האם אתה מוכן לפעולה בנושא פרטיות הצרכנים בקליפורניה?

כמה מחברות הטכנולוגיה הידועות ביותר ממוקמות בקליפורניה, מדינה שביום 28 ביוני 2018 העבירה את חוק פרטיות הצרכן בקליפורניה משנת 2018 (CCPA). CCPA לא ייכנס לתוקף עד 1 בינואר 2020, אך הוא צפוי להשפיע על עסקים ברחבי קליפורניה, ארצות הברית ולמעשה על כל העולם. CCPA ישפיע על הדרך שבה עסקים יכולים להתמודד עם נתוני לקוחות, והיא נחשבת בעיני רבים כחוק ההגנה על נתונים המחמיר ביותר בהיסטוריה של ארה"ב.

אם אתה מרגיש תחושה של דז'ה וו, אתה לא לבד. בחודש מאי נכנס לתוקפה תקנת הגנת המידע הכללית של האיחוד האירופי (EUR). ה- GDPR היה נושא חם כאן ב- PCMag. בעוד שהחוק נערך מעבר לאוקיאנוס האטלנטי, האמת היא שהוא הטביע חותם על עסקים ברחבי העולם מכיוון שהוא חל על כל אזרחי האיחוד האירופי ללא קשר למקום מגוריהם. בדומה ל- GDPR, השפעת ה- CCPA החדשה תהיה בעלת השלכות מרחיקות לכת מעבר למצב המוצא שלה. דיברנו עם כמה מומחים בכדי ללמוד יותר על ה- CCPA ועל כמה מההשלכות הצפויות שלו.

CCPA ואתה: מבוא

CCPA קובע את זכות הצרכן לבקש מעסקים לחשוף איזה סוג נתונים נאספים עליהם. אלא אם כן אתה משתמש בכלי כגון רשת פרטית וירטואלית (VPN), זה די בטוח ש אינספור עסקים אוספים מידע אודותיך בכל פעם שאתה מחובר. לומר שקיפות מסוג זה שתביא CCPA זה עניין גדול זה יהיה אנדרסטייטמנט.

ג'ון Tsopanis הוא מנהל מוצר פרטיות ב- 1touch.io, חברה המסייעת לעסקים להבין את הנתונים האישיים שהם מטפלים בהם. Tsopanis בילה את השנים האחרונות בייעוץ GDPR לחברות והוא מתכונן לעשות זאת גם עם ה- CCPA. Tsopanis מסביר את CCPA במונחים בסיסיים.

"ב -1 בינואר, 2020, תושבת קליפורניה תהיה זכות חוקית לשאול כל חברה גדולה באמריקה: 'האם אתה מעבד מידע כלשהו?'", אמר Tsopanis. "תוך 45 יום, אותה חברה תהיה מחויבת להשיב בדו"ח המפרט את 12 החודשים האחרונים. היא תצטרך להראות אילו קטגוריות ספציפיות של מידע אישי יש להם על אותו אדם, עם מי הם חולקים אותו ומה הסיבות. הם צריכים למסור את המידע הזה לתושבי קליפורניה - כולם 40 מיליון מהם - במסגרת הזמן."

ההבדלים בין GDPR ל- CCPA

ישנם כמה הבדלים מהותיים בין מה שה- GDPR עושה לבין מה שמכסה CCPA. בתור התחלה, CCPA תשתמש בבסיס ביטול הסכמה ואילו ה- GDPR משתמש בבסיס הצטרפות. משמעות הדבר למעשה היא שמשתמשים יצטרכו לפנות באופן פעיל לחברות כדי לברר באיזה סוג מידע נעשה שימוש. בנוסף, ה- GDPR חל על כל ארגון המחזיק נתונים אישיים על אזרחי האיחוד.

CCPA לעומת זאת, חל רק על חברות למטרות רווח המעבדות נתונים על תושבי קליפורניה. על הארגון לבצע הכנסות שנתיות של לפחות 24 מיליון דולר, להחזיק בנתונים של 50, 000 איש או לבצע לפחות מחצית מהכנסותיהם ממכירת נתונים אישיים. אז אם יש לך חנות בוטיק קטנה והיקף הפעילות המקוונת שלך היא דף אינטרנט המפרט את שעות החנות וכתובתך, אז לא תצטרך לדאוג יותר מדי לגבי CCPA. אבל אם אתה מנהל אתר מסחר אלקטרוני באמצעות ספק סוהר או מתחזק אתר זנב אלקטרוני משלך באמצעות שירות אירוח אתרים כללי, אז תרצה לשים לב.

