Oletko valmis Kalifornian kuluttajansuojalakiin?

Jotkut tunnetuimmista teknologiayrityksistä sijaitsevat pääkonttorissa Kaliforniassa, osavaltiossa, joka hyväksyi 28. kesäkuuta 2018 Kalifornian kuluttajansuojalain 2018 (CCPA). CCPA tulee voimaan vasta 1. tammikuuta 2020, mutta sen odotetaan vaikuttavan yrityksiin kaikkialla Kaliforniassa, Yhdysvalloissa ja itse asiassa koko maailmassa. CCPA vaikuttaa tapaan, jolla yritykset voivat käsitellä asiakastietoja, ja monet katsovat, että se on Yhdysvaltojen historian tiukin tietosuojalaki.

Jos tunnet tunteen déjà vu, et ole yksin. Euroopan unionin (EU) yleinen tietosuoja-asetus (GDPR) tuli voimaan toukokuussa. GDPR on ollut kuuma aihe täällä PCMagissa. Vaikka laki tehtiin Atlantin yli, totuus on, että se on merkki yrityksille maailmanlaajuisesti, koska sitä sovelletaan kaikkiin EU: n kansalaisiin asuinpaikasta riippumatta. Uuden CCPA: n vaikutuksella on aivan kuten GDPR: lläkin kauaskantoisia vaikutuksia, jotka ylittävät sen alkuperävaltion laajuuden. Keskustelemme muutamien asiantuntijoiden kanssa saadaksesi lisätietoja CCPA: sta ja sen odotettavissa olevista vaikutuksista.

CCPA ja sinä: Johdanto

CCPA vahvistaa kuluttajan oikeuden vaatia yrityksiä paljastamaan, millaisia ​​tietoja heistä kerätään. Ellet käytä työkalua, kuten virtuaalista yksityistä verkkoa (VPN), on melko varmaa, että lukemattomat yritykset keräävät tietoja sinusta aina, kun olet online-tilassa. Sanoa, että CCPA: n tällainen avoimuus on iso asia, olisi liian vähäistä.

John Tsopanis on 1touch.io -yrityksen tietosuojatuotteiden johtaja, joka auttaa yrityksiä ymmärtämään käsittelemänsä henkilötiedot. Tsopanis on viettänyt viime vuosina harjoittamalla GDPR-konsultointia yrityksille ja suunnittelee tekevänsä samoin CCPA: n kanssa. Tsopanis selittää CCPA: n perusteellisesti.

"1. tammikuuta 2020, Kalifornian asukkaalla on laillinen oikeus kysyä kaikilta isoilta yrityksiltä Amerikassa:" Käsitteletkö jotain minun tietoni? "" Tsopanis sanoi. "Yrityksen on 45 päivän kuluessa vastattava raportilla, jossa esitetään yksityiskohtaiset tiedot 12 viimeisestä kuukaudesta. Sen on osoitettava, millaisilla henkilökohtaisilla tietoryhmillä heillä on kyseisestä henkilöstä, kenen kanssa he jakavat tietoja, ja mitkä ovat syyt Heidän on annettava nämä tiedot Kalifornian asukkaille - kaikille 40 miljoonalle - määräajassa."

Eroja GDPR: n ja CCPA: n välillä

Sen suhteen, mitä GDPR tekee ja mitä CCPA kattaa, on joitain merkittäviä eroja. Ensinnäkin CCPA käyttää opt-out-perustetta suostumukseen, kun taas GDPR käyttää opt-in -perustaa. Tämä tarkoittaa lähinnä sitä, että käyttäjien on aktiivisesti otettava yhteyttä yrityksiin saadakseen selville millaisia ​​tietoja käytetään. Lisäksi GDPR koskee kaikkia organisaatioita, joilla on henkilötietoja EU: n kansalaisista.

CCPA, toisaalta, koskee vain voittoa tavoittelevia yrityksiä, jotka käsittelevät tietoja Kalifornian asukkaista. Organisaation on joko tuotettava vähintään 24 miljoonan dollarin vuotuinen tulo, hallussaan 50 000 ihmisen tiedot tai ainakin puolet tuloistaan ​​henkilökohtaisten tietojen myynnissä. Joten, jos omistat pienen putiikkikaupan ja online-toimintosi laajuus on verkkosivu, jossa on luettelo myymäläajoistasi ja osoitteestasi, sinun ei tarvitse huolehtia liikaa CCPA: sta. Mutta jos ylläpidät verkkokauppasivustoa avaimet käteen -toimittajan kautta tai ylläpidät omaa verkkosivustoasi yleisen web-hosting-palvelun kautta, sinun kannattaa kiinnittää huomiota.

