Ameesh Divatia jest współzałożycielem & CEO firmy Baffle, Inc, z udokumentowanym doświadczeniem w przekształcaniu innowacyjnych pomysłów w odnoszące sukcesy firmy.
Przejście California Privacy Rights Act (CPRA) w Kalifornii w dniu 3 listopada opiera się na California Consumer Privacy Act (CCPA). Unijne rozporządzenie w sprawie prywatności, GDPR, jest złotym standardem w zakresie przepisów dotyczących prywatności danych, a CPRA zbliża się do tego standardu, odzwierciedlając zwiększone pragnienie społeczeństwa do prywatności danych. Dodatkowo, CPRA daje konsumentom jeszcze większą kontrolę i dostęp do danych osobowych gromadzonych przez firmy niż to, co CCPA zrobił.
Dla podmiotów objętych, to może czuć się jak regulacyjny „jeden-dwa ciosy”, ponieważ CCPA został właśnie podpisany w prawo w styczniu, z egzekwowania rozpoczyna się w lipcu. Dobrą wiadomością dla firm jest to, że CPRA nie wejdzie w życie do 2023 roku, co daje firmom czas na ustanowienie niezbędnej infrastruktury do przestrzegania przepisów. Chociaż CPRA ma wiele aspektów, które muszą być zbadane, jak wyjaśniono przez IAPP w maju, uważam, że istnieją trzy obszary nowego prawa, które przynoszą znaczące wyzwania, jak odnoszą się do ochrony danych:
– Utworzenie Kalifornijskiej Agencji Ochrony Prywatności (CalPPA).
– Utworzenie kategorii wrażliwych informacji osobistych.
– Rozszerzone prawa konsumenta i zgodność kontrolera danych.
Tworzenie CalPPA
Under CPRA, odpowiedzialność za egzekwowanie odsuwa się od prokuratora generalnego do nowo utworzonej CalPPA. Agencja będzie składać się z pięcioosobowego zarządu, który będzie chronić prawa ludzi do prywatności, promować świadomość społeczną i zapewnić wskazówki dla konsumentów i przedsiębiorstw w ramach ustawy. Będą oni również uprawnieni do wdrażania i egzekwowania ustawy i nakładania kar za naruszenia.
Z tym przesunięciem odpowiedzialności do agencji poświęconej wyłącznie CPRA, uważam, że proces egzekwowania prawdopodobnie będzie o wiele bardziej rygorystyczny i dobrze zdefiniowany. W rezultacie organizacje będą musiały jeszcze bardziej poświęcić się zapewnieniu, że wdrażają odpowiednią infrastrukturę w celu zapewnienia zgodności z prawem już pierwszego dnia.
Wrażliwe informacje osobiste
CPRA rozszerzyła formaty chronionych danych o nową klasyfikację: wrażliwe informacje osobiste. Według IAPP, informacje te obejmują szczegóły takie jak dokładna geolokalizacja konsumenta, rasa, pochodzenie etniczne, religia, orientacja seksualna, przynależność do związków zawodowych, komunikacja osobista, dane genetyczne oraz informacje biometryczne lub zdrowotne.
Ochrona wrażliwych danych osobowych może stanowić wyzwanie na dwóch frontach. Po pierwsze, wykładniczo zwiększa ilość danych, które muszą być chronione, co będzie wymagało większej czujności w sferze identyfikacji danych. Drugie wyzwanie jest bardziej złożone, ponieważ wrażliwe informacje osobiste nie są zgodne z tradycyjnymi formatami identyfikacji – takimi jak numery ubezpieczenia społecznego, numery kart kredytowych i debetowych oraz adresy. Oznacza to, że podmioty objęte CPRA mogą być zmuszone do stosowania zaawansowanych technik identyfikacji i ochrony danych, z którymi wiele organizacji nie jest obecnie zaznajomionych.
