W listopadzie, kalifornijscy wyborcy uchwalili Proposition 24, California Privacy Rights Act (CPRA) z 2020 roku. Ta inicjatywa wyborcza opiera się na 2018 California Consumer Privacy Act (CCPA) i jest czasami określana jako „CCPA 2.0”. CPRA jest jednak bardziej restartem niż sequelem i znacznie zwiększa prawa osób fizycznych i obowiązki firm, które obsługują dane osobowe.
CPRA zyskała ogromne poparcie społeczne; zdobyła 56% głosów, co czyni ją drugą najpopularniejszą kalifornijską inicjatywą wyborczą 2020 roku. Popularność ustawy oznacza, że firmy muszą traktować ją poważnie lub ryzykować poniesienie strat związanych z utratą reputacji.
Tutaj przechodzimy przez niektóre z najbardziej znaczących nowych dodatków w CPRA i oferujemy sugestie, jak się przygotować.
Następujące informacje nie są przeznaczone jako porady prawne, a czytelnicy powinni skonsultować się ze swoimi adwokatami w sprawach zgodności.
CPRA Zwiększa kary i egzekwowanie
Kontrola CCPA umieściła egzekwowanie w rękach kalifornijskiego prokuratora generalnego, ale CPRA daje więcej władzy osobom fizycznym i nowej agencji państwowej. W rzeczywistości, proponowana ustawa została pierwotnie nazwana California Privacy Rights and Enforcement Act (CPREA), co wskazuje na jej nowy nacisk na accountability.
Utworzenie nowej agencji regulacyjnej
CPRA tworzy California Privacy Protection Agency (CPPA), którą Lexology nazywa „pierwszą agencją rządową w USA skupioną wyłącznie na prywatności”. CCPA ma za zadanie egzekwowanie prawa poprzez wydawanie grzywien i wymaganie od firm poddawania się ocenie ryzyka i audytom ich polityk przetwarzania danych.
W dodatku, CCPA zapewni dalsze regulacje, zasady i wskazówki co do interpretacji CPRA. Według strony internetowej Prop 24, ta nowa agencja będzie miała budżet w wysokości 10 milionów dolarów, co „równałoby się mniej więcej takiej samej liczbie pracowników egzekwowania prywatności, jaką FKH ma do policyjnej kontroli całego kraju.”
To może faktycznie skończyć się dobrą wiadomością dla firm, ponieważ CPPA będzie w stanie zaoferować wytyczne i jasność co do wymagań CPRA. Język CCPA był źródłem zamieszania, a National Law Review wskazuje, że CCPA była niepopularna ze względu na jej „zbyt szerokie definicje, niejednoznaczny język i ogólny brak jasności”. Agencja ta mogłaby funkcjonować jak brytyjskie Biuro Komisarza ds. Informacji (ICO), które pomogło stworzyć jasność i kierować egzekwowaniem Ogólnego Rozporządzenia o Ochronie Danych (GDPR).
Rozszerzenie prywatnego prawa do działania
Pod rządami CCPA, osoby prywatne miały mniej uprawnień do pociągania firm do odpowiedzialności za nieprzestrzeganie przepisów. Zgodnie z CCPA, prywatni obywatele mogą podejmować prywatne działania prawne przeciwko przedsiębiorstwom tylko w przypadku niektórych rodzajów naruszeń i często tylko po uprzednim powiadomieniu przedsiębiorstwa i umożliwieniu mu „wyleczenia” problemu. Ale nowe prawo stanowi, że „Wdrożenie i utrzymanie rozsądnych procedur bezpieczeństwa i praktyk … po naruszeniu nie stanowi lekarstwa.”
Innymi słowy, jeśli krowy uciekają z obory, firmy muszą umieścić je z powrotem, jeśli chcą uniknąć kłopotów prawnych. Samo założenie zamka na drzwi, aby następnym razem nic się nie wydostało, nie wystarczy.
