Novemberben a kaliforniaiak megszavazták a 24. számú javaslatot, azaz a kaliforniai adatvédelmi törvényt (CPRA), amely egy új fogyasztói adatvédelmi ügynökség létrehozására irányul. Ezzel Kalifornia egy újabb lépéssel a többi állam elé lépett a fogyasztók adatvédelmi termékei – és a vállalkozások adatbiztonsági követelményei – tekintetében. Kalifornia már rendelkezett adatvédelmi törvénnyel, a 2018-ban elfogadott kaliforniai fogyasztói adatvédelmi törvénnyel (California Consumer Privacy Act, CCPA). Ez 2020 januárjában lépett hatályba, és a végrehajtás hivatalosan tavaly júliusban kezdődött meg.

A CCPA-nak segítenie kellett volna abban, hogy Kalifornia ne fogadjon el szavazással egy szigorúbb adatvédelmi kezdeményezést. “A CCPA valószínűleg az egyik vezető adatvédelmi törvény az Egyesült Államokban, amely ma a fogyasztókat védi” – mondja Christophe Bertrand, az Enterprise Strategy Group elemzője, de eredetileg szigorúbbnak kellett volna lennie. “Számos politikai tárgyalás eredménye volt, amelyek gyengítették a végterméket.”

Ez nem fog megtörténni az új törvénnyel. Miután elfogadták, csak erősíteni lehet, gyengíteni nem. Tényleg átment. A CPRA-t a szavazók 56%-kal 44%-kal fogadták el.

Meglepő módon a nagy technológiai cégek nem sok lobbitevékenységet folytattak a szavazási kezdeményezés ellen. “Azt hiszem, részben a 2020-as szemétdomb, a világjárvány és a választások előtti időszak miatt” – mondja Jessica Lee, a Loeb & Loeb & Loeb partnere és a cég adatvédelmi és biztonsági gyakorlatának társelnöke. “Sok minden történt egyszerre. Emellett az elmúlt néhány évben a nagy technológiai vállalatokkal szembeni visszahatást és számos adatvédelmi botrányt tapasztaltunk. Tehát, ha egy technológiai vállalat az adatvédelmi törvény ellen lép fel, valószínűleg PR és márka megfontolások is felmerülnek.”

A legnagyobb vállalatoknak ráadásul már most is meg kell felelniük az európai általános adatvédelmi rendeletnek (GDPR). “Ez nem olyan, mintha a nagyvállalatok nagy része számára ez egy üzletileg megsemmisítő javaslat lenne” – mondja.”

A CPRA szigorít néhány követelményt, máshol csökkenti a kockázatot

A CPRA szigorít néhány követelményt, Kaliforniát jobban összhangba hozza a GDPR-rel, és létrehoz egy új állami ügynökséget – a Kaliforniai Adatvédelmi Ügynökséget. Korábban az állam főügyésze foglalkozott a fogyasztók adatvédelmével kapcsolatos kérdésekkel az összes többi feladatkörén felül. Az adatvédelem most egy külön ügynökséget kap, 10 millió dolláros alapköltségvetéssel, ráadásul a törvényt megszegő vállalatoktól beszedett bírságok és kártérítések egy részét is megkapja.

A törvény 2023. január 1-jén lép hatályba, mondja Lee, és a végrehajtás hat hónappal később kezdődik. “A vállalatoknak lényegében két évük van felkészülni” – mondja.

Ez a két év olyan változásokat hozhat, amelyek további vizsgálatokat, büntetéseket és végrehajtási tevékenységeket eredményeznek – mondja Orson Lucas, a KPMG kiberbiztonsági szolgáltatásokért felelős igazgatója. Ez lehet a technológiai és üzleti környezet fejlődésének vagy más fejleményeknek az eredménye. “Például, ha mostantól 2023 januárjáig egy sor jelentős jogsértés történik” – mondja.”

