Anonim
Guadilab / Shutterstock

Kalifornie schválila Kalifornský zákon o ochraně spotřebitele (CCPA) dne 28. června 2018. Je to zákon, který chrání práva spotřebitelů na ochranu soukromí ve státě. Podobně jako evropské obecné nařízení o ochraně údajů (GDPR) ovlivní CCPA mnoho podniků, které shromažďují osobní údaje od osob v Kalifornii. Zákon umožňuje Kaliforňanům, o nichž je známo, že jsou sporné, žalovat podniky, pokud jsou jejich osobní údaje ohroženy porušením údajů.

Nabude účinnosti 1. ledna 2020, ale většina podniků neví, jak to na ně bude mít vliv. Nedávný průzkum společnosti ESET oslovil 625 majitelů podniků a vedoucích pracovníků, aby posoudili připravenost podniků na toto nařízení. Téměř polovina (44, 2%) o CCPA nikdy neslyšela. Pouze 11, 8% ví, zda se na ně zákon vztahuje, a 34% si není jistých, zda musí změnit způsob, jakým shromažďují, ukládají a zpracovávají data.

Je třeba poznamenat, že rok 2018 byl druhým nejaktivnějším rokem pro porušení dat, podle Risk Based Security. Bylo oznámeno 6 500 porušení, včetně přibližně 5 miliard záznamů, od mega porušení společností, jako je Facebook, až po mnohem menší.

Zde je vše, co potřebujete vědět o aktu, a co můžete udělat pro přípravu jako majitel malé firmy.

Matt Dumiak, ředitel oddělení ochrany osobních údajů v CompliancePoint, a Greg Sparrow, senior viceprezident a generální ředitel CompliancePoint, uvedli, že CCPA je návrh zákona, který bude vyžadovat, aby podniky zavedly nové zásady a postupy pro zajištění ochrany osobních údajů. To zahrnuje zásady ochrany osobních údajů, bezpečnostní ochrany a usnadnění práv spotřebitelů.

Podniky však nemusí splňovat všechny požadavky spotřebitelů. Každý by měl být analyzován, aby se ujistil, že podnikání ctí pouze ty, které se vztahují.

Podle webové stránky CCPA zákon chrání následující práva spotřebitele:

  • Právo znát všechna data, která o nich byla shromážděna, včetně toho, jaké kategorie údajů a proč jsou získávána, dříve než jsou shromažďována, a jakékoli změny v jejich shromažďování
  • Právo odmítnout prodej jejich informací
  • Právo požádat o vymazání jejich údajů
  • Povinné právo přihlásit se před prodejem informací dětem mladším 16 let
  • Právo znát kategorie třetích stran, s nimiž jsou jejich údaje sdíleny, jakož i těch, od nichž byly jejich údaje získány
  • Vynucení generálním prokurátorem státu Kalifornie
  • Mělo by dojít k porušení soukromého práva na akci, aby se zajistilo, že společnosti uchovají své informace v bezpečí

Dumiak a Sparrow uvedli, že podniky mají 45 dní na to, aby reagovaly na požadavky spotřebitelů; a jakékoli škody, které vzniknou v důsledku porušení, jsou omezeny na 750 USD na zákazníka na incident.

CCPA, předtím, než byla v dodatku s návrhem zákona o shromáždění 375, původně měla přísnější předpisy, které by mohly téměř ochromit technický průmysl, který v kalifornském Silicon Valley prosperoval. Dumiak a Sparrow však poznamenali, že oficiální CCPA umožňuje podnikům 30denní okno, aby změnila případná porušení, pokud mohou prokázat, že byly změněny a že k žádnému dalšímu nedojde. V opačném případě by porušovatelé mohli čelit pokutám až do výše 7 500 $ za úmyslné porušení.

Dumiak a Sparrow poznamenali, že se návrh zákona bude vztahovat na „jakoukoli firmu, která ročně vydělá 25 milionů dolarů, prodává 50 000 spotřebitelských záznamů za rok nebo získává 50% svého ročního příjmu z prodeje osobních údajů.“Patří sem podniky, které shromažďují nebo prodávají osobní údaje od zákazníků v Kalifornii, bez ohledu na to, kde se nachází samotná společnost.

