Думаете, конфиденциальность доступна только в Европе? Подумайте еще раз.

GDPR выполнен. И в любом случае это затронуло только предприятия, работающие в ЕС. Верно?

Не совсем.

1. Конфиденциальность никогда не «готова». Соблюдение требований является постоянным требованием, и компании должны постоянно отслеживать свои точки соприкосновения, свои методы сбора данных, свою логику обработки данных и тот же набор соображений для своих поставщиков на постоянной основе.
2. GDPR коснулся всех компаний, которые обрабатывали данные граждан ЕС, а не только тех, которые находятся в Европе.
3. GDPR был верхушкой айсберга. Мир осознает угрозы бессердечного сбора и обработки данных безнаказанно. Да, Европа проснулась первой. Но это не означает, что США и остальной мир будут продолжать дремать.

Фактически, США уже начали путь к революционным правилам конфиденциальности. Законы, принятые в Калифорнии, Неваде и Мэне, и законопроекты, запланированные во многих других штатах, должны ожидать, что бизнес пострадает в ближайшие месяцы.

В этой статье рассматриваются важнейшие части закона/законопроекта о регулировании конфиденциальности каждого штата, включая то, кого они охватывают, когда они вступают в силу, штрафы, как добиться соблюдения, почему штаты взяли бразды правления перед федеральным правительством для защиты личных данных потребителей, а также как соблюдение конфиденциальности может принести пользу вашему бизнесу.

Федеральное регулирование США?

В письме лидерам Конгресса от 10 сентября руководители Business Roundtable из разных отраслей призвали политиков как можно скорее принять всеобъемлющий национальный закон о конфиденциальности данных, который усилит защиту американских потребителей и создаст основу для продолжения инноваций и роста в цифровая экономика.

Письмо, подписанное 51 генеральным директором, было отправлено руководству Палаты представителей и Сената, а также руководителям комитетов Палаты представителей по энергетике и торговле и Сената по торговле, науке и транспорту.

С точки зрения бизнеса США сейчас самое подходящее время для принятия федерального закона о защите данных.

GDPR предусматривает, что любая компания, собирающая данные о лицах, проживающих в ЕС, должна соблюдать законодательство, независимо от того, находится ли эта компания в ЕС или за его пределами. Это означает, что многие американские компании уже соответствуют требованиям GDPR, чтобы работать на международном уровне, и у них есть основа для распространения этого соответствия на рынок США.

Это отличается для национальных предприятий США. Соответствие требованиям защиты данных становится кошмаром, поскольку существует (потенциально) до 50 различных законов штатов с различными спецификациями и требованиями. Федеральный закон упростил бы это, предоставив единый законодательный акт для всех штатов.

Законы штатов США

В ответ государства приняли меры намного раньше.

С принятием законов в трех штатах, законопроектов, предложенных в других, и принятием в нескольких штатах новых законов об уведомлении об утечке данных мы наблюдаем начало массового перехода к защите данных потребителей и ответственности предприятий, которые контролируют и обрабатывают их.

Исследовательский центр IAPP Westin составил приведенный ниже список предложенных и принятых комплексных законов о конфиденциальности со всей страны, чтобы помочь бизнесу оставаться в курсе меняющейся ситуации в области конфиденциальности государства.

Хотя многие законопроекты, включенные в карту, не станут законом, сравнение ключевых положений каждого законопроекта может помочь понять, как развивается конфиденциальность в Соединенных Штатах.

Калифорния

Как один из первых законов о конфиденциальности, принятых после GDPR, CCPA служит образцом для других законопроектов в США. С 1 января 2020 года CCPA применяется к компаниям, которые собирают/обрабатывают личные данные жителей Калифорнии или ведут бизнес в Калифорнии.

Эти предприятия подпадают под действие закона CCPA, если они:

• Превысить валовой доход в размере 25 миллионов долларов США
• Покупайте, получайте, продавайте или делитесь (в сумме) личной информацией 50 000 или более потребителей, домохозяйств или устройств.
• Получайте 50% или более годового дохода от продажи личной информации потребителей

CCPA предоставляет потребителям права, аналогичные GDPR, включая раскрытие личной информации и запросы личных данных. Предприятия должны отвечать на поддающиеся проверке потребительские запросы информацией, такой как категории и данные личной информации, третьи лица и категории третьих лиц, которым передаются данные, и многое другое.

