Novemberben a kaliforniai választók elfogadták a 24. javaslatot, a 2020-as kaliforniai adatvédelmi törvényt (CPRA). Ez a választási kezdeményezés a 2018-as kaliforniai fogyasztói adatvédelmi törvényre (CCPA) épül, és néha “CCPA 2.0” néven emlegetik. A CPRA azonban inkább reboot, mint folytatás, és jelentősen megnöveli az egyének jogait és a személyes adatokat kezelő vállalkozások kötelezettségeit.
A CPRA hatalmas népszerűséget szerzett; a szavazatok 56%-át szerezte meg, így a második legnépszerűbb kaliforniai szavazási kezdeményezés volt 2020-ban. A törvény népszerűsége azt jelenti, hogy a vállalkozásoknak komolyan kell venniük azt, különben kockáztatják a hírnevük romlását.
Itt áttekintjük a CPRA néhány legjelentősebb új kiegészítését, és javaslatokat adunk a felkészüléshez.
Az alábbi információk nem minősülnek jogi tanácsadásnak, és az olvasóknak a megfeleléssel kapcsolatos kérdésekben konzultálniuk kell az ügyvédjükkel.
CPRA fokozza a büntetéseket és a végrehajtást
A CCPA a végrehajtást a kaliforniai főügyész kezébe adta, a CPRA azonban nagyobb hatalmat ad az egyéneknek és egy új állami ügynökségnek. A törvényjavaslatot eredetileg Kaliforniai Adatvédelmi Jogok és Végrehajtás Törvényének (CPREA) nevezték el, ami jelzi, hogy új hangsúlyt fektet az elszámoltathatóságra.
Új szabályozó ügynökség létrehozása
A CPRA létrehozza a Kaliforniai Adatvédelmi Ügynökséget (CPPA), amelyet a Lexology “az USA első, kizárólag az adatvédelemre összpontosító kormányzati ügynökségének” nevez. A CCPA feladata a törvény betartatása bírságok kiszabásával, valamint a vállalatoknak az adatkezelési politikájukkal kapcsolatos kockázatértékelésre és ellenőrzésre való kötelezésével.
A CCPA emellett további rendeleteket, szabályokat és útmutatást ad a CPRA értelmezésére vonatkozóan. A Prop 24 honlapja szerint ennek az új ügynökségnek 10 millió dolláros költségvetése lesz, ami “nagyjából ugyanannyi adatvédelmi végrehajtó munkatársnak felel meg, mint amennyivel az FTC az egész országot felügyeli.”
Ez valójában jó hír lehet a vállalkozások számára, mivel a CPPA képes lesz iránymutatást és egyértelműséget nyújtani a CPRA követelményeivel kapcsolatban. A CCPA nyelvezete zavart okozott, és a National Law Review rámutat, hogy a CCPA népszerűtlen volt a “túlságosan tág definíciók, a kétértelmű nyelvezet és az egyértelműség általános hiánya” miatt. Ez az ügynökség az Egyesült Királyság Információs Biztosának Hivatalához (ICO) hasonlóan működhetne, amely segített az egyértelműség megteremtésében és az általános adatvédelmi rendelet (GDPR) végrehajtásának irányításában.
A magánjogi kereseti jog kiterjesztése
A CCPA értelmében az egyéneknek kevesebb joguk volt arra, hogy a vállalatokat felelősségre vonják a szabályok be nem tartása miatt. A CCPA értelmében a magánszemélyek csak bizonyos típusú jogsértések esetén indíthatnak magánjogi eljárást egy vállalkozás ellen, és gyakran csak azután, hogy a vállalkozást értesítették és lehetőséget adtak neki a probléma “orvoslására”. Az új törvény azonban kimondja, hogy “Az ésszerű biztonsági eljárások és gyakorlatok bevezetése és fenntartása… a jogsértést követően nem minősül gyógyításnak.”
Más szóval, ha a tehenek kiszöknek az istállóból, a vállalkozásoknak vissza kell terelniük őket, ha el akarják kerülni a jogi problémákat. Pusztán zárat tenni az ajtóra, hogy legközelebb semmi se jusson ki, nem elegendő.”