A CPRA néhány aspektusa csökkenti a vállalatok potenciális kockázatait és felelősségét. Először is, a CCPA a legalább 50 000 kaliforniai lakost, háztartást vagy eszközt kiszolgáló vállalatokra vonatkozik. A CPRA ezt 100 000-re emeli, és kiveszi az “eszközöket” ebből a listából, mondja Catherine Lyle, a Coalition kiberbiztosító kárrendezési vezetője. A vállalkozások nem lesznek felelősek a CPRA harmadik felek által elkövetett megsértéséért, ha bizonyos megállapodások érvényben vannak, és az üzleti partner maga is megfelel a CPRA-nak, mondja. “Ez csökkentheti a potenciális felelősségét.”

A CPRA hatása minimális a felkészült vállalatok számára

A 2018-as CCPA-nak – és különösen az európai GDPR-nak – már megfelelő vállalatok számára a változások csekélyek lesznek. Ez a helyzet a Branch Metrics a, globális online marketingcég esetében, amely több ezer üzleti ügyfele között tartja számon az Airbnb-t, a Targetet és a Yelp-et. A vállalat több milliárd fogyasztói adatot dolgoz fel, így a törvény célkeresztjébe került.

“A CPRA-ban az a jó, hogy bizonyos szempontból jobban illeszkedik a GDPR-hoz, mint a CCPA” – mondja Alex Austin, a Branch Metrics vezérigazgatója. “Tehát kevésbé nehéz feladat, ha a vállalat már felkészült a GDPR-ra”. Ez azt jelenti, hogy a CPRA-nak való megfeleléshez szükséges fokozatos változtatások “viszonylag csekélyek” lesznek – mondja. “Az is segít, hogy sok időnk van a szükséges változtatások elvégzésére” – teszi hozzá. “A törvény csak 2023-ban lép hatályba, és általában csak a 2022-ig visszanyúló adatokat érinti, ami több mint egy évet jelent arra, hogy rendet tegyünk a házunk táján.”

Általánosságban Austin szerint minél nagyobb a harmonizáció a világszerte megjelenő különböző adatvédelmi törvények között, annál jobb. “Az olyan globálisan működő vállalatok számára, mint a Branch, minden ilyen szorosabb összehangolás jó dolog.”

Új adatminimalizálási követelmények

A CCPA és a CPRA közötti változások egyes vállalatok számára jelentősek lesznek, mondja Dan Frank, a Deloitte amerikai adatvédelmi és adatbiztonsági vezetője. Vegyük például az adatminimalizálást. Az új szabályok megtiltják a vállalkozásoknak, hogy a személyes adatokat “a feltétlenül szükségesnél hosszabb ideig” megőrizzék – mondja. Ez problémát jelent, hiszen ha az adatok törléséről van szó, a vállalatok ezt úgy kerülik, mint a pestist – mondja. “Néhány adat jó, több adat jobb, minden adat a legjobb”. Az adatokat a gépi tanulás és az AI rendszerek elemezhetik, és segíthetnek a vállalatoknak új termékek, szolgáltatások és alkalmazások kifejlesztésében.

Az adatok törlése kényes kérdés. Először is, az adatok megőrzésére vonatkozó jogi és egyéb szabályozási és megfelelési követelmények vannak. Aztán ott van a technikai oldal. “Megvan az összes olyan kölcsönös függőség, amely a rendszerek között létezik, és amely ijesztővé teszi az adatok törlését” – mondja. “Nem akarunk semmit sem elrontani.”

A legtöbb szervezet azt tervezi, hogy anonimizálja a lejárt adatokat, mondja Frank. Így továbbra is felhasználhatók az AI-rendszerek betanítására, és kevesebb függőségi problémát okozhatnak. “Meglátjuk, hogy ez hosszú távon hogyan alakul” – mondja. “Ha az adatok bármilyen módon visszavezethetők egy személyhez – közvetlenül vagy következtetés útján -, akkor már nem anonimizáltak. Ez kihívást jelent.”

A törvényben az “ésszerű” szó használata szintén piros zászlót jelent. Ki dönti el, hogy mi az ésszerű? Egy erős adatkezelési rendszer segíthet a vállalatoknak az új törvény egy másik aspektusának kezelésében is — a fogyasztók számára lehetővé teszi, hogy kijavítsák a róluk szóló pontatlan adatokat.

