pod koniec czerwca 2018 r.w Kalifornii uchwalono AB 375, ustawę o ochronie prywatności konsumentów, która może mieć większe reperkusje dla firm amerykańskich niż ogólne rozporządzenie Unii Europejskiej o ochronie danych (GDPR), które weszło w życie w maju 2018 r. Prawo kalifornijskie nie ma niektórych z najbardziej uciążliwych wymagań RODO, takich jak wąski 72-godzinny okres, w którym firma musi zgłosić naruszenie. Pod innymi względami idzie jednak jeszcze dalej.
CCPA zajmuje szersze spojrzenie niż RODO na to, co stanowi dane prywatne., Wyzwaniem dla bezpieczeństwa jest zatem zlokalizowanie i zabezpieczenie tych prywatnych danych.
Co to jest CCPA?
California Consumer Privacy Act (CCPA) to prawo, które pozwala każdemu konsumentowi z Kalifornii żądać, aby zobaczyć wszystkie informacje zapisane na nich przez firmę, a także pełną listę wszystkich stron trzecich, którym dane są udostępniane. Ponadto prawo kalifornijskie pozwala konsumentom na pozywanie firm w przypadku naruszenia wytycznych dotyczących prywatności, nawet jeśli nie ma naruszenia.,
na które firmy ma wpływ CCPA?
wszystkie firmy, które obsługują mieszkańców Kalifornii i mają co najmniej 25 milionów dolarów rocznych przychodów, muszą być zgodne z prawem. Ponadto prawem objęte są również firmy dowolnej wielkości, które posiadają dane osobowe dotyczące co najmniej 50 000 osób lub które zbierają ponad połowę swoich przychodów ze sprzedaży danych osobowych. Firmy nie muszą mieć siedziby w Kalifornii ani mieć fizycznej obecności tam, aby podlegać prawu. Oni nawet nie muszą być oparte w Stanach Zjednoczonych.,
poprawka wprowadzona w kwietniu zwalnia „instytucje ubezpieczeniowe, agentów i organizacje wspierające”, ponieważ podlegają one już podobnym przepisom w ramach kalifornijskiej ustawy o ubezpieczeniach i ochronie prywatności (Iippa).
kiedy moja firma musi przestrzegać CCPA?
ustawa weszła w życie 1 stycznia 2020 roku, ale jej egzekwowanie rozpoczęło się 1 lipca.
co się stanie, jeśli moja firma nie przestrzega CCPA?
firmy mają 30 dni na przestrzeganie prawa, gdy organy regulacyjne powiadomią je o naruszeniu., Jeśli problem nie zostanie rozwiązany, jest grzywna w wysokości do $7,500 za rekord. „Jeśli myślisz o tym, ile rekordów zostało naruszonych w wyniku naruszenia, to naprawdę rośnie bardzo szybko”, mówi Debra Farber, starszy dyrektor ds. strategii prywatności w BigID. Skoro projekt ustawy został złożony i uchwalony w zaledwie tydzień, to zapewne znajdzie się w nim kilka poprawek-dodaje. „Rzeczy takie jak grzywny kwoty mogą się zmienić.”
istnieje również inne potencjalne ryzyko finansowe, mówi Farber. „Ustawa przewiduje prawo jednostki do pozwu, po raz pierwszy” – mówi. „I pozwala na pozwy zbiorowe o odszkodowanie.,”
ponownie, jest 30-dniowy okres, który rozpoczyna się, gdy konsumenci dają pisemne powiadomienie firmie, że uważają, że ich prawa do prywatności zostały naruszone. „Jeśli nie jest wyleczony, a prokurator generalny odmawia ścigania, a następnie mogą wnieść pozew zbiorowy,” Farber mówi. „I nie chodzi tylko o naruszenia.”
na przykład prawo określa, że firmy muszą mieć wyraźnie widoczną stopkę na stronach internetowych oferujących konsumentom możliwość rezygnacji z udostępniania danych. Jeśli brakuje tej stopki, konsumenci mogą pozwać., Mogą również pozwać, jeśli nie mogą dowiedzieć się, w jaki sposób ich informacje zostały zebrane lub uzyskać kopie tych informacji. „Może być wokół wszystkiego”, mówi Farber.
prawo przypisuje konkretne kary w przypadku wystąpienia nieautoryzowanego dostępu, czy to w wyniku naruszenia, eksfiltracji, kradzieży lub „ujawnienia w wyniku naruszenia przez firmę obowiązku wdrożenia i utrzymania rozsądnych procedur i praktyk bezpieczeństwa”, jak obecnie napisano, AB 375 dopuszcza kary w wysokości od $100 do $750 na konsumenta za incydent lub rzeczywiste szkody, w zależności od tego, która z tych wartości jest większa.,
„Dodaj wszystkie inne koszty związane z naruszeniem-odpowiedź IT, kryminalistyka i odzyskiwanie, prawo, powiadomienia i tak dalej-a to może zepchnąć naruszenie do sfery egzystencjalnego zagrożenia dla wielu firm”, mówi Chris Prevost, szef architektury rozwiązań bezpieczeństwa w Imperva.
