V listopadu kalifornští voliči schválili návrh 24, Kalifornský zákon o právech na soukromí (CPRA) z roku 2020. Tato volební iniciativa navazuje na kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) z roku 2018 a někdy se označuje jako „CCPA 2.0“. CPRA je však spíše restartem než pokračováním a podstatně zvyšuje práva jednotlivců a povinnosti podniků, které nakládají s osobními údaji.
CPRA si získal obrovskou podporu veřejnosti; získal 56 % hlasů, což z něj činí druhou nejpopulárnější kalifornskou volební iniciativu roku 2020. Popularita zákona znamená, že jej podniky musí brát vážně, jinak riskují poškození své pověsti.
Probíráme některé z nejvýznamnějších novinek v zákoně CPRA a nabízíme návrhy, jak se na něj připravit.
Následující informace nejsou zamýšleny jako právní poradenství a čtenáři by měli záležitosti týkající se dodržování předpisů konzultovat se svými právníky.
CPRA zvyšuje sankce a prosazování
Zákon CCPA svěřoval prosazování do rukou kalifornského generálního prokurátora, ale zákon CPRA dává větší pravomoci jednotlivcům a novému státnímu úřadu. Ve skutečnosti se navrhovaný zákon původně nazýval California Privacy Rights and Enforcement Act (CPREA), což naznačuje jeho nový důraz na odpovědnost.
Zřízení nové regulační agentury
Zákon CPRA vytváří Kalifornskou agenturu pro ochranu soukromí (CPPA), kterou Lexology označuje za „první vládní agenturu v USA zaměřenou výhradně na ochranu soukromí“. Úkolem CCPA je prosazovat zákon udělováním pokut a vyžadovat, aby společnosti podstupovaly hodnocení rizik a audity svých zásad nakládání s údaji.
Kromě toho bude CCPA poskytovat další nařízení, pravidla a pokyny týkající se výkladu CPRA. Podle webových stránek Prop 24 bude mít tato nová agentura rozpočet 10 milionů dolarů, což „by se rovnalo zhruba stejnému počtu zaměstnanců pro prosazování ochrany osobních údajů, jaký má FTC na policejní dohled v celé zemi.“
To by ve skutečnosti mohla být dobrá zpráva pro podniky, protože CPPA bude moci nabídnout pokyny a vyjasnit požadavky CPRA. Znění zákona CCPA bylo zdrojem nejasností a National Law Review poukazuje na to, že zákon CCPA byl nepopulární kvůli svým „příliš širokým definicím, nejednoznačnému znění a celkové nejasnosti“. Tato agentura by mohla fungovat podobně jako Úřad komisaře pro informace (ICO) ve Spojeném království, který pomohl vytvořit jasnost a řídit prosazování obecného nařízení o ochraně osobních údajů (GDPR).
Rozšíření práva na soukromoprávní žalobu
Podle zákona CCPA měli jednotlivci méně pravomocí pohnat společnosti k odpovědnosti za nedodržování předpisů. Podle nařízení CCPA mohou soukromé osoby podniknout soukromoprávní kroky proti podniku pouze v případě určitých typů porušení a často až poté, co podnik upozorní a dá mu šanci problém „napravit“. Nový zákon však uvádí, že „zavedení a udržování přiměřených bezpečnostních postupů a praktik… po porušení nepředstavuje nápravu.“
Jinými slovy, pokud krávy utečou ze stodoly, podniky je musí vrátit zpět, pokud se chtějí vyhnout právním problémům. Pouhé umístění zámku na dveře, aby se příště nic nedostalo ven, nebude stačit.
CPRA následuje GDPR
CPRA obsahuje mnoho pojmů známých každému, kdo studoval GDPR. Cílem těchto nových doplňků je poskytnout jednotlivcům větší kontrolu nad jejich osobními údaji a omezit způsoby, jakými je mohou podniky používat.
Nová kategorie „citlivých osobních údajů“
Zákon CPRA zavádí pojem „citlivé osobní údaje“ jako zvláštní třídu údajů, na kterou se vztahují vyšší standardy než na ostatní osobní údaje. Tento pojem se objevuje již v obecném nařízení o ochraně osobních údajů, ačkoli definice v nařízení CPRA je širší.
Citlivé osobní údaje v nařízení CPRA lze rozdělit do dvou kategorií: přímé identifikátory a vysoce soukromé údaje. První kategorie zahrnuje státem vydané průkazy totožnosti, finanční informace a jakoukoli kombinaci přihlašovacích údajů k účtu, které umožňují přístup k účtu. Druhá kategorie by zahrnovala přesnou zeměpisnou polohu, etnický původ, náboženské vyznání, genetické a biometrické informace, sexuální orientaci a obsah e-mailových a textových zpráv, pokud tyto zprávy nebyly zaslány danému podniku.