A CPRA követi a GDPR példáját
A CPRA számos olyan fogalmat tartalmaz, amely ismerős mindazok számára, akik tanulmányozták a GDPR-t. Ezek az új kiegészítések célja, hogy az egyéneknek nagyobb ellenőrzést biztosítsanak személyes adataik felett, és korlátozzák a vállalkozások felhasználási lehetőségeit.
A “különleges személyes adatok új kategóriája”
A CPRA bevezeti a “különleges személyes adatok” fogalmát, mint az adatok egy sajátos osztályát, amelyre magasabb követelmények vonatkoznak, mint más személyes adatokra. Ez a fogalom már szerepel a GDPR-ban, bár a CPRA meghatározása tágabb.
A CPRA-ban szereplő érzékeny személyes adatok két kategóriára oszthatók: közvetlen azonosítók és szigorúan bizalmas adatok. Az első kategóriába tartoznak a kormány által kiadott személyazonosító igazolványok, a pénzügyi adatok és a számlaengedélyek bármely olyan kombinációja, amely hozzáférést biztosít egy számlához. A második kategóriába a pontos földrajzi helymeghatározás, az etnikai hovatartozás, a vallás, a genetikai és biometrikus adatok, a szexuális irányultság, valamint az e-mail és szöveges üzenetek tartalma tartozna, kivéve, ha ezeket az üzeneteket a szóban forgó vállalkozásnak küldték.
A CPRA kifejezetten nagyobb hatalmat ad az egyéneknek arra, hogy korlátozzák a vállalatok ezen információk felhasználását. A felhasználók mostantól kérhetik, hogy egy vállalkozás csak az “átlagfogyasztó által ésszerűen elvárható” szolgáltatás vagy áru nyújtásához szükséges mértékben használja fel ezeket az információkat, és csak a törvény által kifejezetten meghatározott korlátozott számú célra.
Ez viszont új opt-out követelményt teremt a vállalkozások számára, ami a JD Supra feltételezése szerint azt jelentheti, hogy “a honlapjuk kezdőlapján elérhető linket kell elhelyezniük az Érzékeny személyes adataim felhasználásának korlátozása címmel”. Ez külön értesítést jelentene a “Ne adja el vagy ne ossza meg a személyes adataimat” feliratú linktől.”
A “helyesbítéshez való jog” bevezetése
A CPRA jogot biztosít a fogyasztóknak arra, hogy kérjék a vállalkozásoktól az adott fogyasztóra vonatkozó pontatlan személyes adatok helyesbítését. (A GDPR ezt “helyesbítés jogaként” említi.) A vállalkozások kötelesek értesíteni a fogyasztókat erről a jogukról, és amennyiben valaki kéri a módosítást, “kereskedelmi szempontból ésszerű erőfeszítéseket” kell tenniük a helyesbítés érdekében.
Az adatok megőrzésére/törlésére vonatkozó korlátozások növelése
A CCPA korlátozott jogot biztosít a fogyasztóknak arra, hogy kérjék személyes adataik törlését, bár számos kivétellel, amelyek jelentősen gyengítik a GDPR “elfeledtetéshez való jogát”. A CPRA a vállalkozásokra (és az adatokat kezelő felekre) hárítja az adatok önálló törlésének kötelezettségét. A törvény előírja a vállalkozások számára, hogy a személyes adatokat csak addig őrizzék meg, ameddig a fogyasztónak közölt célok eléréséhez szükséges.
Ezen túlmenően, ha a fogyasztó törlést kér, a vállalkozásoknak továbbítaniuk kell ezt a kérést a szolgáltatóknak és vállalkozóknak, akiknek viszont értesíteniük kell saját szolgáltatóikat és vállalkozóikat, hogy közös törlési kötelezettséget hozzanak létre.
A hatály kiterjesztése az adatok “megosztására”
A CPRA szinte minden olyan esetben, ahol a CCPA “eladást” említ, a CPRA úgy módosította azt, hogy “eladás vagy megosztás”. Tisztázzuk, hogy a CCPA meghatározása az értékesítésre már most is meglehetősen tág. Mindazonáltal a CPRA célja, hogy kiküszöbölje azokat a kiskapukat, amelyeket a vállalatok a “kontextusokon átívelő viselkedésalapú reklámozás” céljából kihasználnak.”
