Ste pripravljeni na zakon o zasebnosti potrošnikov v Kaliforniji?

Nekatera najbolj znana tehnološka podjetja imajo sedež v Kaliforniji, ki je 28. junija 2018 sprejela kalifornijski zakon o zasebnosti potrošnikov iz leta 2018 (CCPA). CCPA začne veljati 1. januarja 2020, vendar naj bi vplivala na podjetja po vsej Kaliforniji, ZDA in pravzaprav po vsem svetu. CCPA bo vplivala na način, kako podjetja lahko upravljajo s podatki o strankah, in mnogi menijo, da je to najstrožji zakon o varstvu podatkov v zgodovini ZDA.

Če čutiš občutek déja vu, potem nisi sam. Še maja je začela veljati Splošna uredba Evropske unije (EU) o varstvu podatkov (GDPR). GDPR je bila v PCMagu vroča tema tukaj. Medtem ko je bil zakon sprejet čez Atlantik, je resnica, da je označil podjetja po vsem svetu, saj velja za vse državljane EU ne glede na to, kje živijo. Vpliv nove CCPA bo podobno kot GDPR imel daljnosežne posledice tudi zunaj področja njene izvorne države. Pogovarjali smo se z nekaj strokovnjaki, če želite izvedeti več o CCPA in nekaterih njenih pričakovanih posledicah.

CCPA in ti: uvod

CCPA uvaja pravico potrošnika, da zahteva, da podjetja razkrijejo, kakšne podatke se zbira o njih. Če ne uporabljate orodja, kot je navidezno zasebno omrežje (VPN), je gotovo gotovo, da nešteto podjetij zbira podatke o vas, kadar koli ste na spletu. Če bi rekli tovrstno preglednost, ki jo bo prinesla CCPA, je veliko podcenjevanje.

John Tsopanis je vodja izdelkov za zasebnost pri 1touch.io, podjetju, ki podjetjem pomaga razumeti osebne podatke, s katerimi ravnajo. Tsopanis je zadnjih nekaj let posvetoval GDPR svetovanju za podjetja in si pripravlja, da bi to storil tudi s CCPA. Tsopanis pojasnjuje CCPA v osnovnih pojmih.

"1. januarja 2020 bo prebivalec Kalifornije imel pravno pravico vprašati katero koli veliko podjetje v Ameriki:" Ali obdelujete katero od mojih podatkov? "" Je dejal Tsopanis. "V roku 45 dni bo to podjetje dolžno odgovoriti s poročilom, v katerem je podrobno opisano zadnjih 12 mesecev. Prikazati bo moralo, katere posebne osebne podatke ima o tem posamezniku, s kom jih delijo in kakšni so razlogi za obdelavo. Te podatke morajo dati prebivalcem Kalifornije - vseh 40 milijonov - v roku."

Razlike med GDPR in CCPA

Obstaja nekaj bistvenih razlik med tem, kaj GDPR počne, in tistim, kar pokriva CCPA. Za začetek bo CCPA uporabila podlago za odstop od odobritve, medtem ko GDPR uporablja podlago za odobritev. To v bistvu pomeni, da se bodo uporabniki morali aktivno obrniti na podjetja, da bi ugotovili, kakšne informacije se uporabljajo. Poleg tega GDPR velja za vse organizacije, ki hranijo osebne podatke o državljanih EU.

CCPA, na drugi strani, velja samo za profitna podjetja, ki obdelujejo podatke o prebivalcih Kalifornije. Organizacija mora bodisi doseči vsaj 24 milijonov dolarjev letnega prihodka, shraniti podatke 50.000 ljudi ali vsaj polovico svojih prihodkov narediti s prodajo osebnih podatkov. Če imate majhno butično trgovino in je obseg vašega spletnega poslovanja spletna stran, ki navaja ure in naslov trgovine, potem vam ne bo treba preveč skrbeti za CCPA. Če pa spletno mesto za e-trgovino upravljate prek ponudnika na ključ ali vzdržujete svoje spletno mesto z e-repu prek splošne storitve spletnega gostovanja, boste želeli biti pozorni.

