Készen állsz a kaliforniai fogyasztói adatvédelmi törvényre?

A legismertebb technológiai vállalatok egyike Kaliforniában található, egy olyan államban, amely 2018. június 28-án elfogadta a 2018. évi kaliforniai fogyasztói adatvédelmi törvényt (CCPA). A CCPA 2020. január 1-jén lép hatályba, de várhatóan az egész Kalifornia, az Egyesült Államok és valójában az egész világ vállalkozásait érinti. A CCPA befolyásolja azt, hogy a vállalkozások hogyan kezelik az ügyfelek adatait, és sokan úgy vélik, hogy ez az Egyesült Államok történelmének legszigorúbb adatvédelmi törvénye.

Ha érzelmi déjà vu-t érzel, akkor nem vagy egyedül. Májusban hatályba lépett az Európai Unió (EU) általános adatvédelmi rendelete (GDPR). A GDPR forró téma volt a PCMag-nál. Míg a törvényt az Atlanti-óceán túloldalán hozták létre, az az igazság, hogy nyomot jelent a vállalkozások számára világszerte, mivel minden EU polgárra vonatkozik, függetlenül attól, hol élnek. Hasonlóan a GDPR-hez, az új CCPA hatásának a származási állam keretein túl is messzemenő hatások lesznek. Néhány szakértővel beszéltünk, hogy többet megtudjunk a CCPA-ról és annak várható következményeiről.

A CCPA és te: Bevezetés

A CCPA megállapítja a fogyasztó azon jogát, hogy kérje a vállalkozásokat, hogy tegyék közzé, hogy milyen adatokat gyűjtenek róluk. Ha nem használ olyan eszközt, mint például a virtuális magánhálózat (VPN), akkor nagy a bizonyosság, hogy számtalan vállalkozás gyűjt információkat rólad, amikor online van. Alighanem mondani, hogy ezt a fajta átláthatóságot mondani fogja a CCPA.

John Tsopanis az 1touch.io adatvédelmi termékmenedzsere, amely segíti a vállalkozásokat a kezelt személyes adatok megértésében. Tsopanis az elmúlt években GDPR-tanácsadással foglalkozott a vállalatok számára, és felkészül arra, hogy ugyanezt tegye a CCPA-val. Tsopanis alapvetően magyarázza a CCPA-t.

"2020. január 1-jén egy kaliforniai lakosnak jogában áll bármilyen nagyvállalattól megkérdezni Amerikában:" Feldolgozza az én adataimat? "- mondta Tsopanis. "A társaság 45 napon belül köteles válaszolni egy jelentéssel, amely részletezi az elmúlt 12 hónapot. Meg kell mutatnia, hogy milyen személyes adatokkal rendelkezik az adott személyről, kikkel osztják meg azokat, és mi az oka Ezt az információt a határidőn belül meg kell adniuk a kaliforniai lakosoknak - mind a 40 milliónak - ".

Különbségek a GDPR és a CCPA között

Van néhány lényeges különbség a GDPR és a CCPA által lefedett dolgok között. A kezdők számára a CCPA az opt-out alapot fogja használni a hozzájáruláshoz, míg a GDPR az opt-in alapot használja. Ez lényegében azt jelenti, hogy a felhasználóknak aktívan kell kapcsolatba lépniük a vállalatokkal, hogy megtudják, milyen típusú információkat használnak. Ezenkívül a GDPR vonatkozik minden olyan szervezetre, amely az uniós polgárok személyes adatait birtokolja.

A CCPA ezzel szemben csak a nonprofit társaságokra vonatkozik, amelyek feldolgozzák a kaliforniai lakosok adatait. A szervezetnek legalább 24 millió dollár éves bevételt kell megszereznie, 50 000 ember adatait meg kell őriznie, vagy bevételének legalább felét a személyes adatok értékesítésével kell fedeznie. Tehát, ha egy kis butik üzlettel rendelkezik, és online tevékenységei olyan weblapot tartalmaznak, amely felsorolja az üzlet óráit és címét, akkor nem kell sokat aggódnia a CCPA miatt. De ha e-kereskedelemmel foglalkozó webhelyet működtet kulcsrakész szolgáltatón keresztül, vagy egy általános web hosting szolgáltatón keresztül fenntartja saját e-tail webhelyét, akkor érdemes figyelni.

