Marraskuussa kalifornialaiset hyväksyivät äänestyksessä ehdotuksen 24 eli Kalifornian yksityisyydensuojalain (CPRA), jolla perustetaan uusi kuluttajansuojavirasto. Se asettaa Kalifornian jälleen askeleen muiden osavaltioiden edelle kuluttajien yksityisyydensuojatuotteissa – ja yritysten tietoturvavaatimuksissa. Kaliforniassa oli jo ennestään tietosuojalaki, vuonna 2018 hyväksytty California Consumer Privacy Act (CCPA). Se tuli voimaan tammikuussa 2020, ja sen täytäntöönpano alkoi virallisesti viime heinäkuussa.

CCPA:n oli tarkoitus auttaa estämään Kaliforniaa hyväksymästä tiukempaa yksityisyydensuojaa koskevaa aloitetta äänestyksen kautta. ”CCPA on luultavasti yksi Yhdysvaltojen johtavista yksityisyyden suojaa koskevista laeista, jotka suojaavat kuluttajia nykyään”, sanoo Christophe Bertrand, Enterprise Strategy Groupin analyytikko, mutta alun perin sen piti olla tiukempi. ”Se oli monien poliittisten neuvottelujen tulos, jotka heikensivät lopputuotetta.”

Niin ei tule käymään uuden lain kanssa. Kun se on hyväksytty, sitä voidaan vain vahvistaa, ei heikentää. Se kyllä hyväksyttiin. Äänestäjät hyväksyivät CPRA:n 56 % 44 %:n äänin.

Yllättävää kyllä, suuret teknologiayritykset eivät juurikaan lobanneet äänestysaloitetta vastaan. ”Luulen, että osasyynä on vuoden 2020 roskakori ja pandemia sekä vaalien lähestyminen”, sanoo Jessica Lee, Loeb & Loebin & osakas ja yrityksen tietosuoja- ja tietoturvakäytännön toinen puheenjohtaja. ”Paljon asioita tapahtui samaan aikaan. Lisäksi parin viime vuoden aikana on ollut vastareaktio suuria teknologiayrityksiä vastaan ja paljon yksityisyysskandaaleja. Joten jos teknologiayritys vastustaa tietosuojalakia, sillä on luultavasti PR- ja brändinäkökohtia.”

Lisäksi suurimpien yritysten on jo nyt noudatettava Euroopan yleistä tietosuoja-asetusta (GDPR). ”Ei ole niin, että se olisi monille suurille yrityksille liiketoimintaa murskaava ehdotus”, hän sanoo.”

CPRA tiukentaa joitakin vaatimuksia, vähentää riskejä muualla

CPRA tiukentaa joitakin vaatimuksia, tuo Kalifornian paremmin GDPR:n mukaiseksi ja luo uuden osavaltion viraston – Kalifornian tietosuojaviraston. Aiemmin osavaltion yleinen syyttäjä käsitteli kuluttajien yksityisyyden suojaan liittyviä kysymyksiä kaikkien muiden vastuualueidensa lisäksi. Tietosuoja saa nyt oman viraston, jolla on 10 miljoonan dollarin perusbudjetti, ja lisäksi se saa osan sakoista ja korvauksista, jotka se kerää lakia rikkovilta yrityksiltä.

Laki tulee voimaan 1. tammikuuta 2023, Lee sanoo, ja lainvalvonta alkaa kuusi kuukautta myöhemmin. ”Yrityksillä on periaatteessa kaksi vuotta aikaa valmistautua”, hän sanoo.

Näiden kahden vuoden aikana saattaa tapahtua muutoksia, jotka johtavat lisätarkastuksiin, rangaistuksiin ja täytäntöönpanotoimiin, sanoo KPMG:n kyberturvallisuuspalveluista vastaava johtaja Orson Lucas. Tämä voi johtua teknologian ja liiketoimintaympäristön kehittymisestä tai muusta kehityksestä. ”Jos esimerkiksi tammikuuhun 2023 mennessä tapahtuu useita merkittäviä rikkomuksia”, hän sanoo.

