Ameesh Divatia on Baffle, Inc:n perustaja & ja toimitusjohtaja, jolla on todistetusti kokemusta innovatiivisten ideoiden muuttamisesta menestyksekkäiksi yrityksiksi.
Kalifornian 3. marraskuuta hyväksymä Kalifornian yksityisyyden suojaa koskeva laki (California Privacy Rights Act, CPRA) perustuu Kalifornian yksityisyyden suojaa koskevaan lakiin (California Consumer Privacy Act, CCPA). EU:n tietosuoja-asetus, GDPR, on tietosuojalakien kultainen standardi, ja CPRA lähenee tätä standardia heijastamalla yhteiskunnan lisääntynyttä halua tietosuojaan. Lisäksi CPRA antaa kuluttajille vieläkin paremman mahdollisuuden valvoa yritysten keräämiä henkilötietoja ja saada niitä käyttöönsä kuin CCPA:n myötä.
Soveltamisalaan kuuluville yksiköille tämä voi tuntua sääntelyn ”kaksoiskahdelta iskulta”, koska CCPA allekirjoitettiin vasta tammikuussa, ja sen täytäntöönpano alkaa heinäkuussa. Hyvä uutinen yritysten kannalta on, että CPRA tulee voimaan vasta vuonna 2023, mikä antaa yrityksille aikaa luoda tarvittava infrastruktuuri vaatimusten noudattamiseksi. Vaikka CPRA:lla on monia puolia, joita on tutkittava, kuten IAPP selitti toukokuussa, uskon, että uudessa laissa on kolme aluetta, jotka tuovat merkittäviä haasteita tietosuojaan liittyen:
– Kalifornian yksityisyydensuojaviraston (CalPPA) perustaminen.
– Arkaluonteisten henkilötietojen luokan luominen.
– Laajennetut kuluttajien oikeudet ja rekisterinpitäjien vaatimustenmukaisuus.
CalPPA:n luominen
CPRA:n nojalla vastuu lainvalvonnasta siirtyy oikeusministeriltä vasta perustetulle CalPPA:lle. Virasto muodostuu viisijäsenisestä johtokunnasta, joka suojelee ihmisten yksityisyydensuojaa koskevia oikeuksia, edistää yleistä tietoisuutta ja antaa lain mukaisia ohjeita kuluttajille ja yrityksille. Sillä on myös valtuudet panna laki täytäntöön ja valvoa sen noudattamista sekä määrätä sakkoja rikkomuksista.
Tämän vastuunsiirron myötä CPRA:lle omistautuneelle virastolle, uskon, että täytäntöönpanoprosessi on todennäköisesti paljon tiukempi ja tarkemmin määritelty. Tämän seurauksena organisaatioiden on oltava entistäkin sitoutuneempia varmistamaan, että ne ottavat käyttöön asianmukaisen infrastruktuurin noudattaakseen lakia heti alusta alkaen.
Arkaluonteiset henkilötiedot
CPRA on laajentanut suojattujen tietojen formaatteja lisäämällä niihin uuden luokituksen: arkaluonteiset henkilötiedot. IAPP:n mukaan näihin tietoihin kuuluvat sellaiset yksityiskohdat kuin kuluttajan tarkka maantieteellinen sijainti, rotu, etninen alkuperä, uskonto, seksuaalinen suuntautuminen, ammattiyhdistyksen jäsenyys, henkilökohtainen viestintä, geneettiset tiedot sekä biometriset tai terveystiedot.
Arkaluonteisten henkilötietojen suojaaminen voi olla haastavaa kahdesta näkökulmasta. Ensinnäkin suojattavien tietojen määrä kasvaa eksponentiaalisesti, mikä edellyttää suurempaa valppautta tietojen tunnistamisessa. Toinen haaste on vivahteikkaampi sikäli, että arkaluonteiset henkilötiedot eivät noudata perinteisiä tunnistusmuotoja – kuten sosiaaliturvatunnuksia, luotto- ja pankkikorttien numeroita ja osoitteita. Tämä tarkoittaa, että soveltamisalaan kuuluvien yhteisöjen on ehkä käytettävä kehittyneitä tietojen tunnistamis- ja suojaustekniikoita, joita monet organisaatiot eivät tällä hetkellä tunne.
