Kalifornští občané v listopadu schválili návrh 24, známý také jako kalifornský zákon o právech na soukromí (CPRA), kterým se zřizuje nový úřad pro ochranu osobních údajů spotřebitelů. Kalifornie se tak dostává o další krok před ostatní státy, pokud jde o produkci ochrany soukromí pro spotřebitele – a požadavky na zabezpečení dat pro podniky. Kalifornie již měla zákon o ochraně osobních údajů, California Consumer Privacy Act (CCPA), přijatý v roce 2018. V platnost vstoupil v lednu 2020 a jeho vymáhání bylo oficiálně zahájeno letos v červenci.

Zákon CCPA měl pomoci zabránit tomu, aby Kalifornie prostřednictvím hlasování přijala přísnější zákon o ochraně osobních údajů. „CCPA je pravděpodobně jedním z předních zákonů na ochranu soukromí v USA, který dnes chrání spotřebitele,“ říká Christophe Bertrand, analytik společnosti Enterprise Strategy Group, ale původně měl být přísnější. „Byl výsledkem mnoha politických jednání, která výsledný produkt oslabila.“

To se s novým zákonem nestane. Po jeho přijetí jej lze pouze posílit, nikoliv oslabit. Vždyť přece prošel. CPRA byl schválen voliči v poměru 56 % ku 44 %.

Překvapivě proti volební iniciativě velké technologické společnosti příliš nelobbovaly. „Myslím, že částečně za to může popelnice roku 2020 a pandemie a předvolební období,“ říká Jessica Leeová, partnerka společnosti Loeb & Loeb a spolupředsedkyně firemní praxe v oblasti ochrany soukromí a bezpečnosti. „Spousta věcí se odehrávala ve stejnou dobu. V posledních několika letech jsme také zaznamenali odpor proti velkým technologickým společnostem a mnoho skandálů týkajících se ochrany soukromí. Takže pro technologickou společnost, která se postaví proti návrhu zákona o ochraně osobních údajů, pravděpodobně existují určité ohledy na PR a značku.“

Největší společnosti navíc již musí dodržovat evropské obecné nařízení o ochraně osobních údajů (GDPR). „Není to tak, že by to pro spoustu velkých společností znamenalo zmaření podnikání,“ říká.“

Zákon CPRA zpřísňuje některé požadavky, jinde snižuje riziko

Zákon CPRA zpřísňuje některé požadavky, uvádí Kalifornii více do souladu s GDPR a vytváří novou státní agenturu – Kalifornskou agenturu pro ochranu soukromí. Dříve se otázkami ochrany soukromí spotřebitelů zabýval státní zástupce vedle všech svých ostatních povinností. Ochrana osobních údajů nyní dostane zvláštní agenturu se základním rozpočtem 10 milionů dolarů a navíc bude dostávat i část pokut a vyrovnání, které vybere od společností porušujících zákon.

Zákon vstoupí v platnost 1. ledna 2023, říká Lee, a o půl roku později se začne prosazovat. „Společnosti mají v podstatě dva roky na přípravu,“ říká.

Tyto dva roky mohou přinést změny, které vyústí v další kontroly, pokuty a vynucovací aktivity, říká Orson Lucas, ředitel oddělení služeb kybernetické bezpečnosti ve společnosti KPMG. To může být důsledkem vývoje technologií a podnikatelského prostředí nebo jiného vývoje. „Například pokud mezi současností a lednem 2023 dojde k řadě významných narušení,“ říká.

Potenciální rizika a závazky společností sníží několik aspektů zákona CPRA. Za prvé, zákon CCPA se vztahuje na společnosti, které obsluhují alespoň 50 000 obyvatel, domácností nebo zařízení v Kalifornii. CPRA tuto hranici zvyšuje na 100 000 a z tohoto seznamu odstraňuje „zařízení“, říká Catherine Lyleová, vedoucí oddělení pojistných událostí ve společnosti Coalition, která se zabývá kybernetickým pojištěním. Podniky nebudou zodpovědné za porušení zákona CPRA spáchané třetími stranami, pokud existují určité dohody a obchodní partner sám dodržuje zákon CPRA, říká Lyleová. „Mohlo by to snížit vaši potenciální odpovědnost.“

Vliv CPRA je pro připravené společnosti minimální

Pro společnosti, které již splňují požadavky CCPA z roku 2018 – a zejména evropského GDPR – budou změny zanedbatelné. To je případ společnosti Branch Metrics a, globální online marketingové společnosti, která mezi své tisíce firemních zákazníků počítá Airbnb, Target a Yelp. Společnost zpracovává miliardy záznamů o spotřebitelích, což ji staví přímo do hledáčku zákona.

