CCPA, Каліфорнійський закон про конфіденційність споживачів, набуває юридичної сили з 1 липня минулого року. Це перший важливий закон про конфіденційність у США, який стосується контролю споживачів над особистими даними. І, незважаючи на те, що не минуло навіть року з моменту початку офіційного юридичного застосування CCPA, жителі Каліфорнії вже проголосували за наступний закон, який називається Каліфорнійським Законом про права на конфіденційність (CPRA).
Отже, чому ці зміни CPPA є значущими, і чим CPRA відрізняється від CCPA? Що ще важливіше, як зміни до CPPA вплинуть на забезпечення конфіденційності даних? На цій сторінці ми обговоримо всі нові поправки, щоб визначити, як CPRA змінить CPPA.
Що таке новий Каліфорнійський закон про конфіденційність (CPRA)?
У листопаді 2020 року новий Каліфорнійський закон про права на конфіденційність було схвалено виборцями від 56% до 44%. Хоча існуюче законодавство CCPA мало допомогти державі прийняти суворіший закон про конфіденційність, новий закон передбачає більш суворе законодавство, ближче до одного з GDPR, ніж існуючий CPPA.
Основна мета нових правил згідно з CPRA – посилити вимоги до конфіденційності та зменшити загальний ризик в інших пунктах, зазначених у попередньому законі. Нове законодавство набуде чинності з 1 січня 2023 року, а його виконання розпочнеться через півроку після цього. Це означає, що з цього моменту у бізнесу є два роки, щоб підготуватися до нового закону.
CPRA vs CPPA. В чому різниця?
У суспільстві поширена помилкова думка, що CPRA – це зовсім інший закон, що не так. Основна відмінність старої версії від нової полягає в посиленні захисту споживачів і більш точних питаннях відповідності CPRA для бізнесу. З огляду на це, новий закон є розширенням чинного. Для дотримання CPRA компанії матимуть більше обов’язків, ніж вони мали згідно з CPPA.
На CPRA часто розглядають як на CCPA 2.0. Однак, якщо ви мали можливість ознайомитися з правилами та інструкціями, ви також помітите, що це законодавство дуже схоже із Загальним регламентом захисту даних (GDPR). Він містить подібні елементи, які ви можете знайти в інструкціях щодо відповідності GDPR, хоча вимоги та визначення CPRA є дещо ширшими.
Осторонь відмінностей, найважливіша подібність між ними, на яку кожен повинен звернути увагу, полягає в тому, що відповідність не обмежується лише штатом Каліфорнія. Воно поширюється на весь світ і охоплює кожного жителя Каліфорнії, незалежно від їх точного місцезнаходження в той час. Якщо ваш веб-сайт не блокує доступ до нього жителям Каліфорнії, він має відповідати вимогам.
Застосування та штрафи CPRA
Новою суттєвою зміною є запровадження Каліфорнійського агентства із захисту конфіденційності, незалежної наглядової організації, заснованої CPRA. Основна місія CalPPA полягає в тому, щоб підприємства та споживачі були добре поінформовані про їхні права та обов’язки, визначені положеннями CPRA.
CalPPA замінить Генеральну прокуратуру як головний регуляторний орган, що контролює виконання правил CPRA. Що стосується покарань, то за порушення щодо неповнолітніх віком до 16 років вони будуть збільшені втричі (штраф збільшено до 7500 доларів). Крім того, приватні права споживачів будуть розширені, щоб охопити порушення адреси електронної пошти, які сталися в поєднанні з паролем та таємним запитанням і відповіддю, що надають доступ до облікового запису.
Хоча для середнього власника бізнесу все це може здатися надважливим, компанії, які вже підготувалися до попереднього закону, відчують мінімальний вплив нових правил та рекомендацій щодо конфіденційності CPRA
Компаніям, які вже відповідають попереднім вимогам, особливо GDPR, не доведеться вносити суттєві зміни. На протилежному боці спектра компанії, які ще не внесли жодних змін, попереду буде важкий шлях.
