Myślisz, że prywatność jest tylko dla Europy? Pomyśl jeszcze raz.

RODO jest gotowe. I tak wpłynęło to tylko na firmy działające w UE. Prawidłowy?

Nie całkiem.

1. Prywatność nigdy nie jest „zakończona”. Zgodność jest stale obecnym wymogiem, a firmy powinny stale monitorować swoje punkty styku, praktyki gromadzenia danych, logikę przetwarzania danych i ten sam zestaw kwestii dotyczących dostawców, na bieżąco.
2. RODO wpłynęło na wszystkie firmy, które przetwarzały dane obywateli UE – nie tylko te zlokalizowane w Europie.
3. RODO było wierzchołkiem góry lodowej. Świat staje się świadomy zagrożeń związanych z bezkarnym gromadzeniem i przetwarzaniem danych. Tak, Europa obudziła się pierwsza. Ale to nie znaczy, że Stany Zjednoczone i reszta świata będą drzemie.

W rzeczywistości Stany Zjednoczone rozpoczęły już drogę w kierunku rewolucyjnych przepisów dotyczących prywatności. Z prawem uchwalonym w Kalifornii, Nevadzie i Maine oraz planowanymi ustawami w wielu innych stanach, należy spodziewać się, że w nadchodzących miesiącach wpłynie to na firmy.

Ten artykuł przedstawia kluczowe części przepisów prawa / ustawy o ochronie prywatności każdego stanu — w tym zakres, w jakim się one obowiązują, kiedy wejdą w życie, kary, jak osiągnąć zgodność, dlaczego stany przejęły kontrolę przed rządem federalnym w celu ochrony danych osobowych konsumentów, a także w jaki sposób objęcie zgodnością z prywatnością może przynieść korzyści Twojej firmie.

Rozporządzenie federalne USA?

W liście do liderów Kongresu z 10 września dyrektorzy generalni Business Roundtable z różnych branż wezwali decydentów do jak najszybszego uchwalenia kompleksowego krajowego prawa dotyczącego prywatności danych, które wzmacnia ochronę amerykańskich konsumentów i ustanawia ramy umożliwiające dalsze innowacje i wzrost w gospodarka cyfrowa.

List, podpisany przez 51 dyrektorów generalnych, został wysłany do kierownictwa Izby Reprezentantów i Senatu oraz liderów komisji ds. energii i handlu oraz senackich komisji ds. handlu, nauki i transportu.

Z punktu widzenia biznesu USA nigdy nie było lepszego czasu na wprowadzenie federalnego prawa o ochronie danych.

RODO stanowi, że każda firma zbierająca dane o osobach zamieszkałych w UE musi przestrzegać przepisów – niezależnie od tego, czy firma ta ma siedzibę w UE, czy nie. Oznacza to, że wiele amerykańskich firm jest już zgodnych z RODO, aby działać na arenie międzynarodowej, i posiada ramy umożliwiające rozszerzenie tej zgodności na rynek amerykański.

Inaczej jest w przypadku firm krajowych w USA. Zgodność z przepisami dotyczącymi ochrony danych staje się koszmarem, z (potencjalnie) nawet 50 różnymi przepisami stanowymi o różnych specyfikacjach i wymaganiach. Ustawa federalna usprawniłaby to, zapewniając jeden jednolity akt prawny we wszystkich stanach.

Przepisy stanowe USA

W odpowiedzi państwa podjęły działania dużo wcześniej.

Dzięki ustawom uchwalonym w trzech stanach, ustawom proponowanym w innych oraz kilku stanom uchwalającym nowe przepisy dotyczące powiadamiania o naruszeniu danych, jesteśmy świadkami początku masowej zmiany w kierunku ochrony danych konsumentów i odpowiedzialności za firmy, które je kontrolują i przetwarzają.

Centrum Badawcze IAPP Westin sporządziło poniższą listę proponowanych i uchwalonych kompleksowych ustaw dotyczących prywatności z całego kraju, aby wspomóc wysiłki biznesowe, aby być na bieżąco ze zmieniającym się krajobrazem prywatności w państwie.

Chociaż wiele ustaw zawartych na mapie nie stanie się prawem, porównanie kluczowych przepisów w każdym projekcie może być pomocne w zrozumieniu, jak rozwija się prywatność w Stanach Zjednoczonych.

