Marraskuussa kalifornialaiset äänestäjät hyväksyivät vuoden 2020 Kalifornian yksityisyydensuojalain (CPRA, California Privacy Rights Act), Proposition 24. Tämä äänestysaloite perustuu vuonna 2018 annettuun Kalifornian kuluttajansuojalakiin (California Consumer Privacy Act, CCPA), ja sitä kutsutaan joskus ”CCPA 2.0:ksi”. CPRA on kuitenkin pikemminkin uudelleenkäynnistys kuin jatko-osa, ja se lisää huomattavasti yksilöiden oikeuksia ja henkilötietoja käsittelevien yritysten velvollisuuksia.
CPRA sai valtavan suuren kannatuksen; se sai 56 prosenttia äänistä, mikä teki siitä vuoden 2020 toiseksi suosituimman kalifornialaisen äänestysaloitteen. Lain suosio tarkoittaa, että yritysten on suhtauduttava siihen vakavasti tai vaarana on, että maineelle aiheutuu vahinkoa.
Tässä käymme läpi joitakin CPRA:n merkittävimpiä uusia lisäyksiä ja annamme ehdotuksia valmistautumisesta.
Seuraavia tietoja ei ole tarkoitettu oikeudelliseksi neuvonnaksi, ja lukijoiden on neuvoteltava lakimiehensä kanssa sääntöjen noudattamista koskevissa asioissa.
CPRA tehostaa rangaistuksia ja täytäntöönpanoa
CCPA:n mukaan täytäntöönpano oli Kalifornian yleisen syyttäjän käsissä, mutta CPRA antaa enemmän valtaa yksityishenkilöille ja uudelle osavaltion virastolle. Itse asiassa lakiehdotusta kutsuttiin alun perin nimellä California Privacy Rights and Enforcement Act (CPREA), mikä osoittaa, että siinä painotetaan vastuuvelvollisuutta.
Uuden sääntelyviraston perustaminen
CPRA:lla perustetaan Kalifornian yksityisyydensuojavirasto (CPPA, California Privacy Protection Agency), jota Lexology kutsuu ”ensimmäiseksi pelkästään yksityisyydensuojaan keskittyneeksi valtion virastoksi Yhdysvalloissa”. CCPA:n tehtävänä on valvoa lain noudattamista määräämällä sakkoja ja vaatimalla yrityksiä suorittamaan riskinarviointeja ja tarkastuksia tietojenkäsittelykäytäntöjensä osalta.
Lisäksi CCPA antaa lisämääräyksiä, sääntöjä ja ohjeita CPRA:n tulkinnasta. Prop 24:n verkkosivuston mukaan tällä uudella virastolla on 10 miljoonan dollarin budjetti, mikä ”vastaisi suunnilleen samaa määrää yksityisyyden suojaa valvovaa henkilöstöä kuin FTC:llä on koko maan valvontaan.”
Tämä saattaa itse asiassa olla hyvä uutinen yrityksille, koska CPPA pystyy tarjoamaan opastusta ja selkeyttä CPRA:n vaatimuksiin. CCPA:n kieli aiheutti hämmennystä, ja National Law Review huomauttaa, että CCPA on ollut epäsuosittu sen ”liian laajojen määritelmien, epäselvän kielen ja yleisen selkeyden puutteen” vuoksi. Tämä virasto voisi toimia kuten Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimisto (Information Commissioner’s Office, ICO), joka on auttanut luomaan selkeyttä ja ohjaamaan yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) täytäntöönpanoa.
Yritysten yksityisen kanneoikeuden laajentaminen
CCCPA:n nojalla yksityishenkilöillä oli vähemmän valtaa vaatia yrityksiä vastuuseen säännösten noudattamatta jättämisestä. CCPA:n mukaan yksityishenkilöt voivat ryhtyä yksityisoikeudellisiin toimiin yritystä vastaan vain tietyntyyppisten rikkomusten vuoksi ja usein vasta sen jälkeen, kun yritykselle on ilmoitettu asiasta ja annettu mahdollisuus ”korjata” ongelma. Uudessa laissa todetaan kuitenkin, että ”kohtuullisten turvallisuusmenettelyjen ja -käytäntöjen toteuttaminen ja ylläpitäminen… tietoturvaloukkauksen jälkeen ei ole parannuskeino.”
Toisin sanoen, jos lehmät karkaavat navetasta, yritysten on palautettava ne takaisin, jos ne haluavat välttää oikeudelliset ongelmat. Pelkkä lukon laittaminen oveen, jotta mikään ei pääse ulos seuraavalla kerralla, ei riitä.
