Content Marketing

Prosazování CCPA začíná nyní a většina společností není připravena

Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) vstoupil v platnost 1. ledna 2020 s šestiměsíčním obdobím odkladu pro jeho vynucení. Datum ukončení je nyní zde.

Základy. Pro osvěžení se CCPA výslovně vztahuje na společnosti, které splňují jedno nebo více z následujících zákonných kritérií:  

  • mít hrubé roční příjmy vyšší než 25 milionů dolarů;
  • vlastnit osobní údaje 50,000 XNUMX nebo více spotřebitelů, domácností nebo zařízení; nebo
  • Získejte více než polovinu svých ročních příjmů prodejem osobních údajů spotřebitelů

Řada kategorií podniků je výslovně vyňata z dodržování CCPA, včetně určitých odvětví, na která se vztahují federální předpisy. Většina vydavatelů však bude muset být připravena umožnit americkým spotřebitelům odmítnout přenosy dat třetích stran a prokázat soulad regulačním orgánům v případě vyšetřování nebo stížnosti.

Advokát Aaron Tantleff, partner advokátní kanceláře Foley & Lardner, nabízí střípek naděje, že CCPA nemusí platit pro každého, a zároveň varuje, že právo má jen málo geografických hranic. „Mluvili jsme s mnoha klienty, kteří v panice volali, aby zjistili, že CCPA neplatí. Použitelnost CCPA, stejně jako GDPR, není omezena pouze na organizace se sídlem v Kalifornii. Může se vztahovat na organizace, které postrádají jakoukoli fyzickou přítomnost ve státě.“

Široká aplikace pro podniky po celém světě. Z praktického hlediska se statut bude široce vztahovat na většinu komerčních podniků, ať už se výslovně zaměřují na obyvatele Kalifornie, či nikoli. Například časná analýza legislativy IAPP říká:

Společnosti mohou překonat [osobní údaje 50,000 50,000 spotřebitelů] rychleji, než se očekávalo, protože rozsah osobních údajů je široký. Většina společností provozuje webové stránky a nevyhnutelně získává IP adresy. Zejména společnosti musí dodržovat bez ohledu na to, zda se webová stránka zaměřovala na podniky nebo jednotlivé zákazníky v Kalifornii, protože pojem „spotřebitel“ je definován jako jakýkoli „rezident“. Dokonce i jednotliví blogeři a relativně malé podniky mimo Kalifornii mohou mít potíže se zajištěním toho, že nebudou dostávat osobní údaje o více než XNUMX XNUMX obyvatelích Kalifornie, kteří navštíví jejich webové stránky ročně, jednoduše proto, že jsou odtamtud pasivně přístupné, a v Kalifornii většina maloobchodníci, fitness studia, hudební podniky a další podniky tuto hranici splní.

Rizika nedodržení. Kalifornský generální prokurátor může uložit finanční sankce až do výše 2,500 7,500 USD za neúmyslné porušení a 30 XNUMX USD za úmyslné porušení. Ale tato čísla se mohou rychle znásobit, pokud jsou zapojeny tisíce nebo miliony uživatelů. Ve většině případů neexistuje žádná odpovědnost, pokud je porušení „vyléčeno“ do XNUMX dnů od obdržení upozornění. Existuje také soukromé nebo individuální právo na žalobu, pokud jsou osobní údaje neoprávněně zveřejněny podle zákona CCPA. (První žaloba o skupinové žalobě CCPA [.pdf] byla podána v únoru proti Hanně Andersson a Salesforce.)

Podle nedávného průzkumu Ethyca mezi 218 obecnými právními zástupci technologických společností 56 % uvedlo, že nejsou „připraveni na nová nařízení o ochraně osobních údajů přicházejících po celém světě“, včetně CCPA. Během měsíců, které předcházely lhůtě pro vymáhání, 43 % respondentů uvedlo, že kvůli COVID-19 snížili prioritu připravenosti na ochranu soukromí. Průzkum také zjistil, že nedostatek zdrojů nebo náklady byly největší výzvou při plnění požadavků.

Co teď. „Pro podniky, které se stále snaží klást důraz na dodržování předpisů, je zásadním – a jediným – prvním krokem zjistit, jaké osobní údaje vlastníte a kde se nacházejí,“ říká Cillian Kieran, generální ředitel společnosti Ethyca. „Poté, co vytvoříte datovou mapu, která obsahuje důkladný a úplný záznam dat, která držíte, a místa, kde se nacházejí, se můžete starat o zavedení struktur pro řešení různých úkolů v oblasti dodržování předpisů. Ale všechno začíná mapou."