Kalifornia

Jako jedno z pierwszych przepisów dotyczących prywatności uchwalonych po RODO, CCPA działa jako wzór dla innych rachunków w USA. Od 1 stycznia 2020 r. ustawa CCPA ma zastosowanie do firmy, która gromadzi/przetwarza dane osobowe mieszkańców Kalifornii lub prowadzi działalność w Kalifornii.

Firmy te podlegają CCPA, jeśli:

• Przekrocz przychód brutto w wysokości 25 milionów USD
• Kupuj, odbieraj, sprzedawaj lub udostępniaj (łącznie) dane osobowe co najmniej 50 000 gospodarstw domowych lub urządzeń konsumentów
• Uzyskaj 50% lub więcej rocznych przychodów ze sprzedaży danych osobowych konsumenta

CCPA przyznaje konsumentom prawa podobne do RODO, w tym ujawnianie danych osobowych i żądania danych osobowych. Firmy są zobowiązane do odpowiadania na możliwe do zweryfikowania żądania konsumentów za pomocą informacji, takich jak kategorie i dane danych osobowych, strony trzecie i kategorie stron trzecich, którym dane są udostępniane, i nie tylko.

Ta sekcja, znana jako żądania osób, których dane dotyczą (DSR), zapewnia użytkownikom dostęp do ich danych osobowych i możliwości ich usunięcia. Ponadto CCPA wymaga, aby firmy wyświetlały link „Nie sprzedawaj moich danych osobowych” na swojej stronie głównej.

CCPA będzie egzekwowane przez Prokuratora Generalnego i obejmuje grzywny do 7500 USD za każde naruszenie.

Nevada

Prawo dotyczące prywatności w stanie Nevada zostało podpisane 29 maja 2019 r., ale weszło w życie 1 października 2019 r., trzy miesiące przed bardziej znaną ustawą CCPA. Przepisy są bardzo podobne, ale mają zasadniczą różnicę w definicji „sprzedaży”. Prawo Nevady jest węższe, nie obejmuje wszystkich usługodawców i jest bardziej pobłażliwe dla instytucji finansowych.

Według InfoLawGroup, przepisy CCPA i Nevada są podobne pod tym względem, że obie wymagają „od firm opracowania procesu weryfikacji zasadności wniosku konsumenta o rezygnację i wymagają od firm odpowiedzi na żądanie w ciągu 60 dni”.

Podobnie jak w Kalifornii, egzekucja w stanie Nevada spoczywa na prokuratorze generalnym i obejmuje grzywny w wysokości do 5000 USD za naruszenie.

Maine

Ustawa o prywatności w stanie Maine została podpisana 6 czerwca 2019 r., ale wejdzie w życie 1 lipca 2020 r. Ustawa ta blokuje dostawcom usług internetowych (ISP) możliwość sprzedaży, udostępniania lub udzielania osobom trzecim dostępu do danych swoich klientów, o ile nie zostanie to wyraźnie określone zatwierdzenie przez tych klientów. Wraz ze zmianami

Mieszkańcy Maine mają teraz dodatkową warstwę ochrony dla wiadomości e-mail, czatów online, historii przeglądarki, adresów IP i danych geolokalizacyjnych, które są powszechnie gromadzone i przechowywane przez firmy z sektora telekomunikacyjnego i technologicznego.

Tak więc, podczas gdy CCPA daje klientom prawo do rezygnacji, to nowe prawo zabrania dostawcom usług internetowych wykorzystywania danych klientów, chyba że klient się na to zgodzi. Wymóg ten wykracza poza przepisy CCPA lub Nevada i jest stosunkowo wyjątkowy wśród amerykańskich przepisów dotyczących prywatności, które ogólnie faworyzować zgodę na rezygnację.

Nie czekaj — przygotuj się teraz:

Według ankiety PwC z 2018 r. 64% firm nie rozpoczęło jeszcze przygotowań do przepisów CCPA.

Czy odłożyłeś rozpoczęcie swojej podróży do przestrzegania przepisów? Rozpocząłeś proces, ale szybko zbliżają się terminy?

Poniżej znajduje się lista świadomych działań, które możesz podjąć jako firma, aby podążać ścieżką przestrzegania większości istniejących przepisów oraz tych, które będą egzekwowane w najbliższej przyszłości.

