Калифорнийский закон о конфиденциальности потребителей вступает в силу 1 января. Вы готовы?

Калифорнийский эквивалент GDPR ЕС — Калифорнийский закон о конфиденциальности потребителей (CCPA) — штурмом берет США. Утвержденное в июне 2018 года, это всеобъемлющее положение о конфиденциальности, во многом похожее на GDPR, направлено на усиление мер защиты конфиденциальности в США и предоставление людям необходимого контроля над своими данными. Он вступает в силу 1 января. Мы надеемся, что предприятия уже готовятся к соблюдению.

Что такое Калифорнийский закон о конфиденциальности потребителей

Еще в 1972 году в Конституцию Калифорнии были внесены поправки, в соответствии с которыми ее жители получили право на неприкосновенность частной жизни. На протяжении многих лет были созданы различные механизмы для защиты этого права. Однако по мере того, как время шло, технологии развивались и играли значительную роль в повседневной жизни и бизнесе, было признано, что личная информация теперь подвергается повышенному риску.

Несколько организаций обрабатывают информацию потребителей. Такие инциденты, как скандал с Cambridge Analytica, высветили настоятельную необходимость перемен. Этот инцидент, в частности, повысил глобальное осознание реальных рисков, когда десятки миллионов людей подверглись несанкционированному использованию их личной информации (не подозревая, что это даже происходит).

Благодаря CCPA законодательство Калифорнии было обновлено, чтобы обеспечить трансформацию конфиденциальности данных, привести законы в соответствие со временем и требованиями современных людей. Кроме того, его цель состоит в том, чтобы привести закон в соответствие с достижениями в области технологий и деловой практики, а также свести к минимуму потенциальное воздействие на конфиденциальность, когда предприятия обрабатывают личную информацию потребителей, и позволить потребителям лучше защищать и контролировать свою информацию. Кроме того, чтобы дать потребителям прозрачность, в которой они нуждаются.

CCPA — это новый Закон штата Калифорния о конфиденциальности потребителей. Он дает право на неприкосновенность частной жизни жителям Калифорнии и влияет на организации, обрабатывающие личную информацию потребителей.

На кого влияет CCPA

Калифорнийское законодательство распространяется на все организации, которые обслуживают жителей Калифорнии. Для соблюдения закона компаниям не обязательно находиться в Калифорнии. Где бы он ни базировался, если он обслуживает жителей Калифорнии, он должен соответствовать требованиям. Это похоже на GDPR, который требует, чтобы любая организация, обрабатывающая личную информацию граждан ЕС, соблюдала правила независимо от того, где находится компания.

Однако некоторые различия между CCPA и GDPR связаны с тем, какие предприятия затронуты. GDPR требует соблюдения всех компаний, независимо от размера или дохода. Однако Закон штата Калифорния о конфиденциальности потребителей распространяется только на те предприятия, которые соответствуют одному из следующих критериев:

• Иметь годовой валовой доход более 25 миллионов долларов.
• Покупайте, продавайте или делитесь данными более чем 50 000 потребителей, домохозяйств или устройств. (В данном случае размер бизнеса не имеет значения).
• Получает более половины своего годового дохода от продажи личной информации потребителей.

Имея это в виду, GDPR может иметь более широкий охват, чем CCPA.

CCPA не распространяется на некоторые организации, которые уже связаны другими требованиями, включая поставщиков медицинских услуг и страховщиков, которые уже должны соблюдать HIPAA, банки и финансовые учреждения, подпадающие под действие Gramm-Leach-Bliley, и агентства кредитной информации, которые должны соответствовать требованиям Fair Credit Reporting. Действовать.

Личная информация в соответствии с CCPA

Калифорнийский закон о конфиденциальности потребителей относится к личной информации, которая «идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством».

В то время как GDPR распространяется на любые персональные данные, относящиеся к идентифицированному или идентифицируемому субъекту данных, не обязательно потребителю, как GDPR, так и CCPA схожи в отношении информации, которую они защищают (информация, которая может использоваться для идентификации человека). Однако CCPA включает личную информацию, которой нет в GDPR (например, информацию, связанную с домохозяйствами и устройствами). Информация, охватываемая новым законодательством CCPA, намного шире, чем предыдущая регулируемая информация. Он включает дополнительные идентификаторы, которые обычно не считаются личной информацией (те, которые «относятся» или «обоснованно связаны с»).

Личная информация в соответствии с CCPA (как указано в законопроекте) включает в себя:

1. Идентификаторы, включая настоящее имя, псевдоним, почтовый адрес, уникальный личный идентификатор, онлайн-идентификатор, адрес интернет-протокола (IP), адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта или другие подобные идентификаторы.
2. Характеристики защищенных классификаций в соответствии с Калифорнийским или федеральным законодательством.
3. Коммерческая информация, включая записи о личном имуществе, продуктах или услугах, приобретенных, полученных или рассматриваемых, или другие истории или тенденции покупок или потребления.
4. Биометрическая информация.
5. Информация об активности в Интернете или другой электронной сети, включая, помимо прочего, историю просмотров, историю поиска и информацию о взаимодействии потребителя с веб-сайтом, приложением или рекламой в Интернете.
6. Данные геолокации.
7. Звуковая, электронная, визуальная, тепловая, обонятельная или подобная информация.
8. Профессиональная или связанная с трудоустройством информация.
9. Информация об образовании, определяемая как информация, которая не является общедоступной личной информацией, как это определено в Законе о правах семьи на образование и конфиденциальности.