Průměrný roční příjem malé firmy je menší než 25 milionů USD. Podle společností Quickbooks je ve skutečnosti pro podniky s 20 až 99 zaměstnanci průměrný příjem 7 124 000 000 USD. I když kvalifikace, kterých se tento zákon týká, mohou vyloučit mnoho malých podniků, neznamená to, že byste se neměli připravovat.

„CCPA poskytuje malým podnikům pobídku a motivaci, aby začali přemýšlet o osobních údajích zpracovávaných a chráněných v jejich podnikatelském prostředí, “řekl Dumiak. „Většina organizací cítí omezené zdroje a malé podniky se neliší, ne-li více.“

„Kalifornský zákon výrazně zvýší latku a nebude to naposledy, kdy se státy snaží napodobit nový GDPR EU, “dodal Robert Cattanach, partner Dorsey & Whitney, který pomáhá klientům orientovat se v regulačních zákonech. „Toto opatření pravděpodobně zvýší soudní spory, protože se vytvoří a rozšíří více práv spotřebitelů.“

Nedostatek povědomí by však mohl vést k nedostatečnému dodržování předpisů, což by mohlo vystavit podniky značným finančním pokutám.

"Je zřejmé, že podniky jsou zmateny ohledně tohoto nadcházejícího nařízení, nevědí, zda se na ně vztahují zákony a co musí udělat, aby se staly kompatibilními, " řekl Tony Anscombe, globální evangelista v ESET. „Sankce budou přísné a finanční újma by mohla být pro tyto firmy vážná. Podniky by se měly zaměřit zejména na aspekt„ přiměřené bezpečnosti “zákona tím, že zajistí, aby měly zavedeny přísné procesy a postupy, včetně silné ochrany koncových bodů a šifrování, v celé jejich organizaci. “[Jste na trhu s internetovým zabezpečením a antivirovým softwarem pro vaši malou firmu? Podívejte se na naše recenze a nejlepší tipy.]

Zatímco Kalifornie je jen jedním státem, její předpisy rozšiřují povědomí a povzbuzují stejně smýšlející jednotlivce, aby promluvili a jednali. Podniky by měly očekávat, že v příštích několika letech budou podobné zákony přijaty po celé zemi. Nevada ve skutečnosti přijala změnu svého online zákona o ochraně osobních údajů, která vyžaduje, aby podniky nabízely spotřebitelům právo na neúčast na prodeji jejich osobních údajů. Nabude účinnosti 1. října 2019. New York, Washington a Texas každý představil podobné účty CCPA. Ve Washingtonu, DC, se stále zvažuje federální zákon o ochraně soukromí.

„Kongres bude pociťovat tlak obou zastánců ochrany soukromí, aby podpořili práva vytvořená Kalifornií, a podniky, aby se pokusily přinést uniformitu do stále dynamicky se rozvíjející oblasti politiky, “řekl Cattanach. „Pointa je, že to využívá koncepcí obsažených v GDPR a je jisté, že ostatní státy je jako standard vyzdvihnou.“

CCPA vstoupí v platnost v lednu 2020, takže malé podniky mají trochu času na přípravu. Ale ne moc. Za tímto účelem by Dumiak řekl, že by měli přezkoumat oblasti podnikání včetně:

  • Pozice informační bezpečnosti
  • Zpracování osobních údajů
  • Vyřizování žádostí o přístup
  • Další použitelná práva nebo požadavky

"Kromě toho budou pokuty a právo na soukromí v případě, že budou mít dopad na jakoukoli organizaci, pravděpodobně větší procento jejich příjmů a budou mít větší dopad na obchodní operace a příjmy, " uvedl Dumiak. „Zatímco mnozí vidí regulaci jako bolest hlavy, tato regulace je skvělou příležitostí pro malé i velké organizace, aby získali tolik potřebnou pomoc se zdroji v prostoru bezpečnostních a obchodních operací.“

Pokud vaše malá firma již najala konzultanta pro zpracování dat, aby se ujistila, že vaše společnost je v souladu s GDPR, nyní může být čas na vyšetřování takového profesionála. Možná budete chtít hledat někoho, kdo je certifikován Mezinárodní asociací profesionálů v oblasti ochrany osobních údajů (IAPP). Je to největší a nejkomplexnější globální komunita pro ochranu osobních údajů, která obsahuje asi 40 000 členů.

I když již vyhovujete, je vhodné sledovat kalifornské předpisy, protože v současné době se zvažují dva účty, které by rozšířily CCPA. A zvažuje se devět účtů, které by zúžily rozsah CCPA.