Взгляд на Закон о конфиденциальности штата Колорадо: прогнозы будущего защиты данных пользователей
Опубликовано: 2021-09-16
В июле этого года Колорадо принял Закон о конфиденциальности штата Колорадо (CPA), что сделало его четвертым штатом в США, принявшим всеобъемлющее законодательство о конфиденциальности, после Калифорнии, Невады и Вирджинии.
Хотя CPA и аналогичные законы со временем будут меняться, остается вопрос: должны ли компании начать работать над соблюдением каждого нового отдельного закона или они должны разработать какой-то план, с помощью которого права пользователей остаются защищенными, несмотря ни на что? происходит с точки зрения изменения политики?
Из-за уникальных правил конфиденциальности в каждом штате компаниям становится все труднее отслеживать эти изменения, обеспечивать их соблюдение и избегать штрафов.
Чтобы упростить этот процесс, мы сравним некоторые недавние примеры из разных штатов и предложим понимание того, как они могут повлиять на деловую практику, а также на будущие тенденции в области защиты пользовательских данных.
В этом сообщении в блоге мы рассмотрим Закон штата Колорадо о конфиденциальности и то, как он сочетается с другими законами о конфиденциальности, такими как SB20 Невады, CDPA Вирджинии, CPPA Калифорнии и самый последний CPRA, а также европейский GDPR.
Во-первых, вот краткое изложение всех ключевых положений этих законов:
| Ключевые положения | Цена за конверсию в Колорадо | Невада SB220 | Вирджиния CDPA | Калифорния CDPA + CPRA | GDPR для Европы | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Возможность обработки | |||||||||||||||||||||||||||||||||||
| Минимизация данных | Да | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Допустимая цель | Да | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Индивидуальные права | |||||||||||||||||||||||||||||||||||
| Право на получение уведомления об обработке | Да | Да | Да | Да | Да | ||||||||||||||||||||||||||||||
| Право на доступ к персональным данным | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Право на переносимость данных (т. е. данные должны предоставляться в удобном для использования формате, чтобы их можно было передавать с одного объекта/платформы на другой) | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Право на исправление ошибок в личных данных | Да | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Право на удаление персональных данных | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Право на отказ от поведенческой рекламы | Нет | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Право возражать против автоматизированного профилирования и принятия решений | Нет | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Право на недискриминацию для осуществления этих прав | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Право отказаться от продажи личной информации | Да | Да | Да | Да | Нет | ||||||||||||||||||||||||||||||
| Согласие или отказ от обработки конфиденциальной информации | Выбрать в | Выбрать в | Уклоняться | Выбрать в | |||||||||||||||||||||||||||||||
| Право на обжалование отказа в удовлетворении запросов | Нет | Да | Нет | Нет | |||||||||||||||||||||||||||||||
| Подотчетность/управление | |||||||||||||||||||||||||||||||||||
| Оценка защиты данных | Да | Да | Нет | Да | |||||||||||||||||||||||||||||||
| Безопасность | |||||||||||||||||||||||||||||||||||
| Надлежащая безопасность данных для защиты информации | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Уведомление о нарушении | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Передача данных за пределы ЕЭЗ | |||||||||||||||||||||||||||||||||||
| Дополнительные меры для международных переводов | Да | Нет | Нет | Да | |||||||||||||||||||||||||||||||
| Переводы третьим лицам | |||||||||||||||||||||||||||||||||||
| Договорные требования в соглашениях с поставщиками услуг | Да | Да | Да | Да | |||||||||||||||||||||||||||||||
| Маркетинг | |||||||||||||||||||||||||||||||||||
| Согласие на использование файлов cookie Adtech | Нет | Да | Да | Да | |||||||||||||||||||||||||||||||
| Согласие, полученное до прямого маркетинга | Да | Нет | Нет | Да | |||||||||||||||||||||||||||||||
| Правоохранительные органы | |||||||||||||||||||||||||||||||||||
| Генеральный прокурор | Генеральный прокурор | Генеральный прокурор, CPPA | ДПД | ||||||||||||||||||||||||||||||||
| Дата операции | |||||||||||||||||||||||||||||||||||
| 1 июля 2023 г. | 1 октября 2019 г. | 1 января 2023 г. | 1 января 2020 г. / 1 января 2023 г. | 25 мая 2018 г. | |||||||||||||||||||||||||||||||
Что общего у всех этих законов о конфиденциальности?