Krok 1: Zaktualizuj informacje i zasady dotyczące prywatności

Biorąc pod uwagę wszystkie wiadomości e-mail „Zaktualizowaliśmy naszą Politykę prywatności” (zgodność z RODO) otrzymanych w maju 2018 r., prawdopodobnie rozsądne jest oczekiwanie kolejnej fali, tym razem zgodnej z CCPA lub Nevadą lub Maine, w trzecim kwartale 2019 r.

Przepisy te będą wymagać, aby firmy objęte ubezpieczeniem „w punkcie odbioru lub przed nim” powiadomiły konsumentów, informując ich o kategoriach danych osobowych gromadzonych przez firmę i celu, w jakim te informacje są wykorzystywane przez firmę.

Powiadomienie musi również wyraźnie określać kategorie danych osobowych, które są gromadzone, ujawniane lub sprzedawane, a konsumenci mają nowe prawo do rezygnacji ze sprzedaży swoich informacji.

Firmy będą również musiały zaktualizować swoje polityki prywatności, aby uwzględnić opis innych nowych praw konsumentów.

Ponieważ wiele firm musiało ustalić, kiedy stają się zgodne z RODO, przed wprowadzeniem wymaganych prawem aktualizacji zasad, firmy będą musiały ustalić, czy będą utrzymywać jedną informację o prywatności dla każdego mieszkańca stanu, czy też będą miały jedną uniwersalną politykę.

Krok 2: Zaktualizuj inwentarze danych, procesy biznesowe i strategie dotyczące danych

Firmy będą również musiały prowadzić inwentarz danych, który jest zasadniczo bazą danych do śledzenia ich działań związanych z przetwarzaniem danych, w tym procesów biznesowych, stron trzecich, produktów, urządzeń i aplikacji przetwarzających dane osobowe konsumentów.

Firmy, które musiały być zgodne z RODO, będą musiały dodać kilka kolumn do swoich spisów danych, w tym kolumnę:

• określenie, czy wykorzystanie danych obejmuje „sprzedaż” informacji;
• określenie, jakie kategorie danych osobowych są przekazywane stronom trzecim;
• określenie, czy dane zostały zebrane ponad 12 miesięcy temu, a tym samym potencjalnie zwolnione.
• Baza danych będzie również musiała być aktualizowana i umożliwiać śledzenie wszystkich wniosków dotyczących praw konsumentów, takich jak śledzenie zweryfikowanego wniosku o informacje.

Krok 3: Implementuj protokoły w celu zapewnienia praw konsumenta

Przepisy te gwarantują szereg praw konsumenckich, które firmy będą musiały podjąć w celu zapewnienia.

• Prawo do powiadomienia – chociaż nie jest to dokładnie przyznane prawo, w momencie lub przed zebraniem przez firmę danych osobowych od konsumenta, konsument musi zostać odpowiednio powiadomiony, jakie kategorie informacji są gromadzone i do jakich celów są one wykorzystywane.

• Prawo dostępu/prawo do żądania – Na możliwe do zweryfikowania żądanie firma musi podjąć kroki w celu ujawnienia i bezpłatnego dostarczenia konsumentowi danych osobowych, które mogą być dostarczone pocztą lub elektronicznie. Jeżeli są dostarczane drogą elektroniczną, muszą być dostarczone w formie przenośnej i, w zakresie, w jakim jest to technicznie wykonalne, w łatwym do użytku formacie, który umożliwia konsumentowi bezproblemowe przekazanie danych osobowych innemu podmiotowi. Firma może przekazać konsumentowi dane osobowe w dowolnym momencie, ale nie musi podawać ich konsumentowi więcej niż dwa razy w okresie 12 miesięcy.

• Prawo do wiedzy – konsument ma prawo zażądać, aby firma zbierająca dane osobowe ujawniła: (1) kategorie gromadzonych danych osobowych; (2) źródła, z których zebrano informacje; (3) biznesowy lub komercyjny cel zbierania lub sprzedaży informacji; (4) kategorie stron trzecich, którym firma udostępnia informacje; (5) określone dane osobowe, które firma zebrała na temat konsumenta.