„Jedna věc, která je na nařízení CPRA příjemná, je, že se v některých ohledech více blíží nařízení GDPR než nařízení CCPA,“ říká generální ředitel společnosti Branch Metrics Alex Austin. „Pokud se tedy vaše společnost na GDPR připravila, je to méně náročné.“ To znamená, že postupné změny, které bude muset provést, aby vyhověla nařízení CPRA, budou „relativně malé“, říká. „Pomáhá také to, že máme spoustu času na provedení všech požadovaných změn,“ dodává. „Zákon vstoupí v platnost až v roce 2023 a obecně se týká pouze údajů sahajících do roku 2022, což znamená více než rok na to, abyste si udělali pořádek.“

Obecně Austin říká, že čím více harmonizace mezi různými zákony o ochraně osobních údajů vznikají po celém světě, tím lépe. „Pro společnosti, které působí globálně, jako je pobočka, je každé takové užší sladění dobrá věc.“

Nové požadavky na minimalizaci údajů

Pro některé společnosti budou změny mezi zákony CCPA a CPRA významné, říká Dan Frank, vedoucí oddělení ochrany soukromí a ochrany údajů ve společnosti Deloitte v USA. Vezměme si například minimalizaci údajů. Nová pravidla zakazují podnikům uchovávat osobní údaje „déle, než je nezbytně nutné“, říká. To je problém, protože pokud jde o mazání údajů, firmy se mu vyhýbají jako čert kříži, říká. „Některé údaje jsou dobré, více údajů je lepší, všechny údaje jsou nejlepší.“ Data mohou být analyzována systémy strojového učení a umělé inteligence a mohou společnostem pomoci při vývoji nových produktů, služeb a aplikací.

Vymazávání dat je ožehavý problém. Zaprvé existují právní zábrany a další regulační požadavky a požadavky na dodržování předpisů, které vyžadují uchovávání dat. Pak je tu technická stránka věci. „Máte všechny ty vzájemné závislosti, které existují napříč systémy a které dělají mazání dat děsivé,“ říká. „Nechceme nic porušit.“

Většina organizací plánuje provést anonymizaci dat, jejichž platnost vypršela, říká Frank. Tímto způsobem je lze stále používat k trénování systémů umělé inteligence a mohou vznikat menší problémy se závislostmi. „Uvidíme, jak se to projeví v dlouhodobém horizontu,“ říká. „Pokud lze tato data jakýmkoli způsobem přiřadit zpět k jednotlivci – přímo nebo odvozením -, pak již nejsou anonymizovaná. Je to náročné.“

Použití slova „přiměřený“ v zákoně je také červeným praporkem. Kdo rozhoduje o tom, co je přiměřené? Silný systém správy dat může společnostem pomoci vyřešit i další aspekt nového zákona – umožnit spotřebitelům opravit nepřesné údaje o sobě.

„Je to výzva, pokud společnost skutečně neusměrnila správu svých hlavních dat a nemá o těchto datech zlatý záznam,“ říká Angela Saverice-Rohanová, vedoucí oddělení ochrany osobních údajů pro Ameriku ve společnosti Ernst & Young. „Pokud změníte určitá data v jednom systému, jak to ovlivní všechny ostatní procesy?“

Nové požadavky na sdílení dat

Firmy nyní budou muset také zajistit, aby všichni obchodní partneři, se kterými sdílejí data, také dodržovali nařízení CPRA. Vzhledem k tomu, že součástí zákona je i zavedení přiměřených opatření v oblasti kybernetické bezpečnosti, bude možná nutné, aby se zapojili CISO, říká Saverice-Rohan. „To je práce, která obvykle probíhá při posuzování bezpečnostních rizik,“ říká.

Další velká změna souvisí s tím, jak spotřebitelé povolují sdílení svých informací. Podle dřívějšího zákona CCPA musely společnosti kalifornským zákazníkům nabídnout možnost odmítnout prodej svých údajů třetím stranám. Nyní to zahrnuje všechny druhy sdílení, nejen prodej, říká Frank ze společnosti Deloitte. „Spotřebitelé musí mít možnost odmítnout konkrétní použití osobních údajů,“ říká. „Pokud to udělají, musíte mít možnost přestat je používat, což je, když se nad tím zamyslíte, docela náročný úkol. Proto je správa dat tak důležitá. Bude to vyžadovat jemnou správu souhlasů.“

Více odpovědnosti za narušení dat

Dalším rozdílem je, že společnosti budou mít další starosti s narušením dat, říká Frank. Například odpovědnost za porušení se nyní vztahuje na e-mailové adresy, pokud jsou použity v kombinaci s bezpečnostní otázkou. Pokud se narušení dat týká informací o nezletilých osobách, mohou být pokuty až trojnásobné. „Raději si uvědomte, jaké informace o dětech máte, a v případě ohrožení použijte zvýšenou ochranu údajů,“ říká.

