Калифорнийские регулирующие органы делают большой шаг вперед, устанавливая строгие правила защиты конфиденциальности | Фишер Филипс

Следующий шаг в разработке долгожданных правил конфиденциальности для калифорнийских предприятий, подпадающих под действие Закона Калифорнии о конфиденциальности потребителей (CCPA) 2018 года и Закона о правах на конфиденциальность Калифорнии от 2020 года (CPRA), был сделан в конце прошлой недели, и компаниям необходимо начать подготовку, потому что Калифорнийский закон о конфиденциальности Агентство защиты Она ясно дала понять, что хочет, чтобы правила дали закону настоящие зубы. Некоторые из ключевых элементов, рассмотренных в предложенных правилах, опубликованных 27 мая, включают руководство по новым правам, созданным CPRA, ограничения на то, как компании могут использовать интерфейсы и контент веб-сайтов, чтобы убедить потребителей не пользоваться правами CCPA/CPRA, а также информацию об обработке сигналы отказа веб-сайтов.

Что это Нет В предлагаемых правилах нет ограничений прав CCPA / CPRA для сотрудников, кандидатов на работу или независимых подрядчиков, а также не продлевается действующее частичное освобождение для этих лиц. Поэтому предприятиям следует подготовиться к полному соблюдению всех обязательств CCPA и CPRA для сотрудников, кандидатов на работу и независимых подрядчиков 1 января 2023 года. Что вам нужно знать об этом последнем шаге и как вы можете подготовиться к этой быстро приближающейся дате?

Калифорнийское агентство по защите конфиденциальности будет иметь широкие следственные полномочия

Если предлагаемые правила будут приняты в их нынешнем виде, у агентства будет большая база, на основании которой оно может принять решение о начале расследования. Агентство не только сможет начать расследование на основе информации, полученной под присягой от широкой общественности, но также будет иметь право инициировать расследование на основании направлений других государственных учреждений, частных организаций и даже неофициальных или анонимных жалоб.

Кроме того, агентство будет иметь право проверять предприятия на предмет соблюдения Закона о защите прав потребителей/Закона о защите прав потребителей. В настоящее время предлагаемые нормативные акты предусматривают три сценария, при которых может быть проведена проверка:

  • Чтобы расследовать потенциальные нарушения Закона о защите конфиденциальности детей / Закона о защите детей,
  • Если обработка личной информации Компанией представляет значительный риск для конфиденциальности или безопасности потребителя, или
  • Если Компания имеет историю несоблюдения CCPA / CPRA или любого другого закона о защите конфиденциальности.

Это дает некоторые корпоративные выводы. Во-первых, неясно, что представляет собой «существенный риск для конфиденциальности или безопасности потребителей», но кажется вероятным, что личная информация, считающаяся «конфиденциальной личной информацией», может попасть в эту группу. Конфиденциальная личная информация включает в себя такие вещи, как номера социального страхования, номера водительских прав, точное географическое положение, определенную финансовую информацию, расовое или этническое происхождение и членство в профсоюзе. По этой причине компании должны тщательно проверять, какая конфиденциальная личная информация у них есть, нужна ли она им (работодатели собирают по крайней мере некоторую конфиденциальную личную информацию о сотрудниках), и убедиться, что их политика и практика конфиденциальности обеспечивают адекватную безопасность для нее.

Во-вторых, компании должны быть заинтересованы не только в обеспечении соблюдения Закона о защите конфиденциальности потребителей (CCPA/CPRA), но и в определении того, существуют ли какие-либо другие законы о защите конфиденциальности в Калифорнии или где-либо еще, под действие которых они соблюдайте и их. В настоящее время в пяти штатах плюс Калифорния действуют всеобъемлющие законы о защите данных, которые вступят в силу в ближайшем будущем. Это в дополнение к другим законам о защите прав потребителей, которые более ориентированы на федеральный уровень, в Калифорнии и других штатах — несоблюдение их может сделать компанию объектом пристального внимания в Калифорнии.