Courtney Bowman je sodelavec v oddelku za sodne postopke pri mednarodni odvetniški družbi Proskauer Rose LLP. Bowman pojasni, zakaj bo CCPA od podjetij zahtevala, da dobro razmislijo o svoji uporabi podatkov daleč po letu 2020. "Ta zahteva po 12 mesecih pomeni, da bodo morala podjetja vsaj enkrat na leto pogledati svojo politiko zasebnosti in poskušati ugotoviti, ali se je kaj spremenilo, "je rekla.

"Neprestano bodo morali nadzorovati, katere podatke prodajajo ali razkrivajo tretjim osebam, da bodo lahko ustrezno prilagodili svoje politike zasebnosti, " je nadaljeval Bowman. "Zakon tudi daje potrošnikom pravico do dostopa do njihovih osebnih podatkov ali jih izbriše v nekaterih okoliščinah. Podjetja bodo morala zagotoviti, da lahko dejansko izkoristijo to pravico. To bo zahtevalo od podjetij, da se vključijo v preslikavo podatkov, da ugotovijo, kje so njihovi podatki ima sedež in tudi, da se povežejo s svojimi oddelki za informacijsko tehnologijo, da ugotovijo, kaj morajo storiti, da bodo lahko izpolnili svoje odgovornosti iz zakona."

Širok vpliv CCPA

V mesecih, ki so privedli do GDPR, je bila v našem globaliziranem svetu pomembna tema, da bo v našem globaliziranem svetu GDPR vplival na podjetja zunaj Evrope. Navsezadnje večina velikih podjetij posluje v tujini in bodo morala v skladu z zakonom globalno spremeniti svoje spletno poslovanje. Ko smo se pogovarjali s Tsopanisom, pa je dejal, da morajo ameriška podjetja še posebej posebej opozoriti na CCPA.

"Kar zadeva ameriška podjetja, je bil GDPR osredotočen predvsem na večje organizacije, ki delujejo prek kanalov. S tem so merila za podjetja, ki izpolnjujejo pogoje, veliko večja po velikosti, " je dejal Tsopanis. "V Kaliforniji živi 40 milijonov ljudi; 50.000 sploh ni 0, 1 odstotka prebivalstva. Mislim, da je obseg izpostavljenosti ameriških podjetij bistveno višji, kot je bil prej v GDPR."

Tsopanis ponuja primer velikana hitre prehrane Wendy's. "Wendy's je 999. največje podjetje na Fortune 1000 in ima letni prihodek 1, 2 milijarde dolarjev - 48-krat višji od praga za uporabo po tem zakonu. Vsaj v Ameriki je 1000 milijard dolarjev vrednih podjetij, ki morajo izpolnjevati zahteve tega zakona, in veliko večjih vrst, kot je v kategoriji 25 milijonov dolarjev."

Wendy morda ne štejemo kot tehnološko podjetje, vendar zbirajo pravičen delež uporabniških informacij. Prav tako so odličen primer, kako bo na CCPA vplivala podjetja vseh vrst. Ko obiščete njihovo spletno stran, naročite hrano prek njihovih prodajnih sistemov (POS) ali celo samo uporabite Wi-Fi v lokalni restavraciji Wendy, podjetje zbira vaše podatke, v Kaliforniji pa vsaj to: Vse bodo predmet predpisa CCPA. Če podjetje, tako majhno, kot je Wendy, zbira toliko podatkov o uporabnikih, potem je naravnost strašljivo razmišljati, kaj zbirajo večje korporacije. Preprosto povedano, CCPA bo imela ogromne posledice.

