Ви готові до закону про конфіденційність споживачів у Каліфорнії?

Деякі з найбільш відомих технологічних компаній знаходяться в штаті Каліфорнія, штат, який 28 червня 2018 року прийняв Каліфорнійський закон про конфіденційність споживачів 2018 року (CCPA). CCPA набуде чинності до 1 січня 2020 року, але, як очікується, це вплине на бізнес у всій Каліфорнії, США та, власне, у всьому світі. CCPA вплине на те, як підприємства можуть обробляти дані клієнтів, і багато хто вважає найсуворішим законом про захист даних в історії США.

Якщо ти відчуваєш почуття дежау, то ти не один. Ще в травні набув чинності Загальний регламент Європейського Союзу про захист даних (GDPR). GDPR був гарячою темою тут у PCMag. Хоча закон приймався через Атлантичний океан, правда, він робив позначку для бізнесу у всьому світі, оскільки він стосується всіх громадян ЄС незалежно від місця проживання. Так само, як і GDPR, вплив нової CCPA матиме далекосяжні наслідки поза рамками свого походження. Ми поговорили з кількома експертами, щоб дізнатися більше про CCPA та деякі її очікувані наслідки.

CCPA і Ви: Вступ

CCPA встановлює право споживача вимагати, щоб підприємства розкривали, які саме дані збираються про них. Якщо ви не використовуєте такий інструмент, як віртуальна приватна мережа (VPN), це майже впевненість, що незліченна кількість підприємств збирає інформацію про вас, коли ви знаходитесь в мережі. Говорити про подібну прозорість, яку буде досягати CCPA, - це було б заниженням.

Джон Цопаніс - менеджер із продуктів конфіденційності в компанії 1touch.io, яка допомагає бізнесу розуміти особисті дані, якими вони обробляють. Останні кілька років Цопаніс проводив консультації щодо GDPR для компаній і готується зробити те саме з CCPA. Цопаніс пояснює CCPA в основних термінах.

"1 січня 2020 року житель Каліфорнії матиме законне право запитати будь-яку велику компанію в Америці:" Чи обробляєте ви мою інформацію? "", - сказав Цопаніс. "Протягом 45 днів ця компанія буде зобов'язана відповісти з доповіддю, в якій детально описується останні 12 місяців. Вона повинна буде показати, які конкретні категорії особистої інформації вони мають про цю особу, з ким вони діляться та які причини для їх опрацювання. Вони повинні надати цю інформацію мешканцям Каліфорнії - всі 40 мільйонів - у строки ".

Відмінності між GDPR та CCPA

Існують суттєві відмінності між тим, що робить GDPR, і тим, що охоплює CCPA. Для початку CCPA використовуватиме згоду для відмови, тоді як GDPR використовує базу для відмови. Це по суті означає, що користувачам доведеться активно звертатися до компаній, щоб дізнатися про те, яку інформацію використовують. Крім того, GDPR застосовується до будь-якої організації, яка зберігає особисті дані про громадян ЄС.

CCPA, з іншого боку, стосується лише некомерційних компаній, які обробляють дані про жителів Каліфорнії. Організація повинна або робити щонайменше 24 мільйони доларів США щорічного доходу, зберігати дані 50 000 людей, або робити принаймні половину своїх доходів від продажу персональних даних. Отже, якщо ви володієте невеликим бутіком-магазином, а масштаби ваших онлайн-операцій - це веб-сторінка, в якій перераховані години та адреса вашого магазину, то вам не доведеться надто турбуватися про CCPA. Але якщо ви запускаєте веб-сайт електронної комерції через постачальника «під ключ» або підтримуєте власний веб-сайт «e-tail» через загальну веб-службу хостингу, тоді ви захочете звернути увагу.

Кортні Боуман - юрист у відділі судових процесів міжнародної юридичної компанії Proskauer Rose LLP. Боуман пояснює, чому CCPA вимагатиме від компаній ретельно продумати використання своїх даних далеко після 2020 року. "Ця вимога за 12 місяців означає, що компаніям доведеться придивлятися до своєї політики конфіденційності принаймні один раз на рік і намагатися з'ясувати, чи щось змінилося, " вона сказала.

"Їм доведеться постійно контролювати, які дані вони продають чи розголошують третім сторонам, щоб вони могли відповідно коригувати свою політику конфіденційності", - продовжив Боуман. "Закон також дає права споживачам отримувати доступ до або видаляти їх особисту інформацію в деяких ситуаціях, і підприємствам потрібно буде забезпечити, що вони можуть реально реалізувати це право оперативно. Це вимагає від компаній, що займаються картою даних, щоб з'ясувати, де їх дані розташований, а також підтримувати зв'язки зі своїми відділами ІТ, щоб з’ясувати, що їм потрібно зробити, щоб переконатися, що вони можуть виконувати свої обов'язки згідно з цим актом ».

Широкий вплив CCPA

Протягом місяців, що випливали до GDPR, головною темою нашого висвітлення було те, що в нашому глобалізованому світі GDPR вплине на бізнес за межами Європи. Зрештою, більшість великих компаній ведуть бізнес за кордоном, і їм доведеться змінити свої онлайн-операції в усьому світі, щоб відповідати законодавству. Однак, коли ми розмовляли з Цопанісом, він сказав, що американським компаніям досі потрібно звернути особливу увагу на CCPA.