Courtney Bowman on Proskauer Rose LLP: n kansainvälisen lakitoimiston oikeudenkäyntiosaston jäsen. Bowman selittää, miksi kyseinen CCPA vaatii yrityksiä ajattelemaan huolellisesti tietojen käyttöä kauas 2020-ajan jälkeen. "Tämä 12 kuukauden vaatimus tarkoittaa, että yritysten on tarkistettava tietosuojakäytäntöään vähintään kerran vuodessa ja yritettävä selvittää, onko jokin muuttunut., " hän sanoi.

"Heidän on jatkuvasti tarkkailtava, mitä tietoja he myyvät tai luovuttavat kolmansille osapuolille, jotta he voivat mukauttaa tietosuojakäytäntöjään vastaavasti", Bowman jatkoi. "Laki antaa kuluttajille myös oikeuden tutustua tai poistaa henkilökohtaisia ​​tietojasi joissakin tilanteissa, ja yritysten on varmistettava, että he voivat tosiasiallisesti käyttää tätä oikeuttaan nopeasti. Se vaatii yrityksiä osallistumaan tietojen kartoittamiseen selvittääkseen missä heidän tietonsa ovat. ", ja myös olla yhteydessä IT-osastoihinsa selvittääkseen, mitä heidän on tehtävä varmistaakseen, että he pystyvät täyttämään lain mukaiset velvollisuutensa."

CCPA: n laaja vaikutus

Kuukausina, jotka johtivat GDPR: ään, kattavana aiheena oli, että globalisoituneessa maailmassamme GDPR vaikuttaisi Euroopan ulkopuolella oleviin yrityksiin. Loppujen lopuksi useimmat suuret yritykset harjoittavat liiketoimintaa ulkomailla ja joutuvat muuttamaan verkkotoimintaa maailmanlaajuisesti noudattamaan lakia. Puhuessamme Tsopanisin kanssa hän kuitenkin sanoi, että amerikkalaisten yritysten on vielä otettava erityinen huomio CCPA: sta.

"Kun kyse on amerikkalaisista yrityksistä, GDPR keskittyi pääasiassa suuriin organisaatioihin, jotka toimivat kanavien yli. Tämän myötä kelpoisuusehdot täyttävien yritysten kriteerit ovat paljon suurempia massiivisella suuruusluokalla", Tsopanis sanoi. "Kaliforniassa on 40 miljoonaa ihmistä; 50 000 ei ole edes 0, 1 prosenttia väestöstä. Mielestäni amerikkalaisten yritysten riskitaso on huomattavasti korkeampi kuin aiemmin oli GDPR: n mukainen."

Tsopanis tarjoaa esimerkin pikaruokajättilästä Wendy'sistä. "Wendy's on Fortune 1000: n 999. suurin yritys, ja sen liikevaihto on 1, 2 miljardia dollaria - 48 kertaa suurempi kuin tämän lain mukainen sovellettavuuskynnys. Ainakin Amerikassa on 1 000 miljardin dollarin yrityksiä, joiden on noudatettava tätä lakia ja merkittäviä suuruusluokkia suurempia kuin 25 miljoonan dollarin luokassa."

Emme ehkä pidä Wendyn teknisenä yrityksenä, mutta he keräävät kohtuullisen osan käyttäjätiedoistaan. Ne ovat myös täydellinen esimerkki siitä, miten CCPA vaikuttaa kaikenlaisiin yrityksiin. Kun vierailet heidän verkkosivustolla, tilaat ruokaa heidän myyntipisteidensä kautta tai käytät vain Wi-Fi-yhteyttä paikallisen Wendyn ravintolassa, yritys kerää tietojasi, ja ainakin Kaliforniassa Kaikille sovelletaan CCPA-asetusta. Jos niin pieni kuin Wendyn yritys kerää niin paljon tietoja käyttäjistä, on suorastaan ​​pelottavaa ajatella mitä suuret yritykset keräävät. CCPA: lla on yksinkertaisesti sanottuna valtavia vaikutuksia.

