Obsah:
- CCPA a vy: Úvod
- Rozdiely medzi GDPR a CCPA
- Široký dopad CCPA
- Dôležité objavy údajov
- Len 18 mesiacov na prípravu
Video: Gymnastics Competition Preparation | Whitney Bjerken (Septembra 2024)
Niektoré z najznámejších technologických spoločností majú ústredie v Kalifornii, v štáte, ktorý 28. júna 2018 schválil Kalifornský zákon o ochrane spotrebiteľa z roku 2018 (CCPA). CCPA nenadobudne účinnosť do 1. januára 2020, očakáva sa však, že ovplyvní podniky v celej Kalifornii, Spojených štátoch a v skutočnosti na celom svete. CCPA ovplyvní spôsob, akým podniky môžu spracovať údaje o zákazníkoch, a mnohí to považujú za najprísnejší zákon o ochrane údajov v histórii USA.
Ak máte pocit, že ste déjà vu, potom nie ste sami. V máji nadobudlo účinnosť všeobecné nariadenie Európskej únie (EÚ) o ochrane údajov (GDPR). GDPR bol v PCMag horúcou témou. Zatiaľ čo zákon bol prijatý v Atlantickom oceáne, pravda je taká, že je známkou pre podniky na celom svete, pretože sa uplatňuje na všetkých občanov EÚ bez ohľadu na to, kde žijú. Rovnako ako GDPR bude mať dopad novej CCPA ďalekosiahle dôsledky mimo rozsahu jej pôvodného stavu. Hovorili sme s niekoľkými odborníkmi, aby sme sa dozvedeli viac o CCPA a niektorých jeho očakávaných dôsledkoch.
CCPA a vy: Úvod
CCPA zakladá právo spotrebiteľa požadovať, aby podniky zverejnili, aký druh údajov sa o nich zhromažďuje. Pokiaľ nepoužívate nástroj, napríklad virtuálnu súkromnú sieť (VPN), je takmer isté, že nespočetné podniky zhromažďujú informácie o vás kedykoľvek, keď ste online. Povedať tento druh transparentnosti, ktorý prinesie CCPA, je veľkým podhodnotením.
John Tsopanis je produktovým manažérom ochrany súkromia na stránke 1touch.io, ktorý pomáha podnikom porozumieť osobným údajom, s ktorými zaobchádzajú. Tsopanis strávil v posledných rokoch konzultáciami spoločnosti GDPR pre spoločnosti a pripravuje sa na to isté s CCPA. Tsopanis vysvetľuje CCPA v základných pojmoch.
„Od 1. januára 2020 bude mať obyvateľ Kalifornie zákonné právo požiadať akúkoľvek veľkú spoločnosť v Amerike:„ Spracúvate niektoré z mojich informácií? “Povedal Tsopanis. „Do 45 dní bude táto spoločnosť povinná odpovedať správou, v ktorej sa podrobne uvedie posledných 12 mesiacov. Bude musieť preukázať, aké konkrétne kategórie osobných informácií majú o tejto osobe, s ktorými ich zdieľajú a aké sú dôvody musia tieto informácie poskytnúť obyvateľom Kalifornie - všetkých 40 miliónov - v časovom rámci. ““
Rozdiely medzi GDPR a CCPA
Medzi tým, čo GDPR robí, a tým, čo pokrýva CCPA, existujú určité podstatné rozdiely. V prípade začiatočníkov bude CCPA na základe súhlasu používať základ opt-out, zatiaľ čo GDPR používa opt-in základ. To v podstate znamená, že používatelia sa budú musieť aktívne obrátiť na spoločnosti, aby zistili, aký druh informácií sa používa. GDPR sa navyše vzťahuje na každú organizáciu, ktorá má osobné údaje o občanoch EÚ.