"Що стосується американських компаній, то GDPR був в основному орієнтований на основні організації, що діють через канали. Зважаючи на це, критерії для компаній, які кваліфікуються, значно більші за великим порядком", - сказав Цопаніс. "У Каліфорнії 40 мільйонів людей; 50 000 - це навіть не 0, 1 відсотка населення. Я думаю, що масштаби впливу американських компаній значно вищі, ніж раніше за GDPR".

Цопаніс пропонує приклад гіганта швидкого харчування Венді. "Венді" - це 999-та найбільша компанія Fortune 1000 і має щорічний дохід в 1, 2 млрд. Дол. США - 48 разів перевищує поріг застосування відповідно до цього закону. Принаймні, в Америці потрібно 1000 мільярдів доларів. цього закону, і на значні порядки більше, ніж у категорії 25 мільйонів доларів ".

Ми можемо не вважати Венді технологічною компанією, але вони збирають справедливу частку інформації про користувачів. Вони також є прекрасним прикладом того, як компанії будь-якого типу будуть впливати на CCPA. Коли ви відвідуєте їх веб-сайт, замовляєте їжу через їхні торгові точки (POS) або навіть просто користуєтесь Wi-Fi у вашому місцевому ресторані Венді, компанія збирає вашу інформацію, а в Каліфорнії - принаймні, що " Усі підлягають регулюванню CCPA. Якщо така маленька компанія, як Венді, збирає стільки даних про користувачів, то думати про те, що збирають більші корпорації, просто страшно. Простіше кажучи, CCPA матиме величезні наслідки.

Важливі відкриття даних

Одним з найважливіших наслідків CCPA є те, що американці, нарешті, зможуть розкрити величезну кількість даних про купівлю та продаж даних, які роблять компанії. "Цей законопроект дозволить американському народові нарешті розкрити масову мережу організацій, що купують та продають дані, раніше були абсолютно анонімними. Це призведе до кардинального культурного зрушення у сприйнятті конфіденційності даних, і, зрештою, на якийсь момент призводить до узгодженого федерального закону про конфіденційність, - сказав Цопаніс.

Коли Cambridge Analytica скандал розгорівся, він привернув увагу мільйонів людей, будь вони технологами чи ні. Це змусило людей дуже стурбовано тим, хто збирає їх інформацію та що з нею робиться, і ЦНАП - це частково відповідь на це. Цопаніс стверджує, що отримані одкровення будуть масовими.

"Для кожного журналіста в країні - це знахідка. Каліфорнія - це 2, 7 трильйона доларів економіки - п'ята за величиною в світі - і вона побудована на великих даних. Кожен запит на доступ від кожної компанії Fortune 1000 відкриє цілу мережу. компаній, що купують і продають дані, які будуть піддаватися ретельному контролю ", - пояснив Цопаніс. "Ми точно не знаємо, що ми знайдемо, коли люди почнуть отримувати свої звіти про дані, але, безумовно, є якісь цікаві викриття".

Всього 18 місяців, щоб підготуватися

Якщо ми дізналися що-небудь з GDPR, це те, що компанії потрібно планувати якомога раніше, щоб бути готовими до цього терміну. Зважаючи на це, американські компанії взагалі не мають багато часу. GDPR був прийнятий у квітні 2016 року, і у компаній було достатньо трохи більше двох років, щоб адаптуватися та виконувати регламент. Оскільки CCPA набуває чинності на початку 2020 року, це означає, що для великих компаній зараз достатньо 18 місяців.

Цей термін, швидше за все, підкреслить навіть самого досвідченого професіонала техніки. "Обсяг роботи, яку потрібно виконати за 18 місяців, більший, ніж це було потрібно для GDPR, з меншим часом на це, і з американськими компаніями, які виходять з нижчим рівнем зрілості конфіденційності, ніж Європа", - попереджає Цопаніс.

Для цього ветеран безпеки рекомендує компаніям належним чином доглядати за розвитком своїх процесів. "У наступні півроку, що потрібно зробити організаціям, це розробити якийсь метод відстеження особистої інформації по всій організації", - сказав Цопаніс. "Їм потрібен спосіб легкого доступу до того, яка особиста інформація була надіслана третій стороні та в який час, і тоді вони повинні мати можливість відстежувати це протягом 12 місяців до впровадження, і бути готовим надати цю інформацію на запит, коли регуляція вступає в дію.

"Це, по суті, вимагатиме від майже всіх великих американських компаній проводити основні заходи з ідентифікації даних та мати змогу автоматизувати та відповідати на запити доступу суб'єктів даних від жителів Каліфорнії на дату введення в дію", - продовжив Цопаніс. "Важливо також зазначити, що після прийняття закону у 2020 році вони повинні мати можливість подавати звіт про інформацію про користувачів за попередні 12 місяців. Це фактично означає, що підприємствам потрібно відстежувати ці дані 1 січня 2019 року. "

З юридичної точки зору, Боуман каже, що можливі зміни, внесені до встановленого терміну. "Ми очікуємо, що ми побачимо деякі зміни до закону, перш ніж він набуде чинності", - сказала вона. "Оскільки проект був складений досить швидко, навіть після того, як він набуде чинності, можуть бути деякі сірі зони, які залишаються непомітними з точки зору нашого розуміння їх. Зрештою, для розробки проекту GDPR були потрібні роки, і Є ще кілька частин GDPR які неоднозначні ".