Tärkeitä tiedonhakuja

Yksi CCPA: n tärkeimmistä vaikutuksista on, että amerikkalaiset pystyvät vihdoin paljastamaan valtavan määrän tietojen ostamista ja myymistä, joita yritykset ovat tehneet. "Tämän lakiehdotuksen avulla amerikkalaiset voivat lopulta paljastaa joukkoverkon, jonka tietojen ostamis- ja myyjäorganisaatiot ovat aiemmin olleet täysin nimettömiä. Tämä johtaa dramaattisiin kulttuurimuutoksiin tietoturvan havainnoinnissa ja viime kädessä joskus johtaa yhdenmukaistettuun liittovaltion yksityisyydensuojalakiin ", Tsopanis sanoi.

Kun Cambridge Analytica skandaali hajosi, se sai miljoonien ihmisten huomion riippumatta siitä, olivatko he tekniikoita vai eivät. Se sai ihmiset erittäin huolissaan siitä, kuka kerää tietojaan ja mitä sillä tehdään, ja CCPA on osittain vastaus tähän. Tsopanis väittää, että tuloksena olevat paljastukset ovat valtavia.

"Jokaiselle maan toimittajalle tämä on jumalallinen. Kalifornia on 2, 7 biljoonan dollarin talous - maailman viidenneksi suurin - ja se perustuu Big Data -sovellukseen. Jokaisen Fortune 1000 -yrityksen jokainen pääsypyyntö paljastaa koko verkon. tietojen ostamisesta ja myymisestä vastaaville yrityksille, joita aiotaan seurata tiukasti ", Tsopanis selitti. "Emme tiedä tarkalleen mitä löydämme, kun ihmiset alkavat saada tietoraporttejaan, mutta mielenkiintoisia paljastuksia on varmasti."

Vain 18 kuukautta valmistautua

Jos olemme oppineet jotain GDPR: ltä, yritysten on suunniteltava mahdollisimman aikaisin ollakseen valmiita määräaikaan. Tätä silmällä pitäen amerikkalaisilla yrityksillä ei ole paljon aikaa. GDPR hyväksyttiin huhtikuussa 2016, ja yrityksillä oli hiukan yli kaksi vuotta täydellistä mukautua ja noudattaa asetusta. Koska CCPA tulee voimaan heti vuoden 2020 alussa, suuremmilla yrityksillä on nyt vain 18 kuukautta aikaa valmistautua.

Tämä määräaika nostaa todennäköisesti jopa kaikkein kokeneimman tekniikan ammattilaiset. "Työ, joka on tehtävä 18 kuukaudessa, on suurempi kuin oli tarpeen GDPR: lle, vähemmän aikaa siihen tehdä ja amerikkalaisten yritysten kanssa, joiden yksityisyyden kypsyysaste on alhaisempi kuin Euroopassa", varoittaa Tsopanis.

Turvallisuusveteraani suosittelee yrityksille noudattamaan prosessiensa kehittämistä asianmukaisesti. "Seuraavan kuuden kuukauden aikana organisaatioiden on kehitettävä jonkinlainen menetelmä henkilökohtaisten tietojen seuraamiseksi koko organisaatiossa", Tsopanis sanoi. "He tarvitsevat tavan päästä helposti siihen, mitä henkilökohtaisia ​​tietoja on lähetetty sille kolmannelle osapuolelle ja milloin, ja heidän on sitten pystyttävä seuraamaan näitä tietoja 12 kuukauden kuluessa toteutuksesta ja oltava valmiita toimittamaan kyseiset tiedot pyynnöstä, kun asetus tulee peliin.

"Se edellyttää pohjimmiltaan, että melkein kaikki suuret yhdysvaltalaiset yritykset suorittavat merkittäviä tietojen tunnistamistoimia ja kykenevät automatisoimaan ja vastaamaan Kalifornian asukkaiden rekisteröintipyyntöihin täytäntöönpanopäivänä", Tsopanis jatkoi. "On myös tärkeää huomata, että kun laki hyväksytään vuonna 2020, heidän on pystyttävä toimittamaan raportti käyttäjien tiedoista edeltävien 12 kuukauden aikana. Tämä tarkoittaa käytännössä sitä, että yritysten on seurattava näitä tietoja 1. tammikuuta 2019."

Oikeudellisesta näkökulmasta Bowman sanoo, että muutoksia voitaisiin tehdä ennen määräaikaa. "Odotamme, että aiomme nähdä joitain lainmuutoksia, ennen kuin se tulee voimaan", hän sanoi. "Koska se laadittiin melko nopeasti, jopa sen voimaantulon jälkeen voi olla joitain harmaita alueita, jotka ovat edelleen ymmärtämättömiä niiden ymmärtämisen kannalta. Loppujen lopuksi GDPR: n laatiminen vei vuosia, ja GDPR: llä on edelleen useita osia. jotka ovat epäselviä."