CPRA podąża za GDPR’s Lead
CPRA zawiera wiele pojęć znanych każdemu, kto studiował GDPR. Te nowe dodatki mają na celu zapewnienie osobom fizycznym większej kontroli nad ich danymi osobowymi i ograniczenie sposobów, w jakie przedsiębiorstwa mogą je wykorzystywać.
Nowa kategoria „wrażliwych informacji osobowych”
Kapra wprowadza pojęcie „wrażliwych informacji osobowych” jako szczególnej klasy danych, które podlegają wyższym standardom niż inne informacje osobowe. Koncepcja ta jest już zawarta w GDPR, chociaż definicja CPRA jest szersza.
Wrażliwe informacje osobowe w CPRA można podzielić na dwie kategorie: bezpośrednie identyfikatory i dane wysoce prywatne. Pierwsza kategoria obejmuje dokumenty tożsamości wydane przez rząd, informacje finansowe oraz wszelkie kombinacje danych uwierzytelniających konta, które umożliwiają dostęp do konta. Druga kategoria obejmowałaby dokładną geolokalizację, pochodzenie etniczne, religię, informacje genetyczne i biometryczne, orientację seksualną oraz treść wiadomości e-mail i wiadomości tekstowych, chyba że wiadomości te zostały wysłane do przedsiębiorstwa, o którym mowa.
CPRA wyraźnie daje osobom fizycznym większe uprawnienia do ograniczenia sposobu, w jaki firmy wykorzystują te informacje. Użytkownicy mogą teraz zażądać, aby firma wykorzystała te informacje tylko w zakresie niezbędnym do świadczenia usług lub dostarczania towarów „zgodnie z rozsądnymi oczekiwaniami przeciętnego konsumenta” i tylko w ograniczonej liczbie celów wyraźnie określonych przez prawo.
To z kolei tworzy nowy wymóg opt-out dla firm, które JD Supra spekuluje może pociągnąć za sobą włączenie „link dostępny na ich stronie głównej zatytułowany Ogranicz wykorzystanie moich wrażliwych informacji osobistych”. Byłoby to oddzielne powiadomienie od linku, który mówi: „Nie sprzedawaj ani nie udostępniaj moich danych osobowych.”
Wprowadzenie „prawa do korekty”
CPRA daje konsumentom prawo do żądania od przedsiębiorstw korekty niedokładnych danych osobowych dotyczących tego konsumenta. (GDPR odnosi się do tego jako do „prawa do sprostowania”.) Przedsiębiorstwa są zobowiązane do powiadomienia konsumentów o tym prawie, a w przypadku, gdy ktoś zażąda zmiany, muszą one podjąć „komercyjnie uzasadnione wysiłki” w celu jej skorygowania.
Zwiększenie ograniczeń w zakresie zatrzymywania/usuwania danych
CCPA przyznaje konsumentom ograniczone prawo do żądania, aby ich dane osobowe zostały usunięte, aczkolwiek z kilkoma wyjątkami, które sprawiają, że jest ono znacznie słabsze niż „prawo do bycia zapomnianym” GDPR. CPRA nakłada na przedsiębiorstwa (i strony, które przetwarzają ich informacje) obowiązek samodzielnego usuwania danych. Prawo wymaga od przedsiębiorstw przechowywania danych osobowych tylko tak długo, jak jest to konieczne do osiągnięcia celów ujawnionych konsumentowi.
Ponadto, jeśli konsument zażąda usunięcia danych, przedsiębiorstwa muszą przekazać to żądanie do dostawców usług i wykonawców, którzy z kolei muszą powiadomić swoich własnych dostawców usług i wykonawców, aby stworzyć wspólny obowiązek usunięcia danych.
Rozszerzenie zakresu na „udostępnianie” danych
W prawie każdym przypadku, w którym CCPA wspomina o „sprzedaży”, CPRA zmieniła ją, aby powiedzieć „sprzedaż lub udostępnianie”. Aby być jasnym, definicja sprzedaży w CCPA jest już dość szeroka. Niemniej jednak, CPRA dąży do wyeliminowania luk prawnych, które firmy wykorzystują do celów „cross-kontekstualnej reklamy behawioralnej.”