Этот раздел, известный как запросы субъекта данных (DSR), предоставляет пользователям доступ к своим личным данным и возможность их удаления. Кроме того, CCPA требует, чтобы компании отображали ссылку «Не продавать мою личную информацию» на своей домашней странице.

За соблюдением закона CCPA будет следить генеральный прокурор, и он предусматривает штрафы в размере до 7500 долларов за каждое отдельное нарушение.

Невада

Закон о конфиденциальности штата Невада был подписан 29 мая 2019 г., но вступает в силу 1 октября 2019 г., за три месяца до принятия более известного закона CCPA. Законы очень похожи, но имеют большое различие в том, как определяется «продажа». Закон штата Невада уже, он не распространяется на всех поставщиков услуг и более снисходителен к финансовым учреждениям.

По данным InfoLawGroup, CCPA и закон Невады схожи в том, что оба требуют, чтобы «компании разработали процесс для проверки законности запроса потребителя на отказ от подписки, и требуют, чтобы компании ответили на запрос в течение 60 дней».

Как и в Калифорнии, правоприменение в Неваде возлагается на Генерального прокурора и включает штрафы в размере до 5000 долларов за каждое нарушение.

Мэн

Закон штата Мэн о конфиденциальности был подписан 6 июня 2019 года, но вступит в силу 1 июля 2020 года. Этот закон запрещает поставщикам интернет-услуг (ISP) продавать, делиться или предоставлять доступ третьим лицам к данным своих клиентов, если иное явно не указано. одобрение этих клиентов. С изменениями,

Жители штата Мэн теперь имеют дополнительный уровень защиты электронной почты, онлайн-чатов, истории браузера, IP-адресов и данных геолокации, которые обычно собираются и хранятся компаниями телекоммуникационного и технологического секторов.

Таким образом, в то время как CCPA дает клиентам право отказаться, этот новый закон запрещает интернет-провайдерам использовать данные клиентов, если клиент не согласится. Это требование идет дальше, чем CCPA или закон штата Невада, и является относительно уникальным среди законов о конфиденциальности США, которые обычно отдать предпочтение отказу от согласия.

Не ждите — подготовьтесь сейчас:

Согласно опросу PwC 2018 года, 64% предприятий еще не начали готовиться к регулированию CCPA.

Вы откладывали начало своего пути к соблюдению требований? Вы начали процесс, но столкнулись с проблемой быстро приближающихся сроков?

Ниже приведен список сознательных действий, которые вы можете предпринять в качестве бизнеса, чтобы пойти по пути соблюдения большинства существующих законов, а также тех, которые будут применяться в ближайшем будущем.

Шаг 1. Обновите уведомления и политики конфиденциальности.

Со всеми электронными письмами «Мы обновили нашу Политику конфиденциальности» (соответствие GDPR), полученными в мае 2018 года, вероятно, разумно ожидать еще одну волну, на этот раз в соответствии с CCPA, Невадой или Мэн, в третьем квартале 2019 года.

Эти законы потребуют, чтобы «в момент сбора или до момента сбора» компании, на которые распространяется действие, уведомляли потребителей о категориях личной информации, которую собирает компания, и о целях, для которых эта информация используется компанией.

В уведомлении также должны быть четко указаны категории личной информации, которая собирается, раскрывается или продается, и потребители имеют новое право отказаться от продажи своей информации.

Компании также должны будут обновить свои политики конфиденциальности, включив в них описание других новых прав потребителей.

Поскольку многие компании должны были определиться при переходе на соответствие GDPR, прежде чем вносить требуемые по закону обновления политики, компаниям необходимо будет определить, будут ли они поддерживать одно уведомление о конфиденциальности для каждого резидента штата или иметь одну универсальную политику.

Шаг 2. Обновление реестров данных, бизнес-процессов и стратегий обработки данных

Компании также должны будут вести инвентаризацию данных, которая, по сути, представляет собой базу данных для отслеживания их действий по обработке данных, включая бизнес-процессы, третьих лиц, продукты, устройства и приложения, обрабатывающие личные данные потребителей.

Компании, которые должны были соответствовать требованиям GDPR, должны будут добавить несколько столбцов в свои реестры данных, в том числе столбец:

• определение того, включает ли использование данных «продажу» информации;
• определение того, какие категории личной информации передаются третьим лицам;
• определение того, были ли данные собраны более 12 месяцев назад и, таким образом, потенциально освобождены.
• База данных также должна поддерживаться в актуальном состоянии и иметь возможность отслеживать все запросы прав потребителей, например, отслеживать проверенный запрос информации.