CPRA seuraa GDPR:n esimerkkiä
CPRA sisältää monia käsitteitä, jotka ovat tuttuja kaikille GDPR:ään perehtyneille. Näillä uusilla lisäyksillä pyritään antamaan yksilöille enemmän määräysvaltaa henkilötietoihinsa ja rajoittamaan tapoja, joilla yritykset voivat käyttää niitä.
Uusi ”arkaluonteisten henkilötietojen luokka”
CPRA:ssa otetaan käyttöön käsite ”arkaluonteiset henkilötiedot” tietylle tietoluokalle, jota koskevat korkeammat vaatimukset kuin muita henkilötietoja. Tämä käsite esiintyy jo tietosuoja-asetuksessa, vaikka CPRA:n määritelmä on laajempi.
Sensitiiviset henkilötiedot voidaan CPRA:ssa jakaa kahteen luokkaan: suorat tunnistetiedot ja erittäin yksityiset tiedot. Ensimmäiseen luokkaan kuuluvat valtion myöntämät henkilötunnukset, taloudelliset tiedot ja kaikki tilitietojen yhdistelmät, jotka mahdollistavat pääsyn tilille. Toiseen luokkaan kuuluisivat tarkka maantieteellinen sijainti, etninen alkuperä, uskonto, geneettiset ja biometriset tiedot, seksuaalinen suuntautuminen sekä sähköposti- ja tekstiviestien sisältö, ellei kyseisiä viestejä ole lähetetty kyseiselle yritykselle.
CPRA:ssa annetaan nimenomaisesti yksilöille enemmän valtaa rajoittaa sitä, miten yritykset käyttävät näitä tietoja. Käyttäjät voivat nyt vaatia, että yritys käyttää näitä tietoja vain siinä määrin kuin on tarpeen ”keskivertokuluttajan kohtuudella odottaman” palvelun tai tavaran tarjoamiseksi ja vain rajoitettuun määrään tarkoituksia, jotka laissa on nimenomaisesti määritelty.
Tämä puolestaan luo yrityksille uuden opt-out-vaatimuksen, joka JD Supran arvion mukaan voi tarkoittaa, että yritykset voivat sisällyttää verkkosivujensa etusivulle linkin, jonka otsikkona on ”rajoittaa arkaluonteisten henkilökohtaisten tietojeni käyttöä”. Tämä olisi erillinen ilmoitus verrattuna linkkiin, jossa lukee: ”Älä myy tai jaa henkilökohtaisia tietojani.”
Oikaisuoikeuden käyttöönotto
CPRA antaa kuluttajille oikeuden vaatia, että yritykset oikaisevat kuluttajaa koskevat virheelliset henkilötiedot. (GDPR:ssä tätä kutsutaan ”oikaisuoikeudeksi”.) Yritysten on ilmoitettava kuluttajille tästä oikeudesta, ja jos joku pyytää muutosta, niiden on ryhdyttävä ”kaupallisesti kohtuullisiin toimiin” asian korjaamiseksi.
Tietojen säilyttämistä/poistamista koskevien rajoitusten lisääminen
CCPPA antaa kuluttajille rajoitetun oikeuden vaatia henkilötietojensa poistamista, vaikkakin useilla poikkeuksilla, jotka tekevät siitä huomattavasti heikomman kuin GDPR:ssä säädetty ”oikeus tulla unohdetuksi”. CPRA asettaa yrityksille (ja heidän tietojaan käsitteleville osapuolille) velvollisuuden poistaa tiedot itse. Laki edellyttää, että yritykset säilyttävät henkilötietoja vain niin kauan kuin on tarpeen kuluttajalle ilmoitettujen tarkoitusten saavuttamiseksi.
Lisäksi jos kuluttaja pyytää tietojen poistamista, yritysten on välitettävä tämä pyyntö palveluntarjoajille ja alihankkijoille, joiden on puolestaan ilmoitettava asiasta omille palveluntarjoajilleen ja alihankkijoilleen, jotta syntyisi jaettu poistamisvelvoite.
Soveltamisalan laajentaminen tietojen ”jakamiseen”
Lähes kaikissa tapauksissa, joissa CCPA:ssa mainitaan ”myynti”, CPRA on muuttanut sen sanamuodoksi ”myynti tai jakaminen”. On selvää, että CCPA:n myynnin määritelmä on jo nyt varsin laaja. CPRA:lla pyritään kuitenkin poistamaan porsaanreiät, joita yritykset käyttävät hyväkseen ”ristikkäiseen käyttäytymiseen perustuvaan mainontaan”.