Ez a módosítás lehetetlenné teheti az olyan vállalatok számára, mint a Facebook és a Google, hogy megkerüljék az opt-out követelményt azzal, hogy azt állítják, hogy nem “eladják” a felhasználói adatokat, hanem csupán lehetővé teszik a hirdetők számára, hogy ezeket az adatokat célzott marketingre használják. Amint arról a Datawallet beszámol, ez a kis változás végül “teljesen megváltoztathatja a meglévő digitális hirdetési ökoszisztéma status quóját.”
Hogyan kell felkészülniük a vállalkozásoknak a CPRA-ra
A vállalkozások számára jó hír, hogy a CPRA végrehajtása csak 2023 júliusában kezdődik. A CPRA addig az időpontig meghosszabbítja a CCPA-nak a munkavállalói adatokra vonatkozó mentességeit is.
Az IAPP feltételezi, hogy ez a türelmi idő arra szolgálhat, hogy a szövetségi kormánynak időt adjon a nemzeti adatvédelmi jogszabályok bevezetésére. Az okoktól függetlenül a vállalkozásoknak van némi idejük a felkészülésre és az új adatvédelmi irányelvek bevezetésére.
Az adattörlési irányelvek szigorítása
Amint azt már korábban tárgyaltuk, a CPRA előírja, hogy a vállalkozások (és a velük együttműködő külső felek) töröljék a személyes adatokat, miután azok betöltötték a céljukat. A törvény ezen elemének való megfelelésen túl az adatok törlése egyszerűen jó gyakorlat, mivel minél több személyes adatot tárol, annál többet veszíthet egy jogsértés esetén. És mivel az új törvény hangsúlyt fektet a jogérvényesítésre és a kibővített magánindítványok benyújtásának jogára, a jogsértés során minden egyes veszélyeztetett adat komoly szankciókat vonhat maga után.
A törlési irányelvek szigorítása először is megköveteli, hogy minden személyes adatot számon tartsanak, ne pedig az éterben lebegjenek. Ahogy az IAPP fogalmaz: “
Az egyik megoldás erre a kihívásra az, hogy az összes személyes adatot központosított felhasználói profilok alá kell kapcsolni, amelyekhez a személyazonosság- és hozzáférés-kezelő (IAM) rendszeren keresztül lehet hozzáférni. Az ügyféladatok egységes tárolása leegyszerűsíti a kaliforniai adatvédelmi törvények számos aspektusának való megfelelést, például a személyes adatok törlését, a helyesbítéseket és a fogyasztók kérésére történő jelentéstételt.”
MFA bevezetése a bejelentkezésekhez
A CPRA külön figyelmet szentel a bejelentkezési hitelesítő adatoknak. Elsősorban a hitelesítő adatokat sorolja az “érzékeny személyes adatok” közé. És míg a CCPA csak akkor biztosította a magánszemélyek számára a magánjogi jogorvoslathoz való jogot, ha a jogsértés a titkosítatlan személyes adataikat tette hozzáférhetővé, a CPRA kiterjeszti ezt a jogot azokra a jogsértésekre, amelyek a felhasználó “e-mail címét olyan jelszóval vagy biztonsági kérdéssel és válasszal kombinálva teszik hozzáférhetővé, amely lehetővé teszi a fiókhoz való hozzáférést”, feltéve, hogy a jogsértés a vállalkozás ésszerű biztonsági gyakorlatának elmulasztása miatt következett be.
Ez az új megfogalmazás egyértelmű kísérlet a feltört hitelesítési támadások, például a hitelesítő adatok kitöltése (credential stuffing) járványszerű terjedése elleni küzdelemre, amelynek során a felfedett bejelentkezési adatok a személyazonosságtolvajok kapujává válnak.
A megfelelés javításának egyik módja a tárolt jelszavak titkosítása. A titkosítás önmagában azonban elégtelen lehet, mivel a titkosítási szabványok változnak, és mindig fennáll annak a lehetősége, hogy a rendszerekben egy régi, egyszerű szöveges jelszavakból álló adatbázis rejtőzik.