Шаг 3. Внедрите протоколы для обеспечения прав потребителей

Эти законы гарантируют ряд прав потребителей, для обеспечения которых предприятиям необходимо принять меры.

• Право на уведомление . Хотя это не совсем предоставленное право, во время или до того, как бизнес собирает личную информацию от потребителя, потребитель должен быть должным образом уведомлен о том, какие категории информации собираются и для каких целей эта информация используется.

• Право на доступ/право на запрос. По поддающемуся проверке запросу предприятие должно предпринять шаги для бесплатного раскрытия и предоставления потребителю личной информации, которая может быть доставлена ​​по почте или в электронном виде. Если они предоставляются в электронном виде, они должны быть предоставлены в портативном и, насколько это технически возможно, в удобном для использования формате, который позволяет потребителю без проблем передавать личную информацию другому лицу. Предприятие может предоставлять личную информацию потребителю в любое время, но не обязано предоставлять ее потребителю более двух раз в течение 12 месяцев.

• Право знать . Потребитель имеет право потребовать, чтобы компания, собирающая личную информацию, раскрыла следующее: (1) категории собираемой личной информации; (2) источники, из которых была собрана информация; (3) деловая или коммерческая цель сбора или продажи информации; (4) категории третьих лиц, с которыми бизнес делится информацией; (5) конкретные части личной информации, собранной бизнесом о потребителе.

• Право на удаление . Потребитель имеет право запросить по поддающемуся проверке запросу, чтобы компания удалила любую личную информацию о потребителе, которую компания собрала. После получения такого запроса компания должна удалить информацию и поручить любым поставщикам услуг удалить информацию из своих записей, кроме случаев, когда компания или поставщик услуг нуждаются в информации для: (1) расчета транзакции, для которой была собрана личная информация. предоставлять товар или услугу, запрошенные потребителем или разумно ожидаемые в контексте текущих деловых отношений предприятия с потребителем, или иным образом выполнять договор между предприятием и потребителем; (2) обнаруживать инциденты безопасности; защищать от злонамеренных, вводящих в заблуждение, мошеннических или незаконных действий; или привлечь к ответственности лиц, ответственных за эту деятельность; (3) отладка для выявления и исправления ошибок существующих предполагаемых функций; (4) осуществлять свободу слова, обеспечивать право другого потребителя на осуществление его права на свободу слова или осуществление иного права, предусмотренного законом; (5) участвовать в общественных или экспертных научных, исторических или статистических исследованиях в общественных интересах; (6) для обеспечения исключительно внутреннего использования, которое разумно соответствует ожиданиям потребителя на основе отношений потребителя с бизнесом; (7) соблюдать юридическое обязательство; (8) иным образом использовать личную информацию потребителя внутри страны законным образом, совместимым с контекстом, в котором потребитель предоставил информацию.

• Право на отказ. Потребитель имеет право отказаться от продажи личной информации компанией. Предприятия должны предоставлять в разумно доступной для потребителей форме четкую и заметную ссылку на домашнюю страницу под названием «Не продавать мою личную информацию», которая позволяет потребителю отказаться от продажи личной информации потребителя. Бизнес должен подождать не менее 12 месяцев, прежде чем запросить продажу личной информации любого потребителя, который отказался.

Шаг 4. Сделайте обновления безопасности

Эти законы также требуют, чтобы подпадающие под их действие компании защищали личные данные с «разумной» безопасностью. На практике этот стандарт побудил компании применять подход, основанный на оценке рисков, к устранению угроз конфиденциальности, целостности и доступности персональных данных. Они оценивают угрозы для данных, ранжируют риски обнаруженных уязвимостей и в первую очередь устраняют пробелы с высоким риском.

Шаг 5. Обновите соглашения об обработке данных со сторонними процессорами.

Чтобы соответствовать законам США о конфиденциальности, предприятиям, чьи данные обрабатывают другие компании, необходимо будет обновить свои контракты с третьими сторонами, включая вставку формулировок стандартных договорных положений; требование инвентаризации данных о поставщиках; использование вопросников должной осмотрительности; предоставление записей об обработке; требование синхронизации процессов ответа потребителя; требующие проведения оценки и аудита на месте; и требование сопоставления конкретных элементов данных, передаваемых каждой третьей стороне, включая обозначение тех передач, которые квалифицируются как «продажа».