Законопроект также включает выводы, сделанные на основе личной информации, используемой для создания профиля потребителя, отражающего предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, отношение, интеллект, способности и способности потребителя.

Однако личная информация не включает деидентифицированную (анонимную), совокупную информацию о потребителях и некоторую общедоступную информацию (например, данные из государственных архивов).

Соображения по соблюдению CCPA

Те предприятия, на которые распространяется действие CCPA, , уже будьте готовы. Если нет, то подготовка должна идти полным ходом. Поскольку дата вступления в силу не за горами, предприятия должны иметь готовые и работоспособные необходимые меры для выполнения своих обязанностей и своевременного реагирования на права лиц, пострадавших с 1 января.

Права калифорнийцев в соответствии с CCPA позволяют им осуществлять свои права на неприкосновенность частной жизни. Таким образом, предприятия, обрабатывающие их персональные данные, должны соблюдать их в соответствии с законодательством. Для их надлежащего выполнения предприятиям потребуются надежные технологии, а также политики и процедуры управления данными.

Для CCPA должны быть соблюдены следующие критерии:

• Потребители могут запрашивать и получать доступ к собранной о них информации. (Информация, собранная о них, должна быть раскрыта до сбора, и никакие другие данные или информация не могут быть собраны без дополнительного согласия.)
• Потребители могут запросить удаление информации (право на забвение).
• Компании должны раскрывать категории информации и цели собираемых данных.
• Компании, продающие информацию о клиентах, должны предоставить подробную информацию о категориях и о том, кому продаются данные.
• Потребители могут отказаться от продажи информации третьей стороне.
• Предприятия не будут дискриминировать потребителей, которые реализуют свои права на неприкосновенность частной жизни в соответствии с CCPA.
• Компании должны отвечать на информационный запрос в течение 45 дней и иметь свободный и понятный способ для потребителей воспользоваться своими правами на конфиденциальность (инструкции на веб-странице или бесплатный номер для звонка).
• Компании, которые продают информацию, должны предоставить четкую и заметную ссылку на своем веб-сайте под названием «Не продавать мою личную информацию».
• Компании должны предоставить доступ к политикам конфиденциальности в Интернете и описаниям для Калифорнии.
• Предприятия должны проводить обучение сотрудников по вопросам CCPA.
• Предприятия должны предоставить потребителям четкий способ отказа.
• Предприятия должны предоставить потребителям средства, позволяющие человеку отказаться от подписки исключительно от их имени.
• Потребители, пострадавшие от взлома их личной информации в результате несанкционированного доступа к ненадлежащим образом защищенной личной информации, могут подать иск генеральному прокурору, который может привести к возмещению ущерба в размере от 100 до 750 долларов США за клиента или за инцидент.
• Несоблюдение CCPA может привести к штрафу до 7500 долларов за каждое нарушение.

Шаги к соблюдению

Чтобы выполнить обязательства CCPA, бизнес должен рассмотреть свой существующий перечень данных (данные, которые он хранит и обрабатывает), а также используемые процессы ведения учета. Ему необходимо идентифицировать и классифицировать свои активы данных. Определите, где находится личная информация, и определите риск ее безопасности. Определите, необходимо ли хранить данные, а если нет, всегда рекомендуется хранить только то, что необходимо, и безопасно удалить ненужные данные (тем самым вы устраняете ненужный риск). Поддерживайте реестр данных в актуальном состоянии, постоянно просматривая и управляя им.

Внедрите процедуры или внесите необходимые изменения в существующие, чтобы бизнес мог отреагировать на запрос о правах потребителей на неприкосновенность частной жизни, как это изложено в законодательстве. Контроль доступа к данным жизненно важен для их защиты. Реализуйте соответствующие разрешения и ограничьте доступ к данным везде, где это возможно.

Обеспечьте наличие системы для управления и мониторинга данных, чтобы можно было обнаружить любую попытку несанкционированного доступа и отреагировать на нее. Будьте в курсе киберугроз, постоянно проверяйте элементы управления и корректируйте их по мере необходимости для обеспечения безопасности.

Крайне важно и должно быть приоритетом обучать и обучать всех сотрудников правильной обработке данных и последствиям неправильной обработки данных. Это должно быть актуальным, непрерывным и поощряться сверху вниз. Без этого существующих политик и процедур будет недостаточно. Если персонал не применяет их на практике, то, что задокументировано, бесполезно.

Ищите необходимую поддержку. Если это означает получение экспертного совета от более опытных консультантов или обращение за юридическими услугами для продвижения процесса вперед, сделайте это. Не у каждого бизнеса есть ресурсы под рукой, и, возможно, потребуется смотреть за пределы самого бизнеса.

Новый год, новое законодательство

Существующий уровень зрелости безопасности предприятия и стратегии защиты данных и управления будут определять его готовность к CCPA. Таким образом, важно подходить к соблюдению CCPA с учетом существующей степени готовности организации. Для определения этого можно провести оценку.

Положительным моментом является то, что те компании, которые уже соблюдают GDPR, должны обнаружить, что многие аспекты CCPA, возможно, уже учтены. Поскольку GDPR требует строгого контроля безопасности и конфиденциальности — и, возможно, всего лишь с несколькими корректировками или дополнениями, соответствие CCPA может оказаться в непосредственной близости. У тех, кто еще не соблюдает GDPR, может быть еще много работы.