Подготовьтесь к CDPA: Восточное побережье встречается с Западным побережьем, поскольку Вирджиния подписывает закон о конфиденциальности
Опубликовано: 2021-04-22
Штат Вирджиния недавно проголосовал за то, чтобы стать первым штатом на Восточном побережье, принявшим закон, регулирующий, как компании защищают личные данные потребителей. Новый закон принят в то время, когда технологические гиганты сталкиваются с противодействием со стороны законодателей и потребителей в связи с тем, как они обращаются с личной информацией.
Закон Вирджинии о защите данных потребителей (CDPA) был подписан 2 марта 2021 года и вступит в силу в 2023 году.
Подобно Калифорнийскому закону о конфиденциальности потребителей от 2018 года (CCPA), Калифорнийскому закону о правах на неприкосновенность частной жизни от 2020 года (CPRA) и даже европейскому GDPR, CDPA является последней разработкой в том году, который стал переломным для законодательства о конфиденциальности в Соединенных Штатах.
Но предприятия, которые работали над соблюдением других законов, не должны останавливаться на достигнутом. Им все еще нужно подготовиться к CDPA, положения которого отличаются от положений CCPA или CPRA.
В этой статье мы рассмотрим эти отдельные положения Закона Вирджинии и сравним их с CCPA (с поправками, внесенными CPRA) и GDPR.
| Ключевые положения | Вирджиния CDPA | Калифорния CCPA + CPRA | GDPR для Европы | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Возможность обработки | |||||||||||||||||||||||
| Минимизация данных | Да | Нет | Да | ||||||||||||||||||||
| Допустимая цель | Да | Нет | Да | ||||||||||||||||||||
| Индивидуальные права | |||||||||||||||||||||||
| Право на получение уведомления об обработке | Да | Да | Да | ||||||||||||||||||||
| Право на доступ к персональным данным | Да | Да | Да | ||||||||||||||||||||
| Право на переносимость данных (т. е. данные должны предоставляться в удобном для использования формате, чтобы их можно было передавать с одного объекта/платформы на другой) | Да | Да | Да | ||||||||||||||||||||
| Право на исправление ошибок в личных данных | Да | Нет | Да | ||||||||||||||||||||
| Право на удаление персональных данных | Да | Да | Да | ||||||||||||||||||||
| Право на отказ от поведенческой рекламы | Да | Нет | Да | ||||||||||||||||||||
| Право возражать против автоматизированного профилирования и принятия решений | Да | Нет | Да | ||||||||||||||||||||
| Право на недискриминацию для осуществления этих прав | Да | Да | Да | ||||||||||||||||||||
| Право отказаться от продажи личной информации | Да | Да | Нет | ||||||||||||||||||||
| Согласие или отказ от обработки конфиденциальной информации | Выбрать в | Уклоняться | Выбрать в | ||||||||||||||||||||
| Право на обжалование отказа в удовлетворении запросов | Да | Нет | Нет | ||||||||||||||||||||
| Подотчетность/управление | |||||||||||||||||||||||
| Оценка защиты данных | Да | Нет | Да | ||||||||||||||||||||
| Безопасность | |||||||||||||||||||||||
| Надлежащая безопасность данных для защиты информации | Да | Да | Да | ||||||||||||||||||||
| Уведомление о нарушении | Да | Да | Да | ||||||||||||||||||||
| Передача данных за пределы ЕЭЗ | |||||||||||||||||||||||
| Дополнительные меры для международных переводов | Нет | Нет | Да | ||||||||||||||||||||
| Переводы третьим лицам | |||||||||||||||||||||||
| Договорные требования в соглашениях с поставщиками услуг | Да | Да | Да | ||||||||||||||||||||
| Маркетинг | |||||||||||||||||||||||
| Согласие на использование файлов cookie Adtech | Да | Да | Да | ||||||||||||||||||||
| Согласие, полученное до прямого маркетинга | Нет | Нет | Да | ||||||||||||||||||||
| Правоохранительные органы | |||||||||||||||||||||||
| Генеральный прокурор | Генеральный прокурор, CPPA | ДПД | |||||||||||||||||||||
| Дата операции | |||||||||||||||||||||||
| 1 января 2023 г. | 1 января 2020 г. / 1 января 2023 г. | 25 мая 2018 г. | |||||||||||||||||||||
Компании, которые работали над достижением соответствия CCPA или GDPR, обнаружат, что в этих законах много схожего словоблудия и терминологии; однако было бы ошибкой предполагать, что закон Вирджинии содержит идентичные требования.
Несмотря на сходство с CCPA и GDPR, CDPA содержит нюансы, которые, вероятно, будут уникальными для каждой организации.
Если вы перегружены чтением этого, ознакомьтесь с пошаговыми инструкциями, которые мы изложили ниже, чтобы помочь в соблюдении нового закона о конфиденциальности.
Во-первых, попросите юристов, ИТ-специалистов и специалистов по конфиденциальности в вашей организации оценить применимость закона к вашему бизнесу. Затем определите любые пробелы и разработайте план соответствия , который включает решения для этих проблем.
Давайте углубимся в подробности, не так ли?
Чтобы добиться соответствия CDPA, вам необходимо:
- Создавайте и поддерживайте всеобъемлющую инвентаризацию данных, предоставляя информацию как о типах задействованных данных, так и о характере действий по обработке.
- Убедитесь, что конфиденциальные данные изолированы и управляются без ненужных рисков.
- Внедрить основу для проведения оценок воздействия на защиту данных (DPIA).
- Оцените действующие политики, практики и средства контроля кибербезопасности, чтобы убедиться, что они соответствуют общепризнанным отраслевым стандартам.
- Предоставить потребителям возможность отказаться от продажи их личной информации (где это применимо).
- Обновите общедоступные политики конфиденциальности, чтобы, среди прочего, обязаться не повторно идентифицировать деидентифицированные личные данные и предоставить подробную информацию о своих действиях по обработке данных.
- Разработать механизмы для приема, отслеживания, проверки и удовлетворения запросов потребителей на доступ, исправление, удаление и отказ от персональных данных в соответствии с CDPA.
- Убедитесь, что ваши сотрудники по обслуживанию клиентов точно знают нормативные акты, чтобы эффективно и предсказуемо удовлетворять запросы потребителей.
Наконец, хотя 2023 год может показаться далеким будущим, не откладывайте разработку плана соответствия требованиям.
Если другие недавние законы о конфиденциальности чему-то и научили нас, так это тому, что эти инициативы требуют значительных усилий и времени для тщательного планирования, выявления пробелов в ваших механизмах конфиденциальности и внедрения новых политик, процессов и усилий по исправлению положения.
Еще не рано начинать усилия по соблюдению CDPA, поскольку все больше штатов, таких как Нью-Йорк и Вашингтон, начинают принимать законы о защите конфиденциальности потребителей.
По мере того как все больше законодательных органов штатов принимают активные меры по принятию законопроектов или законов о защите конфиденциальности потребителей, становится ясно одно: обеспечение конфиденциальности клиентов больше не может быть запоздалой мыслью. Это должно быть встроено в вашу бизнес-модель.