Zákon CPRA výslovně dává jednotlivcům větší pravomoc omezit způsob, jakým společnosti tyto informace používají. Uživatelé nyní mohou požadovat, aby podnik tyto informace používal pouze v rozsahu nezbytném pro poskytnutí služby nebo zboží, které „průměrný spotřebitel rozumně očekává“, a pouze pro omezený počet účelů výslovně uvedených v zákoně.
To zase vytváří nový požadavek na odhlášení pro podniky, který podle spekulací JD Supra může zahrnovat „odkaz dostupný na domovské stránce jejich webových stránek s názvem Omezit používání mých citlivých osobních údajů“. Jednalo by se o oddělené oznámení od odkazu „Neprodávejte ani nesdílejte mé osobní údaje“.
Zavedení „práva na opravu“
Zákon CPRA dává spotřebitelům právo požadovat, aby podniky opravily nepřesné osobní údaje o daném spotřebiteli. (GDPR toto právo označuje jako „právo na opravu“.) Podniky jsou povinny spotřebitele o tomto právu informovat a v případě, že někdo požádá o změnu, musí vyvinout „obchodně přiměřené úsilí“ o opravu.
Zvýšení omezení pro uchovávání/vymazání údajů
Zákon CCPA přiznává spotřebitelům omezené právo požádat o vymazání svých osobních údajů, i když s několika výjimkami, díky nimž je výrazně slabší než „právo být zapomenut“ podle GDPR. CPRA ukládá podnikům (a stranám, které nakládají s jejich informacemi) povinnost vymazat údaje samy. Zákon vyžaduje, aby podniky uchovávaly osobní údaje pouze po dobu nezbytnou k dosažení účelů, které byly spotřebiteli sděleny.
Pokud navíc spotřebitel požádá o výmaz, musí podniky tuto žádost předat poskytovatelům služeb a smluvním partnerům, kteří zase musí informovat své vlastní poskytovatele služeb a smluvní partnery, aby vznikla společná povinnost výmazu.
Rozšíření působnosti na „sdílení“ údajů
Téměř ve všech případech, kdy zákon CCPA zmiňuje „prodej“, jej zákon CPRA změnil tak, že uvádí „prodej nebo sdílení“. Aby bylo jasno, definice prodeje v zákoně CCPA je již poměrně široká. Nicméně CPRA se snaží odstranit mezery, které společnosti využívají za účelem „křížové behaviorální reklamy“.
Tato změna může společnostem, jako jsou Facebook a Google, znemožnit obcházet požadavek opt-out tím, že budou trvat na tom, že údaje uživatelů „neprodávají“, ale pouze umožňují inzerentům tyto údaje používat pro cílený marketing. Jak uvádí Datawallet, tato malá změna by nakonec mohla „zcela změnit status quo stávajícího ekosystému digitální reklamy.“
Jak by se podniky měly připravit na CPRA
Dobrou zprávou pro podniky je, že prosazování CPRA začne až v červenci 2023. CPRA do té doby také prodlužuje výjimky z CCPA týkající se údajů o zaměstnancích.
IAPP spekuluje, že toto odkladné období může mít za cíl poskytnout federální vládě čas na zavedení celostátních právních předpisů o ochraně osobních údajů. Bez ohledu na důvod mají podniky určitý čas na to, aby se připravily a zavedly nové zásady týkající se údajů.
Zrychlete zásady mazání údajů
Jak již bylo uvedeno, zákon CPRA vyžaduje, aby podniky (a externí strany, které s nimi spolupracují) mazaly osobní údaje poté, co splnily svůj účel. Kromě dodržování tohoto prvku zákona je mazání údajů jednoduše dobrou praxí, protože čím více osobních údajů uchováváte, tím více můžete ztratit v případě jejich porušení. A vzhledem k tomu, že nový zákon klade důraz na vymáhání práva a rozšiřuje právo na soukromoprávní žalobu, může každý ohrožený záznam při narušení vést k vážným sankcím.
Zpřísnění zásad mazání vyžaduje nejprve to, aby všechny osobní údaje byly evidovány, a ne aby se vznášely v éteru. Jak uvádí IAPP: „
Jedním z řešení tohoto problému je propojení všech osobních údajů v rámci centralizovaných uživatelských profilů, přístupných prostřednictvím systému správy identit a přístupu (IAM). Existence jediného úložiště údajů o zákaznících zjednodušuje dodržování mnoha aspektů kalifornských zákonů o ochraně osobních údajů, jako je mazání osobních údajů, provádění oprav a poskytování zpráv spotřebitelům na vyžádání.