Na druhej strane sa CCPA vzťahuje iba na ziskové spoločnosti, ktoré spracúvajú údaje o obyvateľoch Kalifornie. Organizácia musí urobiť aspoň 24 miliónov dolárov ročného príjmu, mať v držbe údaje 50 000 ľudí alebo aspoň polovicu svojich príjmov z predaja osobných údajov. Takže, ak vlastníte malý butikový obchod a rozsah vašich online operácií je webová stránka, na ktorej sú uvedené hodiny a adresa vášho obchodu, nemusíte sa príliš starať o CCPA. Ak však prevádzkujete webovú stránku elektronického obchodu prostredníctvom poskytovateľa na kľúč alebo si udržiavate svoju vlastnú webovú stránku elektronického chvosta prostredníctvom všeobecnej služby webhostingu, budete chcieť venovať pozornosť.
Courtney Bowman je advokátom v spore v medzinárodnej právnej kancelárii Proskauer Rose LLP. Bowman vysvetľuje, prečo bude CCPA vyžadovať, aby spoločnosti starostlivo premýšľali o využívaní svojich údajov ďaleko po roku 2020. „Táto požiadavka 12 mesiacov znamená, že spoločnosti sa budú musieť aspoň raz ročne pozrieť na svoje zásady ochrany osobných údajov a pokúsiť sa zistiť, či sa niečo zmenilo., " povedala.
„Budú musieť neustále monitorovať, aké údaje predávajú alebo zverejňujú tretím stranám, aby mohli zodpovedajúcim spôsobom upraviť svoje zásady ochrany osobných údajov, “ pokračoval Bowman. „Zákon tiež dáva spotrebiteľom právo na prístup alebo vymazanie svojich osobných údajov v niektorých situáciách a podniky budú musieť zaistiť, aby mohli toto právo skutočne účinne uplatniť. Toto bude vyžadovať, aby sa spoločnosti zapojili do mapovania údajov, aby zistili, kde ich údaje sú. sa nachádza, a tiež sa spojiť so svojimi IT oddeleniami, aby zistili, čo musia urobiť, aby sa ubezpečili, že môžu plniť svoje povinnosti podľa zákona. “
Široký dopad CCPA
V mesiacoch, ktoré viedli k GDPR, bola bežnou témou nášho pokrytia to, že v našom globalizovanom svete by GDPR ovplyvnil podniky mimo Európy. Veď väčšina veľkých spoločností podniká v zahraničí a bude musieť globálne zmeniť svoje online operácie, aby dodržiavala zákon. Keď sme však hovorili s Tsopanisom, povedal, že americké spoločnosti si stále musia osobitnú pozornosť CCPA všimnúť.
„Pokiaľ ide o americké spoločnosti, GDPR sa zameriaval hlavne na hlavné organizácie, ktoré pôsobili naprieč kanálmi. Kritériá pre spoločnosti, ktoré sa kvalifikujú, sú oveľa väčšie podľa veľkého rozsahu, “ uviedol Tsopanis. „V Kalifornii je 40 miliónov ľudí; 50 000 nie je ani 0, 1% populácie. Myslím si, že miera vystavenia amerických spoločností je výrazne vyššia ako v minulosti pod HDPR.“
Tsopanis ponúka príklad obra rýchleho občerstvenia Wendyho. „Spoločnosť Wendy's je 999. najväčšou spoločnosťou na trhu Fortune 1000 a má ročný príjem 1, 2 miliardy dolárov - čo je 48-krát viac, ako je hranica uplatniteľnosti podľa tohto zákona. V Amerike musí prinajmenšom dosiahnuť 1 000 miliárd dolárov spoločnosti, ktoré musia dodržiavať tento zákon a významné rády vyššie ako v kategórii 25 miliónov dolárov. ““
Nemôžeme považovať spoločnosť Wendy za technickú spoločnosť, ale zhromažďujú spravodlivý podiel informácií o používateľoch. Sú tiež dokonalým príkladom toho, ako spoločnosti CCPA ovplyvnia spoločnosti všetkého druhu. Keď navštívite ich webovú stránku, objednáte si jedlo prostredníctvom svojich predajných systémov (POS) alebo dokonca jednoducho použijete Wi-Fi v miestnej reštaurácii Wendy's, spoločnosť zhromažďuje vaše informácie a prinajmenšom v Kalifornii „ Na všetky sa bude vzťahovať nariadenie CCPA. Ak spoločnosť, ktorá je „malá“ ako spoločnosť Wendy's, zhromažďuje toľko údajov o užívateľoch, potom je úplne vystrašené premýšľať o tom, čo zbierajú väčšie korporácie. Zjednodušene povedané, CCPA bude mať obrovské dôsledky.