Laajennetut kuluttajan oikeudet ja tiedonkerääjien vaatimustenmukaisuus
CPRA:ssa edellytetään nyt, että soveltamisalaan kuuluvat yhteisöt tiedottavat kuluttajille siitä, kuinka kauan ne aikovat säilyttää kuluttajien tietoja. Lisäksi laki rajoittaa virallisesti sitä, kuinka kauan yritykset voivat säilyttää tietoja. CPRA:n tämän näkökohdan noudattaminen edellyttää, että yritykset parantavat entisestään säilytysrekistereiden seuranta- ja päivitysprotokollia varmistaakseen, että ne tiedottavat näistä tiedoista kuluttajille sääntöjenmukaisella tavalla.
CPRA edellyttää myös, että palveluntarjoajat, urakoitsijat ja kolmannet osapuolet, jotka työskentelevät CPRA:n piiriin kuuluvien yritysten kanssa, noudattavat uutta lainsäädäntöä, mikä tarkoittaa, että ne joutuvat tosiasiassa noudattamaan CPRA:n vaatimuksia riippumatta siitä, ovatko ne itse suoranaisesti CPRA:n alaisia. Nämä organisaatiot eivät voi käyttää saamiaan tietoja muuhun kuin alun perin sovittuun tarkoitukseen. Ne eivät voi myydä tietoja, ja niiden on todennäköisesti otettava käyttöön tiukempia ja kattavampia tietosuojakäytäntöjä kuin mitä ne muutoin käyttäisivät.
Miten organisaatioiden tulisi valmistautua CPRA:han
Vaikka CPRA:n mukaiseksi tuleminen vaatii useimmilta soveltamisalaan kuuluvilta organisaatioilta paljon työtä, niillä on kaksi vuotta aikaa valmistautua, joten niillä pitäisi olla aikaa saada talonsa kuntoon. Harkitse seuraavia ehdotuksia CPRA-valmiuden varmistamiseksi vuonna 2023:
– Tarkasta nyt tietojen tunnistamista, suojaamista ja säilyttämistä koskevat käytännöt. Huomioi mahdolliset epäjohdonmukaisuudet, joita nykyisissä käytännöissä on CPRA:n taustaa vasten, ja aloita asianmukaisten mukautusten tekeminen. Todennäköisesti organisaatiot ovat hiljattain ottaneet tämän askeleen CCPA:n noudattamiseksi, joten CPRA:n noudattamiseen siirtymisen pitäisi olla helpompaa tällä kertaa. Kaikilla organisaatioilla, jotka ovat pyrkineet GDPR:n noudattamiseen, on jo etumatkaa CPRA:n noudattamiseen.
– Aloita keskustelut palveluntarjoajien, alihankkijoiden ja kolmansien osapuolten kanssa. Nyt kun yhteistyökumppanit joutuvat vastuuseen tiedoista, joita suojatut organisaatiot jakavat niiden kanssa, niiden pitäisi ymmärtää paremmin toimenpiteet niiden suojaamiseksi. Ja mahdollisten kumppaneiden tarkastaminen edellyttää, että tiedustelet, miten ne aikovat täyttää CPRA:n vaatimukset. Luo näille yhteisöille vaatimustenmukaisuuskyselylomakkeet, jotta prosessi olisi helpompi hallita.
– Pyydä CPRA-valmiita ratkaisuja. Todennäköisesti on monia organisaatioiden käyttämiä ratkaisuja, joita on tarkistettava, jotta CPRA:n noudattaminen olisi helpompaa – esimerkiksi pilviturva-, tiedonhallinta-, tietosuoja- ja tiedonjakotyökalut. Ole ennakoiva ja kerro huolenaiheesi palveluntarjoajille, jos niiden tarjoamat ratkaisut eivät auta sinua ylläpitämään CPRA:n noudattamista tehokkaasti.
Kuluttajien tietosuojaa koskeva lainsäädäntö on yleistymässä eri puolilla maailmaa ja toimialoilla, ja CPRA on viimeisin esimerkki siitä. Tehostamalla investointeja haastaviin näkökohtiin nyt, suojatut yhteisöt voivat olla valmiita ylläpitämään vaatimustenmukaisuutta, kun laki astuu voimaan, ja olla ketterämpiä, kun niiden on käsiteltävä tulevia yksityisyydensuojaa koskevia lakeja.
Forbes Technology Council on maailmanluokan tietohallintojohtajien, teknologiajohtajien ja teknologiajohtajien kutsuvierasyhteisö. Olenko minä oikeutettu?
Seuraa minua Twitterissä tai LinkedInissä. Tutustu verkkosivustooni.