Er du klar for loven om privatliv i California?

Noen av de mest kjente teknologiselskapene har hovedkontor i California, en stat som 28. juni 2018 vedtok California Consumer Privacy Act of 2018 (CCPA). CCPA trer ikke i kraft før 1. januar 2020, men det forventes å påvirke virksomheter i hele California, USA og faktisk hele verden. CCPA vil påvirke måten bedrifter kan håndtere kundedata på, og det anses av mange for å være den strengeste databeskyttelsesloven i USAs historie.

Hvis du føler deg følelse av en déjà vu, er du ikke alene. Tilbake i mai trådte EUs (EU) generelle databeskyttelsesforordning (GDPR) i kraft. GDPR har vært et hett tema her på PCMag. Mens loven ble laget over Atlanterhavet, er sannheten at den markerer bedrifter over hele verden fordi den gjelder alle EU-borgere uavhengig av hvor de bor. I likhet med GDPR vil virkningen av den nye CCPA ha vidtrekkende implikasjoner utenfor omfanget av opprinnelsesstaten. Vi snakket med noen få eksperter for å lære mer om CCPA og noen av forventede implikasjoner.

CCPA og deg: en introduksjon

CCPA oppretter forbrukerens rett til å be om at virksomheter skal røpe hva slags data som er samlet om dem. Med mindre du bruker et verktøy som et virtuelt privat nettverk (VPN), er det ganske sikkert at utallige bedrifter samler informasjon om deg når du er online. Å si denne typen åpenhet som CCPA vil bringe er en stor avtale ville være en underdrivelse.

John Tsopanis er en produktansvarlig for personvern hos 1touch.io, et selskap som hjelper bedrifter med å forstå personopplysningene de håndterer. Tsopanis har brukt de siste årene på å konsultere GDPR for selskaper og er klar til å gjøre det samme med CCPA. Tsopanis forklarer CCPA i grunnleggende termer.

"1. januar 2020 vil en innbygger i California ha lovlig rett til å spørre et hvilket som helst stort selskap i Amerika: 'Behandler du noe av informasjonen min?'" Sa Tsopanis. "I løpet av 45 dager vil det selskapet være forpliktet til å svare med en rapport med detaljer om de siste 12 månedene. Det må vise hvilke spesifikke kategorier av personlig informasjon de har om den personen, hvem de deler den med, og hva er årsakene De trenger å gi den informasjonen til innbyggerne i California - alle 40 millioner av dem - innen tidsrammen."

Forskjeller mellom GDPR og CCPA

Det er noen vesentlige forskjeller mellom hva GDPR gjør og hva CCPA dekker. For det første vil CCPA bruke et avvisningsgrunnlag for samtykke, mens GDPR bruker et opt-in-grunnlag. Dette betyr i hovedsak at brukerne må aktivt nå ut til selskaper for å finne ut om hva slags informasjon som brukes. I tillegg gjelder GDPR for enhver organisasjon som har personopplysninger om EU-borgere.

CCPA, derimot, gjelder bare for allmennyttige selskaper som behandler data om innbyggere i California. Organisasjonen må enten tjene minst 24 millioner dollar i årlige inntekter, ha dataene til 50 000 mennesker eller gjøre minst halvparten av inntektene sine i salg av personopplysninger. Så hvis du eier en liten butikk og omfanget av din online virksomhet er en webside som viser butikkens timer og adresse, trenger du ikke å bekymre deg for mye om CCPA. Men hvis du driver et nettsted for e-handel gjennom en totalentreprenør eller vedlikeholder ditt eget e-tail nettsted gjennom en generell webhotell-tjeneste, vil du være oppmerksom.

Courtney Bowman er advokatfullmektig i prosessavdelingen ved det internasjonale advokatfirmaet Proskauer Rose LLP. Bowman forklarer hvorfor CCPA vil kreve at selskaper tenker nøye gjennom databruken sin langt utover 2020. "Dette kravet på 12 måneder betyr at selskaper vil måtte se på personvernpolitikken minst en gang i året og prøve å finne ut om noe er endret, " hun sa.

"De blir nødt til å kontinuerlig overvåke hvilke data de selger eller røpe til tredjepart, slik at de kan justere personvernreglene deretter, " fortsatte Bowman. "Loven gir også forbrukerne rett til å få tilgang til eller slette deres personlige opplysninger i noen situasjoner, og virksomheter vil måtte sørge for at de faktisk kan effektivisere den retten raskt. Det vil kreve at selskaper driver med datakartlegging for å finne ut hvor deres data er lokalisert, og også for å samarbeide med IT-avdelingene deres for å finne ut hva de trenger å gjøre for å sikre at de kan oppfylle sitt ansvar under loven."

CCPAs Wide Impact

I månedene frem til GDPR var et løpende tema i dekningen vår at GDPR i vår globaliserte verden ville påvirke virksomheter utenfor Europa. Tross alt gjør de fleste store selskaper forretninger i utlandet og vil måtte endre sin online virksomhet globalt for å overholde loven. Da vi snakket med Tsopanis, sa han imidlertid at amerikanske selskaper fortsatt må ta spesielt merke til CCPA.

"Når det gjelder amerikanske selskaper, var GDPR hovedsakelig fokusert på store organisasjoner som opererte på tvers av kanalene. Med kriteriene for selskapene som kvalifiserer, er mye større etter en stor størrelsesorden, " sa Tsopanis. "Det er 40 millioner mennesker i California; 50 000 er ikke en gang 0, 1 prosent av befolkningen. Jeg tror eksponeringen for amerikanske selskaper er betydelig høyere enn tidligere var under GDPR."

