Ameesh Divatia a Baffle, Inc. társalapítója & vezérigazgatója, az innovatív ötletek sikeres vállalkozásokká alakításában bizonyítottan eredményes.

getty

California november 3-i kaliforniai adatvédelmi törvény (CPRA) elfogadása a kaliforniai fogyasztói adatvédelmi törvényre (CCPA) épül. Az EU adatvédelmi rendelete, a GDPR az adatvédelmi törvények tekintetében az aranyszabvány, és a CPRA közelebb kerül ehhez a szabványhoz, mivel tükrözi a társadalom megnövekedett adatvédelmi igényét. Emellett a CPRA még nagyobb ellenőrzést biztosít a fogyasztók számára a vállalatok által gyűjtött személyes adatok felett, és még nagyobb hozzáférést biztosít azokhoz, mint a CCPA tette.

Az érintett jogalanyok számára ez egy szabályozási “kettős ütésnek” tűnhet, mivel a CCPA-t csak januárban írták alá, a végrehajtás pedig júliusban kezdődik. A vállalkozások számára jó hír, hogy a CPRA csak 2023-ban lép hatályba, ami időt ad a vállalkozásoknak a megfeleléshez szükséges infrastruktúra kialakítására. Bár a CPRA-nak számos aspektusa van, amelyeket meg kell vizsgálni, amint azt az IAPP májusban kifejtette, úgy vélem, hogy az új törvénynek három olyan területe van, amely jelentős kihívásokat jelent az adatvédelemmel kapcsolatban:

– A Kaliforniai Adatvédelmi Ügynökség (CalPPA) létrehozása.

– Az érzékeny személyes adatok kategóriájának létrehozása.

– A fogyasztók kibővített jogai és az adatkezelők megfelelősége.

A CalPPA létrehozása

A CPRA értelmében a végrehajtás felelőssége a főügyészről az újonnan létrehozott CalPPA-ra száll át. Az ügynökség egy öttagú testületből áll majd, amely az emberek magánélethez fűződő jogainak védelmét, a közvélemény figyelmének felkeltését, valamint a fogyasztók és a vállalkozások számára a törvény szerinti iránymutatás nyújtását végzi. Felhatalmazást kapnak továbbá a törvény végrehajtására és betartatására, valamint a jogsértések esetén bírságok kiszabására.

A felelősségnek a kizárólag a CPRA-val foglalkozó ügynökségre történő áthelyezésével úgy vélem, hogy a végrehajtási eljárás valószínűleg sokkal szigorúbb és jobban meghatározott lesz. Ennek eredményeképpen a szervezeteknek még elkötelezettebben kell majd gondoskodniuk arról, hogy a törvénynek való megfeleléshez szükséges megfelelő infrastruktúrát már az első napon megvalósítsák.

Érzékeny személyes adatok

A CPRA kibővítette a védett adatok formátumát egy új besorolással: az érzékeny személyes adatokkal. Az IAPP szerint ezek az információk olyan adatokat tartalmaznak, mint a fogyasztó pontos földrajzi elhelyezkedése, faji, etnikai hovatartozása, vallása, szexuális irányultsága, szakszervezeti tagsága, személyes kommunikáció, genetikai adatok, valamint biometrikus vagy egészségügyi adatok.

Az érzékeny személyes adatok védelme két szempontból is kihívást jelenthet. Először is, exponenciálisan megnöveli a védendő adatok mennyiségét, ami nagyobb éberséget igényel az adatazonosítás területén. A második kihívás árnyaltabb, mivel az érzékeny személyes adatok nem követik a hagyományos azonosító formátumokat – mint például a társadalombiztosítási számok, hitel- és bankkártyaszámok és címek. Ez azt jelenti, hogy az érintett szervezeteknek olyan fejlett adatazonosítási és adatvédelmi technikákat kell alkalmaznia, amelyeket sok szervezet jelenleg nem ismer.