Другие существенные изменения в предлагаемых правилах

Предлагаемый проект правил состоит из 66 страниц. Хотя некоторая информация в нем подтверждает более ранние правила, реорганизует более ранние правила или опускает формулировки из более ранних правил, многое здесь требует комплексного рассмотрения. Тем не менее, вот некоторые из основных моментов, на которые компаниям необходимо обратить внимание:

  1. Вашему бизнесу необходимо будет пересмотреть язык и функциональность информационных знаков, подать заявки CCPA/CPRA и получить одобрение потребителей. Предлагаемые правила содержат подробные описания того, что представляют собой «темные шаблоны» — пользовательские интерфейсы, предназначенные для манипулирования или искажения выбора потребителей. Наличие на веб-сайте вариантов «да» и «спросить меня позже» (вместо «да» и «нет»), по умолчанию выбран вариант, который считается менее защищающим конфиденциальность и манипулятивным языком (например, потребитель переходит по причинам, по которым он выбирает из продажи личной информации плохой выбор) все темные шаблоны в соответствии с предлагаемыми правилами. Модные слова для того, чтобы избежать темных шаблонов, — это «баланс» и «последовательность выбора» — варианты, которые менее защищают права на неприкосновенность частной жизни, не могут продвигаться по сравнению с более надежными вариантами защиты.
  2. Вам нужно будет включить обновленные требования в свои уведомления и политику конфиденциальности. В дополнение к некоторым техническим изменениям в этих документах, требуемым новыми правилами, вам необходимо будет включить новые права, такие как право на ограничение использования конфиденциальной личной информации и право на исправление неточной информации. Кроме того, вам необходимо будет ознакомиться с требованиями о том, как действовать в соответствии с правами на ограничение использования конфиденциальной личной информации и как исправить недостоверную личную информацию.
  3. Правила устанавливают правила для сигналов отказа для онлайн-потребителей, чтобы они отказались от продажи или обмена своей личной информацией. Вам нужно будет ознакомиться с требованиями, в том числе о том, как уведомить потребителей о соблюдении сигнала отказа и как согласовать ситуации, когда сигнал отказа конфликтует с другими предпочтениями, которыми потребитель поделился с компанией. Вам следует запланировать раннее начало работы с вашими ИТ-поставщиками, чтобы убедиться, что у вас есть эта кнопка до 2023 года.

Как делают колбасу?

Этот раздел предназначен для тех, кто интересуется процедурными предпосылками того, как появились эти предлагаемые правила и что будет дальше. CPRA поручил принять окончательные правила к 1 июля 2022 года. Хотя представляется вероятным, что Правление проголосует за предоставление Уведомления о предлагаемом нормотворчестве на следующем заседании Правления Агентства 8 июня, принять окончательные положения к 1 июля. Более реалистично, что самая ранняя дата появления окончательных правил — август.

Вот очень простой график того, что мы должны увидеть:

  • Правление должно будет проголосовать, чтобы опубликовать уведомление о предлагаемом нормотворчестве для общественности.
  • Далее следует минимальный 45-дневный период общественного обсуждения, хотя Совет директоров может выбрать более длительный период общественного обсуждения. Кроме того, будут проведены общественные слушания по комментариям.
  • На основании замечаний в предлагаемые правила могут быть внесены изменения. Если изменения значительны, должен быть установлен новый период общественного обсуждения продолжительностью 45 дней. Если изменения существенны и в достаточной степени соответствуют предыдущему проекту правил, существует период приостановки не менее 15 дней. Если изменений нет или изменения не являются существенными и не имеют достаточного отношения к первоначальным правилам, период комментариев не предоставляется. (Последнее крайне маловероятно.)
  • Если внесено несколько наборов изменений, каждый набор подлежит 45-дневному, 15-дневному периоду или периоду без публичного обсуждения, как описано выше. (Первоначальные правила генерального прокурора Калифорнии предусматривали один период общественного обсуждения продолжительностью 45 дней и два периода общественного обсуждения продолжительностью 15 дней, поскольку было внесено два набора поправок.)
  • Как только правила будут приняты, сотрудники агентства подготовят окончательный пакет, включая окончательное изложение причин и ответы на все комментарии общественности. Затем Совет согласится подать окончательный пакет в Управление административного права (OAL). После утверждения OAL правила будут представлены государственному секретарю с опубликованной датой вступления в силу.