Tsopanis tilbyr eksempelet på hurtigmatgiganten Wendy's. "Wendy's er det 999. største selskapet på Fortune 1000 og har en årlig inntekt på 1, 2 milliarder dollar - 48 ganger høyere enn terskelen for anvendelse i henhold til denne loven. I det minste er det 1 000 milliarder dollar selskaper i Amerika som må overholde denne loven, og betydningsfulle størrelsesordrer som er større enn i kategorien $ 25 millioner."

Vi kan ikke anse Wendy's som et teknisk selskap, men de samler sin del av brukerinformasjonen. De er også et perfekt eksempel på hvordan selskaper av alle slag vil bli påvirket av CCPA. Når du besøker nettstedet deres, bestiller mat via deres salgssteder (POS) -systemer, eller til og med bare bruker Wi-Fi på din lokale Wendys restaurant, samler selskapet opp informasjonen din, og i det minste i California, at ' Alle vil være underlagt CCPA-regulering. Hvis et selskap som er så lite som Wendy's samler inn så mye data på brukerne, er det helt skummelt å tenke på hva større selskaper samler inn. Enkelt sagt vil CCPA ha enorme implikasjoner.

Viktige dataoppdagelser

En av de viktigste effektene av CCPA er at amerikanere endelig vil kunne avdekke de enorme mengder datakjøp og datasalg som selskapene har drevet med. "Denne lovforslaget vil gjøre det mulig for det amerikanske folket å endelig avdekke massevirken av datakjøp og salg av organisasjoner som tidligere har vært helt anonyme. Dette kommer til å føre til et dramatisk kulturelt skifte i måten personvern av data blir oppfattet, og til slutt på noen punkt, føre til harmonisert føderal personvernlovgivning, "sa Tsopanis.

Når Cambridge Analytica skandalen brøt, fikk den oppmerksomheten til millioner av mennesker, enten de var teknologer eller ikke. Det gjorde folk veldig opptatt av hvem som samler inn informasjonen deres og hva som gjøres med den, og CCPA er delvis et svar på det. Tsopanis argumenterer for at de resulterende avsløringene vil være enorme.

"For hver journalist i landet er dette en gave. California er en $ 2, 7 billioner økonomi - den femte største i verden - og den er bygd på Big Data. Hver tilgangsforespørsel fra hvert Fortune 1000-selskap kommer til å avsløre et helt nettverk av datakjøp og salg av selskaper som kommer til å bli undersøkt intenst, "forklarte Tsopanis. "Vi vet ikke nøyaktig hva vi vil finne når folk begynner å få datarapportene sine, men det er sikkert noen interessante avsløringer."

Bare 18 måneder å forberede

Hvis vi lærte noe av GDPR, er det at selskaper trenger å planlegge så tidlig som mulig for å være klare til fristen. Med det i bakhodet har amerikanske selskaper ikke mye tid i det hele tatt. GDPR ble vedtatt i april 2016, og selskapene hadde litt over to hele år på seg til å tilpasse seg og overholde forskriften. Siden CCPA trer i kraft allerede i begynnelsen av 2020, betyr dette at større selskaper nå har bare 18 måneder på seg til å gjøre seg klare.

Denne fristen vil sannsynligvis gjøre at selv den mest erfarne teknologipersonellet blir stresset. "Mengden arbeid som må gjøres i løpet av 18 måneder er større enn det som var nødvendig for GDPR, med mindre tid til å gjøre det, og med amerikanske selskaper som kommer fra et lavere nivå av privatlivets modenhet enn Europa, " advarer Tsopanis.

For å overholde, anbefaler sikkerhetsveteranen selskaper å passe forsiktig på å utvikle prosessene sine. "Det neste halvåret er det organisasjoner trenger å gjøre å utvikle en slags metode for å spore personlig informasjon i hele organisasjonen, " sa Tsopanis. "De trenger en måte å lett få tilgang til hvilken personlig informasjon som ble sendt til hvilken tredjepart og på hvilket tidspunkt, og deretter må de være i stand til å spore det i løpet av 12 måneder frem til implementering, og være klar til å gi den informasjonen på forespørsel når reguleringen kommer i spill.

"Det kommer til å kreve at nesten alle store amerikanske selskaper driver store dataidentifikasjonsaktiviteter, og kan automatisere og svare på forespørsler om tilgang til registrerte personer fra California på fullbyrdelsesdatoen, " fortsatte Tsopanis. "Det er også viktig å merke seg at når loven vedtas i 2020, må de være i stand til å gi en rapport om brukerinformasjon de siste 12 månedene. Dette betyr effektivt at virksomheter må følge disse dataene 1. januar 2019."

Fra et juridisk perspektiv sier Bowman at det kan være noen endringer som ble gjort før fristen. "Vi forventer at vi kommer til å se noen revisjoner av loven før den trer i kraft, " sa hun. "Fordi det ble utarbeidet ganske raskt, selv etter at det har trådt i kraft, kan det være noen grå områder som fortsatt er fremragende når det gjelder vår forståelse av dem. Tross alt tok det BNR mange år å utarbeide, og det er fremdeles flere deler av GDPR som er tvetydige."