Původní zákon CCPA i nový zákon CPRA umožňují jednotlivým spotřebitelům žalovat společnosti po porušení ochrany údajů. Nyní budou mít lidé více potenciálních důvodů k podání těchto žalob, říká. „Možná jste shromáždili více informací, než jsem vám dovolil,“ říká.“

Podle Alana Friela, partnera advokátní kanceláře BakerHostetler, rozšiřuje CPRA možnosti žalob souvisejících s porušením ochrany osobních údajů také jiným způsobem. Podle zákona CCPA měly společnosti po podání stížnosti spotřebitelem příležitost k nápravě problémů, říká. Zákon byl poněkud matoucí v tom, jaké druhy problémů lze přesně tímto způsobem „napravit“.

Nyní zákon CPRA objasňuje, že právo na nápravu nezahrnuje možnost vyhnout se sankcím tím, že se zacelí bezpečnostní díry poté, co k narušení došlo. „Pokud nezajistíte odpovídající zabezpečení a dojde k jeho narušení, a poté napravíte to, co toto narušení způsobilo, stále se na vás vztahuje právo na soukromoprávní žalobu a zákonné odškodnění,“ říká Friel. „To bude určitě něco, co advokátní komora žalobců uvítá.“

Další změnou je, že spotřebitelé již nemusí prokazovat, že byli porušením předpisů poškozeni. „Dříve jste mohli podat žalobu, ale museli jste prokázat škodu,“ říká Friel.

BakerHostetler v současné době brání společnosti proti několika žalobám týkajícím se ochrany soukromí v Kalifornii. „Byli jsme mnohem úspěšnější při odrážení žalob, kde existoval standard škody,“ říká Friel. „Většina spotřebitelů nemůže prokázat skutečnou peněžní škodu způsobenou narušením bezpečnosti údajů, a proto dostávají bezplatné monitorování úvěrů. Jsou to banky a maloobchodníci, kteří nakonec mají náklady z vlastní kapsy – spotřebitelé obecně ne tolik. Změna hry spočívá v tom, že samotný fakt, že k narušení došlo, je dostatečnou škodou pro podání žaloby.“

Očekávejte více žalob souvisejících s ochranou soukromí

Společnosti se již začaly setkávat s žalobami souvisejícími s ochranou soukromí. Minulý měsíc souhlasil prodejce dětského oblečení Hanna Andersson s vyrovnáním ve výši 400 000 USD v reakci na hromadnou žalobu vyplývající z úniku dat v roce 2019. Mezi další společnosti, které již byly zažalovány podle zákona CCPA, patří Salesforce, Walmart, internetový prodejce psacích potřeb Minted, Sunshine Behavioral Health Group, TikTok, Zoom a Houseparty.

Nejen spotřebitelé a jejich právníci se budou muset bránit, říká Saverice-Rohanová ze společnosti Ernst & Young. Přestože samotný zákon CPRA začne platit až v roce 2023, očekává se, že nová agentura se hned pustí do práce a bude prosazovat stávající zákony. „V lednu bude mít nová agentura možnost prosazovat stávající zákon CCPA,“ říká. „A budou hledat opatření. Prosazování není jen pravděpodobné. Je bezprostřední – a dojde k němu v roce 2021.“

Středně velké společnosti budou obzvláště tvrdě zasaženy, předpovídá Benjamin Wright, americký právník a vedoucí instruktor institutu SANS. Pro společnosti s ročními revizemi nižšími než 25 milionů dolarů jsou podle něj požadavky méně zatěžující. „Obří společnosti mohou na spory vrhnout armády právníků a odborníků na dodržování předpisů.“ Společnosti střední úrovně nemají takové úspory z rozsahu, které by jim umožnily najmout armády právníků, říká.“

Navíc v závislosti na tom, jakou podporu získá nová agentura od ostatních kalifornských úředníků a zákonodárců, nemusí mít dostatek zdrojů nebo talentu, aby mohla jít po největších cílech. To se již děje v Evropě v rámci GDPR, říká Wright, přičemž regulační orgány často častěji podávají žaloby proti menším a středně velkým společnostem.

„Obří společnosti mohou roky bojovat u soudu, ať už v Evropě, nebo v Kalifornii,“ říká Wright. „Pro regulační orgány je velmi vyčerpávající a nákladné bojovat se žalobami celé roky. Slabý úřad, který roky bojuje v soudním sporu proti silnému protivníkovi, může trpět velkou fluktuací zaměstnanců.“

Příležitosti pro společnosti, které dodržují CPRA

CPRA není pro společnosti jen špatná. „Očekávejte, že chytré společnosti se toho pokusí využít jako příležitosti, aby prokázaly, že dodržují předpisy a podporují ochranu osobních údajů,“ říká Steve Durbin, výkonný ředitel organizace Information Security Forum.