“Ez akkor jelent kihívást, ha egy vállalat nem igazán racionalizálta a törzsadatok kezelését, és nem rendelkezik az adatok aranykönyvével” – mondja Angela Saverice-Rohan, az Ernst & Young amerikai adatvédelmi vezetője. “Ha egy rendszerben megváltoztatunk bizonyos adatokat, az hogyan hat ki az összes többi folyamatra?”

Új adatmegosztási követelmények

A vállalatoknak mostantól azt is biztosítaniuk kell, hogy az üzleti partnerek, akikkel adatokat osztanak meg, szintén megfeleljenek a CPRA-nak. Mivel a törvény egy része magában foglalja az ésszerű kiberbiztonsági intézkedések bevezetését, a CISO-knak szükségük lehet a bevonásra, mondja Saverice-Rohan. “Ez a munka általában a biztonsági kockázatértékelések során történik” – mondja.

A másik nagy változás azzal kapcsolatos, hogy a fogyasztók hogyan engedélyezik az információik megosztását. A korábbi CCPA értelmében a vállalatoknak fel kellett ajánlaniuk a kaliforniai ügyfeleknek a lehetőséget, hogy lemondjanak arról, hogy adataikat harmadik félnek eladják. Most ez mindenféle megosztásra vonatkozik, nem csak az értékesítésre, mondja Frank, a Deloitte munkatársa. “A fogyasztóknak lehetőséget kell adni arra, hogy lemondhassanak a személyes adatok bizonyos felhasználási módjairól” – mondja. “Ha ezt megteszik, akkor le kell tudni állítani a felhasználást, ami, ha belegondolunk, meglehetősen nehéz feladat. Ez teszi az adatkezelést olyan kritikussá. Finomszemcsés hozzájárulások kezelésére lesz szükség.”

Nagyobb felelősségvállalás az adatsértések miatt

A másik különbség az, hogy a vállalatoknak további aggodalmaik lesznek az adatsértések miatt, mondja Frank. Például a jogsértési felelősség mostantól az e-mail címekre is kiterjed, ha azokat biztonsági kérdéssel együtt használják. Ha egy adatsértés kiskorúakra vonatkozó információkat érint, a bírságok megháromszorozódhatnak. “Jobb, ha tisztában van azzal, hogy milyen információkkal rendelkezik a gyermekekről, és fokozott adatvédelmet alkalmaz kompromittálódás esetén” – mondja.

Az eredeti CCPA-törvény és az új CPRA egyaránt lehetővé teszi, hogy az egyes fogyasztók bepereljék a vállalatokat az adatbiztonság megsértése után. Mostantól az embereknek több potenciális okuk lesz arra, hogy bepereljék őket – mondja. “Lehet, hogy több információt gyűjtöttek, mint amennyit engedélyeztem” – mondja.

A CPRA egy másik módon is bővíti a jogsértéssel kapcsolatos perek lehetőségét Alan Friel, a BakerHostetler ügyvédi iroda partnere szerint. A CCPA értelmében a vállalatoknak volt egy ablaknyi lehetőségük arra, hogy a fogyasztók által benyújtott panaszok után kijavítsák a problémákat – mondja. A törvény kissé zavaros volt abban a tekintetben, hogy pontosan milyen típusú problémákat lehetett ily módon “orvosolni”.

A CPRA most tisztázza, hogy a gyógyításhoz való jog nem foglalja magában a büntetések elkerülésének lehetőségét a biztonsági rések betömésével, miután a jogsértés megtörtént. “Ha elmulasztja a megfelelő biztonság fenntartását, és bekövetkezik a jogsértés, majd orvosolja azt, ami a jogsértést okozta, akkor továbbra is magánindítványra és törvényes kártérítésre jogosult” – mondja Friel. “Ezt mindenképpen üdvözölni fogja a felperesek ügyvédi irodája.”