ogólnie rzecz biorąc, jeśli firma podjęła kroki niezbędne do przestrzegania RODO, to większość drogi tam dla California Consumer Privacy Act. Przynajmniej jest bliżej niż w przypadku, gdy nie jest gotowa na RODO, mówi Eric Dieterich, lider praktyki ochrony danych w Focal Point Data Risk, LLC., „Niektóre międzynarodowe koncerny wprowadziły zmiany na swoich rynkach europejskich, ale być może nie wprowadziły ich do działalności w USA, więc może być zmiana zakresu”, mówi.
jakie dane obejmuje CCPA?
prawo kalifornijskie ma szersze podejście do tego, co stanowi wrażliwe dane niż RODO. Na przykład obejmuje informacje węchowe, a także historię przeglądania i zapisy interakcji użytkownika z witryną internetową lub aplikacją.,dane geolokalizacyjne
poprawka, AB 874, oczekująca obecnie na podpis gubernatora zwalnia publicznie dostępne, zidentyfikowane i zagregowane informacje konsumenckie z klasyfikowania jako PII., Publicznie dostępne informacje są definiowane jako dane dostępne i przechowywane z rejestrów rządowych.
CCPA pierwotnie obejmowała dane pracowników oraz konsumentów. Uchwalona w kwietniu nowelizacja zwalnia jednak dane pracowników z rozporządzenia. Kolejna poprawka, AB 25, częściowo zwalnia dane osobowe zebrane od kandydatów do pracy, właścicieli, dyrektorów, urzędników, personelu medycznego i wykonawców. Zwolnienie to wygasłoby 1 stycznia 2021 roku. AB 25 oczekiwał na podpis gubernatora na tym piśmie.
jakie są najważniejsze postanowienia dotyczące prywatności w CCPA?,
firmy muszą umożliwić konsumentom rezygnację z udostępniania ich danych stronom trzecim. Oznacza to, że firmy będą musiały teraz mieć możliwość oddzielenia gromadzonych danych zgodnie z wyborami prywatności użytkowników.
ponadto, chociaż firma nie może odmówić użytkownikom równych usług, może oferować zachęty dla użytkowników, którzy podają dane osobowe. „Przepis ten może ulec zmianie, ale jak stwierdzono dzisiaj, daje możliwość oferowania rabatów osobom, które chcą udostępnić lub sprzedać swoje dane osobom trzecim”, mówi Dieterich., „Tradycyjnie systemy nie są zaprojektowane tak, aby struktura cen mogła się zmieniać w zależności od wyborów dotyczących prywatności. To nowa koncepcja, która ma bardzo techniczne implikacje.”
kolejną istotną różnicą w stosunku do RODO jest to, że prawo kalifornijskie umożliwia klientom znacznie większy dostęp do ich danych, mówi Subra Ramesh, wiceprezes ds. produktów w Dataguise. Konsument z Kalifornii ma prawo dowiedzieć się, jakie informacje o nim gromadzi firma. Większość firm będzie miała problemy z zebraniem tych informacji., „Po pierwsze, ilość gromadzonych danych jest już ogromna i stale rośnie, często od setek do tysięcy terabajtów, a organizacje na poziomie przedsiębiorstw przetwarzają petabajty danych”, mówi.
te dane są zawarte w wielu platformach pamięci masowej, w różnych czasach plików. „Większość narzędzi do wyszukiwania plików nie ma możliwości przeszukiwania współczesnych ekosystemów repozytoriów plików, tak rozpowszechnionych dzisiaj”, mówi Aaron Ganek, CEO Cloudtenna. „Zarządzanie plikami Cross-silo to duże wyzwanie., Trudno jest zrozumieć kontekst dla każdego pliku, jeśli są one rozrzucone wewnątrz różnych repozytoriów.”Ponadto kwestie zgodności są związane z gromadzeniem danych, mówi. „Starsze narzędzia korporacyjne mają problemy z przestrzeganiem różnych uprawnień i modeli zabezpieczeń, naruszając prawa i przepisy, które są wykorzystywane do ich spełnienia.”
wtedy jest limit czasu., „Po złożeniu wniosku o dostęp firma ma 45 dni na dostarczenie kompleksowego raportu o tym, jakiego rodzaju informacje Posiada, czy została sprzedana i komu oraz jeśli została sprzedana stronom trzecim w ciągu ostatnich 12 miesięcy, musi podać nazwy i adresy stron trzecich, którym dane są sprzedawane” – mówi John Tsopanis, menedżer ds. 1touch.io ” nie możesz tego robić w Europie.”
ponieważ reguła obejmuje poprzednie 12 miesięcy zapisów, firmy muszą zacząć przestrzegać za pół roku-mówi., Następnie, 1 stycznia 2020 roku, każda firma musi ujawnić każdą inną firmę, której sprzedają dane. „Zmieni to krajobraz prywatności w Ameryce na zawsze”, mówi Tsopanis.
co oznacza CCPA dla bezpieczeństwa?