Pari CPRA:n näkökohtaa vähentää yritysten mahdollisia riskejä ja vastuita. Ensinnäkin CCPA koskee yrityksiä, jotka palvelevat vähintään 50 000 kalifornialaista asukasta, kotitaloutta tai laitetta. CPRA nostaa tämän määrän 100 000:een ja poistaa luettelosta ”laitteet”, sanoo Catherine Lyle, kybervakuutusyhtiö Coalitionin korvauspäällikkö. Yrityksiä ei oteta vastuuseen kolmansien osapuolten tekemistä CPRA:n rikkomuksista, jos tietyt sopimukset ovat voimassa ja liikekumppani itse noudattaa CPRA:ta, hän sanoo. ”Se voi vähentää mahdollista vastuutasi.”

CPRA:n vaikutus vähäinen valmistautuneille yrityksille

Yrityksille, jotka jo noudattavat vuoden 2018 CCPA:ta – ja erityisesti Euroopan GDPR:ää – muutokset ovat vähäisiä. Näin on Branch Metrics a, maailmanlaajuinen verkkomarkkinointiyritys, joka laskee Airbnb:n, Targetin ja Yelpin tuhansien yritysasiakkaidensa joukkoon. Yritys käsittelee miljardeja kuluttajatietoja, mikä asettaa sen suoraan lain tähtäimeen.

”CPRA:ssa on se hyvä puoli, että se on tietyllä tavalla lähempänä GDPR:ää kuin CCPA”, Branch Metricsin toimitusjohtaja Alex Austin sanoo. ”Se on siis vähemmän raskas asia, jos yrityksesi on valmistautunut GDPR:ään.” Tämä tarkoittaa, että CPRA:n noudattamiseksi tehtävät lisämuutokset ovat hänen mukaansa ”suhteellisen vähäisiä”. ”Se auttaa myös siinä, että meillä on paljon aikaa tehdä vaaditut muutokset”, hän lisää. ”Laki tulee voimaan vasta vuonna 2023, ja se vaikuttaa yleensä vain vuoteen 2022 asti ulottuviin tietoihin, mikä tarkoittaa yli vuotta aikaa saada asiat kuntoon.”

Yleisesti ottaen Austin sanoo, että mitä enemmän eri puolilla maailmaa syntyvien eri tietosuojalakien välillä on yhdenmukaistamista, sitä parempi. ”Branchin kaltaisille globaalisti toimiville yrityksille kaikki tällainen tiiviimpi yhdenmukaistaminen on hyvä asia.”

Uudet tietojen minimointivaatimukset

Joidenkin yritysten kannalta CCPA:n ja CPRA:n väliset muutokset tulevat olemaan merkittäviä, sanoo Deloitten yhdysvaltalaisen yksityisyydensuojan ja tietosuojan johtaja Dan Frank. Otetaan esimerkiksi tietojen minimointi. Uudet säännöt kieltävät yrityksiä säilyttämästä henkilötietoja ”pidempään kuin on ehdottoman välttämätöntä”, hän sanoo. Se on ongelma, sillä kun on kyse tietojen poistamisesta, yritykset välttelevät sitä kuin ruttoa, hän sanoo. ”Jonkin verran tietoa on hyvä, enemmän tietoa on parempi, kaikki tieto on parasta.” Koneoppimis- ja tekoälyjärjestelmät voivat analysoida dataa ja auttaa yrityksiä kehittämään uusia tuotteita, palveluja ja sovelluksia.

Datan poistaminen on hankala kysymys. Ensinnäkin on olemassa lakisääteisiä pidäkkeitä ja muita sääntely- ja vaatimustenmukaisuusvaatimuksia, jotka edellyttävät tietojen säilyttämistä. Sitten on vielä tekninen puoli. ”Järjestelmien väliset riippuvuussuhteet tekevät tietojen poistamisesta pelottavaa”, hän sanoo. ”Emme halua rikkoa mitään.”

Useimmat organisaatiot aikovat anonymisoida vanhentuneet tiedot, Frank sanoo. Näin sitä voidaan edelleen käyttää tekoälyjärjestelmien kouluttamiseen, ja se saattaa aiheuttaa vähemmän riippuvuusongelmia. ”Näemme, miten se toimii pitkällä aikavälillä”, hän sanoo. ”Jos tiedot voidaan jollakin tavalla yhdistää yksilöön – suoraan tai päättelemällä – ne eivät ole enää anonymisoituja. Se on haastavaa.”