Egy másik változás, hogy a fogyasztóknak már nem kell bizonyítaniuk, hogy a jogsértés kárt okozott nekik. “Korábban lehetett perelni, de bizonyítani kellett a kárt” – mondja Friel.

A BakerHostetler jelenleg is védi a vállalatokat több, az adatvédelemmel kapcsolatos perrel szemben Kaliforniában. “Sokkal sikeresebbek voltunk azoknak a pereknek a visszautasításában, ahol volt kárkövetelmény” – mondja Friel. “A legtöbb fogyasztó nem tud tényleges pénzbeli kárt felmutatni az adatbiztonság megsértése miatt, ezért kapnak ingyenes hitelfelügyeletet. A bankok és a kiskereskedők azok, akiknek a végén meg kell fizetniük a költségeket – a fogyasztóknak általában nem annyira. Itt az változtat a helyzeten, hogy a puszta tény, hogy a jogsértés megtörtént, elegendő kárt jelent a perindításhoz.”

Várhatóan több, az adatvédelemmel kapcsolatos per lesz

A vállalatok már most is találkoznak az adatvédelemmel kapcsolatos perekkel. A múlt hónapban a Hanna Andersson gyermekruházat-kiskereskedő 400 000 dolláros egyezségben állapodott meg egy 2019-es adatvédelmi incidensből eredő csoportos keresetre válaszul. A CCPA alapján már beperelt cégek közé tartozik a Salesforce, a Walmart, a Minted online írószer-kiskereskedő, a Sunshine Behavioral Health Group, a TikTok, a Zoom és a Houseparty.

Nem csak a fogyasztók és ügyvédeik ellen kell majd védekezniük a vállalatoknak – mondja Saverice-Rohan, az Ernst & Young munkatársa. Bár magát a CPRA-t csak 2023-ban hajtják végre, az új ügynökség várhatóan azonnal munkához lát, hogy érvényt szerezzen a meglévő törvényeknek. “Januárban az új ügynökségnek lehetősége lesz a meglévő CCPA érvényesítésére” – mondja. “És keresni fogják az intézkedéseket. A végrehajtás nem csak valószínű. Küszöbön áll — és ez 2021-ben megtörténik.”

A közepes méretű vállalatokat különösen keményen fogja érinteni, jósolja Benjamin Wright, amerikai ügyvéd és a SANS Institute vezető oktatója. Szerinte a 25 millió dollárnál kisebb éves felülvizsgálattal rendelkező vállalatok számára a követelmények kevésbé megterhelőek. “Az óriáscégek ügyvédek és megfelelőségi szakemberek seregeit vethetik be a vitákra”. A középvállalatok nem rendelkeznek olyan méretgazdaságossági előnyökkel, amelyek lehetővé tennék számukra, hogy ügyvédi seregeket alkalmazzanak, mondja.

Plusz, attól függően, hogy az új ügynökség mekkora támogatást kap Kalifornia más tisztviselőitől és törvényhozóitól, lehet, hogy nem lesz elég erőforrása vagy tehetsége ahhoz, hogy a legnagyobb célpontok után menjen. Wright szerint ez már most is megtörténik Európában a GDPR alapján, ahol a szabályozók gyakran inkább a kisebb és közepes méretű vállalatok ellen indítanak eljárásokat.

“Az óriásvállalatok évekig harcolhatnak a bíróságon, akár Európában, akár Kaliforniában” – mondja Wright. “A szabályozók számára nagyon kimerítő és költséges évekig tartó pereskedés. Egy gyenge ügynökség, amely éveken keresztül pereskedik egy erős ellenféllel szemben, nagymértékű személyzeti fluktuációt szenvedhet el.”

A CPRA betartásának lehetőségei a vállalatok számára

A CPRA nem csak rossz a vállalatok számára. “Arra számítsunk, hogy az okos cégek megpróbálják ezt lehetőségként kihasználni, hogy bizonyítsák megfelelésüket és az adatvédelem támogatását” – mondja Steve Durbin, az Információbiztonsági Fórum ügyvezető igazgatója.