Zavedení MFA pro přihlašování
Zákon CPRA vyčleňuje přihlašovací údaje, kterým je třeba věnovat zvláštní pozornost. V první řadě zahrnuje přihlašovací údaje pod „citlivé osobní údaje“. A zatímco zákon CCPA přiznával jednotlivcům právo na soukromoprávní žalobu pouze v případě, že narušení odhalilo jejich nezašifrované osobní údaje, zákon CPRA toto právo rozšiřuje i na narušení, které odhalí „e-mailovou adresu uživatele v kombinaci s heslem nebo bezpečnostní otázkou a odpovědí, které by umožnily přístup k účtu“, za předpokladu, že k narušení došlo v důsledku nedodržení přiměřených bezpečnostních postupů ze strany podniku.
Tato nová formulace je jasným pokusem bojovat proti epidemii útoků na prolomené ověřování, jako je například credential stuffing, při nichž se odhalené přihlašovací údaje stávají vstupní branou pro zloděje identity.
Jedním ze způsobů, jak zlepšit dodržování předpisů, je šifrování uložených hesel. Samotné šifrování však může být nedostatečné, protože standardy šifrování se mění a vždy existuje možnost, že se v systémech skrývá stará databáze hesel v prostém textu.
Proto je rozumné zavést vícefaktorové ověřování (MFA) a zajistit, aby samotné přihlašovací údaje automaticky neumožňovaly přístup k účtu. Funkce MFA si v případě neobvyklého přihlášení (například když se někdo snaží přihlásit pomocí nového zařízení) vyžádá další formu pověření (například otisk prstu nebo jednorázový kód).
Přezkoumejte své vztahy s třetími stranami
Zákon CPRA klade velký důraz na rozšíření povinností týkajících se ochrany osobních údajů na dodavatele, poskytovatele služeb a třetí strany. Konkrétně definuje dodavatele jako osobu, které podnik poskytne přístup k osobním údajům prostřednictvím písemné smlouvy. Tato smlouva zakazuje dodavateli prodávat nebo sdílet údaje s jinými stranami nebo je používat k účelům, které nejsou uvedeny ve smlouvě.
Zákon CPRA rovněž vyžaduje, aby se každý poskytovatel služeb, dodavatel nebo třetí strana, která přijímá údaje, smluvně zavázal dodržovat standardy zákona CPRA. IAPP poznamenává, že tyto požadavky „připomínají nařízení GDPR a různé mechanismy mezinárodního předávání údajů, jejichž cílem je rozšířit ochranu podle nařízení GDPR a umožnit přeshraniční dodržování předpisů.“
V důsledku těchto změn je pro podniky nezbytné, aby se informovaly o standardech ochrany osobních údajů a kybernetické bezpečnosti každé externí strany, se kterou sdílejí osobní údaje. Práce s přípravou smluv připadne právníkům, ale je na odbornících na bezpečnost, aby zajistili, že třetí strany dostojí svým smluvním závazkům tím, že budou praktikovat dobré zabezpečení údajů.
CPRA je velká (ale ne nutně špatná) novinka
Když se poprvé objevily zprávy o „CCPA 2.0“, krátce po přijetí původního zákona, někteří vedoucí představitelé podniků byli zděšeni. Několika z nich se zdálo, že Alastair Mactaggart, vůdce hnutí, jim jde osobně po krku. Nyní, když byl zákon přijat, je však na čase, aby všichni zainteresovaní přijali jeho celkové cíle.
Nové dodatky v tomto zákoně o ochraně osobních údajů jsou součástí širokého vývoje práv spotřebitelů. A i když se tento konkrétní zákon týká pouze Kaliforňanů, po celých Spojených státech vznikají státní zákony s podobným programem. I když může být náročné dosáhnout souladu s touto národní a globální mozaikou zákonů, všechny vyžadují stejné základní smýšlení. Respektujte soukromí, dodržujte transparentnost a kontrolujte přístup k osobním údajům.
Chcete se dozvědět více o základech ochrany osobních údajů, zabezpečení dat a dodržování právních předpisů? Začněte zde.
O Auth0
Auth0 poskytuje platformu pro ověřování, autorizaci a zabezpečení přístupu pro aplikace, zařízení a uživatele. Bezpečnostní a aplikační týmy spoléhají na jednoduchost, rozšiřitelnost a odborné znalosti Auth0, aby identita fungovala pro všechny. Auth0 zabezpečuje miliardy přihlašovacích transakcí každý měsíc, zabezpečuje identity, aby inovátoři mohli inovovat, a umožňuje globálním podnikům poskytovat důvěryhodné a vynikající digitální zkušenosti svým zákazníkům po celém světě.
Další informace najdete na https://auth0.com nebo sledujte @auth0 na Twitteru.
.