Content Marketing

A CCPA végrehajtása most kezdődik, és a legtöbb vállalat még nem áll készen

A California Consumer Privacy Act (CCPA) 1. január 2020-jén lépett hatályba, hat hónapos türelmi idővel. Ez a befejezési dátum most itt van.

Az alapok. Frissítésként a CCPA kifejezetten vonatkozik azokra a vállalatokra, amelyek megfelelnek az alábbi törvényi feltételek közül egy vagy többnek:  

  • A bruttó éves bevétel meghaladja a 25 millió dollárt;
  • 50,000 XNUMX vagy több fogyasztó, háztartás vagy eszköz személyes adataival rendelkezni; vagy
  • Éves bevételük több mint felét a fogyasztók személyes adatainak értékesítéséből szerezhetik meg

A vállalkozások számos kategóriája kifejezetten mentesül a CCPA-megfelelés alól, beleértve a szövetségi szabályozás hatálya alá tartozó egyes iparágakat. A legtöbb kiadónak azonban készen kell állnia arra, hogy lehetővé tegye az egyesült államokbeli fogyasztók számára, hogy leiratkozhassanak a harmadik felek adattovábbításairól, és vizsgálat vagy panasz esetén bizonyítsák betartásukat a szabályozó hatóságok felé.

Aaron Tantleff ügyvéd, a Foley & Lardner ügyvédi iroda partnere, egy szál reményt ad, hogy a CCPA nem biztos, hogy mindenkire vonatkozik, ugyanakkor figyelmeztet arra, hogy a törvénynek kevés földrajzi határa van. „Sok olyan ügyféllel beszéltünk, akik pánikszerűen telefonáltak, hogy felfedezzék, hogy a CCPA nem érvényes. A CCPA alkalmazhatósága a GDPR-hoz hasonlóan nem korlátozódik csak a kaliforniai székhelyű szervezetekre. Azokra a szervezetekre vonatkozhat, amelyeknek nincs fizikai jelenléte az államban.”

Széles körű alkalmazás a vállalkozások számára világszerte. Gyakorlatilag a törvény széles körben vonatkozik a legtöbb kereskedelmi vállalkozásra, függetlenül attól, hogy azok kifejezetten a kaliforniai lakosokat célozzák-e vagy sem. Például az IAPP korai elemzése a jogszabályokról a következőket mondja:

A vállalatok a vártnál gyorsabban léphetik át [50,000 50,000 fogyasztó személyes információi] küszöböt, mivel a személyes adatok köre széles. A legtöbb vállalat webhelyeket üzemeltet, és elkerülhetetlenül rögzíti az IP-címeket. Nevezetesen, a vállalatoknak meg kell felelniük attól függetlenül, hogy a webhely vállalkozásokat vagy egyéni ügyfeleket célzott-e meg Kaliforniában, mivel a „fogyasztó” kifejezés bármely „lakost” jelent. Még az egyéni bloggerek és a Kalifornián kívüli viszonylag kisvállalkozások is nehezen tudják biztosítani, hogy ne kapjanak meg évente több mint XNUMX XNUMX kaliforniai lakos látogatójának személyes adatait webhelyükre, pusztán attól, hogy ezek onnan passzívan hozzáférhetők, és Kalifornián belül a legtöbb a kiskereskedők, fitneszstúdiók, zenei helyszínek és más vállalkozások elérik ezt a küszöböt.

A meg nem felelés kockázata. A kaliforniai főügyész 2,500 dollárig terjedő pénzbírságot szabhat ki nem szándékos jogsértések esetén és 7,500 dollárig terjedő pénzbírságot a szándékos jogsértések esetén. De ezek a számok gyorsan megsokszorozódhatnak, ha több ezer vagy millió felhasználó érintett. A legtöbb esetben nem vállalunk felelősséget, ha a jogsértést az értesítés kézhezvételétől számított 30 napon belül „gyógyítják”. A CCPA értelmében személyes vagy egyéni intézkedési jog is fennáll, ha a személyes adatokat jogtalanul hozzák nyilvánosságra. (Az első CCPA-csoportos kereset [.pdf] februárban indult Hanna Andersson és a Salesforce ellen.)

Az Ethyca legutóbbi felmérése szerint 218 technológiai vállalat általános jogtanácsosa körében, 56%-uk azt mondta, hogy „nem voltak felkészülve a világ minden táján megjelenő új adatvédelmi szabályozásra”, amely magában foglalja a CCPA-t is. A végrehajtási határidő előtti hónapokban a válaszadók 43%-a nyilatkozott úgy, hogy a COVID-19 miatt előnyben részesítette az adatvédelmi felkészültséget. A felmérés azt is megállapította, hogy az erőforrások vagy a költségek hiánya jelentette a legnagyobb kihívást a megfelelés során.

Mi a teendő most. „Azoknak a vállalkozásoknak, amelyek továbbra is igyekeznek elérni a megfelelőséget, a lényeges – és egyetlen – első lépés az, hogy kitaláljuk, milyen személyes adatok vannak birtokukban, és hol találhatók” – mondja Cillian Kieran, az Ethyca vezérigazgatója. „Miután felépített egy adattérképet, amely alapos és teljes nyilvántartást tartalmaz az Ön által tárolt adatokról és azok helyéről, aggódhat a különféle megfelelőségi feladatok megoldásához szükséges struktúrák elhelyezése miatt. De minden a térképpel kezdődik.”