Advokát Tantleff dodává: „Všechno zdokumentujte. Organizace by nyní měly mít zavedenou robustní sadu bezpečnostních opatření. Podle zákona CCPA však organizace musí prokázat, že zavedla přiměřená bezpečnostní opatření určená k ochraně osobních údajů na základě povahy a citlivosti těchto informací.“

Podle Lisy Rappové, viceprezidentky pro etiku dat ve společnosti LiveRamp: „Žádná společnost by se o to neměla pokoušet sama. Nejlepší, co uděláte, je získat co nejvíce informací tím, že si přečtete, co říkají přední průmysloví lídři, budete mít aktuální informace o materiálech, které skupiny jako IAPP a IAB vydávají, a oslovíte přední právnické firmy, které se zabývají s ochranou osobních údajů, aby získali jejich právní poradenství a výklady zákona.“

Julie Rubash, viceprezidentka pro právní oddělení společnosti Nativo, doporučuje vydavatelům, aby si přečetli konečná nařízení generálního prokurátora, „aby zajistili, že současné plány [ochrany soukromí] jsou v souladu s výkladem generálního prokurátora. Dodává, že „Nástroje, jako je rámec IAB CCPA, jsou krokem správným směrem k přípravě na dotaz a omezení narušení příjmů. Vydavatelé, kteří využívají nástroj IAB CCPA Compliance Framework a podepíší omezenou smlouvu o poskytovateli služeb, pravděpodobně nezaznamenají významný dopad na jejich obchodní modely.“

Abby Matchett, Enterprise Analytics Lead ve společnosti Bounteous, říká: „Protože CCPA má mnohem širší pohled na osobní údaje než evropské směrnice GDPR, musí většina společností provést významnou interní inventarizaci jakýchkoli dat, která mohou být přímo či nepřímo spojena se spotřebitelem. nebo domácnost. Provádění takové inventury představuje velkou zátěž pro IT organizace, právní oddělení a datové analytiky, kteří se již mohou věnovat jiným interním prioritám. Překonání této překážky je jedním z prvních kroků k dodržování předpisů, ale často je nejnáročnější koordinovat a plně dokumentovat.“

Matchett dále vysvětluje: „Pokud se obáváte, že možná nebudete mít čas na vybudování domácího digitálního řešení pro tento účel, zvažte oslovení softwarových společností pro správu souhlasu se soubory cookie třetích stran, které se specializují na údržbu řešení připravených na CCPA a GDPR. Mezi některé běžné správce souhlasu patří mimo jiné TrustArc, OneTrust a Quantcast.“

Zde přichází CPRA. I když se mnoho společností snaží vyhovět CCPA, nová listopadová kalifornská volební iniciativa by mohla zavést ještě přísnější pravidla ochrany soukromí, pokud bude schválena. Podle Katelyn Ringrose z Future of Privacy Forum: „Zatímco společnosti možná začaly a v některých případech dokončily přísné programy dodržování CCPA – Kalifornský zákon o ochraně osobních údajů (CPRA), nedávno certifikovaný pro hlasování v roce 2020, mohl datum uzákonění již v roce 2023, což uvaluje na zahrnuté subjekty další povinnosti. CPRA by vytvořila klasifikaci citlivých údajů, uložila zpracovatelům další povinnosti a vyžadovala by zřízení kalifornské agentury pro ochranu soukromí.

Proč nám záleží. Velké množství spotřebitelů vyjádřilo obavy ohledně toho, jak je s jejich údaji nakládáno online. Existují však důkazy o tom, že společnosti využívající „privacy forward“ vidí výhody pro značku i finanční výhody ve smyslu větší důvěry spotřebitelů a ještě silnějšího růstu příjmů.

Je pošetilé odkládat nezbytné kroky k upřednostnění soukromí a zabezpečení dat. Jak řekl Tom O'Regan, generální ředitel společnosti Madison Logic, „v konečném důsledku bude dodržování kontrol CCPA mnohem levnější než sankce za nedodržení.“

Čtvrteční Live with Search Engine Land bude speciální diskusí o CCPA a ochraně osobních údajů Lisa Rapp, viceprezident pro etiku dat, LiveRamp, Abby Matchettová, vedoucí podnikové analýzy, Bounteous, Katelyn Ringrose, advokát, Budoucnost fóra o ochraně osobních údajů.

Začíná ve 1:00 EDT a umožní až 100 lidem účastnit se schůzky živě zažít diskusi a klást otázky. Pokud jste digitální marketér, nemůžete si to nechat ujít. Zaregistrujte se zde.

Související články

0 Komentáře
Vložené zpětné vazby
Zobrazit všechny komentáře
Tlačítko Nahoru