Готовы ли вы к калифорнийскому закону о защите прав потребителей?

Штаб-квартира некоторых из наиболее известных технологических компаний находится в Калифорнии, штат, который 28 июня 2018 года принял Калифорнийский закон о защите прав потребителей от 2018 года (CCPA). CCPA не вступит в силу до 1 января 2020 года, но ожидается, что это повлияет на бизнес в Калифорнии, Соединенных Штатах и, по сути, во всем мире. CCPA повлияет на то, как компании могут обрабатывать данные клиентов, и многие считают его самым строгим законом о защите данных в истории США.

Если вы чувствуете себя дежавю, значит, вы не одиноки. Еще в мае вступил в силу Общий регламент Европейского Союза (ЕС) о защите данных (GDPR). GDPR был горячей темой здесь, в PCMag. Несмотря на то, что закон был принят через Атлантику, правда состоит в том, что он оставил след в бизнесе во всем мире, поскольку он распространяется на всех граждан ЕС, независимо от того, где они живут. Как и в GDPR, влияние новой CCPA будет иметь далеко идущие последствия, выходящие за рамки его исходного состояния. Мы поговорили с несколькими экспертами, чтобы узнать больше о CCPA и некоторых его ожидаемых последствиях.

CCPA и Вы: Введение

CCPA устанавливает право потребителя требовать от компаний раскрывать, какие данные о них собираются. Если вы не используете такой инструмент, как виртуальная частная сеть (VPN), то наверняка многие компании собирают информацию о вас, когда вы в сети. Сказать, что такая прозрачность, которую принесет CCPA, будет большим преуменьшением.

Джон Цопанис - менеджер по конфиденциальности продуктов в 1touch.io, компании, которая помогает компаниям понять личные данные, с которыми они работают. Цопанис провел последние несколько лет, консультируя компании по GDPR, и готовится сделать то же самое с CCPA. Цопанис объясняет CCPA в основных терминах.

«1 января 2020 года житель Калифорнии будет иметь законное право спросить любую крупную компанию в Америке:« Обрабатываете ли вы какую-либо мою информацию? », - сказал Цопанис. «В течение 45 дней эта компания будет обязана ответить отчетом с подробным описанием последних 12 месяцев. Она должна будет показать, какие конкретные категории личной информации они имеют об этом человеке, кому они делятся, и каковы причины для обработки. Они должны предоставить эту информацию жителям Калифорнии - всем 40 миллионам из них - в установленные сроки ".

Различия между GDPR и CCPA

Есть некоторые существенные различия между тем, что делает GDPR и что охватывает CCPA. Для начала, CCPA будет использовать основу отказа для согласия, в то время как GDPR использует основу согласия. По сути, это означает, что пользователи должны будут активно обращаться к компаниям, чтобы выяснить, какая информация используется. Кроме того, GDPR распространяется на любую организацию, которая хранит личные данные граждан ЕС.

CCPA, с другой стороны, применяется только к коммерческим компаниям, которые обрабатывают данные о жителях Калифорнии. Организация должна либо получать не менее 24 миллионов долларов годового дохода, либо хранить данные о 50 000 человек, либо не менее половины своих доходов при продаже персональных данных. Таким образом, если у вас есть небольшой бутик-магазин, а объем ваших онлайн-операций - это веб-страница с указанием часов и адреса вашего магазина, вам не придется слишком беспокоиться о CCPA. Но если вы управляете веб-сайтом электронной коммерции через провайдера «под ключ» или поддерживаете свой собственный веб-сайт электронной коммерции через обычную службу веб-хостинга, вам следует обратить на это внимание.

Кортни Боуман является юристом в судебном отделе международной юридической фирмы Proskauer Rose LLP. Боуман объясняет, почему CCPA потребует от компаний тщательно продумывать использование своих данных далеко за пределами 2020 года. «Это требование на 12 месяцев означает, что компаниям придется смотреть на свою политику конфиденциальности не реже одного раза в год и пытаться выяснить, изменилось ли что-нибудь»., " она сказала.

«Им придется постоянно следить за тем, какие данные они продают или раскрывают третьим сторонам, чтобы они могли соответствующим образом изменить свою политику конфиденциальности», - продолжил Боуман. «Закон также дает потребителям право доступа или удаления их личной информации в некоторых ситуациях, и предприятиям необходимо будет обеспечить, чтобы они могли на самом деле оперативно реализовать это право. Это потребует от компаний участия в картировании данных, чтобы выяснить, где их данные расположен, а также для связи со своими ИТ-отделами, чтобы выяснить, что им нужно сделать, чтобы убедиться, что они могут выполнять свои обязанности в соответствии с законом ".

Широкое влияние CCPA

В течение нескольких месяцев, предшествовавших ВВП, в нашем освещении постоянно обсуждалась тема о том, что в нашем глобализированном мире ВВП влияет на бизнес за пределами Европы. В конце концов, большинство крупных компаний ведут бизнес за границей, и им придется менять свои онлайн-операции по всему миру, чтобы соблюдать закон. Однако, когда мы говорили с Цопанисом, он сказал, что американским компаниям все еще нужно обратить особое внимание на CCPA.