• Prawo do usunięcia — konsument ma prawo zażądać, na możliwe do zweryfikowania wniosku, aby firma usunęła wszelkie zebrane przez firmę dane osobowe dotyczące konsumenta. Po otrzymaniu takiego żądania firma musi usunąć informacje i polecić dostawcom usług, aby usunęli informacje również ze swoich rejestrów, chyba że firma lub usługodawca potrzebuje informacji do: (1) obliczenia transakcji, dla której zebrano dane osobowe , dostarczać towarów lub usług wymaganych przez konsumenta lub racjonalnie przewidywanych w kontekście bieżących stosunków handlowych między przedsiębiorcą a konsumentem ani w inny sposób wykonywać umowy między przedsiębiorcą a konsumentem; (2) wykrywanie incydentów bezpieczeństwa; chronić przed złośliwą, oszukańczą, oszukańczą lub nielegalną działalnością; lub ścigać osoby odpowiedzialne za tę działalność; (3) debugowanie w celu identyfikacji i naprawy błędów istniejącej zamierzonej funkcjonalności; (4) korzystania z wolności słowa, zapewnienia prawa innego konsumenta do korzystania z jego prawa do wolności słowa lub skorzystania z innego prawa przewidzianego prawem; (5) angażować się w publiczne lub wzajemnie otrzymane badania naukowe, historyczne lub statystyczne w interesie publicznym; (6) umożliwienie wyłącznie zastosowań wewnętrznych, które są racjonalnie dostosowane do oczekiwań konsumenta w oparciu o relację konsumenta z przedsiębiorstwem; (7) wywiązać się z obowiązku prawnego; (8) w inny sposób wykorzystywać dane osobowe konsumenta wewnętrznie, w sposób zgodny z prawem, zgodny z kontekstem, w którym konsument przekazał informacje.

• Prawo do rezygnacji – konsument ma prawo do rezygnacji ze sprzedaży danych osobowych przez firmę. Firmy muszą udostępnić, w formie przystępnej dla konsumentów, jasny i rzucający się w oczy link do strony głównej zatytułowany „Nie sprzedawaj moich danych osobowych”, który umożliwia konsumentowi zrezygnowanie ze sprzedaży danych osobowych konsumenta. Firma musi odczekać co najmniej 12 miesięcy, zanim zażąda sprzedaży danych osobowych każdego konsumenta, który zrezygnował.

Krok 4: Wprowadź aktualizacje zabezpieczeń

Przepisy te wymagają również, aby firmy objęte ubezpieczeniem chroniły dane osobowe z „rozsądnym” bezpieczeństwem. W praktyce ten standard skłonił firmy do przyjęcia podejścia opartego na ryzyku w odniesieniu do zagrożeń dla poufności, integralności i dostępności danych osobowych. Oceniają zagrożenia dla danych, klasyfikują zagrożenia związane z wykrytymi lukami i w pierwszej kolejności zajmują się lukami wysokiego ryzyka.

Krok 5: Zaktualizuj umowy dotyczące procesorów stron trzecich

Aby zachować zgodność z amerykańskimi przepisami o ochronie prywatności, firmy, które zlecają innym firmom przetwarzanie ich danych, będą musiały zaktualizować swoje umowy z osobami trzecimi, w tym wprowadzić standardowy język klauzul umownych; wymaganie inwentaryzacji danych dostawców; wykorzystanie kwestionariuszy due diligence; udostępnianie ewidencji przetwarzania; wymaganie synchronizacji procesów reakcji konsumentów; wymagające oceny i audytu na miejscu; oraz wymaganie mapowania określonych elementów danych udostępnianych każdej stronie trzeciej, w tym oznaczania tych transferów, które kwalifikują się jako „sprzedaż”.

W przypadku osób trzecich, które zapłaciły za informacje, będą musiały dodatkowo zaprojektować procesy, aby uwzględnić żądania konsumentów dotyczące rezygnacji ze sprzedaży i zapewnić usunięcie tych danych.

Krok 6: Trening

Wreszcie przepisy te wymagają, aby pracownicy zajmujący się zapytaniami konsumentów byli informowani o wszystkich jego wymaganiach. Ze względu na związane z tym kary szkolenie to powinno być minimum i zalecane jest dodatkowe szkolenie pracowników.