CPA похож на другие законы о конфиденциальности, такие как GDPR, законы Калифорнии и Вирджинии. Тем не менее, его нельзя сравнивать с Невадой, поскольку последняя приняла гораздо более ограниченный закон о продаже определенных данных, собранных в Интернете, поэтому она исключена из сравнения ниже.
- Соглашение об обработке данных — распространено во всех законах о конфиденциальности. Проще говоря, это означает, что организации необходимо разработать юридический шаблон, в котором описываются действия по обработке персональных данных, происходящие при использовании услуги или продукта. Короче говоря, в нем говорится о том, как будет происходить обработка данных, кто за что будет нести ответственность и какие меры безопасности будут приняты. Мы подготовили наш шаблон еще в 2018 году для GDPR, он доступен здесь. С каждым новым законом мы обновляем положения шаблона, чтобы адаптировать их ко всем новым юридическим условиям.
- Вторая общая черта законов о конфиденциальности заключается в том, что все они требуют от организаций принятия соответствующих технических и организационных мер для быстрого и надлежащего реагирования, когда потребители осуществляют свои права. Эти права различаются от закона к закону, как видно из таблицы выше, но меры остаются прежними.
- Уведомление об утечке персональных данных — еще один распространенный термин, присутствующий в законодательстве. Нарушение безопасности персональных данных — это любое событие, которое может повлиять на конфиденциальность, целостность или доступность персональных данных, хранящихся в организации, в любом формате.
Нарушения безопасности персональных данных могут происходить по многим причинам, в том числе:- разглашение конфиденциальных данных посторонним лицам;
- потеря или кража данных или оборудования, на котором хранятся данные;
- ненадлежащий контроль доступа, допускающий несанкционированное использование информации;
- попытки получить несанкционированный доступ к компьютерным системам, например, взлом; записи изменены или удалены без разрешения «владельца» данных;
- вирусы или другие атаки безопасности на системы или сети ИТ-оборудования;
- оставлять ИТ-оборудование без присмотра при входе в учетную запись пользователя без блокировки экрана, чтобы другие не могли получить доступ к информации;
- электронные письма, содержащие личную или конфиденциальную информацию, отправленные по ошибке не тому получателю.
- Еще одним общим требованием GDPR, CCPA, VCDPA и CPA является процесс проведения оценки воздействия обработки данных (DPIA) для любых новых проектов обработки с высоким уровнем риска. DPIA — это процесс систематического рассмотрения потенциального влияния проекта или инициативы на неприкосновенность частной жизни людей. Это позволяет организациям выявлять потенциальные проблемы с конфиденциальностью до того, как они возникнут, и находить способы их устранения. GDPR впервые ввел обязательные DPIA для тех организаций, которые занимаются обработкой данных с высоким уровнем риска; например, там, где внедряются новые технологии, когда операция по профилированию может существенно повлиять на людей, или где ведется широкомасштабный мониторинг общедоступной области.
Например, чтобы воспользоваться своим правом на доступ к вашим личным данным, которые использует Convert, вы должны отправить письменный запрос на адрес [email protected]. В запросе укажите, что ваш запрос направлен в порядке реализации вашего права на доступ в соответствии с конкретным интересующим вас законом о конфиденциальности. DPO должен ответить на ваш письменный запрос. Будьте готовы предоставить доказательства вашей личности, которые DPO должен потребовать от вас, чтобы убедиться, что личная информация не будет передана не тому лицу. Описанный выше процесс относится к GDPR, CCPA, CPA и уже задокументирован на нашей странице конфиденциальности.
