W listopadzie, Kalifornijczycy zatwierdzili środek wyborczy, Proposition 24, a.k.a. California Privacy Rights Act (CPRA), aby utworzyć nową agencję prywatności danych konsumentów. To stawia Kalifornię jeszcze jeden krok przed innymi stanami w zakresie produkcji prywatności dla konsumentów i wymogów bezpieczeństwa danych dla przedsiębiorstw. W Kalifornii obowiązywała już ustawa o prywatności, California Consumer Privacy Act (CCPA), przyjęta w 2018 roku. Wszedł w życie w styczniu 2020 roku, a egzekwowanie oficjalnie rozpoczęło się w minionym lipcu.
The CCPA miał pomóc w utrzymaniu Kalifornii przed uchwaleniem bardziej rygorystycznej inicjatywy prywatności za pośrednictwem głosowania. „CCPA jest prawdopodobnie jednym z wiodących praw prywatności w USA, który chroni konsumentów dzisiaj”, mówi Christophe Bertrand, analityk w Enterprise Strategy Group, ale pierwotnie miał być bardziej restrykcyjny. „Był to produkt wielu politycznych negocjacji, które osłabiły produkt końcowy.”
Tak nie będzie w przypadku nowego prawa. Raz uchwalone, może być tylko wzmocnione, a nie osłabione. To przeszło. CPRA została zatwierdzona przez wyborców 56% do 44%.
Zaskakująco, nie było dużo lobbingu przeciwko inicjatywie wyborczej przez duże firmy technologiczne. „Myślę, że część z nich to pożar śmietnika w 2020 roku, pandemia i okres poprzedzający wybory”, mówi Jessica Lee, partner w Loeb & Loeb i współprzewodnicząca praktyki prywatności i bezpieczeństwa firmy. „Wiele rzeczy działo się w tym samym czasie. Ponadto, w ciągu ostatnich kilku lat mieliśmy do czynienia ze sprzeciwem wobec dużych firm technologicznych i wieloma skandalami związanymi z ochroną prywatności. Tak więc, dla firmy technologicznej, aby wyjść przeciwko ustawie o prywatności, są prawdopodobnie pewne względy PR i marki.”
Ponadto, największe firmy już muszą spełniać europejskie ogólne rozporządzenie o ochronie danych (GDPR). „To nie jest tak, że jest to biznes-miażdżąca propozycja dla wielu dużych firm,” mówi.
- CPRA zaostrza niektóre wymagania, zmniejsza ryzyko gdzie indziej
- CPRA wpływ minimalny dla przygotowanych firm
- Nowe wymagania dotyczące minimalizacji danych
- Nowe wymagania dotyczące udostępniania danych
- Większa ekspozycja na odpowiedzialność za naruszenia danych
- Spodziewaj się więcej pozwów związanych z prywatnością
- Szanse dla firm, które stosują się do CPRA
CPRA zaostrza niektóre wymagania, zmniejsza ryzyko gdzie indziej
CPRA zaostrza niektóre wymagania, przynosi Kalifornii bardziej zgodnie z GDPR, i tworzy nową agencję państwową- California Privacy Protection Agency. Wcześniej, stan prokurator generalny zajmował się sprawami prywatności konsumentów na szczycie wszystkich innych obowiązków. Prywatność danych teraz dostaje dedykowaną agencję z 10 milionów dolarów budżetu podstawowego, plus będzie również dostać część grzywien i rozliczeń zbiera od firm, które łamią prawo.
Prawo wchodzi w życie 1 stycznia 2023, Lee mówi, a egzekwowanie rozpocznie się sześć miesięcy później. „Firmy mają w zasadzie dwa lata na przygotowanie się,” mówi.
Te dwa lata mogą przynieść zmiany, które spowodują dodatkową kontrolę, kary i działania egzekucyjne, mówi Orson Lucas, dyrektor w dziale usług cyberbezpieczeństwa w KPMG. Może to być wynikiem ewolucji w technologii i krajobrazie biznesowym lub innych wydarzeń. „Na przykład, jeśli wystąpi seria znaczących naruszeń między chwilą obecną a styczniem 2023 r.”, mówi.