Ezért bölcs dolog a többfaktoros hitelesítés (MFA) bevezetése, és annak biztosítása, hogy a hitelesítő adatok önmagukban nem teszik automatikusan lehetővé a fiókhoz való hozzáférést. Az MFA szokatlan bejelentkezés esetén (például ha valaki új eszközzel próbál bejelentkezni) további hitelesítő adatokat (például ujjlenyomatot vagy egyszer használatos kódot) kér.
Vizsgálja meg a harmadik felekkel való kapcsolatait
A CPRA nagy hangsúlyt fektet az adatvédelmi kötelezettségek kiterjesztésére a vállalkozókra, szolgáltatókra és harmadik felekre. Kifejezetten úgy határozza meg a vállalkozót, mint olyan személyt, akinek egy vállalkozás írásbeli szerződés útján hozzáférést biztosít személyes adatokhoz. Ez a szerződés megtiltja a vállalkozónak, hogy az adatokat eladja vagy megossza más felekkel, illetve hogy azokat a szerződésben fel nem sorolt célokra használja fel.
A CPRA megköveteli továbbá, hogy minden olyan szolgáltató, vállalkozó vagy harmadik fél, aki adatokat kap, szerződésben vállalja a CPRA előírásainak betartását. Az IAPP megjegyzi, hogy ezek a követelmények “emlékeztetnek a GDPR-ra és a különböző nemzetközi adattovábbítási mechanizmusokra, amelyek célja a GDPR védelmének kiterjesztése és a határokon átnyúló megfelelés lehetővé tétele.”
Ezek a változások elengedhetetlenné teszik, hogy a vállalkozások tájékozódjanak minden olyan külső fél adatvédelmi és kiberbiztonsági szabványairól, akivel személyes adatokat osztanak meg. A szerződések kidolgozásának munkája a jogászokra hárul, de a biztonsági szakembereken múlik, hogy a harmadik felek megfelelő adatbiztonságot gyakorolva teljesítsék szerződéses kötelezettségeiket.”
ACPRA nagy (de nem feltétlenül rossz) hír
Amikor a “CCPA 2.0” híre először felröppent, nem sokkal az eredeti törvény elfogadása után, egyes üzleti vezetők megdöbbentek. Néhányan úgy tűnt, hogy Alastair Mactaggart, a mozgalom vezetője személyesen rájuk pályázik. De most, hogy a törvényt elfogadták, itt az ideje, hogy minden érintett elfogadja annak átfogó céljait.
Az adatvédelmi törvény új kiegészítései a fogyasztói jogok széles körű fejlődésének részét képezik. És bár ez a konkrét törvény csak a kaliforniaiakra vonatkozik, szerte az Egyesült Államokban hasonló célú állami törvények születnek. Még ha kihívást jelenthet is megfelelni ennek az országos és globális törvények sokaságának, mindegyik ugyanazt az alapvető gondolkodásmódot követeli meg. A magánélet tiszteletben tartása, az átláthatóság gyakorlása és a személyes adatokhoz való hozzáférés ellenőrzése.
Szeretne többet megtudni az adatvédelem, az adatbiztonság és a jogi megfelelés alapjairól? Kezdje itt.
Az Auth0-ról
Auth0 platformot biztosít az alkalmazások, eszközök és felhasználók hitelesítéséhez, engedélyezéséhez és biztonságos hozzáféréséhez. A biztonsági és alkalmazás-csapatok az Auth0 egyszerűségére, bővíthetőségére és szakértelmére támaszkodnak, hogy a személyazonosság mindenki számára működjön. Az Auth0 havonta több milliárd bejelentkezési tranzakciót biztosít, az Auth0 biztosítja a személyazonosságokat, hogy az innovátorok újítani tudjanak, és képessé teszi a globális vállalatokat arra, hogy megbízható, kiváló digitális élményt nyújtsanak ügyfeleiknek világszerte.
További információkért látogasson el a https://auth0.com weboldalra, vagy kövesse a @auth0-t a Twitteren.