Ameesh Divatia je spoluzakladatelem & CEO společnosti Baffle, Inc., s prokazatelnými zkušenostmi s proměnou inovativních nápadů v úspěšné podniky.
Kalifornie přijala 3. listopadu zákon o právech na ochranu soukromí (CPRA), který navazuje na kalifornský zákon o ochraně soukromí spotřebitelů (CCPA). Nařízení EU o ochraně osobních údajů, GDPR, je zlatým standardem, pokud jde o zákony o ochraně osobních údajů, a CPRA se tomuto standardu přibližuje tím, že odráží zvýšenou touhu společnosti po ochraně osobních údajů. CPRA navíc poskytuje spotřebitelům ještě větší kontrolu nad osobními údaji shromážděnými společnostmi a přístup k nim, než tomu bylo v případě CCPA.
Pro subjekty, na které se vztahuje, to může působit jako regulační „úder jedna dvě“, protože CCPA byl podepsán teprve v lednu a jeho prosazování začalo v červenci. Dobrou zprávou pro podniky je, že CPRA vstoupí v platnost až v roce 2023, což dává podnikům čas na zavedení potřebné infrastruktury k dosažení souladu. Ačkoli má CPRA mnoho aspektů, které je třeba prozkoumat, jak vysvětlila IAPP v květnu, domnívám se, že existují tři oblasti nového zákona, které přinášejí významné výzvy, protože se týkají ochrany údajů:
– Vytvoření Kalifornské agentury pro ochranu soukromí (CalPPA).
– Vytvoření kategorie citlivých osobních údajů.
– Rozšíření práv spotřebitelů a dodržování předpisů správci údajů.
Vytvoření agentury CalPPA
Podle zákona CPRA se odpovědnost za prosazování přesouvá z generálního prokurátora na nově vytvořenou agenturu CalPPA. Agentura se bude skládat z pětičlenné rady, která bude chránit práva lidí na ochranu soukromí, podporovat informovanost veřejnosti a poskytovat pokyny spotřebitelům a podnikům podle tohoto zákona. Bude také oprávněna provádět a prosazovat zákon a ukládat pokuty za jeho porušení.
S tímto přesunem odpovědnosti na agenturu zabývající se výhradně zákonem CPRA se domnívám, že proces prosazování bude pravděpodobně mnohem přísnější a lépe definovaný. V důsledku toho se organizace budou muset ještě více věnovat tomu, aby zajistily zavedení vhodné infrastruktury pro dodržování zákona od prvního dne.
Citlivé osobní údaje
Zákon CPRA rozšířil formáty chráněných údajů o novou klasifikaci: citlivé osobní údaje. Podle IAPP tyto informace zahrnují údaje, jako je přesná zeměpisná poloha spotřebitele, rasa, etnický původ, náboženství, sexuální orientace, členství v odborech, osobní komunikace, genetické údaje a biometrické nebo zdravotní údaje.
Ochrana citlivých osobních údajů může být náročná ve dvou směrech. Zaprvé se exponenciálně zvyšuje množství údajů, které je třeba chránit, což bude vyžadovat větší ostražitost v oblasti identifikace údajů. Druhá výzva je složitější v tom, že citlivé osobní údaje nemají tradiční identifikační formáty – například čísla sociálního pojištění, čísla kreditních a debetních karet a adresy. To znamená, že kryté subjekty budou možná muset použít pokročilé techniky identifikace a ochrany údajů, které mnoho organizací v současné době nezná.
Rozšířená práva spotřebitelů a soulad s předpisy o shromažďování údajů
Zákon CPRA nyní vyžaduje, aby kryté subjekty informovaly spotřebitele o tom, jak dlouho plánují uchovávat údaje spotřebitelů. Kromě toho zákon oficiálně omezuje, jak dlouho mohou podniky údaje uchovávat. Dodržování tohoto aspektu zákona CPRA bude od podniků vyžadovat další zdokonalení protokolů pro sledování a aktualizaci záznamů o uchovávání údajů, aby bylo zajištěno, že tyto informace sdělují spotřebitelům v souladu s předpisy.
Zákon CPRA bude rovněž vyžadovat, aby poskytovatelé služeb, dodavatelé a třetí strany, které spolupracují s pokrytými podniky, dodržovali nové právní předpisy, což je fakticky nutí dodržovat požadavky zákona CPRA bez ohledu na to, zda se na ně samotné vztahují přímo. Tyto organizace nemohou používat údaje, které obdrží, k jiným účelům, než bylo původně dohodnuto. Nemohou tyto informace prodávat a pravděpodobně budou muset zavést přísnější a komplexnější postupy ochrany osobních údajů, než jaké by jinak mohly používat.
Jak by se organizace měly připravit na nařízení CPRA
Přestože dosažení souladu s nařízením CPRA bude pro většinu zahrnutých subjektů vyžadovat velké úsilí, budou mít na přípravu dva roky, což by jim mělo poskytnout čas, aby si udělaly pořádek. Zvažte následující návrhy k zajištění připravenosti na nařízení CPRA v roce 2023:
– Proveďte nyní audit zásad identifikace, ochrany a uchovávání údajů. Všimněte si případných nesrovnalostí, které současné politiky mají v souvislosti s nařízením CPRA, a začněte provádět příslušné úpravy. Se vší pravděpodobností organizace tento krok již nedávno učinily kvůli souladu s nařízením CCPA, takže přechod na soulad s nařízením CPRA by měl být tentokrát snazší. Každá organizace, která usilovala o soulad s nařízením GDPR, již bude mít náskok pro soulad s nařízením CPRA.
– Začněte diskutovat s poskytovateli služeb, dodavateli a třetími stranami. Nyní, když budou partneři zodpovědní za údaje, které s nimi kryté subjekty sdílejí, by měli lépe porozumět krokům k jejich ochraně. A prověřování potenciálních partnerů bude vyžadovat, abyste se zajímali o to, jak plánují splnit požadavky CPRA. Vytvořte pro tyto subjekty dotazníky shody, abyste jim usnadnili řízení tohoto procesu.
– Vyžádejte si řešení připravená na CPRA. Pravděpodobně existuje mnoho řešení, která organizace využívají a která bude třeba přepracovat, aby bylo možné snadněji dodržovat požadavky CPRA – např. nástroje pro zabezpečení cloudu, správu dat, ochranu osobních údajů a sdílení dat. Buďte aktivní a sdílejte s poskytovateli své obavy, pokud to, co nabízejí, vám nepomůže účinně udržet soulad s nařízením CPRA.
Legislativa o ochraně osobních údajů spotřebitelů nabírá na síle napříč geografickými oblastmi a odvětvími a nařízení CPRA slouží jako nejnovější příklad. Zvýšením investic do náročných aspektů nyní mohou být subjekty, na které se zákon vztahuje, připraveny udržet soulad, až zákon vstoupí v platnost, a být pružnější, až budou muset řešit budoucí zákony o ochraně osobních údajů.
Forbes Technology Council je komunita pouze pro pozvané CIO, CTO a vedoucí pracovníky v oblasti technologií světové úrovně. Mám na to nárok?
Sledujte mě na Twitteru nebo LinkedIn. Podívejte se na mé webové stránky.