Правоприменение CCPA начинается сейчас, и большинство компаний не готовы


Не готовы к CCPA? Вот что вам нужно знать и делать – прямо сейчас.

Закон Калифорнии о конфиденциальности потребителей (CCPA) вступил в силу 1 января 2020 года с шестимесячным льготным периодом принудительного исполнения. Дата окончания уже здесь.

Основы. В качестве напоминания, CCPA прямо распространяется на компании которые соответствуют одному или нескольким из следующих установленных законом критериев:

  • Иметь валовой годовой доход более 25 миллионов долларов;
  • Владеть личной информацией 50 000 или более потребителей, домохозяйств или устройств; или же
  • Получайте более половины своего годового дохода от продажи личной информации потребителей.

Ряд категорий предприятий явно освобождены от соблюдения CCPA, включая определенные отрасли, подпадающие под действие федеральных нормативных актов. Однако большинству издателей необходимо будет быть готовым дать возможность потребителям из США отказаться от передачи данных третьими сторонами и продемонстрировать соответствие регулирующим органам в случае расследования или жалобы.

Адвокат Аарон Тантлефф, партнер юридической фирмы Foley & Lardner, дает надежду на то, что CCPA может применяться не ко всем, при этом предупреждая, что закон не имеет географических границ. «Мы разговаривали со многими клиентами, которые в панике звонили, чтобы узнать, что CCPA не применяется. Применимость CCPA, как и GDPR, не ограничивается только организациями, базирующимися в Калифорнии. Он может применяться к организациям, которые не имеют физического присутствия в государстве ».

Широкое применение для бизнеса по всему миру. На практике статут будет широко применять для большинства коммерческих предприятий, вне зависимости от того, нацелены они на жителей Калифорнии или нет. Например, ранний анализ законодательства IAPP говорит:

Компании могут пройти [the personal information of 50,000 consumers] порог быстрее, чем ожидалось, потому что объем личной информации широк. Большинство компаний управляют веб-сайтами и неизбежно захватывают IP-адреса. Примечательно, что компании должны соблюдать требования независимо от того, нацелен ли веб-сайт на компании или отдельных клиентов в Калифорнии, учитывая, что термин «потребитель» означает любого «резидента». Даже отдельные блоггеры и относительно малые предприятия за пределами Калифорнии могут столкнуться с трудностями в обеспечении того, чтобы они не получали личную информацию более чем 50000 посетителей-жителей Калифорнии на свой веб-сайт ежегодно просто из-за того, что они были пассивно доступны оттуда, а в Калифорнии большинство розничные торговцы, фитнес-студии, музыкальные центры и другие предприятия будут соответствовать этому порогу.

Риски несоблюдения. Генеральный прокурор Калифорнии может наложить финансовые санкции до 2500 долларов за непреднамеренные нарушения и до 7500 долларов за умышленные нарушения. Но эти числа могут быстро умножиться, если замешаны тысячи или миллионы пользователей. В большинстве случаев ответственность не возникает, если нарушение «устраняется» в течение 30 дней с момента получения уведомления. Существует также частное или индивидуальное право на предъявление иска в случае неправомерного раскрытия личной информации в соответствии с CCPA. (Первый групповой иск CCPA [.pdf] был подан в феврале против Ханны Андерссон и Salesforce.)

Согласно недавнему опросу Ethyca, проведенному среди 218 генеральных консультантов технологических компаний, 56% заявили, что они «не готовы к новым правилам конфиденциальности, которые действуют по всему миру», включая CCPA. В течение месяцев, предшествующих крайнему сроку исполнения, 43% респондентов заявили, что они снизили приоритет готовности к конфиденциальности из-за COVID-19. Опрос также показал, что наибольшей проблемой при соблюдении требований является нехватка ресурсов или затрат.

Что делать сейчас. «Для предприятий, которые все еще стремятся к соблюдению нормативных требований, важнейший – и единственный – первый шаг – выяснить, какими личными данными вы владеете и где они хранятся, – говорит Киллиан Киран, генеральный директор Ethyca. «После того, как вы построили карту данных, которая содержит подробные и полные записи о данных, которые вы храните, и о том, где они находятся, вы можете беспокоиться о создании структур для решения различных задач соответствия. Но все начинается с карты ».

Адвокат Тантлефф добавляет: «Документируйте все. К настоящему времени организации должны иметь надежный набор мер безопасности. Однако в соответствии с CCPA организация должна продемонстрировать, что она реализовала разумные меры безопасности, предназначенные для защиты личной информации, в зависимости от характера и конфиденциальности этой информации ».