Ta zmiana może uniemożliwić firmom takim jak Facebook i Google obejść wymóg opt-out nalegając, że nie są one „sprzedaż” danych użytkownika, ale tylko pozwalając reklamodawcom korzystać z tych danych do ukierunkowanego marketingu. Jak raporty Datawallet, ta mała zmiana może skończyć się „całkowicie zmieniając status quo istniejącego ekosystemu reklamy cyfrowej.”
Jak firmy powinny przygotować się do CPRA
Dobrą wiadomością dla firm jest to, że egzekwowanie CPRA nie rozpocznie się do lipca 2023. CPRA przedłuża również wyłączenia CCPA dotyczące danych pracowników do tego czasu.
IAPP spekuluje, że ten okres karencji może mieć na celu danie rządowi federalnemu czasu na wprowadzenie krajowego ustawodawstwa dotyczącego prywatności. Niezależnie od powodu, przedsiębiorstwa mają trochę czasu na przygotowanie i wprowadzenie nowych polityk dotyczących danych.
Wzmocnienie polityk usuwania danych
Jak omówiono wcześniej, CPRA wymaga, aby przedsiębiorstwa (i strony zewnętrzne, które z nimi współpracują) usuwały dane osobowe po tym, jak spełniły one swój cel. Poza zgodnością z tym elementem prawa, usuwanie danych jest po prostu dobrą praktyką, ponieważ im więcej danych osobowych przechowujesz, tym więcej masz do stracenia w przypadku naruszenia. A biorąc pod uwagę nacisk nowego prawa na egzekwowanie i jego rozszerzone prawo do powództwa prywatnego, każdy zagrożony rekord w naruszeniu może prowadzić do poważnych kar.
Zaostrzenie polityki usuwania danych po pierwsze wymaga, aby wszystkie dane osobowe były rozliczane, a nie unosiły się w eterze. Jak ujmuje to IAPP: „Podczas gdy wielu specjalistów ds. prywatności wdrożyło coroczne dni usuwania danych jako najlepszą praktykę, uzyskanie zgodności wszystkich pracowników i usunięcie mnóstwa przestarzałych danych, które nie służą już celom, pozostało wiecznym wyzwaniem.”
Jednym z rozwiązań tego wyzwania jest połączenie wszystkich danych osobowych w ramach scentralizowanych profili użytkowników, dostępnych za pośrednictwem systemu zarządzania tożsamością i dostępem (IAM). Posiadanie pojedynczego repozytorium danych klientów upraszcza zgodność z wieloma aspektami kalifornijskich przepisów dotyczących prywatności danych, takich jak usuwanie danych osobowych, wprowadzanie poprawek i przekazywanie raportów konsumentom na żądanie.
Wdrożenie MFA dla loginów
CPRA wyodrębnia poświadczenia logowania dla szczególnej uwagi. W pierwszej kolejności, obejmuje dane uwierzytelniające w ramach „wrażliwych informacji osobistych”. I podczas gdy CCPA tylko dał osobom prywatnym prawo do działań prawnych, jeśli naruszenie narażone ich niezaszyfrowane dane osobowe, CPRA rozszerza to prawo do naruszeń, które narażają użytkownika „adres e-mail w połączeniu z hasłem lub pytanie bezpieczeństwa i odpowiedzi, które pozwoliłyby na dostęp do konta” pod warunkiem, że naruszenie nastąpiło w wyniku niepowodzenia firmy do utrzymania uzasadnionych praktyk bezpieczeństwa.
Ten nowy język jest wyraźną próbą zwalczania epidemii ataków łamania uwierzytelniania, takich jak credential stuffing, w których odsłonięte dane logowania stają się bramą dla złodziei tożsamości.
Jednym ze sposobów na poprawę zgodności jest szyfrowanie przechowywanych haseł. Jednak samo szyfrowanie może okazać się niewystarczające, ponieważ standardy szyfrowania zmieniają się i zawsze istnieje możliwość, że w Twoich systemach ukrywa się stara baza haseł w postaci zwykłego tekstu.