Kilka aspektów CPRA zmniejszy potencjalne ryzyko i odpowiedzialność firm. Po pierwsze, CCPA ma zastosowanie do firm obsługujących co najmniej 50.000 mieszkańców Kalifornii, gospodarstw domowych, lub urządzeń. CPRA zwiększa tę liczbę do 100 000 i usuwa „urządzenia” z tej listy, mówi Catherine Lyle, szefowa działu roszczeń w Coalition, firmie zajmującej się cyberubezpieczeniami. Firmy nie będą ponosić odpowiedzialności za naruszenia CPRA popełnione przez strony trzecie, jeśli istnieją pewne umowy, a partner biznesowy sam działa zgodnie z CPRA, mówi. „To może zmniejszyć twoją potencjalną odpowiedzialność.”
CPRA wpływ minimalny dla przygotowanych firm
Dla firm, które są już zgodne z 2018 CCPA – a zwłaszcza z europejskim GDPR – zmiany będą niewielkie. Tak jest w przypadku Branch Metrics a, globalnej firmy zajmującej się marketingiem online, która zalicza Airbnb, Target i Yelp do swoich tysięcy klientów biznesowych. Firma przetwarza miliardy rekordów konsumenckich, co stawia ją w samym centrum zainteresowania ustawy.
„Jedną z rzeczy, która jest miła w CPRA jest to, że pod pewnymi względami jest ona bardziej zgodna z GDPR niż CCPA”, mówi dyrektor generalny Branch Metrics, Alex Austin. „Jest to więc mniejszy ciężar, jeśli Twoja firma przygotowała się na GDPR”. Oznacza to, że przyrostowe zmiany, które będzie musiała wprowadzić, aby zachować zgodność z CPRA, będą „stosunkowo niewielkie”, mówi. „Pomaga również to, że mamy dużo czasu na wprowadzenie wszelkich wymaganych zmian” – dodaje. „Prawo nie wchodzi w życie do 2023 r. i generalnie dotyczy tylko danych sięgających wstecz do 2022 r., co oznacza więcej niż rok na uporządkowanie swojego domu.”
Ogólnie rzecz biorąc, Austin mówi, że im więcej harmonizacji wśród różnych przepisów dotyczących prywatności pojawiających się na całym świecie, tym lepiej. „Dla firm działających globalnie, takich jak Oddział, każde takie zbliżenie jest dobrą rzeczą.”
Nowe wymagania dotyczące minimalizacji danych
Dla niektórych firm zmiany pomiędzy CCPA i CPRA będą znaczące, mówi Dan Frank, amerykański lider ds. prywatności i ochrony danych w Deloitte. Na przykład, weźmy pod uwagę minimalizację danych. Nowe przepisy zabraniają firmom zatrzymywania danych osobowych „dłużej niż jest to absolutnie konieczne”, mówi. Jest to problem, ponieważ jeśli chodzi o usuwanie danych, firmy unikają tego jak zarazy, mówi. „Niektóre dane są dobre, więcej danych jest lepszych, wszystkie dane są najlepsze”. Dane mogą być analizowane przez systemy uczenia maszynowego i AI i mogą pomóc firmom w opracowaniu nowych produktów, usług i aplikacji.
Usuwanie danych jest drażliwą kwestią. Po pierwsze, istnieją uchwyty prawne i inne wymogi regulacyjne i zgodności, aby zachować dane. Do tego dochodzi strona techniczna. „Masz wszystkie te współzależności, które istnieją w różnych systemach, co sprawia, że usuwanie danych jest przerażające” – mówi. „Nie chcemy niczego zepsuć.”
To, co większość organizacji planuje zrobić, to anonimizacja wygasłych danych, mówi Frank. W ten sposób można je nadal wykorzystywać do szkolenia systemów AI i może to spowodować mniej problemów z zależnością. „Zobaczymy, jak to będzie wyglądało w dłuższej perspektywie” – mówi. „Jeśli te dane mogą być w jakikolwiek sposób przypisane z powrotem do osoby fizycznej – bezpośrednio lub przez wnioskowanie – to nie są już anonimowe. To jest wyzwanie.”