Laissa käytetty sana ”kohtuullinen” on myös punainen vaate. Kuka päättää mikä on kohtuullista? Vahva tiedonhallintajärjestelmä voi myös auttaa yrityksiä käsittelemään uuden lain toista näkökohtaa – sitä, että kuluttajat voivat korjata itseään koskevia virheellisiä tietoja.

”Tämä on haaste, jos yritys ei ole todella virtaviivaistanut masterdatan hallintaa eikä sillä ole kultaista rekisteriä näistä tiedoista”, sanoo Angela Saverice-Rohan, joka on Amerikan tietosuoja-asioiden johtava asiantuntija Ernst & Youngissa. ”Jos muutat tiettyjä tietoja yhdessä järjestelmässä, miten se vaikuttaa kaikkiin muihin prosesseihisi?”

Uudet tietojen jakamista koskevat vaatimukset

Yritysten on nyt myös varmistettava, että kaikki liikekumppanit, joiden kanssa ne jakavat tietoja, noudattavat myös CPRA:ta. Koska osa laista edellyttää kohtuullisten kyberturvallisuustoimenpiteiden käyttöönottoa, CISO:t saattavat joutua osallistumaan, Saverice-Rohan sanoo. ”Tämä on työtä, jota tehdään yleensä tietoturvariskien arvioinnin yhteydessä”, hän sanoo.

Toinen suuri muutos liittyy siihen, miten kuluttajat sallivat tietojensa jakamisen. Aiemman CCPA:n mukaan yritysten oli tarjottava kalifornialaisille asiakkaille mahdollisuus kieltää tietojensa myyminen kolmansille osapuolille. Nyt tämä koskee kaikenlaista jakamista, ei vain myyntiä, sanoo Deloitten Frank. ”Kuluttajien on voitava kieltäytyä tietyistä henkilötietojen käyttötarkoituksista”, hän sanoo. ”Jos he tekevät niin, heidän on voitava lopettaa tietojen käyttö, mikä on aika hankala tehtävä. Se tekee tiedonhallinnasta niin kriittisen tärkeää. Se tulee vaatimaan hienojakoista suostumusten hallintaa.”

Tietomurroista aiheutuva suurempi vastuu

Toinen ero on se, että yrityksillä on Frankin mukaan lisähuolia tietomurroista. Tietomurtovastuu kattaa nyt esimerkiksi sähköpostiosoitteet, kun niitä käytetään yhdessä turvakysymyksen kanssa. Jos tietomurto koskee alaikäisten tietoja, sakot voivat kolminkertaistua. ”Sinun on parempi tietää, mitä tietoja sinulla on lapsista, ja soveltaa tehostettua tietosuojaa tietoturvaloukkauksen sattuessa”, hän sanoo.

Sekä alkuperäinen CCPA-laki että uusi CPRA antavat yksittäisille kuluttajille mahdollisuuden haastaa yritykset oikeuteen tietomurron jälkeen. Nyt ihmisillä on enemmän mahdollisia syitä nostaa näitä kanteita, hän sanoo. ”Ehkä keräsit enemmän tietoja kuin annoin sinulle luvan”, hän sanoo.

CPRA laajentaa tietomurtoon liittyvien kanteiden mahdollisuuksia myös toisella tavalla, sanoo Alan Friel, BakerHostetler-lakiasiaintoimiston osakas. Hän sanoo, että CCPA:n mukaan yrityksillä oli mahdollisuus korjata ongelmat sen jälkeen, kun kuluttajat olivat tehneet valituksen. Laki oli hieman sekava sen suhteen, minkälaisia ongelmia voitiin ”korjata” tällä tavoin.

Nyt CPRA selventää, että oikeus korjaamiseen ei sisällä mahdollisuutta välttää rangaistuksia tukkimalla tietoturva-aukkoja sen jälkeen, kun tietoturvaloukkaus on tapahtunut. ”Jos et ylläpidä riittävää tietoturvaa, ja sinulla on tietoturvaloukkaus, ja sitten korjaat sen, mikä aiheutti tietoturvaloukkauksen, olet edelleen yksityisen kanneoikeuden ja lakisääteisten vahingonkorvausten alainen”, Friel sanoo. ”Tämä tulee varmasti olemaan asia, johon kantajien asianajajat ovat tyytyväisiä.”