Dlatego warto wdrożyć uwierzytelnianie wieloczynnikowe (MFA) i zadbać o to, aby same dane uwierzytelniające nie umożliwiały automatycznego dostępu do konta. MFA zażąda dodatkowej formy uwierzytelnienia (takiej jak odcisk palca lub kod jednorazowy) w przypadku nietypowego logowania (takiego jak ktoś próbujący zalogować się za pomocą nowego urządzenia).
Zbadaj swoje relacje ze stronami trzecimi
CPRA kładzie duży nacisk na rozszerzenie zobowiązań prywatności danych na wykonawców, dostawców usług i strony trzecie. W szczególności definiuje wykonawcę jako kogoś, komu firma daje dostęp do informacji osobowych na podstawie pisemnej umowy. Umowa ta zabrania wykonawcy sprzedawania lub dzielenia się danymi z innymi stronami lub wykorzystywania ich do celów niewymienionych w umowie.
CPRA wymaga również, aby każdy dostawca usług, wykonawca lub strona trzecia, która otrzymuje dane, umownie zgodził się przestrzegać standardów CPRA. IAPP zauważa, że wymagania te „przypominają GDPR i różne międzynarodowe mechanizmy transferu danych zaprojektowane w celu rozszerzenia ochrony GDPR i umożliwienia zgodności transgranicznej.”
Zmiany te sprawiają, że przedsiębiorstwa muszą koniecznie edukować się na temat standardów prywatności danych i bezpieczeństwa cybernetycznego każdej strony zewnętrznej, z którą dzielą się danymi osobowymi. Praca nad sporządzaniem umów spadnie na prawników, ale to do specjalistów ds. bezpieczeństwa należy zapewnienie, że strony trzecie spełniają swoje zobowiązania umowne poprzez praktykowanie dobrego bezpieczeństwa danych.
CPRA Is Big (but Not Necessarily Bad) News
Kiedy wiadomość o „CCPA 2.0” po raz pierwszy spadła, wkrótce po przejściu oryginalnego prawa, niektórzy liderzy biznesu byli przerażeni. Kilka wydawało się czuć, że Alastair Mactaggart, lider ruchu, był osobiście na zewnątrz, aby dostać je. Ale teraz, że prawo przeszło, to jest czas dla wszystkich zainteresowanych, aby objąć jego ogólne cele.
Nowe dodatki w tym prawie prywatności są częścią szerokiej ewolucji w prawach konsumenta. I chociaż to konkretne prawo ma zastosowanie tylko do Kalifornijczyków, istnieją prawa stanowe pojawiające się w całych Stanach Zjednoczonych z podobnymi programami. Nawet jeśli osiągnięcie zgodności z tą krajową i globalną mozaiką przepisów może być trudne, wszystkie one wymagają tego samego podstawowego sposobu myślenia. Szanuj prywatność, praktykuj przejrzystość i kontroluj dostęp do danych osobowych.
Chcesz dowiedzieć się więcej o podstawach prywatności danych, bezpieczeństwa danych i zgodności prawnej? Zacznij tutaj.
About Auth0
Auth0 zapewnia platformę do uwierzytelniania, autoryzacji i zabezpieczania dostępu dla aplikacji, urządzeń i użytkowników. Zespoły ds. bezpieczeństwa i aplikacji polegają na prostocie, rozszerzalności i wiedzy Auth0, aby tożsamość działała dla wszystkich. Zabezpieczając miliardy transakcji logowania każdego miesiąca, Auth0 zabezpiecza tożsamość, aby innowatorzy mogli wprowadzać innowacje, a także umożliwia globalnym przedsiębiorstwom dostarczanie zaufanych, doskonałych doświadczeń cyfrowych swoim klientom na całym świecie.
Aby uzyskać więcej informacji, odwiedź https://auth0.com lub śledź @auth0 na Twitterze.
.