Kibővített fogyasztói jogok és adatgyűjtő megfelelés

A CPRA mostantól megköveteli az érintett szervezetektől, hogy tájékoztassák a fogyasztókat arról, hogy mennyi ideig tervezik a fogyasztói adatok megőrzését. Emellett a törvény hivatalosan is korlátozza, hogy a vállalkozások mennyi ideig tarthatják meg az adatokat. A CPRA ezen aspektusának betartása megköveteli a vállalkozásoktól, hogy tovább javítsák a megőrzési nyilvántartások nyomon követésére és frissítésére vonatkozó protokollokat annak biztosítása érdekében, hogy ezeket az információkat megfelelő módon közöljék a fogyasztókkal.

A CPRA a hatálya alá tartozó vállalkozásokkal együttműködő szolgáltatókat, vállalkozókat és harmadik feleket is kötelezi az új jogszabály betartására, így gyakorlatilag a CPRA követelményeinek betartására kötelezi őket, függetlenül attól, hogy ők maguk közvetlenül a CPRA hatálya alá tartoznak-e vagy sem. Ezek a szervezetek nem használhatják fel az általuk kapott adatokat más célra, mint amiben eredetileg megállapodtak. Nem adhatják el ezeket az információkat, és valószínűleg szigorúbb és átfogóbb adatvédelmi gyakorlatokat kell majd bevezetniük, mint amilyeneket egyébként alkalmaznának.

Hogyan kell felkészülniük a szervezeteknek a CPRA-ra

Míg a CPRA-nak való megfelelés sok erőfeszítést igényel a legtöbb érintett szervezet számára, két évük lesz a felkészülésre, ami időt ad nekik arra, hogy rendet tegyenek a házuk táján. Fontolja meg az alábbi javaslatokat a 2023-as CPRA-ra való felkészültség biztosítása érdekében:

– Az adatok azonosítására, védelmére és megőrzésére vonatkozó irányelvek ellenőrzése már most. Vegye figyelembe, hogy a jelenlegi irányelvek milyen következetlenségeket mutatnak a CPRA hátterével szemben, és kezdje meg a megfelelő kiigazításokat. Minden valószínűség szerint a szervezetek nemrégiben megtették ezt a lépést a CCPA-nak való megfelelés érdekében, így a CPRA-nak való megfelelésre való átugrás ezúttal könnyebb lesz. Minden olyan szervezet, amely a GDPR-megfelelőségre törekedett, már előnnyel indul a CPRA-megfeleléshez.

– Kezdje meg a megbeszéléseket a szolgáltatókkal, vállalkozókkal és harmadik felekkel. Most, hogy a partnerek felelősek lesznek az érintett szervezetek által velük megosztott adatokért, jobban meg kell érteniük az azok védelmére irányuló lépéseket. A potenciális partnerek átvilágítása pedig megköveteli, hogy érdeklődjön arról, hogyan tervezik a CPRA követelményeinek való megfelelést. Készítsen megfelelőségi kérdőíveket ezeknek a szervezeteknek, hogy megkönnyítse a folyamat kezelését.

– Kérjen CPRA-kész megoldásokat. Valószínűleg számos olyan megoldást használnak a szervezetek, amelyeket felül kell vizsgálni, hogy könnyebben megfeleljenek a CPRA-nak – például a felhőbiztonság, az adatkezelés, az adatvédelem és az adatmegosztás eszközei. Legyen proaktív, és ossza meg aggodalmait a szolgáltatókkal, ha az általuk kínált megoldások nem segítenek hatékonyan fenntartani a CPRA-nak való megfelelést.

A fogyasztók adatainak védelmére vonatkozó jogszabályok egyre nagyobb lendületet vesznek a különböző földrajzi területeken és iparágakban, és a CPRA a legújabb példaként szolgál. A kihívást jelentő szempontokba történő beruházások mostani fokozásával az érintett szervezetek készen állhatnak a megfelelés fenntartására, amikor a törvény hatályba lép, és rugalmasabbak lehetnek, amikor a jövőbeli adatvédelmi törvényekkel kell foglalkozniuk.

A Forbes Technology Council a világszínvonalú CIO-k, CTO-k és technológiai vezetők meghívásos közössége. Jogosult vagyok rá?

Kövessen engem a Twitteren vagy a LinkedInen. Nézze meg a weboldalamat.