Toinen muutos on se, että kuluttajien ei enää tarvitse osoittaa, että heille on aiheutunut vahinkoa tietoturvaloukkauksesta. ”Aikaisemmin saattoi nostaa kanteen, mutta vahinko piti osoittaa”, Friel sanoo.

BakerHostetler puolustaa parhaillaan yrityksiä useita yksityisyyden suojaan liittyviä kanteita vastaan Kaliforniassa. ”Onnistuimme paljon paremmin torjumaan kanteet, joissa oli haittanormi”, Friel sanoo. ”Useimmat kuluttajat eivät voi osoittaa tietomurrosta aiheutunutta todellista rahallista vahinkoa, minkä vuoksi he saavat ilmaisen luotonvalvonnan. Pankit ja vähittäiskauppiaat joutuvat lopulta maksamaan omat kustannuksensa – kuluttajat eivät yleensä niinkään”. Pelkästään se, että tietomurto on tapahtunut, on riittävä vahinko, joka oikeuttaa nostamaan kanteen.”

Odotettavissa lisää yksityisyyteen liittyviä kanteita

Yritykset ovat jo alkaneet nähdä yksityisyyteen liittyviä kanteita. Viime kuussa lastenvaatteiden vähittäismyyjä Hanna Andersson suostui 400 000 dollarin sovintoratkaisuun vastauksena ryhmäkanteeseen, joka johtui vuoden 2019 tietomurrosta. Muita yrityksiä, joita vastaan on jo nostettu kanteita CCPA:n nojalla, ovat muun muassa Salesforce, Walmart, paperitarvikkeiden verkkokauppa Minted, Sunshine Behavioral Health Group, TikTok, Zoom ja Houseparty.

Yritysten ei tarvitse puolustautua vain kuluttajia ja heidän lakimiehiään vastaan, sanoo Ernst & Youngin Saverice-Rohan. Vaikka itse CPRA:n täytäntöönpano alkaa vasta vuonna 2023, uuden viraston odotetaan ryhtyvän heti toimeenpanemaan nykyisiä lakeja. ”Tammikuussa uudella virastolla on mahdollisuus panna täytäntöön nykyinen CCPA”, hän sanoo. ”Ja he etsivät toimia. Täytäntöönpano ei ole vain todennäköistä. Se on välitöntä – ja se tapahtuu vuonna 2021.”

Keskisuuret yritykset joutuvat erityisen koville, ennustaa Benjamin Wright, yhdysvaltalainen asianajaja ja SANS-instituutin vanhempi kouluttaja. Yrityksille, joiden vuosikatsaus on alle 25 miljoonaa dollaria, vaatimukset ovat hänen mukaansa vähemmän raskaita. ”Jättiläisyritykset voivat heittää lakimiesten ja compliance-ammattilaisten armeijat riitojen kimppuun.” Keskisuurilla yrityksillä ei ole sellaisia mittakaavaetuja, jotka mahdollistaisivat lakimiesarmeijoiden palkkaamisen, hän sanoo.

Plus, riippuen siitä, kuinka paljon tukea uusi virasto saa Kalifornian muilta virkamiehiltä ja lainsäätäjiltä, sillä ei välttämättä ole resursseja tai kyvykkyyksiä suurimpien kohteiden jahtaamiseen. Näin tapahtuu jo Euroopassa GDPR:n nojalla, Wright sanoo, ja sääntelyviranomaiset nostavat usein todennäköisemmin kanteita pienempiä ja keskisuuria yrityksiä vastaan.

”Jättiläisyritykset voivat taistella vuosikausia oikeudessa, olipa kyse sitten Euroopasta tai Kaliforniasta”, Wright sanoo. ”Sääntelyviranomaisille on hyvin kuluttavaa ja kallista taistella oikeudenkäyntejä vastaan vuosikausia. Heikko virasto, joka taistelee vuosikausia oikeusjuttuja voimakasta vastustajaa vastaan, voi kärsiä paljon henkilöstön vaihtuvuudesta.”

Yritysten mahdollisuudet noudattaa CPRA:ta

CPRA ei ole pelkästään huono asia yritysten kannalta. ”Odotettavissa on, että fiksut yritykset pyrkivät hyödyntämään tätä tilaisuutena osoittaa, että ne noudattavat CPRA:ta ja tukevat yksityisyyden suojaa”, sanoo Steve Durbin, Information Security Forumin toimitusjohtaja.