Точно так же, если вы хотите закрыть свою учетную запись Convert, покинуть службу и хотите создать резервную копию всех ваших данных Convert, вы можете воспользоваться своим правом на переносимость данных. Вы можете написать электронное письмо на тот же адрес электронной почты, указанный выше, если возможность загрузки данных недоступна сразу, и запросить у DPO резервную копию данных, используемых в службе. DPO должен действовать по вашему письменному запросу.
В рамках своего проекта GDPR компания Convert разработала руководство для персонала и шаблон, который будет использоваться для проведения DPIA. Вы можете найти шаблон с предварительно заполненными контрольными вопросами здесь. С тех пор этот шаблон был адаптирован к новым законам США о конфиденциальности.
Но есть некоторые ключевые отличия!
GDPR защищает персональные данные. Законы США в основном защищают тех потребителей, которые решили защитить свои личные данные.
- Дебаты о данных и защите прав потребителей лежат в основе всех этих инициатив по обеспечению конфиденциальности. Это также ключевой момент, который отличает GDPR от всех других законов о конфиденциальности. GDPR защищает персональные данные на различных этапах: от сбора, обработки, хранения до передачи третьим лицам. Законы США гарантируют, что потребитель защищен, когда он находится в сети и использует услуги, просматривает или тестирует продукты. Вот почему Политика конфиденциальности компании не может оставаться неизменной после вступления в силу нового закона. Необходимо добавить новые разделы, чтобы отразить новые юридические термины и положения. Всегда консультируйтесь со своими юристами, чтобы точно знать, что добавить, чтобы соответствовать каждому закону.
- Законы также различаются по объему режима отказа / отключения . GDPR действует в режиме согласия, то есть страны-члены Европейского Союза не собирают никаких личных данных от посетителя, пока они не дадут явного согласия, установив флажок на баннере согласия, появляющемся на сайте, который они просматривают. На американских сайтах издателей происходит обратное. Данные могут собираться до тех пор, пока посетитель не решит отказаться от обработки данных. Калифорния работает только в рамках гибридного режима отказа / согласия. CCPA позволяет организациям собирать данные потребителей по умолчанию, но также требует, чтобы сборщики данных предоставляли потребителям уведомления о конфиденциальности перед сбором данных. CPA, VCDPA находятся под четким режимом отказа.
В Convert мы работаем в режиме согласия, поскольку мы ценим прозрачность и выбор посетителей, и мы адаптировали наш пользовательский опыт в соответствии с его требованиями. - Различия можно увидеть и в правилах международной передачи данных . GDPR снова очень строго относится к этим передачам и разрешает их только в том случае, если в стране-получателе действуют аналогичные правила конфиденциальности. В противном случае организациям требуется использовать стандартные договорные положения или согласие пользователей. С другой стороны, CCPA и VCDPA разрешают международную передачу данных по всему миру до тех пор, пока не произойдет инцидент. Затем организация привлекается к ответственности и применяется штраф. CPA является несколько мягким, требуя от организаций информировать пользователей/посетителей, когда происходит международная передача данных, но не ограничивая их.
В Convert мы придерживаемся GDPR и предоставляем необходимые инструменты передачи по запросу (Стандартные договорные положения являются частью договора, который подписывают наши пользователи). - Наконец, законы имеют разные сроки реагирования на нарушения конфиденциальности . GDPR и VCDPA дают контролерам или процессорам 30 дней, чтобы отреагировать на нарушение конфиденциальности. CPPA разрешено, но не обязано предлагать период для устранения нарушений CPRA. CPA должен предлагать 60-дневный период ответа.
Поскольку Convert не был частью какого-либо нарушения конфиденциальности, это было нелегко проверить, но мы смоделировали такие запросы внутри компании и обнаружили, что можем ответить в течение 7-10 дней. Весьма впечатляюще, учитывая тот факт, что может быть задействовано много людей и инструментов.
Готова ли ваша компания к CPA?