Myślisz, że to dużo do wdrożenia? Firmy skorzystają na zgodności:

Pojawiła się krytyka przepisów dotyczących prywatności i twierdzenia, że ​​są one szkodliwe dla firm.

Programy zgodności kosztują, ale firmy nie mogą oczekiwać, że zarobią pieniądze na zasobach, takich jak dane, i nie będą wydawać pieniędzy, aby upewnić się, że ich działania są zgodne.

Jednak kluczowe wymagania w przepisach dotyczących prywatności, jak wspomniano powyżej, są w większości zgodne ze zdrowym rozsądkiem, więc program zgodności nigdy nie powinien być otchłanią bez dna.

Co więcej, nawet jeśli presja prawna nie zaczęła narastać, presja etyczna i uświadamiająca będzie.

Konsumenci chcą robić interesy z firmami, które AKTYWNIE chronią ich prywatność danych.

Tak, istnieje koszt zapewnienia zgodności, ale należy go postrzegać jako część kosztów prowadzenia interesów z danymi oraz budowania i utrzymywania reputacji marki. Jako organizacja przestrzegająca przepisów będziesz w stanie promować swoje przestrzeganie, co z kolei może pomóc w zwiększeniu sprzedaży i lojalności klientów.

Niemal wszystkie organizacje na całym świecie zdają sobie teraz sprawę, że inwestycje w prywatność przekładają się na korzyści biznesowe. Organizacje, które zainwestowały, aby przygotować się na RODO, doświadczają mniejszej liczby i mniej kosztownych naruszeń danych , zauważają mniejsze tarcia sprzedażowe z powodu obaw o prywatność klientów, wpływa na mniejszą liczbę rekordów danych , przestoje systemu były krótsze .

Oto niektóre wnioski z niedawno opublikowanego badania porównawczego danych Cisco 2019 Data Privacy Benchmark Study, które opiera się na danych z podwójnie ślepej ankiety przeprowadzonej wśród ponad 3200 specjalistów ds. bezpieczeństwa i prywatności w 18 krajach. Badanie jest pierwszym z serii analizujących kluczowe problemy, przed którymi stoją dziś organizacje w zakresie prywatności i cyberbezpieczeństwa.

Według badania przeprowadzonego przez Cisco, 97% firm twierdzi, że czerpie dalsze korzyści z inwestycji w ochronę prywatności, wykraczające poza przestrzeganie przepisów dotyczących prywatności. Korzyści te obejmują przewagę konkurencyjną , atrakcyjność dla inwestorów , wydajność operacyjną oraz większą elastyczność i innowacyjność .

Trzy czwarte wszystkich respondentów stwierdziło, że otrzymuje co najmniej dwie z tych korzyści. Co więcej, większość firm twierdzi teraz, że silna prywatność danych jest konkurencyjnym wyróżnikiem na ich rynkach.

Wyniki te podkreślają potrzebę wprowadzania przez firmy zmian nie tylko w celu zachowania zgodności z przepisami dotyczącymi prywatności, ale także w celu maksymalizacji korzyści biznesowych z ich inwestycji w prywatność.

Poprawa zarządzania danymi, zwiększenie zaufania klientów, krótsze opóźnienia w sprzedaży i mniej kosztowne naruszenia danych mogą mieć znaczenie dla Twojej organizacji i zapewnić przewagę konkurencyjną, której Twoja firma potrzebuje, aby prosperować.

Napis na ścianie jest duży i odważny. Prywatność nie dotyczy tylko Europy… to potrzeba chwili dla firm na całym świecie. Zmiana jest burzliwa. Ale to było nieuniknione.

Ludzie wynaleźli zamki, aby chronić swoje aktywa materialne. Teraz, gdy dane niematerialne są równie cenne (jeśli nie bardziej), lekkomyślne gromadzenie i przetwarzanie ich będzie mile widziane, nielubiane i ostatecznie postrzegane jako naruszenie.

Praktyki zgodności z prywatnością usprawniają operacje. I poprawiają reputację, zmniejszając ryzyko naruszeń. Moim zdaniem nie chodzi o wysiłek związany z zapewnieniem zgodności, ale o wczesne przebudzenie się do faktu, że compliance może być TWOJĄ kolejną dużą przewagą konkurencyjną.

Firma Convert już położyła solidne podstawy. Jak o tobie?