AB 375 w porównaniu z RODO nie uwzględnia wymogów dotyczących bezpieczeństwa i reagowania na naruszenia. Jak wspomniano wcześniej, prawo określa kary dla firm, które ujawniają dane konsumentów z powodu naruszenia lub wygaśnięcia zabezpieczeń. Pozwala również sądom oferować „nakazowe lub deklaratoryjne ulgi” lub ” wszelkie inne ulgi, które sąd uzna za właściwe.,”
firmy nie są zobowiązane do zgłaszania naruszeń zgodnie z AB 375, a konsumenci muszą składać skargi, zanim grzywny będą możliwe. Najlepszym sposobem działania w zakresie bezpieczeństwa jest wiedza o tym, co data AB 375 definiuje jako dane prywatne i podjęcie kroków w celu ich zabezpieczenia. Ponownie, każda organizacja, która prawdopodobnie spełnia wymogi RODO, nie musi podejmować dalszych działań, aby spełnić wymogi AB 375 w zakresie zabezpieczania danych.,
wymagania AB 375 dotyczące śledzenia, dostępu i przechowywania danych oznaczają, że zespoły bezpieczeństwa będą musiały ściśle współpracować z administratorami baz danych, mówi Terry Ray, senior vice president i fellow w Imperva, dostawcy cyberbezpieczeństwa. Wszelkie narzędzia wybrane do obsługi AB 375 będą musiały nie tylko mieć pełny wgląd w dane przechowywane w całym heterogenicznym środowisku korporacyjnym, ale także zapewnić odpowiednie zabezpieczenie dostępu do tych danych., „Wreszcie, będą potrzebować tych narzędzi do współpracy z nowym portalem konsumenckim poprzez udostępnianie konkretnych danych konsumenckich weryfikowalnemu konsumentowi, który o to wnioskuje” – mówi.
Jeśli dane są przechowywane u dostawców chmury, problem po prostu się pogarsza. Na przykład pracownicy mogą skonfigurować konto do udostępniania plików, aby śledzić kontakty marketingowe lub sprzedażowe. „Nic dziwnego, że duże firmy technologiczne, takie jak Google i Facebook, sprzeciwiły się ustawie” – mówi Kevin Bocek, wiceprezes ds. strategii bezpieczeństwa i wywiadu zagrożeń w Venafi., „Kontrolowanie Prywatności i danych osobowych przepływających między maszynami jest niezwykle trudne i stanowi poważne wyzwanie dla wszystkich firm.”
a work in progress
ustawa została złożona w ciągu zaledwie siedmiu dni, ponieważ ustawodawcy chcieli uniknąć inicjatywy głosowania, aby przejść jeszcze bardziej rygorystyczne prawo, które było przeciwne przez wiele firm technologicznych. „Obecnie wiele przepisów i definicji jest ze sobą sprzecznych” – mówi Andy Dale, główny radca prawny i wiceprezes ds. globalnej prywatności w SessionM.,
jednym z problematycznych obszarów jest to, czy firma może pobierać od konsumentów różne ceny w zależności od ich ustawień prywatności. Na przykład wiele firm ma opcję, w której konsument może przejść na płatną warstwę, w której nie widzi żadnych reklam. Tutaj prawo, jak obecnie napisane, jest trochę sprzeczne.
„jeśli konsument korzysta ze swoich praw wynikających z rozporządzenia, firmy nie mogą zapewnić konsumentowi innego poziomu lub jakości produktów, towarów lub usług”, mówi Pravin Kothari, CEO CipherCloud., „Z drugiej strony, zgodnie z rozporządzeniem, przedsiębiorcom nie zabrania się naliczania konsumentowi innej ceny lub stawki, ani dostarczania konsumentowi innego poziomu lub jakości towarów lub usług, jeśli różnica ta jest w uzasadniony sposób związana z wartością dostarczoną konsumentowi przez dane konsumenta.”
„W tej dziedzinie przepisy są nieco wizjonerskie” – mówi. „Zobaczymy w praktyce, jak to naprawdę działa.,”
Więcej na temat CCPA:
- 9 pytań CCPA każdy CISO powinien być przygotowany na odpowiedź
- CCPA jest okazją do uporządkowania Twojego domu bezpieczeństwa danych
- co to jest „rozsądne bezpieczeństwo”? I jak spełnić wymóg
- poważnie potraktować ochronę danych konsumentów
- jak własność Obywatelska danych wpływa na rozwój działalności