Многие из этих законов имеют схожие формулировки, поэтому выявить различия довольно сложно. Тем не менее, мы попытались сделать это более понятным для вас с помощью этого сравнения выше. Чтобы добиться соблюдения этих законов о конфиденциальности, будьте готовы потратить много времени на их изучение и консультации с юристами.
К счастью, некоторые меры применимы ко всем из них. Мы перечисляли их в одной из наших предыдущих статей, но здесь они снова, чтобы освежить вашу память:
- Создавайте и поддерживайте всеобъемлющую инвентаризацию данных, предоставляя информацию как о типах задействованных данных, так и о характере действий по обработке.
- Убедитесь, что конфиденциальные данные изолированы и управляются без ненужных рисков.
- Внедрить основу для проведения оценок воздействия на защиту данных (DPIA).
- Оцените действующие политики, практики и средства контроля кибербезопасности, чтобы убедиться, что они соответствуют общепризнанным отраслевым стандартам.
- Разрешить потребителям отказаться от продажи их личной информации (где это применимо).
- Обновите общедоступные политики конфиденциальности, чтобы, среди прочего, обязаться не повторно идентифицировать деидентифицированные личные данные и предоставить подробную информацию о своих действиях по обработке данных.
- Разработать механизмы для приема, отслеживания, проверки и удовлетворения запросов потребителей на доступ, исправление, удаление и отказ от персональных данных в соответствии с CPA.
- Убедитесь, что ваши сотрудники по обслуживанию клиентов точно знают нормативные акты, чтобы эффективно и предсказуемо удовлетворять запросы потребителей.
Как будет выглядеть ландшафт конфиденциальности в следующем десятилетии?
Конфиденциальность данных становится определяющей проблемой этого десятилетия. Это будет еще более чувствительный к конфиденциальности мир, где как предприятия, так и частные лица все больше осознают, что больше не существует такого понятия, как «частное».
Недавние законы о конфиденциальности научили нас тому, что эти инициативы требуют значительных усилий и времени для тщательного планирования, выявления пробелов в механизмах конфиденциальности и внедрения новых политик, процессов и усилий по исправлению положения. Таким образом, ландшафт конфиденциальности данных не изменится быстро.
Хотя будущее конфиденциальности в значительной степени не предопределено, несколько тенденций уже формируют его различными способами. Организации, которые лучше всего ориентируются в этих тенденциях в течение следующих десяти лет, будут более конкурентоспособными, чем те, которые продолжают просто соблюдать новые законы.
Давайте посмотрим, какие они.
- Большинство потребителей будут активно защищать свои личные данные. Мы увидим лучшие инструменты защиты конфиденциальности (так же, как сейчас у нас есть инструменты, вторгающиеся в конфиденциальность). Организации, которые не придерживаются этих мер защиты, рискуют потерять своих клиентов.
- Трансграничная передача данных станет проще. Нам не нужно будет строить локальные царства данных, в которые не смогут проникнуть иностранцы.
- Пути обеспечения конфиденциальности клиентов : будут разработаны новые проекты, соответствующие культурным и юридическим требованиям законов о конфиденциальности, а также позиции каждой компании в отношении этики данных и технологий.
- Культура конфиденциальности сотрудников. Отдел кадров будет использовать программы конфиденциальности сотрудников, соответствующие ценностям компании в отношении данных и технологий, для развития всесторонней культуры конфиденциальности. Такая программа может включать в себя совет сотрудников, который анализирует и сообщает об оценках конфиденциальности и этического воздействия новых технологий и использования данных на рабочем месте.
Многое может измениться за 10 лет, но, опять же, мало что может измениться. Здесь, в Convert, мы сделали уважение конфиденциальности наших посетителей и пользователей частью нашей культуры. Где мы будем в 2030 году? К 2030 году мы увидим, что компании, которые уважают конфиденциальность пользователей, наряду с регулирующими органами, будут работать вместе без ущерба для личных свобод. Это видение важнее всего для нашей команды в компании Convert, и мы надеемся, что вы тоже к нам присоединитесь!