Courtney Bowman a Proskauer Rose LLP nemzetközi ügyvédi iroda peres ügyekkel foglalkozó munkatársa. Bowman elmagyarázza, hogy a CCPA miért fogja megkövetelni a vállalatoktól, hogy alaposan gondolkodjanak adathasználatukról 2020 után is. "Ez a 12 hónapos követelmény azt jelenti, hogy a vállalatoknak évente legalább egyszer meg kell vizsgálniuk adatvédelmi politikájukat, és meg kell próbálniuk kitalálni, hogy valami megváltozott, " azt mondta.

"Folyamatosan figyelemmel kell kísérniük, hogy milyen adatokat adnak el vagy adnak el harmadik feleknek, hogy ennek megfelelően módosítsák adatvédelmi politikáikat" - folytatta Bowman. "A törvény azt is feljogosítja a fogyasztókra, hogy bizonyos helyzetekben hozzáférjenek vagy töröljék személyes adataikat, és a vállalkozásoknak biztosítaniuk kell, hogy ezt a jogot ténylegesen hamarosan végre tudják hajtani. Ez megköveteli a vállalatoktól az adatok feltérképezését, hogy kiderítsék, hol vannak adataik. székhelyét, valamint kapcsolatot tartani az informatikai részlegekkel, hogy kitalálják, mit kell tenniük annak biztosítása érdekében, hogy képesek legyenek teljesíteni a törvény szerinti kötelezettségeiket.

A CCPA széles hatása

A GDPR-hez vezető hónapokban a lefedettségünk egyik témája az volt, hogy globalizált világunkban a GDPR Európán kívüli vállalkozásokat érinti. Végül is a legtöbb nagyvállalat külföldön folytat üzleti tevékenységet, és globálisan meg kell változtatnia online tevékenységeit, hogy megfeleljen a törvénynek. Amikor azonban Tsopanissal beszéltünk, azt mondta, hogy az amerikai vállalatoknak továbbra is különös figyelmet kell fordítaniuk a CCPA-ra.

"Amikor az amerikai vállalatokról van szó, a GDPR elsősorban a nagyobb csatornákon működő szervezetekre összpontosult. Ezzel a kritériumok a minősíthető vállalatok számára sokkal nagyobbak, hatalmas nagyságrend szerint" - mondta Tsopanis. "Kaliforniában 40 millió ember él; 50 000 nem csak a népesség 0, 1% -a. Úgy gondolom, hogy az amerikai vállalatok kitettségének mértéke jelentősen magasabb, mint amit korábban a GDPR-ben meghatároztak."

A Tsopanis a gyorséttermi óriás Wendy példáját kínálja. "A Wendy's a Fortune 1000 999. legnagyobb vállalata, éves bevétele 1, 2 milliárd dollár, azaz 48-szor meghaladja az e törvény szerinti alkalmazhatósági küszöböt. Legalább 1000 milliárd dolláros társaságnak kell Amerikában teljesíteniük a ez a törvény, és a jelentős nagyságrenddel nagyobb, mint a 25 millió dolláros kategóriában."

Lehet, hogy nem tekintjük a Wendy technológiai társaságának, de megszerzik a vásárlókkal kapcsolatos információk arányos részét. Kiváló példák arra is, hogy a CCPA mindenféle vállalkozást miként érint. Amikor meglátogatják a webhelyüket, rendelnek ételt a point-of-sale (POS) rendszerükön keresztül, vagy akár csak használják a Wi-Fi-t a helyi Wendy éttermében, a cég összegyűjti az Ön adatait, és Kaliforniában legalább az a következő: Mindegyikre a CCPA szabályozása vonatkozik. Ha egy olyan "kicsi" vállalkozás, mint Wendy, annyi adatot gyűjt a felhasználókról, akkor egyenesen ijesztő az a gondolat, hogy mit gyűjtenek a nagyobb vállalatok. Egyszerűen fogalmazva: a CCPA hatalmas következményekkel jár.

Fontos adatfelfedezések

A CCPA egyik legfontosabb hatása az, hogy az amerikaiak végre képesek lesznek feltárni az óriási mennyiségű adatvásárlást és -értékesítést, amelyet a cégek végeznek. "Ez a törvényjavaslat lehetővé teszi az amerikai nép számára, hogy végül felfedje az adatok vásárlását és eladását végző szervezetek tömeghálózatát, amely korábban teljesen névtelen volt. Ez drámai kulturális változáshoz vezet az adatvédelem észlelésének módjában, és végül bizonyos ponton a harmonizált szövetségi adatvédelmi törvényhez vezethet "- mondta Tsopanis.

