsų informaciją, ir bent jau Kalifornijoje Visiems bus taikomas CCPA reglamentas. Jei tokia maža įmonė kaip Wendy renka tiek daug duomenų apie vartotojus, tada visiškai baisu pagalvoti, ką renka didesnės korporacijos. Paprasčiau tariant, CCPA turės milžinišką poveikį.

Svarbūs duomenų atradimai

Vienas iš svarbiausių CCPA padarinių yra tas, kad amerikiečiai pagaliau sugebės atskleisti daugybę duomenų pirkimo ir pardavimo duomenų, kuriuos atliko įmonės. "Šis įstatymo projektas leis Amerikos žmonėms galutinai atskleisti masinį duomenų pirkimo ir pardavimo organizacijų internetinį tinklą, kuris anksčiau buvo visiškai anoniminis. Tai sukels dramatišką kultūrinį duomenų privatumo suvokimo pasikeitimą ir galiausiai tam tikru momentu lems suderintą federalinį privatumo įstatymą “, - teigė A. Tsopanis.

Kai „Cambridge Analytica“ kilęs skandalas sulaukė milijonų žmonių dėmesio, nesvarbu, ar jie buvo technologai, ar ne. Tai žmones labai jaudino dėl to, kas renka jų informaciją ir kas su tuo daroma, o CCPA iš dalies yra atsakas į tai. Tsopanis teigia, kad dėl to atsirandantys apreiškimai bus didžiuliai.

"Kiekvienam šalies žurnalistui tai yra dievobaimė. Kalifornijos ekonomika yra 2, 7 trilijonų dolerių - penkta pagal dydį pasaulyje - ir ji yra paremta„ Big Data ". Kiekviena„ Fortune 1000 “bendrovės prieigos užklausa atskleis visą tinklą. duomenų pirkimo ir pardavimo bendrovių, kurios bus atidžiai tikrinamos “, - aiškino P. Tsopanis. "Mes tiksliai nežinome, ką rasime, kai žmonės pradės gauti savo duomenų ataskaitas, tačiau tikrai bus įdomių paaiškinimų."

Tik 18 mėnesių pasiruošti

Jei mes ką nors sužinojome iš GDPR, vadinasi, įmonėms reikia kuo anksčiau planuoti, kad jos būtų parengtos iki nustatyto termino. Turint tai omenyje, Amerikos kompanijos neturi daug laiko. GDPR buvo priimtas 2016 m. Balandžio mėn., O bendrovėms šiek tiek daugiau nei dveji metai turėjo prisitaikyti ir laikytis reglamento. Kadangi CCPA įsigalioja 2020 m. Pradžioje, tai reiškia, kad didesnėms įmonėms dabar yra vos 18 mėnesių pasiruošti.

Dėl šio galutinio termino greičiausiai net labiausiai patyręs technikos profesionalas patirs stresą. „Darbo, kurį reikia atlikti per 18 mėnesių, kiekis yra didesnis nei reikėjo GDPR, turint mažiau laiko tam atlikti ir atliekant amerikiečių kompanijas, kurių privatumo lygis yra žemesnis nei Europa“, - perspėja P. Tsopanis.

Kad tai atitiktų, saugumo veteranas įmonėms rekomenduoja tinkamai rūpintis plėtojant savo procesus. „Per artimiausius šešis mėnesius organizacijos turės sukurti tam tikrą asmeninės informacijos sekimo metodą visoje organizacijoje“, - teigė A. Tsopanis. „Jiems reikia būdo, kaip lengvai pasiekti, kokia asmeninė informacija buvo atsiųsta trečiajai šaliai ir kokiu metu. Tada jie turi sugebėti atsekti tą informaciją per 12 mėnesių iki jos įdiegimo ir būti pasirengę pateikti tą informaciją paprašius. šis reglamentas yra svarbus.

„Iš esmės reikės, kad beveik visos pagrindinės JAV įmonės vykdytų didelę duomenų identifikavimo veiklą ir sugebėtų automatizuoti Kalifornijos gyventojų prašymus suteikti prieigą prie duomenų subjektų ir atsakyti į jų vykdymo dieną“, - tęsė Tsopanis. „Taip pat svarbu atkreipti dėmesį į tai, kad kai įstatymas bus priimtas 2020 m., Jie turi turėti galimybę pateikti ataskaitą apie informaciją apie vartotojus per praėjusius 12 mėnesių. Tai iš tikrųjų reiškia, kad įmonėms reikia sekti tuos duomenis 2019 m. Sausio 1 d."

Žiūrint iš teisinės perspektyvos, Bowmanas sako, kad prieš terminą gali būti padaryta keletas pakeitimų. „Mes tikimės, kad sulauksime tam tikrų įstatymo pakeitimų, kol jis įsigalios“, - sakė ji. "Kadangi jis buvo parengtas gana greitai, net kai jis įsigalios, gali likti keletas pilkųjų sričių, kurios, mūsų supratimu apie jas, lieka neišspręstos. Galų gale, GDPR parengti prireikė metų ir vis dar yra keletas GDPR dalių. kurie yra dviprasmiški “.