Съдържание:
- CCPA и ти: Въведение
- Разлики между GDPR и CCPA
- Широкото въздействие на CCPA
- Важни открития на данни
- Само 18 месеца за подготовка
Видео: 4 Unicode and N character in SQL Server (Ноември 2024)
Някои от най-известните технологични компании са със седалище в Калифорния, щат, който на 28 юни 2018 г. прие Калифорнийския закон за поверителност на потребителите от 2018 г. (CCPA). CCPA няма да влезе в сила до 1 януари 2020 г., но се очаква да засегне бизнеса в Калифорния, САЩ и всъщност целия свят. CCPA ще повлияе на начина, по който предприятията могат да обработват клиентски данни и счита, че мнозина е най-строгият закон за защита на данните в историята на САЩ.
Ако усещате чувство за дежау, значи не сте сами. Още през май влезе в сила Общият регламент на ЕС за защита на данните (GDPR). GDPR беше гореща тема тук в PCMag. Докато законът е бил приет в Атлантическия океан, истината е, че той е направил знак за бизнеса по целия свят, защото се прилага за всички граждани на ЕС, независимо от това къде живеят. Подобно на GDPR, въздействието на новата CCPA ще има далечни последици извън обхвата на държавата на произход. Разговаряхме с няколко експерти, за да научим повече за CCPA и някои от очакваните му последици.
CCPA и ти: Въведение
CCPA установява правото на потребителя да изисква предприятията да разкрият какъв вид данни се събират за тях. Освен ако не използвате инструмент като виртуална частна мрежа (VPN), почти сигурно е, че безброй фирми събират информация за вас, когато сте онлайн. Да се каже, че този вид прозрачност, която ще внесе CCPA е голяма работа, би било подценяване.
Джон Цопанис е мениджър на продукти за поверителност в 1touch.io, компания, която помага на бизнеса да разбере личните данни, които обработва. Tsopanis прекарва последните няколко години в консултации за GDPR за компании и подготвя да направи същото с CCPA. Цопанис обяснява CCPA в основни термини.
„На 1 януари 2020 г. жител на Калифорния ще има законно право да попита някоя голяма компания в Америка:„ Обработвате ли някоя моя информация? “, Каза Цопанис. „В рамките на 45 дни тази компания ще бъде задължена да отговори с доклад, подробно описващ последните 12 месеца. Ще трябва да покаже какви конкретни категории лична информация имат за това лице, с кого го споделят и какви са причините за да го обработят. Те трябва да предоставят тази информация на жителите на Калифорния - всичките 40 милиона от тях - в рамките на срока."
Разлики между GDPR и CCPA
Има някои съществени разлики между това, което GDPR прави и това, което CCPA покрива. За начало CCPA ще използва основание за отказ за съгласие, докато GDPR използва основа за отказ. Това по същество означава, че потребителите ще трябва активно да се свързват с компаниите, за да разберат какъв вид информация се използва. Освен това GDPR се прилага за всяка организация, която съхранява лични данни за граждани на ЕС.
CCPA, от друга страна, се прилага само за компании с печалба, които обработват данни за жителите на Калифорния. Организацията трябва или да направи поне 24 милиона долара годишни приходи, да държи данните на 50 000 души или да направи поне половината от приходите си от продажбата на лични данни. Така че, ако притежавате малък магазин за бутици и степента на вашите онлайн операции е уеб страница, в която са изброени часовете и адреса на вашия магазин, тогава няма да се налага да се тревожите твърде много за CCPA. Но ако управлявате уебсайт за електронна търговия чрез доставчик на ключ или поддържате собствен уебсайт за електронна търговия чрез обща уеб хостинг услуга, тогава ще искате да обърнете внимание.
Кортни Бауман е сътрудник в отдела по съдебни спорове в международната адвокатска кантора Proskauer Rose LLP. Bowman обяснява защо CCPA ще изисква от компаниите да помислят внимателно за използването на своите данни далеч след 2020 г. "Това изискване от 12 месеца означава, че компаниите ще трябва да гледат политиката си за поверителност поне веднъж годишно и да се опитат да разберат дали нещо се е променило, " тя каза.
„Те ще трябва непрекъснато да следят какви данни продават или разкриват на трети страни, за да могат съответно да коригират своите политики за поверителност“, продължи Боуман. "Законът също така дава на потребителите право на достъп или изтриване на личната им информация в някои ситуации и предприятията ще трябва да гарантират, че те действително могат да я реализират. Това ще изисква компаниите да се включат в картографирането на данни, за да разберат къде са техните данни. е разположен, а също и да се свържат със своите ИТ отдели, за да разберат какво трябва да направят, за да се уверят, че могат да изпълнят своите отговорности по закона."
Широкото въздействие на CCPA
В месеците, предхождащи GDPR, водеща тема в отразяването ни беше, че в нашия глобализиран свят GDPR ще засегне бизнеса извън Европа. В крайна сметка повечето големи компании работят в чужбина и ще трябва да променят своите онлайн операции в световен мащаб, за да се съобразят със закона. Когато разговаряхме с Цопанис обаче, той каза, че американските компании все още трябва да обърнат специално внимание на CCPA.