Найбільш значні зміни підприємствам доведеться зробити навколо мінімізації особистої інформації. Відповідно до CRPA, компанії також повинні відповідати більш жорстким вимогам щодо обміну даними. Вони повинні запропонувати своїм клієнтам у Каліфорнії можливість відмовитися від можливості продажу їхньої особистої інформації третім особам. Звичайно, ця сувора політика щодо даних також призведе до додаткових витрат на збір даних для бізнесу.
Поради щодо забезпечення відповідності вимогам CPRA
Коли вперше з’явилися новини про зміни CCPA, багато компаній були стурбовані значними змінами в початкових вимогах відповідності CCPA. І хоча нове законодавство приносить великі та значні зміни, ці зміни не обов’язково погані.
Компанії, які раніше вжили необхідних заходів щодо відповідності вимогам CCPA, також мають чудове положення для виконання вимог CPRA. Ось кілька порад, які допоможуть вам забезпечити відповідність CPRA:
- Визначте всі конфіденційні персональні дані - нові правила CPRA вводять новий термін «конфіденційна особиста інформація». Це дуже широкий термін, який охоплює майже всі ваші персональні дані, які можна ідентифікувати, включаючи генетичні та біометричні дані.
- Запровадити жорсткішу політику видалення. Поправка вимагає від усіх компаній видаляти особисту інформацію своїх користувачів після того, як вона виконає свою мету. Окрім забезпечення відповідності вимогам CPRA, регулярно видаляючи дані, ви також захищаєте свій бізнес, оскільки чим менше даних у вас є, тим менше ви можете втратити, якщо станеться порушення безпеки.
- Переглянути угоди третіх сторін – нове законодавство також робить велике значення зобов’язань щодо конфіденційності даних перед підрядниками, постачальниками послуг та іншими третіми сторонами. Найважливіші з них вимагають, щоб усі продажі, обмін та розкриття особистої інформації відбувалися відповідно до контракту.
- Визначте, чи є нові винятки – Окрім наведених вище порад щодо відповідності CPRA, слід пам’ятати ще про одну річ. Новий закон додає часткові винятки, які не були включені в попередній. Вони включають певні винятки щодо даних про домогосподарство, записів про освіту та тестування та інших конкретних персональних даних.
- Запровадити MFA для входу – правила CPRA особливо виділяють облікові дані для входу. Щоб відповідати цій новій зміні, найкращим способом зробити це було б запровадити багатофакторну автентифікацію, щоб переконатися, що облікові дані для входу не надають автоматично доступ до облікового запису та особистих даних користувача.
Готуйтеся до CPRA з Hideez
Незважаючи на занепокоєння, що CPRA може бути надто надійним і складним для дотримання, він надає надійний механізм, який може контролювати бізнес і захищати конфіденційну інформацію користувачів. Це бажане регулювання, яке, безсумнівно, допоможе покращити глобальну кіберстійкість у майбутньому, і Hideez може допомогти вам із дотриманням вимог CPRA.
Наші експерти з кібербезпеки розробили комплексне рішення для аутентифікації для підприємств , яке може забезпечити набагато більш надійну безпеку інформації, а також дотримання внутрішньої та зовнішньої політики для підприємств у всіх галузях.
Токени безпеки
Hideez Key 3 і Hideez Key 4 можуть спростити процес двофакторної верифікації та забезпечити безпарольовий вхід для співробітників. Натиснувши одну кнопку, вони можуть вводити одноразовий вхід паролі автоматично без необхідності виймати телефони, запускати програми, знаходити їхні облікові записи та нескінченно вводити паролі. Крім того, один ключ Hideez може зберігати до 1000 паролів, блокувати/розблоковувати комп’ютери за допомогою датчика наближення та відкривати офісні або інші двері з підтримкою RFID, що виходить далеко за межі володіння 2-м фактором, забезпечуючи цифровий ключ все-в-одному для співробітників. .
Щоб дізнатися більше про наші бізнес-рішення, зв’яжіться з нами або заплануйте безкоштовну демонстрацію.