Tämä muutos saattaa tehdä mahdottomaksi sen, että Facebookin ja Googlen kaltaiset yritykset voivat kiertää opt-out-vaatimuksen väittämällä, etteivät ne ”myy” käyttäjätietoja vaan ainoastaan antavat mainostajien käyttää näitä tietoja kohdennettuun markkinointiin. Kuten Datawallet raportoi, tämä pieni muutos voi lopulta ”muuttaa täysin nykyisen digitaalisen mainonnan ekosysteemin status quon.”
Miten yritysten tulisi valmistautua CPRA:han
Yritysten kannalta hyvä uutinen on, että CPRA:n täytäntöönpano alkaa vasta heinäkuussa 2023. CPRA:lla myös jatketaan CCPA:n työntekijätietoja koskevia poikkeuksia tuohon ajankohtaan asti.
IAPP arvelee, että tämän armonaika-ajan tarkoituksena saattaa olla antaa liittovaltion hallitukselle aikaa kansallisen yksityisyydensuojaa koskevan lainsäädännön antamiseen. Syystä riippumatta yrityksillä on jonkin verran aikaa valmistautua ja ottaa käyttöön uudet tietosuojakäytännöt.
Tietojen poistokäytäntöjen tehostaminen
Kuten edellä on todettu, CPRA edellyttää, että yritykset (ja niiden kanssa työskentelevät ulkopuoliset tahot) poistavat henkilötiedot sen jälkeen, kun ne ovat täyttäneet tarkoituksensa. Tämän lainkohdan noudattamisen lisäksi tietojen poistaminen on yksinkertaisesti hyvä käytäntö, sillä mitä enemmän henkilötietoja säilytetään, sitä enemmän on menetettävää tietoturvaloukkauksen yhteydessä. Kun otetaan huomioon, että uudessa laissa korostetaan lainvalvontaa ja laajennettua yksityistä kanneoikeutta, jokainen tietoturvaloukkauksessa vaarantunut tietue voi johtaa vakaviin rangaistuksiin.
Poistamiskäytäntöjen tiukentaminen edellyttää ensinnäkin, että kaikki henkilötiedot on kirjattu eikä ne leiju eetterissä. Kuten IAPP toteaa: ”Vaikka monet tietosuojavastaavat ovat ottaneet käyttöön vuotuiset tietojen poistopäivät parhaana käytäntönä, kaikkien työntekijöiden saaminen noudattamaan niitä ja poistamaan joukoittain vanhentuneita tietoja, joilla ei enää ole tarkoitusta, on ollut jatkuva haaste.”
Yksi ratkaisuksi tähän haasteeseen on yhdistää kaikki henkilötiedot keskitettyihin käyttäjäprofiileihin, joihin pääsee käsiksi henkilöllisyyden- ja pääsynhallintajärjestelmän (IAM) kautta. Yhtenäinen asiakastietojen arkisto helpottaa monien Kalifornian tietosuojalainsäädännön näkökohtien noudattamista, kuten henkilötietojen poistamista, korjausten tekemistä ja raporttien antamista kuluttajille pyynnöstä.
Toteuta MFA kirjautumisiin
CPRA nostaa kirjautumistunnukset erityishuomion kohteeksi. Ensinnäkin se sisällyttää kirjautumistiedot ”arkaluonteisiin henkilötietoihin”. Ja kun CCPA antoi yksityishenkilöille yksityisoikeudellisen oikeuden ryhtyä oikeustoimiin vain, jos tietoturvaloukkaus paljasti heidän salaamattomat henkilötietonsa, CPRA laajentaa tämän oikeuden koskemaan tietoturvaloukkauksia, jotka paljastavat käyttäjän ”sähköpostiosoitteen yhdistettynä salasanaan tai turvakysymykseen ja -vastaukseen, jotka mahdollistaisivat pääsyn tilille”, edellyttäen, että tietoturvaloukkaus on seurausta siitä, että yritys on laiminlyönyt kohtuullisten tietoturvakäytäntöjen ylläpitämisen.
Tämä uusi kieli on selkeä yritys torjua epidemioita rikkoutuneista tunnistautumishyökkäyksistä, kuten ”credential stuffing”, jossa paljastetuista kirjautumistiedoista tulee portti identiteettivarkaille.