קורטני באומן הוא מקורב במחלקת הליטיגציה במשרד עורכי הדין הבינלאומי פרוסקאואר רוז LLP. באומן מסביר מדוע CCPA תדרוש מחברות לחשוב היטב על השימוש בנתונים שלהן הרבה מעבר לשנת 2020. "דרישת 12 חודשים פירושה שחברות יצטרכו לבדוק את מדיניות הפרטיות שלהן לפחות פעם בשנה ולנסות להבין אם משהו השתנה., " היא אמרה.

"הם יצטרכו לפקח ללא הפסקה על הנתונים שהם מוכרים או חושפים לצדדים שלישיים כדי שיוכלו להתאים את מדיניות הפרטיות שלהם בהתאם", המשיך באומן. החוק גם מעניק לצרכנים זכות לגשת למידע האישי או למחוק את המידע האישי שלהם במצבים מסוימים, ועסקים יצטרכו להבטיח שהם יכולים למעשה להפיק את הזכות הזו באופן מהיר. זה ידרוש מחברות לעסוק במיפוי נתונים כדי להבין היכן הנתונים שלהם ממוקמת, וגם ליצור קשרים עם מחלקות ה- IT שלהם כדי להבין מה הם צריכים לעשות כדי לוודא שהם יוכלו למלא את אחריותם במסגרת המעשה."

ההשפעה הרחבה של CCPA

בחודשים שקדמו ל- GDPR, נושא רציף בסיקור שלנו היה שבעולם הגלובלי שלנו, ה- GDPR ישפיע על עסקים שמעבר לאירופה. אחרי הכל, מרבית החברות הגדולות עושות עסקים בחו"ל ויצטרכו לשנות את הפעילות המקוונת שלהן באופן גלובלי כדי לעמוד בחוק. עם זאת, כשדיברנו עם Tsopanis, הוא אמר שחברות אמריקאיות עדיין צריכות לשים לב במיוחד ל- CCPA.

Tsopanis אמר כי "כשמדובר בחברות אמריקאיות, ה- GDPR התרכז בעיקר בארגונים גדולים שפעלו על פני הערוצים. עם זאת, הקריטריונים של החברות העומדות ברשותם גדולים בהרבה בסדר גודל גדול". "בקליפורניה יש 40 מיליון איש; 50, 000 אפילו לא 0.1 אחוז מהאוכלוסייה. אני חושב שמידת החשיפה של חברות אמריקאיות גבוהה משמעותית מכפי שהיה בעבר תחת ה- GDPR."

Tsopanis מציע את הדוגמה של ענקית המזון המהיר וונדי. "וונדי'ס היא החברה ה -999 בגודלה בפורטון 1000 והיא מגלגל הכנסות שנתיות של 1.2 מיליארד דולר - פי 48 יותר מסף ההתחלות על פי חוק זה. לכל הפחות יש באמריקה 1, 000 מיליארד חברות שצריכות לעמוד בהן החוק הזה וסדרי גודל משמעותיים גדולים מזה בקטגוריית 25 מיליון הדולר."

אנו אולי לא רואים את וונדי של חברת טק, אך הם אוספים את חלקם ההוגן במידע המשתמשים. הם גם דוגמה מושלמת לאופן בו חברות מכל הסוגים יושפעו על ידי ה- CCPA. כשאתה מבקר באתר האינטרנט שלהם, מזמין אוכל דרך מערכות נקודת המכירה (POS) שלהם, או אפילו פשוט משתמש ב- Wi-Fi במסעדה של וונדי המקומית שלך, החברה אוספת את המידע שלך, ובקליפורניה, לפחות, זה ' הכל יהיה כפוף לתקנת CCPA. אם חברה "קטנה" כמו ונדי של אוסף כל כך הרבה נתונים על משתמשים, אז זה מפחיד ממש לחשוב מה תאגידים גדולים יותר אוספים. במילים פשוטות, ל- CCPA יהיו השלכות עצומות.