Dôležité objavy údajov
Jedným z najdôležitejších účinkov CCPA je to, že Američania budú konečne schopní odhaliť obrovské množstvá nákupu a predaja údajov, ktoré spoločnosti robia. „Tento návrh umožní Američanom konečne odhaliť masovú sieť organizácií zaoberajúcich sa nákupom a predajom údajov, ktoré boli predtým úplne anonymné. To povedie k dramatickému kultúrnemu posunu v spôsobe, akým sa vníma súkromie údajov, a nakoniec aj v niekedy vedú k harmonizovanému federálnemu zákonu o ochrane súkromia, “uviedol Tsopanis.
Keď
„Pre každého novinára v krajine je to dar z nebies. Kalifornia je ekonomika s 2, 7 biliónmi dolárov - piata najväčšia na svete - a je postavená na veľkých údajoch. Každá žiadosť o prístup od každej spoločnosti Fortune 1000 odhalí celú sieť spoločností zaoberajúcich sa nákupom a predajom údajov, ktoré sa podrobia intenzívnej kontrole, “vysvetlil Tsopanis. „Nevieme presne, čo nájdeme, keď ľudia začnú dostávať prehľady údajov, ale určite existujú nejaké zaujímavé odhalenia.“
Len 18 mesiacov na prípravu
Ak sme sa dozvedeli niečo z GDPR, je to, že spoločnosti musia plánovať čo najskôr, aby boli pripravené na termín. Vzhľadom na to americké spoločnosti nemajú dosť času. GDPR bol prijatý v apríli 2016 a spoločnosti mali trochu viac ako dva celé roky na to, aby sa prispôsobili a dodržiavali nariadenie. Keďže CCPA nadobúda účinnosť začiatkom roku 2020, znamená to, že väčšie spoločnosti majú na prípravu už 18 mesiacov.
V tomto termíne pravdepodobne vystúpia aj tí najskúsenejší technici. „Množstvo práce, ktorá musí byť vykonaná do 18 mesiacov, je väčšie, ako bolo potrebné pre GDPR, s kratším časom na to as americkými spoločnosťami, ktoré pochádzajú z nižšej úrovne ochrany súkromia ako Európa, “ varuje Tsopanis.
Bezpečnostný veterán odporúča spoločnostiam venovať náležitú pozornosť rozvoju ich procesov. „Organizácie musia v nasledujúcich šiestich mesiacoch vyvinúť nejaký spôsob sledovania osobných údajov v organizácii, “ uviedol Tsopanis. „Potrebujú spôsob, ako ľahko získať prístup k tomu, aké osobné informácie boli zaslané tretej strane a v akom čase, a potom musia byť schopní tieto informácie sledovať počas 12 mesiacov až po implementáciu a sú pripravené poskytnúť tieto informácie na požiadanie, keď nariadenie vstupuje do hry.
„V podstate bude vyžadovať, aby takmer všetky významné americké spoločnosti vykonávali hlavné činnosti v oblasti identifikácie údajov a boli schopné automatizovať a reagovať na žiadosti o prístup k údajom od obyvateľov Kalifornie v deň vymáhania, “ pokračoval Tsopanis. „Je tiež dôležité si uvedomiť, že keď zákon vstúpi do roku 2020, musí byť schopný poskytnúť správu o informáciách o používateľovi v predchádzajúcich 12 mesiacoch. V skutočnosti to znamená, že podniky musia tieto údaje sledovať 1. januára 2019."
Z právneho hľadiska Bowman tvrdí, že pred termínom by sa mohli urobiť nejaké zmeny. „Očakávame, že pred nadobudnutím účinnosti dôjde k niekoľkým revíziám zákona, “ uviedla. „Pretože bol vypracovaný pomerne rýchlo, aj po jeho nadobudnutí účinnosti môžu existovať niektoré sivé oblasti, ktoré z hľadiska nášho chápania zostávajú vynikajúce. Koniec koncov, vývoj HDPR trval roky a ešte stále existuje niekoľko častí GDPR. ktoré sú nejednoznačné. ““