Pomembna odkritja podatkov

Eden najpomembnejših učinkov CCPA je, da bodo Američani končno lahko razkrili velike količine nakupov in prodaje podatkov, ki jih podjetja izvajajo. "Ta predlog zakona bo ameriškim ljudem omogočil, da končno razkrijejo množični splet organizacij za nakup in prodajo podatkov, ki so bile prej popolnoma anonimne. To bo privedlo do dramatičnega kulturnega premika v načinu dojemanja zasebnosti podatkov in na koncu na v določeni točki vodijo k usklajenemu zveznemu zakonu o zasebnosti, "je dejal Tsopanis.

Ko Cambridge Analytica škandal je izbruhnil, privabil je pozornost milijonov ljudi, ne glede na to, ali so tehnologi ali ne. Ljudje so bili zelo zaskrbljeni, kdo zbira njihove podatke in kaj se z njimi počne, CCPA pa je deloma odgovor na to. Tsopanis trdi, da bodo posledična razodetja množična.

"Za vsakega novinarja v državi je to božji dar. Kalifornija je 2, 7 bilijona dolarjev gospodarstva - peta največja na svetu - in temelji na velikih podatkih. Vsaka prošnja za dostop vsake družbe Fortune 1000 bo razkrila celotno mrežo podjetij, ki kupujejo in prodajajo podatke, ki bodo pod velikim nadzorom, "je pojasnil Tsopanis. "Ne vemo natančno, kaj bomo našli, ko bodo ljudje začeli dobivati ​​svoja poročila o podatkih, vendar bo zagotovo nekaj zanimivih razkritij."

Samo 18 mesecev za pripravo

Če smo se iz GDPR karkoli naučili, morajo podjetja čim prej načrtovati, da bodo pripravljena na rok. Glede na to ameriška podjetja sploh nimajo veliko časa. GDPR je bil sprejet aprila 2016, podjetja pa so imela malo več kot dve polni leti, da so se prilagodila in upoštevala uredbo. Ker CCPA začne veljati že v začetku leta 2020, to pomeni, da imajo večja podjetja zdaj le 18 mesecev časa, da se pripravijo.

Ta rok bo verjetno izpostavil celo najbolj izkušenega tehnološkega strokovnjaka. "Količina dela, ki jo je treba opraviti v 18 mesecih, je večja, kot je bilo potrebno za GDPR, z manj časa za to in z ameriškimi podjetji, ki prihajajo iz nižje stopnje zrelosti zasebnosti kot Evropa, " opozarja Tsopanis.

Za spoštovanje varnostni veteran podjetjem priporoča, naj pri razvoju svojih procesov ustrezno skrbijo. "V naslednjih šestih mesecih moramo organizacije razviti nekakšen način sledenja osebnih podatkov po vsej organizaciji, " je dejal Tsopanis. "Potrebujejo način za preprost dostop do tistih osebnih podatkov, ki so bili poslani tretji osebi in v katerem času, nato pa jim bodo morali slediti v 12 mesecih do uvajanja in biti pripravljeni na zahtevo te podatke posredovati na zahtevo, ko uredba začne veljati.

"V bistvu bo od skoraj vseh velikih ameriških podjetij potrebno, da izvajajo večje dejavnosti identifikacije podatkov in bodo na datum uveljavitve sposobne avtomatizirati in odgovarjati na zahteve za dostop posameznika, na katere se nanašajo osebni podatki, " "Pomembno je tudi upoštevati, da morajo ob sprejemu zakona leta 2020 imeti možnost, da v prejšnjih 12 mesecih predložijo poročilo o podatkih o uporabnikih. To dejansko pomeni, da morajo podjetja 1. januarja 2019 te podatke spremljati."

S pravnega vidika Bowman pravi, da bi lahko prišlo do nekaterih sprememb pred rokom. "Pričakujemo, da bomo videli nekaj sprememb zakona, preden začne veljati, " je dejala. "Ker je bil ta osnutek dokaj hitro pripravljen, tudi potem, ko začne veljati, lahko ostane nekaj sivih površin, ki glede na naše razumevanje le-teh ostajajo neporavnane. Navsezadnje je GDPR potreboval leta za pripravo, še vedno pa obstaja več delov GDPR ki so dvoumni."