Tantleff ügyvéd hozzáteszi: „Dokumentáljon mindent. Mostanra a szervezeteknek robusztus biztonsági intézkedésekkel kell rendelkezniük. A CCPA értelmében azonban a szervezetnek igazolnia kell, hogy ésszerű biztonsági intézkedéseket hajtott végre a személyes adatok védelmére az információk természete és érzékenysége alapján.”

Lisa Rapp, a LiveRamp adatetikai részlegének alelnöke szerint „Egyetlen vállalat sem próbálhatja meg ezt egyedül. A legjobb, ha a lehető legtöbb információhoz jutunk, ha elolvassuk, mit mondanak az iparág vezetői, naprakész maradunk az olyan csoportok által kiadott anyagokról, mint az IAPP és az IAB, és felkeressük azokat a prominens ügyvédi irodákat, amelyek foglalkoznak. adatvédelemmel, hogy jogi tanácsot és jogértelmezést kapjanak.”

Julie Rubash, a Nativo jogi részlegének alelnöke azt javasolja a kiadóknak, hogy olvassák el a Legfőbb Ügyész végső szabályzatát, „annak biztosítása érdekében, hogy a jelenlegi [adatvédelmi] tervek összhangban legyenek a főügyész értelmezésével”. Hozzáteszi, hogy „Az olyan eszközök, mint az IAB CCPA-keretrendszer, egy lépést jelentenek a helyes irányba a vizsgálatra való felkészülés és a bevételkiesések korlátozása érdekében. Azok a kiadók, amelyek kihasználják az IAB CCPA megfelelőségi keretrendszerét, és aláírják a korlátozott szolgáltatói megállapodást, valószínűleg nem fognak jelentős hatást gyakorolni üzleti modelljeikre.”

Abby Matchett, a Bounteous vállalati elemzési vezetője a következőket mondja: „Mivel a CCPA sokkal szélesebb körben tekinti a személyes adatokat, mint az európai GDPR-irányelvek, a legtöbb vállalatnak jelentős belső leltárt kell végeznie minden olyan adatról, amely közvetlenül vagy közvetve kapcsolatba hozható a fogyasztóval. vagy háztartás. Egy ilyen leltár lebonyolítása nagy terhet ró az IT-szervezetekre, a jogi osztályokra és az adatelemzőkre, akik esetleg már más belső prioritásokkal foglalkoznak. Ennek az akadálynak a leküzdése az egyik első lépés a megfelelés felé, de gyakran a legnagyobb kihívást koordinálni és teljes körűen dokumentálni.”

Matchett tovább magyarázza: „Ha aggódik amiatt, hogy esetleg nincs ideje saját gyártású digitális megoldást készíteni erre a célra, vegye fel a kapcsolatot a Cookie Consent Manager harmadik féltől származó szoftvercégeivel, amelyek a CCPA- és GDPR-kompatibilis megoldások karbantartására szakosodtak. Néhány gyakori hozzájárulás-kezelő többek között a TrustArc, a OneTrust és a Quantcast.

Itt jön a CPRA. Bár sok vállalat küzd a CCPA betartásával, egy új, novemberi kaliforniai szavazási kezdeményezés még szigorúbb adatvédelmi szabályokat írhat elő, ha elfogadják. A Future of Privacy Forum tagja, Katelyn Ringrose szerint „Bár a vállalatok elkezdték, és bizonyos esetekben véglegesítették is a CCPA-val kapcsolatos szigorú megfelelési programokat és erőfeszítéseket, a California Privacy Rights Act (CPRA), amelyet nemrégiben hitelesítettek a 2020-as szavazásra, meglehet, hogy a hatályba lépés dátuma már 2023, ami további kötelezettségeket ró a lefedett jogalanyokra. A CPRA érzékeny adatok besorolását hozna létre, további kötelezettségeket róna az adatfeldolgozókra, és megkövetelné a Kaliforniai Adatvédelmi Ügynökség létrehozását.”

Miért érdekel? Sok fogyasztó fejezte ki aggodalmát az adatok online kezelésével kapcsolatban. De bizonyítékok vannak arra, hogy a „privacy forward” vállalatok márka- és pénzügyi előnyöket is látnak, a nagyobb fogyasztói bizalom és még erősebb bevételnövekedés formájában.

Ostobaság halogatni a szükséges lépések megtételét az adatvédelem és az adatbiztonság előtérbe helyezéséhez. Ahogy Tom O'Regan, a Madison Logic vezérigazgatója fogalmazott: „Végső soron a CCPA-szabályozásnak való megfelelés sokkal olcsóbb lesz, mint a meg nem felelésből származó szankciók.”

A csütörtöki Live with Search Engine Land egy különleges CCPA- és adatvédelmi vita lesz Lisa Rapp, adatetikai alelnök, LiveRamp, Abby Matchett, Vállalati elemzés vezető, Bounteous, Katelyn Ringrose, ügyvéd, Az Adatvédelmi Fórum jövője.

EDT 1:00-kor kezdődik, és akár 100 ember is részt vesz a találkozón, hogy élőben megtapasztalhassa a vitát és kérdéseket tegyen fel. Ha Ön digitális marketingszakember, nem engedheti meg magának, hogy ezt kihagyja. Regisztrálj itt.

Kapcsolódó cikkek

0 Hozzászólások
Inline visszajelzések
Az összes hozzászólás megtekintése
Vissza a lap tetejére gombra