Rozszerzone prawa konsumenta i zgodność z Data Collector
CPRA wymaga teraz, aby podmioty objęte CPRA komunikowały się z konsumentami na temat tego, jak długo planują zachować dane konsumenta. Dodatkowo, prawo oficjalnie ogranicza, jak długo firmy mogą trzymać się danych. Przestrzeganie tego aspektu CPRA będzie wymagać od przedsiębiorstw do dalszej poprawy protokołów monitorowania i aktualizacji zapisów retencyjnych w celu zapewnienia, że są one przekazywanie tych informacji z konsumentami w sposób zgodny.
CPRA będzie również wymagać dostawców usług, wykonawców i stron trzecich, które współpracują z objętymi przedsiębiorstwami do przestrzegania nowych przepisów, skutecznie czyniąc je przestrzegać wymogów CPRA niezależnie od tego, czy sami podlegają jej bezpośrednio. Organizacje te nie mogą wykorzystywać danych, które otrzymują do celów innych niż te, które zostały pierwotnie uzgodnione. Nie mogą sprzedawać tych informacji, i prawdopodobnie będą musiały wdrożyć bardziej sztywne i kompleksowe praktyki prywatności, niż mogłyby w przeciwnym razie zatrudniać.
Jak organizacje powinny przygotować się do CPRA
Jakkolwiek uzyskanie zgodności z CPRA będzie wymagało wiele wysiłku dla większości podmiotów objętych, będą one miały dwa lata na przygotowanie, co powinno dać im czas na uporządkowanie swoich domów. Rozważ następujące sugestie, aby zapewnić gotowość do CPRA w 2023 roku:
– Audyt identyfikacji danych, ochrony i polityk retencji teraz. Zwróć uwagę na wszelkie niespójności obecnych polityk na tle CPRA i zacznij wprowadzać odpowiednie poprawki. Według wszelkiego prawdopodobieństwa, organizacje niedawno podjęły ten krok w celu zapewnienia zgodności z CCPA, więc tym razem przejście na zgodność z CPRA powinno być łatwiejsze. Każda organizacja, która dążyła do uzyskania zgodności z GDPR, będzie już miała przewagę w zakresie zgodności z CPRA.
– Rozpocznij rozmowy z dostawcami usług, kontrahentami i stronami trzecimi. Teraz, gdy partnerzy będą ponosić odpowiedzialność za dane, które podmioty objęte obowiązkiem ochrony udostępniają im, powinni oni lepiej rozumieć kroki, jakie należy podjąć w celu ich ochrony. A weryfikacja potencjalnych partnerów będzie wymagała zapytania o to, jak planują oni spełnić wymagania CPRA. Stwórz kwestionariusze zgodności dla tych podmiotów, aby ułatwić zarządzanie procesem.
– Poproś o rozwiązania gotowe do CPRA. Istnieje prawdopodobnie wiele rozwiązań wykorzystywanych przez organizacje, które będą musiały zostać zmienione, aby łatwiej dostosować się do CPRA – np. bezpieczeństwo w chmurze, zarządzanie danymi, prywatność danych i narzędzia do udostępniania danych. Bądź proaktywny w dzieleniu się swoimi obawami z dostawcami, jeśli to, co oferują, nie pomoże Ci skutecznie utrzymać zgodności z CPRA.
Przepisy dotyczące prywatności danych konsumenckich nabierają tempa w różnych regionach geograficznych i branżach, a CPRA służy jako najnowszy przykład. Zwiększając inwestycje w trudne aspekty już teraz, podmioty mogą być gotowe do utrzymania zgodności, gdy prawo wejdzie w życie i być bardziej elastyczne, gdy będą musiały zająć się przyszłymi przepisami dotyczącymi prywatności.
Forbes Technology Council jest społecznością wyłącznie zaproszoną dla światowej klasy CIO, CTO i kierowników ds. technologii. Czy się kwalifikuję?
Śledź mnie na Twitterze lub LinkedIn. Sprawdź moją witrynę internetową.