Amikor az Cambridge Analytica A botrány kitört, és ez emberek milliói figyelmét felvette, függetlenül attól, hogy technikusok vagy sem. Nagyon aggasztotta az embereket az a kérdés, hogy ki gyűjt információt, és mi történik vele, és a CCPA részben válasz erre. Tsopanis azt állítja, hogy az ebből adódó kinyilatkoztatások hatalmasak lesznek.

"Az ország minden újságírója számára ez áldás. Kalifornia egy 2, 7 ​​billió dolláros gazdasággal rendelkezik - ez a világ ötödik legnagyobb adata - a Big Data-ra épül. Minden Fortune 1000 cég minden hozzáférési kérelme egy teljes hálózatot fog feltárni. adat-vételi és eladási társaságok, amelyek intenzív ellenőrzés alá kerülnek "- magyarázta Tsopanis. "Nem tudjuk pontosan, mit fogunk találni, amikor az emberek elkezdenek beszerezni adatjelentéseiket, de biztosan vannak érdekes felfedezések."

Csak 18 hónap az előkészítéshez

Ha bármit megtudtunk a GDPR-től, akkor a vállalatoknak a lehető legkorábban meg kell tervezniük, hogy készen álljanak a határidőre. Ezt szem előtt tartva az amerikai vállalatoknak egyáltalán nincs sok idejük. A GDPR-et 2016 áprilisában fogadták el, és a vállalatoknak valamivel több mint két teljes éve volt ahhoz, hogy alkalmazkodjanak és megfeleljenek a rendeletnek. Mivel a CCPA 2020 elején lép hatályba, ez azt jelenti, hogy a nagyobb vállalatoknak már csak 18 hónapjuk van arra, hogy felkészüljenek.

Ez a határidő valószínűleg még a legtapasztaltabb műszaki szakembert is kiemeli. "A 18 hónap alatt elvégzendő munka nagyobb, mint amennyire a GDPR-hez szükség volt, kevesebb időbe telik, és az amerikai vállalatoknál, amelyek alacsonyabb szintű magánélet érettségi szintjét érik el, mint Európában" - figyelmezteti Tsopanis.

Ennek betartása érdekében a biztonsági veterán azt ajánlja a vállalatoknak, hogy ügyeljenek a folyamatok fejlesztésére. "Az elkövetkező hat hónapban a szervezeteknek valamilyen módszert kell kidolgozniuk a személyes adatok nyomon követésére a szervezeten belül" - mondta Tsopanis. "Szükségük van arra, hogy könnyen hozzáférjenek ahhoz a személyes információhoz, amelyet harmadik félnek és mikor küldtek el, majd képeseknek kell lenniük annak nyomon követésére a végrehajtástól számított 12 hónap alatt, és készen állniuk arra, hogy kérésre megadják ezeket az információkat, ha a rendelet hatályba lép.

"Alapvetően megköveteli, hogy szinte minden nagyobb amerikai vállalat jelentős adat-azonosítási tevékenységeket végezzen, és képes legyen automatizálni és reagálni a kaliforniai lakosok adatainak hozzáférési kérelmeire a végrehajtás időpontjában" - folytatta Tsopanis. "Fontos megjegyezni, hogy amikor a törvény 2020-ban elfogadásra kerül, képessé kell tenni, hogy jelentést nyújtsanak be az előző 12 hónap felhasználói információiról. Ez gyakorlatilag azt jelenti, hogy a vállalkozásoknak 2019. január 1-jén kell követniük ezeket az adatokat."

Jogi szempontból Bowman szerint a határidő előtt meg lehet változtatni. "Arra számítunk, hogy a törvény hatálybalépése előtt némi felülvizsgálatot fogunk látni" - mondta. "Mivel meglehetősen gyorsan elkészítették, még a hatálybalépése után is lehetnek olyan szürke területek, amelyek megértésük szempontjából továbbra is fennmaradnak. Végül is a GDPR elkészítése évekbe telt, és a GDPR még mindig több része van. amelyek nem egyértelműek."