"Що се отнася до американските компании, GDPR се фокусира основно върху големи организации, които оперират по каналите. С това критериите за компаниите, които отговарят на изискванията, са много по-големи от масивен порядък", каза Цопанис. "В Калифорния има 40 милиона души; 50 000 не са дори 0, 1 процента от населението. Мисля, че мащабът на експозиция на американските компании е значително по-висок, отколкото преди в GDPR."
Tsopanis предлага примера на гиганта за бързо хранене Wendy's. „Wendy's е 999-ата най-голяма компания на Fortune 1000 и има годишен приход от 1, 2 милиарда долара - 48 пъти по-висок от прага за приложимост съгласно този закон. Най-малкото, в САЩ трябва да спазват 1000 милиарда долара. този закон и значителни порядъци, по-големи от тези в категория 25 милиона долара."
Може да не считаме, че Уенди е технологична компания, но те събират справедливия си дял от информация за потребителите. Те също са перфектен пример за това как компании от всякакъв вид ще бъдат засегнати от CCPA. Когато посетите уебсайта им, поръчате храна чрез техните системи за продажба (POS) или дори просто използвате Wi-Fi в местния ресторант на Уенди, компанията събира вашата информация и в Калифорния, поне, че „ Всички ще бъдат предмет на регламент на CCPA. Ако компания, която е толкова малка като Уенди, събира толкова много данни за потребителите, тогава е направо страшно да се мисли какво събират по-големите корпорации. Просто казано, CCPA ще има огромни последици.
Важни открития на данни
Един от най-важните ефекти на CCPA е, че американците най-накрая ще могат да разкрият огромното количество данни и покупки на данни, които компаниите правят. „Този законопроект ще позволи на американския народ най-накрая да разкрие масовата мрежа от организации за купуване и продажба на данни преди това са били напълно анонимни. Това ще доведе до драматичен културен промяна в начина на възприемане на поверителността на данните и в крайна сметка до в някакъв момент, водят до хармонизиран федерален закон за поверителност ", каза Цопанис.
Когато
"За всеки журналист в страната това е богатство. Калифорния е икономика с 2.7 трилиона долара - петата по големина в света - и е изградена на големи данни. Всяка заявка за достъп от всяка компания на Fortune 1000 ще разкрие цяла мрежа. на компаниите за купуване и продажба на данни, които ще бъдат подложени на интензивен контрол ", обясни Цопанис. "Не знаем какво точно ще открием, когато хората започнат да получават своите отчети за данни, но със сигурност има някои интересни разкрития."
Само 18 месеца за подготовка
Ако научим нещо от GDPR, това е, че компаниите трябва да планират възможно най-рано, за да бъдат готови за крайния срок. Имайки това предвид, американските компании изобщо нямат много време. GDPR бе приет през април 2016 г., а компаниите имаха малко повече от две пълни години, за да се адаптират и спазват регламента. Тъй като CCPA влиза в сила в началото на 2020 г., това означава, че по-големите компании имат само 18 месеца, за да се подготвят.
Този срок вероятно ще наблегне дори на най-опитния технологичен професионалист. „Обемът на работата, която трябва да се свърши за 18 месеца, е по-голям, отколкото беше необходимо за GDPR, с по-малко време за това и с американските компании, идващи от по-ниско ниво на зрялост на личния живот от Европа“, предупреждава Цопанис.
За да се съобрази, ветеранът по сигурността препоръчва на компаниите да се погрижат правилно при разработването на своите процеси. "В следващите шест месеца това, което организациите трябва да направят, е да разработят някакъв метод за проследяване на личната информация в цялата организация", каза Цопанис. „Те се нуждаят от начин за лесен достъп до това, каква лична информация е била изпратена до коя трета страна и по кое време и тогава те трябва да могат да проследяват това през 12-те месеца до прилагането им и да бъдат готови да предоставят тази информация при поискване, когато регламентът влиза в игра.
„По същество ще се изисква почти всички големи американски компании да извършват основни дейности за идентифициране на данни и да могат да автоматизират и да отговарят на искания за достъп на субекти на данни от жителите на Калифорния към датата на прилагане“, продължи Цопанис. „Важно е също да се отбележи, че когато законът премине през 2020 г., те трябва да могат да предоставят отчет за информацията за потребителите през предходните 12 месеца. Това ефективно означава, че предприятията трябва да проследяват тези данни от 1 януари 2019 г."
От правна гледна точка, Bowman казва, че е възможно да има някои промени, направени преди крайния срок. "Очакваме, че ще видим някои промени в закона, преди той да влезе в сила", каза тя. „Тъй като той беше изготвен доста бързо, дори след влизането му в сила, може да има някои сиви зони, които да останат незабележими по отношение на разбирането ни за тях. В крайна сметка на GDPR бяха необходими години за изготвяне и все още има множество части от GDPR които са нееднозначни."