«Когда дело доходит до американских компаний, GDPR был в основном сосредоточен на крупных организациях, которые работали по всем каналам. С учетом этого критерии для компаний, которые подпадают под эти требования, гораздо шире, чем на порядок», - сказал Цопанис. «В Калифорнии проживает 40 миллионов человек; 50000 - это даже не 0, 1 процента населения. Я думаю, что масштаб воздействия на американские компании значительно выше, чем это было ранее при GDPR».

Цопанис предлагает пример гиганта быстрого питания Венди. «Wendy's является 999-й по величине компанией в списке Fortune 1000 и имеет годовой доход в 1, 2 миллиарда долларов, что в 48 раз превышает пороговое значение для применения в соответствии с этим законом. По крайней мере, в Америке есть компании, которые должны соблюдать 1000 миллиардов долларов. этот закон, и значительно на порядок больше, чем в категории 25 миллионов долларов ".

Мы можем не считать Венди технологической компанией, но они собирают свою справедливую долю пользовательской информации. Они также являются прекрасным примером того, как CCPA затронет все компании. Когда вы заходите на их веб-сайт, заказываете еду через их POS-системы или просто используете Wi-Fi в местном ресторане Wendy's, компания собирает вашу информацию, и в Калифорнии, по крайней мере, это ' Все будет подчиняться регулированию CCPA. Если такая маленькая компания, как Венди, собирает так много данных о пользователях, то подумать о том, что собирают крупные корпорации, просто страшно. Проще говоря, CCPA будет иметь огромные последствия.

Важные открытия данных

Одним из наиболее важных эффектов CCPA является то, что американцы наконец смогут раскрыть огромные объемы покупки и продажи данных, которые делали компании. «Этот законопроект позволит американским людям, наконец, раскрыть массовую сеть организаций, занимающихся покупкой и продажей данных, ранее полностью анонимных. Это приведет к драматическому культурному сдвигу в восприятии конфиденциальности данных и, в конечном итоге, к какой-то момент приведет к гармонизированному федеральному закону о конфиденциальности ", - сказал Цопанис.

Когда Кембридж Аналитика Разразился скандал, он привлек внимание миллионов людей, независимо от того, были они технологами или нет. Люди были очень обеспокоены тем, кто собирает их информацию и что с ней делается, и CCPA отчасти является ответом на это. Цопанис утверждает, что полученные откровения будут массовыми.

«Для каждого журналиста в стране это - находка. Калифорния - экономика с оборотом в 2, 7 триллиона долларов - пятая по величине в мире - и она построена на больших данных. Каждый запрос на доступ от каждой компании из списка Fortune 1000 будет раскрывать целую сеть. Цопанис пояснил, что компании, занимающиеся покупкой и продажей данных, будут подвергнуты тщательному анализу. «Мы не знаем точно, что мы найдем, когда люди начнут получать свои отчеты с данными, но наверняка будут некоторые интересные открытия».

Всего 18 месяцев на подготовку

Если мы что-то узнали из GDPR, то это то, что компании должны планировать как можно раньше, чтобы быть готовыми к крайнему сроку. Имея это в виду, у американских компаний совсем немного времени. GDPR был принят в апреле 2016 года, и компаниям потребовалось чуть более двух полных лет, чтобы приспособиться и соблюдать правила. Поскольку CCPA вступает в силу в самом начале 2020 года, это означает, что у крупных компаний сейчас есть всего 18 месяцев, чтобы подготовиться.

Этот крайний срок, вероятно, сделает даже самого опытного технического специалиста подчеркнутым. «Объем работы, который должен быть выполнен за 18 месяцев, больше, чем это было необходимо для GDPR, с меньшим количеством времени на это и с американскими компаниями, выходящими из более низкого уровня зрелости конфиденциальности, чем Европа», предупреждает Цопанис.

В соответствии с этим, ветеран безопасности рекомендует компаниям уделять должное внимание развитию своих процессов. «В течение следующих шести месяцев организации должны разработать какой-то метод отслеживания личной информации в рамках всей организации», - сказал Цопанис. «Им нужен способ легкого доступа к тому, какая личная информация была отправлена, какой третьей стороне и в какое время, а затем они должны иметь возможность отслеживать это в течение 12 месяцев до начала реализации и быть готовы предоставить эту информацию по запросу, когда регулирование вступает в игру.

«По сути, это потребует, чтобы почти все крупные американские компании проводили основную деятельность по идентификации данных, и были в состоянии автоматизировать и отвечать на запросы субъекта данных о доступе от жителей Калифорнии в день исполнения», - продолжил Цопанис. «Также важно отметить, что, когда закон будет принят в 2020 году, они должны быть в состоянии предоставить отчет о пользовательской информации за предыдущие 12 месяцев. Это фактически означает, что предприятия должны отслеживать эти данные с 1 января 2019 года»."

С юридической точки зрения Боумен говорит, что могут быть внесены некоторые изменения до истечения срока. «Мы ожидаем, что увидим некоторые изменения в законе до его вступления в силу», - сказала она. «Поскольку он был составлен довольно быстро, даже после того, как он вступит в силу, могут существовать некоторые серые области, которые остаются неясными с точки зрения нашего понимания их. В конце концов, у GDPR были годы, чтобы составить, и все еще есть несколько частей GDPR это неоднозначно ".