Для тех третьих лиц, которые заплатили за информацию, им потребуется дополнительно разработать процессы для удовлетворения запросов потребителей на отказ от продажи и обеспечения удаления этих данных.

Шаг 6: Обучение

Наконец, эти законы требуют, чтобы сотрудники, занимающиеся запросами потребителей, были проинформированы обо всех его требованиях. Из-за связанных с этим штрафов это обучение должно быть минимальным, и рекомендуется дополнительное обучение сотрудников.

Думаете, это много для реализации? Компании выиграют от соблюдения:

Была некоторая критика законов о конфиденциальности и заявлений о том, что эти законы вредны для бизнеса.

Программы соответствия стоят денег, но компании не могут рассчитывать на получение прибыли от такого актива, как данные, и не тратить деньги, чтобы убедиться, что их действия соответствуют требованиям.

Тем не менее, ключевые требования в законах о конфиденциальности, как упоминалось выше, в основном соответствуют здравому смыслу, поэтому программа соответствия никогда не должна быть бездонной ямой.

Более того, даже если бы юридическое давление не начало усиливаться, этическое давление и давление со стороны осведомленности усилились бы.

Потребители хотят иметь дело с компаниями, которые АКТИВНО защищают конфиденциальность своих данных.

Да, существуют затраты на соблюдение требований, но их следует рассматривать как часть затрат на ведение бизнеса с данными, а также создание и сохранение репутации бренда. Как организация, отвечающая требованиям, вы сможете рекламировать свою приверженность, что, в свою очередь, может помочь увеличить продажи и лояльность клиентов.

Почти все организации во всем мире в настоящее время признают, что инвестиции в конфиденциальность приносят дополнительные преимущества для бизнеса. Организации, которые вложили средства в подготовку к GDPR, сталкиваются с меньшим количеством утечек данных и обходятся им с меньшими затратами , они сталкиваются с меньшими трудностями при продажах из-за проблем с конфиденциальностью клиентов, меньшее количество затронутых записей данных , время простоя системы было короче .

Это некоторые результаты недавно опубликованного сравнительного исследования Cisco Data Privacy 2019, основанного на данных двойного слепого опроса более 3200 специалистов по безопасности и конфиденциальности в 18 странах. Исследование является первым в серии исследований ключевых проблем, с которыми сегодня сталкиваются организации в области конфиденциальности и кибербезопасности.

Согласно исследованию Cisco, 97% компаний говорят, что они получают дополнительные выгоды от своих инвестиций в конфиденциальность, помимо простого соблюдения законов о конфиденциальности. Эти преимущества включают конкурентное преимущество , привлекательность для инвесторов , операционную эффективность и большую способность к гибкости и инновациям .

Три четверти всех респондентов заявили, что они получают два или более таких пособия. Более того, большинство компаний теперь говорят, что строгая конфиденциальность данных является конкурентным преимуществом на их рынках.

Эти результаты подчеркивают необходимость внесения изменений в бизнес не только для соблюдения законов о конфиденциальности, но и для максимизации бизнес-преимуществ от своих инвестиций в конфиденциальность.

Улучшение управления данными, повышение доверия клиентов, сокращение задержек продаж и менее затратная утечка данных могут иметь большое значение для вашей организации и дать вам конкурентное преимущество, необходимое для процветания вашего бизнеса.

Надпись на стене крупная и жирная. Конфиденциальность важна не только для Европы… это потребность бизнеса во всем мире. Смена бурная. Но это было неизбежно.

Люди изобрели замки для защиты своих материальных активов. Теперь, когда нематериальные данные столь же ценны (если не больше), их безрассудное накопление и обработка будут осуждаться, не нравиться и в конечном итоге рассматриваться как нарушение.

Практика соблюдения конфиденциальности упрощает работу. И они повышают репутацию, снижая риск нарушений. На мой взгляд, дело не в усилиях, затрачиваемых на соблюдение требований, а в том, чтобы рано осознать тот факт, что соблюдение требований вполне может стать ВАШИМ следующим большим конкурентным преимуществом.

Convert уже заложил прочный фундамент. А ты?