Калифорнийский закон о защите прав потребителей — широко считается самым жестким в США законом, регулирующим сбор, хранение и использование личной информации — вступил в силу 1 января. Однако, готовясь к CCPA, многие компании заняли выжидательную позицию. Это может быть серьезной ошибкой.
Новый закон во многих отношениях аналогичен Общему регламенту Европейского союза о защите данных, который вступил в силу прошлой весной. Как и GDPR, ожидается, что CCPA окажет глубокое влияние на то, как предприятия собирают и защищают личную информацию от потребителей (PII), с последствиями, которые, вероятно, распространятся далеко за пределы Золотого штата.
Хотя GDPR предоставил предприятиям относительно длинную взлетно-посадочную полосу — более 24 месяцев от усыновления до наложения штрафов, CCPA использует более агрессивные временные рамки.
Существуют две основные причины сокращения сроков. Во-первых, как первоначально было разработано и принято в прошлом году, CCPA включил в свою формулировку несколько двусмысленностей. Кроме того, законодательный орган Калифорнии добавил шесть поправок до завершения своей сессии 13 сентября.
Эти неопределенности и поздние изменения означали, что у предприятий не было четкого набора руководящих принципов подготовки в течение очень долгого времени, прежде чем закон вступил в силу 1 января.
Исполнение наказаний начнется 1 июля, и компании, которые задерживают процесс соответствия CCPA, могут столкнуться с серьезными проблемами прямо у ворот.
Содержание статьи
Что такое CCPA?
Акт создает новые права для жителей Калифорнии в отношении доступа, удаления и совместного использования их PII. Ключевые аспекты CCPA:
- Предприятия должны раскрывать свои методы сбора данных и обмена ими с потребителями.
- Потребители имеют право видеть все PII, которые компания собрала на них.
- Потребители имеют право требовать от компаний удаления их данных.
- Потребители имеют право отказаться от продажи или обмена своей личной информацией.
- Предприятиям запрещено продавать PII потребителям в возрасте до 16 лет без явного согласия.
- Потребители имеют право подать в суд на компанию в случае нарушения правил конфиденциальности CCPA, даже если нет нарушения данных.
Почему беспокойство? CCPA использует очень широкую сеть, что означает, что она повлияет на большое количество предприятий как в США, так и за рубежом. CCPA устанавливает широкие определения следующего:
- Какие данные охватываются: CCPA распространяется на любой элемент данных, который может идентифицировать человека, включая имя, адрес, номер телефона, электронная почта, профили в социальных сетях и URL-адреса.
- Кто покрыт: CCPA защищает не только потребителей, которые проживают в Калифорнии, но также потенциальных клиентов, сотрудников, служащих, которые также являются клиентами, и даже продавцов и поставщиков.
- Какие предприятия должны соответствовать: CCPA применяется к любой компании, которая ведет бизнес с любым лицом, защищенным CCPA. На практике это означает, что законодательство повлияет на компании далеко за пределами Калифорнии и даже США.
CCPA также устанавливает штрафы за несоблюдение. У компаний есть только 30 дней, чтобы исправить предполагаемое нарушение. Любая компания, которая не сделает этого, сталкивается с 2500 долларов США за непреднамеренное нарушение и 7500 долларов США за предполагаемое нарушение. Хотя эти штрафы далеко не такие жесткие, как штрафы GDPR, наложенные ЕС, они, тем не менее, значительны.
Что может быть хуже, это потенциальные социальные последствия от несоблюдения. В наши дни и в эпоху мгновенного общения с общественностью даже предполагаемая небрежность в отношении конфиденциальности данных потребителей может быстро создать кошмарный сценарий для PR и маркетинговых команд.
Представьте себе последствия, если клиент должен будет опубликовать обновление в Facebook, говоря: «Я позвонил в компанию XYZ, попросил предоставить мне мои данные, и они мне не помогли». Последователи и поклонники этого клиента в социальных сетях могут не только делиться и комментировать этот пост, но и сами могут принимать меры. Требуется только один иск, чтобы нанести длительный ущерб репутации бренда.
Рекомендации по соблюдению CCPA
Хорошая новость заключается в том, что еще не слишком поздно начать разработку стратегии соответствия CCPA.
Ниже приведены некоторые рекомендации, которые следует рассмотреть.
1. Иметь план
Лучший способ опередить это новое законодательство — создать план. Лидеры в принятии уже имеют это на своем пути и в настоящее время работают против дорожной карты, охватывающей людей, процессы и технологические изменения, необходимые для обеспечения соответствия.
Несмотря на то, что дата исполнения — только июль, компаниям действительно нужно иметь готовый ответ, если телефон должен звонить между тем или иным временем. Они должны знать, что сказать, когда клиенты обращаются с вопросами о конфиденциальности своих данных.
Они должны быть готовы раскрыть все методы сбора, защиты и обмена данными. Кроме того, у них должен быть процесс управления согласием и выполнения запросов на удаление данных или отказ от обмена данными.
2. Оценка риска по всем каналам
Компании должны быть готовы управлять запросами CCPA, которые поступают через любой канал, онлайн и офлайн.
Центр обработки вызовов, очевидно, находится в центре внимания, но запросы также могут поступать через социальные сети, электронную почту, чат и мобильные приложения. Каждый канал связи подвергается воздействию.
3. Проверка готовности
Помните, что данные клиентов часто связаны с другими данными, как внутренними, так и внешними. Удаление данных клиентов в одной области бизнеса может повлиять на операции в других областях, таких как финансы и маркетинг.
Проводить сквозное регрессионное тестирование и валидацию для имитации всех запросов данных клиентов — но особенно запросов на удаление данных. Это тестирование эксплуатационной готовности поможет выявить любые внутренние и внешние последствия, которые в противном случае могли бы быть упущены.
4. Использование стороннего инструмента
Учитывая, что компании обычно хранят данные о клиентах в разных системах, соответствие CCPA может быть сложным непрерывным процессом. Существует несколько инструментов, помогающих компаниям управлять процессом соответствия CCPA.
Эти инструменты обычно предназначены для двух ключевых компонентов соответствия:
- Управление рабочими процессами и бизнес-процессами: Эти инструменты помогают компаниям выставлять входящие запросы и управлять рабочими процессами, связанными с внутренними утверждениями, уведомления клиентов, сообщения клиентов и упаковка результатов запросов CCPA.
- Обнаружение данных и управление данными: Эти инструменты помогают компаниям сканировать свои системы, определять, где хранятся личные данные, и внедрять элементы управления для обеспечения надлежащей защиты данных (которые могут включать в себя доступ, шифрование и мониторинг ).
CCPA Ripples
Весьма вероятно, что CCPA станет эталоном, который другие штаты будут использовать при разработке своих собственных законов о конфиденциальности данных. Он может даже стать шаблоном для будущего федерального закона США о конфиденциальности.
Потенциальное воздействие невозможно переоценить. Даже если у компании нет клиентов в Калифорнии, это законодательство, вероятно, повлияет на то, как в конечном итоге каждый бизнес будет собирать, хранить и делиться личными данными, а значит, пришло время задуматься о соответствии. 