По словам Лизы Рапп, вице-президента по этике данных в LiveRamp, «Ни одна компания не должна пытаться делать это в одиночку. Лучше всего получать как можно больше информации, читая, что говорят лидеры отрасли, оставаться в курсе материалов, которые публикуют такие группы, как IAPP и IAB, и обращаться к известным юридическим фирмам, которые занимаются с конфиденциальностью данных, чтобы получить юридическую консультацию и толкование закона ».

Джули Рубаш, вице-президент по правовым вопросам в Nativo, рекомендует издателям ознакомиться с рекомендациями генерального прокурора. окончательные правила «Обеспечить, чтобы текущие [privacy] планы соответствуют интерпретации Генерального прокурора ». Она добавляет, что «такие инструменты, как IAB CCPA Framework, являются шагом в правильном направлении для подготовки к расследованию и ограничения перебоев в доходах. Издатели, которые используют инструмент IAB CCPA Compliance Framework и подписывают соглашение с ограниченным поставщиком услуг, вряд ли существенно повлияют на свои бизнес-модели ».

Эбби Матчетт, руководитель службы корпоративной аналитики в Bounteous, говорит: «Поскольку CCPA рассматривает личные данные гораздо шире, чем европейские директивы GDPR, большинство компаний должны провести значительную внутреннюю инвентаризацию любых данных, которые могут быть прямо или косвенно связаны с потребителем. или бытовой. Проведение такой инвентаризации ложится тяжелым бременем на ИТ-организации, юридические отделы и аналитиков данных, которые, возможно, уже занимаются другими внутренними приоритетами. Преодоление этого препятствия – один из первых шагов на пути к соблюдению требований, но зачастую его сложнее всего скоординировать и полностью задокументировать ».

Мэтчетт далее поясняет: «Если вы обеспокоены тем, что у вас может не хватить времени на создание собственного цифрового решения для этой цели, подумайте о том, чтобы обратиться к сторонним компаниям-разработчикам программного обеспечения Cookie Consent Manager, которые специализируются на поддержке решений, совместимых с CCPA и GDPR. Среди распространенных менеджеров согласия – TrustArc, OneTrust и Quantcast ».

А вот и CPRA. Несмотря на то, что многие компании изо всех сил пытаются соблюдать CCPA, новая инициатива по голосованию в ноябре в Калифорнии может ввести еще более жесткие правила конфиденциальности, если она будет принята. По словам Кейтлин Рингроуз из форума «Будущее конфиденциальности»: «Хотя компании, возможно, начали, а в некоторых случаях завершили работу над строгими программами соответствия и усилиями, направленными на CCPA, – Закон о правах конфиденциальности Калифорнии (CPRA), недавно утвержденный для голосования в 2020 году, мог дата вступления в силу уже в 2023 году, налагающая дополнительные обязательства на застрахованные компании. CPRA создаст классификацию конфиденциальных данных, возложит дополнительные обязательства на процессоров и потребует создания Калифорнийского агентства по защите конфиденциальности ».

Почему нам не все равно. Большое количество потребителей имеют выразил озабоченность о том, как их данные обрабатываются в Интернете. Но есть свидетельства того, что компании, ориентированные на конфиденциальность, видят как бренд, так и финансовые ресурсы. преимущества, с точки зрения большего доверия потребителей и еще большего роста доходов.

Глупо откладывать принятие необходимых мер для установления приоритета конфиденциальности и безопасности данных. Как сказал Том О’Реган, генеральный директор Madison Logic, «в конечном итоге соблюдение мер контроля CCPA будет намного дешевле, чем штрафы за несоблюдение».

Четверг Жить с Search Engine Land будет специальное обсуждение CCPA и конфиденциальности с участием Лиза Рэпп, Вице-президент по этике данных, LiveRamp, Эбби Мэтчетт, Ведущий специалист по корпоративной аналитике, Щедрый, Кейтлин Рингроуз, адвокат, Форум о будущем конфиденциальности.

Оно начинается в 13:00 по восточноевропейскому времени и позволит присутствовать на собрании до 100 человек, чтобы вживую принять участие в обсуждении и задать вопросы. Если вы цифровой маркетолог, вы не можете позволить себе это пропустить. Подписаться здесь.


Мнения, выраженные в этой статье, принадлежат приглашенному автору и не обязательно Search Engine Land. Список штатных авторов здесь.