Użycie przez prawo słowa „rozsądny” jest również czerwoną flagą. Kto decyduje o tym, co jest rozsądne? Silny system zarządzania danymi może również pomóc firmom w rozwiązaniu innego aspektu nowego prawa — umożliwienia konsumentom poprawiania niedokładnych danych na swój temat.
„Jest to wyzwanie, jeśli firma nie usprawniła zarządzania danymi podstawowymi i nie posiada złotego zapisu tych danych”, mówi Angela Saverice-Rohan, lider ds. prywatności w Ameryce w Ernst & Young. „Jeśli zmienisz pewne dane w jednym systemie, jaki będzie to miało wpływ na wszystkie inne procesy?”
Nowe wymagania dotyczące udostępniania danych
Firmy będą teraz musiały również zapewnić, że wszyscy partnerzy biznesowi, z którymi dzielą się danymi, również przestrzegają CPRA. Ponieważ część prawa obejmuje posiadanie rozsądnych środków bezpieczeństwa cybernetycznego, może zaistnieć potrzeba zaangażowania CISO, mówi Saverice-Rohan. „Jest to praca, która zwykle ma miejsce podczas oceny ryzyka bezpieczeństwa,” mówi.
Inna duża zmiana ma związek z tym, jak konsumenci pozwalają na udostępnianie swoich informacji. W ramach wcześniejszego CCPA, firmy musiały zaoferować klientom z Kalifornii możliwość zrezygnowania z posiadania ich danych sprzedawanych osobom trzecim. Teraz obejmuje to wszystkie rodzaje udostępniania, nie tylko sprzedaż – mówi Frank z Deloitte. „Konsumenci muszą mieć możliwość zrezygnowania z określonego sposobu wykorzystania danych osobowych” – mówi. „Jeśli to zrobią, musisz być w stanie przestać je wykorzystywać, co, jeśli się nad tym zastanowić, jest dość żmudnym zadaniem. To sprawia, że zarządzanie danymi ma kluczowe znaczenie. Będzie to wymagało drobnoziarnistego zarządzania zgodą.”
Większa ekspozycja na odpowiedzialność za naruszenia danych
Inną różnicą jest to, że firmy będą miały dodatkowe zmartwienia związane z naruszeniami danych, mówi Frank. Na przykład, odpowiedzialność za naruszenie obejmuje teraz adresy e-mail, gdy są używane w połączeniu z pytaniem bezpieczeństwa. Jeśli naruszenie danych obejmuje informacje o nieletnich, grzywny mogą być potrojone. „Lepiej wiedzieć, jakie informacje masz o dzieciach i zastosować wzmocnione zabezpieczenia danych w przypadku kompromisu,” mówi.
Oba oryginalne prawo CCPA i nowy CPRA pozwalają indywidualnym konsumentom pozwać firmy po naruszeniu danych. Teraz ludzie będą mieli więcej potencjalnych powodów do złożenia tych pozwów, mówi. „Może zebrałeś więcej informacji niż pozwoliłem ci”, mówi.
CPRA rozszerza również potencjał dla pozwów związanych z naruszeniem w inny sposób, według Alana Friela, partnera w firmie prawniczej BakerHostetler. Pod CCPA, firmy miały okno możliwości, aby naprawić problemy po konsumenci złożyli skargę, mówi. Prawo było trochę mylące w dokładnie jakie rodzaje problemów mogą być „wyleczone” w ten sposób.
Teraz, CPRA wyjaśnia, że prawo do wyleczenia nie obejmuje zdolność do uniknięcia kary przez załatanie dziur w zabezpieczeniach po naruszeniu nastąpiło. „Jeśli nie uda Ci się zachować odpowiedniego bezpieczeństwa, i masz naruszenie, a następnie naprawić to, co spowodowało to naruszenie, nadal podlegają prywatnemu prawu do działania i ustawowych odszkodowań,” Friel mówi. „To z pewnością będzie coś, co jest mile widziane przez bar powodów.”