Yksi keino parantaa vaatimustenmukaisuutta on salata tallennetut salasanat. Pelkkä salaus voi kuitenkin olla riittämätön, koska salausstandardit muuttuvat, ja on aina mahdollista, että järjestelmissäsi on piilossa vanha tietokanta, jossa on selväkielisiä salasanoja.
Sentähden on viisasta ottaa käyttöön monitekijätodennus (MFA) ja varmistaa, että pelkät tunnistetiedot eivät automaattisesti oikeuta tilien käyttöön. MFA pyytää lisävaltakirjaa (kuten sormenjälkeä tai kertakäyttökoodia), jos kirjautuminen on epätavallista (esimerkiksi joku yrittää kirjautua sisään uudella laitteella).
Tarkastele suhteitasi kolmansiin osapuoliin
CPRA:ssa korostetaan voimakkaasti tietosuojavelvoitteiden ulottamista alihankkijoihin, palveluntarjoajiin ja kolmansiin osapuoliin. Siinä urakoitsijaksi määritellään erityisesti henkilö, jolle yritys antaa kirjallisella sopimuksella pääsyn henkilötietoihin. Sopimuksessa kielletään toimeksisaajaa myymästä tai jakamasta tietoja muille osapuolille tai käyttämästä niitä muihin kuin sopimuksessa lueteltuihin tarkoituksiin.
CPRA:ssa edellytetään myös, että kaikki palveluntarjoajat, toimeksisaajat tai kolmannet osapuolet, jotka saavat tietoja, sitoutuvat sopimuksella noudattamaan CPRA:n vaatimuksia. IAPP toteaa, että nämä vaatimukset ”muistuttavat GDPR:ää ja erilaisia kansainvälisiä tiedonsiirtomekanismeja, jotka on suunniteltu laajentamaan GDPR:n suojaa ja mahdollistamaan rajatylittävän noudattamisen.”
Näiden muutosten vuoksi yritysten on olennaisen tärkeää kouluttautua jokaisen sellaisen ulkopuolisen osapuolen tietosuoja- ja kyberturvallisuusstandardeista, jonka kanssa ne jakavat henkilötietoja. Sopimusten laatiminen kuuluu lakimiehille, mutta tietoturva-ammattilaisten tehtävänä on varmistaa, että kolmannet osapuolet täyttävät sopimusvelvoitteensa noudattamalla hyvää tietoturvaa.
CPRA on iso (mutta ei välttämättä huono) uutinen
Kun uutinen ”CCPA 2.0:sta” julkaistiin ensimmäisen kerran pian alkuperäisen lain hyväksymisen jälkeen, jotkin yritysjohtajat olivat tyrmistyneitä. Muutamat tuntuivat tuntevan, että liikkeen johtaja Alastair Mactaggart oli henkilökohtaisesti heidän kimpussaan. Mutta nyt kun laki on hyväksytty, kaikkien asianosaisten on aika hyväksyä sen yleiset tavoitteet.
Tämän tietosuojalain uudet lisäykset ovat osa kuluttajien oikeuksien laajaa kehitystä. Ja vaikka tämä laki koskee vain kalifornialaisia, eri puolilla Yhdysvaltoja on syntymässä osavaltioiden lakeja, joilla on samanlaiset tavoitteet. Vaikka voi olla haastavaa noudattaa tätä kansallista ja maailmanlaajuista lakien kirjoa, ne kaikki edellyttävät samaa perusajattelutapaa. Kunnioita yksityisyyttä, harjoittele läpinäkyvyyttä ja hallitse pääsyä henkilötietoihin.
Tahdotko oppia lisää yksityisyyden suojan, tietoturvan ja lainsäädännön noudattamisen perusteista? Aloita tästä.
Tietoa Auth0:sta
Auth0 tarjoaa alustan sovellusten, laitteiden ja käyttäjien todennukseen, valtuuttamiseen ja turvalliseen käyttöön. Tietoturva- ja sovellustiimit luottavat Auth0:n yksinkertaisuuteen, laajennettavuuteen ja asiantuntemukseen, jotta identiteetti toimisi kaikille. Auth0 turvaa miljardeja kirjautumistapahtumia joka kuukausi, turvaa identiteettejä, jotta innovaattorit voivat innovoida, ja antaa globaaleille yrityksille mahdollisuuden tarjota luotettavia, ylivoimaisia digitaalisia kokemuksia asiakkailleen kaikkialla maailmassa.
Lisätietoa saat osoitteesta https://auth0.com tai seuraamalla @auth0:ta Twitterissä.