Все это означает, что компаниям следует ожидать не менее 60 дней, а возможно, и дольше, после голосования совета директоров, чтобы опубликовать уведомление о предлагаемом нормотворчестве и начать работу.

Здесь также важно подчеркнуть, что позже в этом году могут быть введены другие правила. Правление рассмотрело второй набор правил, которым следует следовать для выполнения обязательств компаний по проведению ежегодных проверок кибербезопасности, обязательств компаний по представлению агентству регулярных оценок рисков и автоматизированного принятия решений. Этот второй набор правил может быть опубликован для обзора до того, как завершится работа над текущим набором предлагаемых правил.

Следующие шаги

Эти правила не являются окончательными, и мы, вероятно, увидим некоторые изменения в ответ на период общественного обсуждения. Однако компаниям не следует ожидать полной перезаписи, иначе она будет полностью прекращена. Хотя компании должны дождаться окончательной доработки правил, чтобы обновить свои уведомления и политики конфиденциальности, эти правила, тем не менее, дают некоторые рекомендации о том, что предприятия должны сделать сейчас, чтобы подготовиться.

  1. Соблюдение CCPA и CPRA потребует сотрудничества между различными отделами или подразделениями, которые обрабатывают или собирают личную информацию для бизнеса. Это будет включать, помимо прочего, человеческие ресурсы, ИТ (или любого, кто занимается веб-сайтом компании) и любые отделы, ориентированные на потребителей. Если ваша компания еще не определила ключевых заинтересованных лиц, вам необходимо сделать это и пригласить представителей этих заинтересованных отделов, чтобы они помогли соблюдать Закон о защите конфиденциальности потребителей (CCPA/CPRA).
  2. Ваша компания должна обновлять и оценивать свои данные. Инвентаризация данных не ограничивается информацией из какого-либо одного отдела и должна включать широкое представление обо всем бизнесе (и, следовательно, почему важно иметь заинтересованные стороны из разных отделов). При обновлении своего реестра данных вы должны проявлять особую осторожность, чтобы убедиться, что ваш реестр данных является полным, определить, какие данные считаются конфиденциальной личной информацией в соответствии с законом о защите персональных данных, включить выводы о потребителях и включить все виды использования личной информации. Этот реестр данных послужит основой для составления обновленных уведомлений и выполнения запросов потребителей на осуществление прав CCPA и CPRA.
  3. Ваш бизнес должен внедрить стандарты минимизации данных, включая создание политики хранения данных. Новые требования CPRA гласят, что в уведомлениях для потребителей указывается, как долго компании будут хранить личную информацию, что, в свою очередь, означает, что вам необходимо оценить, как долго хранится личная информация, а затем включить ее в график хранения данных. Однако недостаточно иметь письменную политику в отношении того, как долго хранится информация — вам необходимо проработать процесс фактического удаления старых данных в масштабе (по сравнению с удалением личной информации в ответ на запросы отдельных потребителей).

Последние два шага необходимы для соблюдения Закона штата Калифорния о конфиденциальности потребителей и CPRA, даже если не каждый аспект шага прямо упоминается в законе. Компании, которые предпримут эти шаги, будут лучше понимать жизненный цикл личной информации, которая проходит через их бизнес, будут готовы использовать эту информацию для соблюдения CPRA, и им будет легче соблюдать остальные части правил, поскольку они лучше понимают личной информации, которой они владеют.

Leave a Comment