Inną zmianą jest to, że konsumenci nie muszą już wykazać, że zostali poszkodowani przez naruszenie. „Wcześniej można było pozwać, ale trzeba było wykazać szkodę”, mówi Friel.
BakerHostetler obecnie broni firm przed kilkoma pozwami związanymi z prywatnością w Kalifornii. „Byliśmy o wiele bardziej udane w pukanie off pozwy, gdzie nie było standard szkody,” Friel mówi. „Większość konsumentów nie może wykazać rzeczywistej szkody pieniężnej z powodu naruszenia danych, dlatego też otrzymują darmowy monitoring kredytowy. To banki i sprzedawcy detaliczni w końcu ponoszą koszty zewnętrzne – konsumenci, ogólnie rzecz biorąc, nie tak bardzo. Zmieniacz gry tutaj jest to, że sam fakt, że naruszenie nastąpiło jest wystarczającą szkodą dla pozycji do wniesienia pozwu.”
Spodziewaj się więcej pozwów związanych z prywatnością
Firmy już zaczęły widząc pozwy związane z prywatnością. W zeszłym miesiącu, detalista odzieży dziecięcej Hanna Andersson zgodził się na ugodę w wysokości 400 000 dolarów w odpowiedzi na pozew zbiorowy wynikający z naruszenia danych z 2019 roku. Inne firmy, które zostały już pozwane na mocy CCPA, to Salesforce, Walmart, internetowy sprzedawca papeterii Minted, Sunshine Behavioral Health Group, TikTok, Zoom i Houseparty.
To nie tylko konsumenci i ich prawnicy, przed którymi firmy będą musiały się bronić, mówi Saverice-Rohan z Ernst & Young. Nawet jeśli sama CPRA nie będzie egzekwowana do 2023 roku, oczekuje się, że nowa agencja od razu przejdzie do pracy, egzekwując istniejące prawa. „W styczniu nowa agencja będzie miała możliwość egzekwowania istniejącego CCPA” – mówi. „I będą szukać działań. Egzekwowanie prawa jest nie tylko prawdopodobne. Jest nieuchronne — i stanie się to w 2021 roku.”
Średniej wielkości firmy będą szczególnie dotknięte, przewiduje Benjamin Wright, amerykański prawnik i starszy instruktor w SANS Institute. Dla firm z mniej niż 25 milionów dolarów w rocznych przeglądach, wymagania są mniej uciążliwe, mówi. „Gigantyczne firmy mogą rzucić na spory armie prawników i specjalistów od zgodności”. Firmy średniego szczebla nie mają tego rodzaju korzyści skali, które pozwoliłyby im zatrudnić armie prawników, mówi.
Plus, w zależności od tego, ile wsparcia nowa agencja dostaje od innych kalifornijskich urzędników i ustawodawców, może nie mieć zasobów lub talentów, aby pójść po największych celach. To już się dzieje w Europie w ramach GDPR, Wright mówi, z organami regulacyjnymi często bardziej prawdopodobne, aby przynieść działania przeciwko mniejszym i średnim firmom.
„Gigantyczne firmy mogą walczyć przez lata w sądzie, czy to w Europie lub w Kalifornii,” Wright mówi. „Dla regulatorów jest to bardzo drenujące i kosztowne, aby walczyć z pozwami sądowymi przez lata. Słaba agencja, która walczy z pozwem przez lata przeciwko potężnemu przeciwnikowi, może cierpieć z powodu dużej rotacji personelu.”
Szanse dla firm, które stosują się do CPRA
CPRA nie jest wszystkim złym dla firm. „Spodziewajcie się, że inteligentne firmy spróbują wykorzystać to jako okazję do zademonstrowania swojej zgodności i wsparcia dla prywatności”, mówi Steve Durbin, dyrektor zarządzający w Information Security Forum.
.