תגליות נתונים חשובות

אחת ההשפעות החשובות ביותר של CCPA היא שאמריקאים יוכלו סוף סוף לחשוף את הכמויות העצומות של קניית נתונים ומכירת נתונים שחברות ביצעו. "הצעת החוק הזו הולכת לאפשר לעם האמריקני לחשוף סוף סוף את רשת ההמונים של ארגוני קנייה ומכירה של נתונים היו בעבר אנונימיים לחלוטין. זה הולך להביא לשינוי תרבותי דרמטי באופן בו נתפסת פרטיות הנתונים ובסופו של דבר נקודה כלשהי, תוביל לחוק הפרטיות הפדרלי בהרמוניה, "אמר Tsopanis.

כאשר קיימברידג 'אנליטיקה השערוריה פרצה, היא קיבלה את תשומת ליבם של מיליוני אנשים, בין אם הם היו טכנולוגים או לא. זה גרם לאנשים להיות מודאגים מאוד ממי אוסף את המידע שלהם ומה נעשה איתו, וה- CCPA הוא, בחלקו, תגובה לכך. Tsopanis טוען כי הגילויים הנובעים מכך יהיו גדולים.

"עבור כל עיתונאית במדינה זו מסע אלים. קליפורניה היא כלכלת 2.7 טריליון דולר - החמישית בגודלה בעולם - והיא בנויה על ביג דאטה. כל בקשת גישה מכל חברת Fortune 1000 עומדת לחשוף רשת שלמה Tsopanis הסביר על חברות שקונות ומוכרות נתונים שעומדות להיבדק. "אנחנו לא יודעים בדיוק מה נמצא כשאנשים יתחילו לקבל את דוחות הנתונים שלהם, אבל בטוח שיהיו כמה גילויים מעניינים."

רק 18 חודשים להכנה

אם למדנו משהו מ- GDPR, זה שחברות צריכות לתכנן מוקדם ככל האפשר כדי להיות מוכנות למועד האחרון. עם זאת, לחברות אמריקאיות אין זמן רב בכלל. ה- GDPR אומץ באפריל 2016, ולחברות היו קצת יותר משנתיים מלאות להסתגל ולציית לתקנה. מכיוון שה- CCPA נכנס לתוקף כבר בתחילת 2020, פירוש הדבר שחברות גדולות יותר צריכות כעת להיות 18 חודשים בלבד כדי להתכונן.

תאריך יעד זה עשוי לגרום אפילו למקצוען הטכנולוגי המנוסה ביותר להילחץ. "כמות העבודה שצריכה להיעשות תוך 18 חודשים היא גדולה יותר מהנדרש ל- GDPR, עם פחות זמן לעשות זאת, ועם חברות אמריקאיות שמגיעות מרמת בגרות פרטיות נמוכה יותר מאירופה", מזהיר צופאניס.

כדי לעמוד בה, ותיק האבטחה ממליץ לחברות להקפיד על טיפול נאות בפיתוח התהליכים שלהן. Tsopanis אמר כי "בחצי השנה הקרובה, מה שארגונים צריכים לעשות הוא לפתח איזושהי שיטה למעקב אחר מידע אישי ברחבי הארגון. "הם זקוקים לדרך לגישה קלה אל המידע האישי שנשלח לאיזה צד ג 'ובאיזו שעה, ואז הם צריכים להיות מסוגלים לעקוב אחר זה במשך 12 החודשים עד ליישום, ולהיות מוכנים לספק את המידע הזה על פי בקשה מתי הרגולציה נכנסת לפעולה.

Tsopanis המשיך טסופניס כי "זה בעצם ידרוש מכמעט כל החברות הגדולות בארה"ב לבצע פעולות זיהוי נתונים מרכזיות, ולהיות מסוגלות להפוך אוטומטית ולהגיב לבקשות הגישה של נתוני תושבים מקליפורניה בתאריך האכיפה. "חשוב גם לציין שכאשר החוק עובר בשנת 2020 הם צריכים להיות מסוגלים לספק דוח על מידע המשתמשים ב -12 החודשים שקדמו לו. פירוש הדבר הוא שעסקים צריכים לעקוב אחר נתונים אלה ב -1 בינואר 2019."

מבחינה משפטית, באומן אומר שיכולים להיות כמה שינויים שנעשו לפני המועד האחרון. "אנחנו כן מצפים שנראה כמה תיקונים בחוק לפני שייכנס לתוקף, " אמרה. "מכיוון שנוסח די מהר, אפילו אחרי שהוא נכנס לתוקף יתכנו כמה אזורים אפורים שנשארו מצטיינים מבחינת הבנתנו אותם. אחרי הכל, לקח ל- GDPR שנים לנסח, ועדיין ישנם מספר חלקים של ה- GDPR שהם דו משמעיים."