63 % uživatelů internetu věří, že většina společností není transparentní v tom, jak jsou data jejich spotřebitelů využívána. Vzhledem k tomu, kolik informací se o nich denně shromažďuje a jak cenné mohou být, mají lidé důvody se obávat o své spotřebitelské soukromí a bezpečnost svých osobních údajů. K řešení těchto obav o soukromí přijalo mnoho zemí zákony na ochranu spotřebitelů a jejich osobních údajů před zneužitím – jako například GDPR v EU nebo CCPA v Kalifornii.
Nyní se zaměřme více na kalifornský zákon o ochraně spotřebitele – co to je, koho se to týká a jak můžete učinit svůj podnik v souladu s CCPA.
California Consumer Privacy Act (CCPA) je státní zákon, který poskytuje spotřebitelům v Kalifornii několik nových práv na ochranu soukromí, aby získali větší kontrolu nad svými údaji. CCPA je také prvním tak komplexním zákonem o ochraně soukromí spotřebitelů ve Spojených státech. Zákon byl schválen kalifornským zákonodárným sborem a podepsán kalifornským guvernérem Jerrym Brownem 28. června 2018, přičemž v platnost vstoupil 1. ledna 2020.
CCPA byl pak novelizován California Privacy Rights Act (CPRA, také známým jako Proposal 24), který vstoupil v platnost 1. ledna 2023. Informace v tomto článku již zahrnují změny zavedené CPRA.
Pro vyjasnění chceme vysvětlit, že CPRA není novým zákonem, je to soubor revizí CCPA. To, co se nyní označuje jako CCPA, zahrnuje každou změnu a rozšíření, které přišlo z CPRA. Jakákoli část CCPA, kterou CPRA neřešilo, zůstává stejná jako před CPRA.
Jak jsme již zmínili v tomto článku, když odkazujeme na CCPA, vždy myslíme CCPA ve znění novely CPRA.
Dobře, teď, když jsme to vyřešili, podívejme se, jaká specifická práva byla spotřebitelům udělena:
Navíc CPRA zavedlo zásadní ustanovení známé jako princip „omezeného účelu". Tento princip nařizuje, aby podniky shromažďovaly pouze data nezbytná k dosažení výslovně uvedených cílů a uchovávaly tyto informace po požadovanou dobu. Podniky musí výslovně informovat spotřebitele o typu shromažďovaných dat, konkrétních obchodních účelech jejich použití a jak budou využita.
I když je CCPA obvykle vnímán jako méně přísná verze evropského zákona o ochraně soukromí, na některých místech jde kalifornský zákon ještě dál – definice osobních údajů je jedním z takových příkladů.
CCPA odkazuje na osobní údaje jako
| „jakékoli informace, které identifikují, vztahují se k, popisují, mohou být spojeny s konkrétním spotřebitelem nebo domácností nebo by s ním mohly být přímo či nepřímo rozumně spojeny." |
Novelizovaná verze CCPA zahrnuje přidání další podkategorie: citlivé osobní údaje.
Rozsah dat spadajících pod „osobní údaje" v CCPA zahrnuje:
Jinými slovy, pokud shromážděné informace mohou potenciálně identifikovat jednotlivce, jsou považovány za osobní údaje a spadají pod zákony CCPA a CPRA. Existují však některé výjimky z ochrany podle CCPA a CPRA.
Vezměte si například telefonní číslo. Obvykle spadá pod zákon CCPA jako „přímý identifikátor". Pokud jste však své telefonní číslo sdíleli přidáním do kontaktních informací na svém webu nebo účtu na sociálních sítích, pak je považováno za „veřejně dostupné informace" – a zde se ochrana CCPA neuplatňuje. Stejně tak nic uloženého ve vládních záznamech, jako jsou záznamy o nemovitostech nebo profesní licence, nebo informace již spadající pod jiné existující zákony (jako jsou lékařské nebo finanční údaje), není podle CCPA považováno za osobní údaje.
Ve srovnání s jinými předpisy, jako je GDPR, které se vztahují na většinu podniků a organizací, CCPA primárně cílí na střední a velké společnosti. Neziskové organizace a vlády jsou obecně z dodržování předpisů vyňaty, i když i zde jsou některé výjimky.
Takže koho přesně se CCPA týká? Podniky, na které se vztahují předpisy CCPA, jsou ziskové právní subjekty působící v Kalifornii, které splňují jedno nebo více z následujících kritérií:
Co znamená požadavek „působit v Kalifornii"? Znamená to, že pouze společnosti pracující v rámci státu jsou povinny dodržovat kalifornský zákon o ochraně soukromí? Ne tak docela.
Požadavek „působit v Kalifornii" zahrnuje jakoukoli obchodní činnost, kdy obyvatelé Kalifornie sdílejí osobní údaje se společnostmi, a tyto společnosti shromažďují takové informace pro komerční účely, bez ohledu na fyzickou polohu společnosti. Tato rozšířená definice znamená, že webové stránky, online obchody, mobilní aplikace a poskytovatelé online služeb také spadají pod kalifornský zákon, pokud splňují jedno nebo více z hlavních kritérií, bez ohledu na to, kde sídlí.
Vezměme si například francouzský maloobchod. Pokud prodává své produkty lidem žijícím v Kalifornii, pak již zjevně splňuje kritérium „působit v Kalifornii". Nemusí však dodržovat předpisy CCPA, dokud jsou jejich příjmy pod 25 milionů USD a počet jejich kalifornských zákazníků pod 100 000.
Pokud však po analýze nejnovějších metrik registrace newsletteru obchod zjistí, že získal několik nových zákazníků z Kalifornie a dosáhl požadavku 100 000 spotřebitelů, situace se mění. Vzhledem k tomu, že obchod nyní splňuje práh spotřebitelů a využívá data pro obchodní účely, je nyní právně povinen dodržovat CCPA.
Nejprve, abyste zjistili, zda vaše společnost musí dodržovat pravidla CCPA, zkontrolujte hlavní kvalifikační kritéria a uvidíte, zda váš podnik vyhovuje. Kromě části „podnikání v Kalifornii" splnění kteréhokoli z dalších hlavních kritérií znamená, že musíte právně dodržovat CCPA.
Jakmile jste si tato pravidla prohlédli, porovnali je s metrikami svého podnikání a určili, že byste měli spadat pod CCPA, další otázkou je, jak můžete zajistit, aby vaše firma byla v souladu.
Hlavní požadavky souladu, které CCPA ukládá podnikům, zahrnují:
Aby vaše společnost dodržovala předpisy, možná bude muset změnit některé ze svých obchodních procesů, zejména to, jak shromažďuje, ukládá a chrání osobní údaje pocházející od kalifornských občanů. Abychom vám poskytli některé nápady, kde byste měli začít, načrtli jsme některé klíčové body, jak můžete připravit svůj podnik na splnění požadavků souladu:
První věc, kterou je třeba zjistit, když usilujete o soulad s CCPA, je zjistit, jaké osobní a citlivé informace shromažďujete od svých spotřebitelů a kde jsou informace uloženy. Jako součást auditu byste měli také zkontrolovat, jak vaši zaměstnanci pracují s daty: kdo má přístup k jakým informacím, jak je používá a jak jsou dokumenty nebo soubory sdíleny mezi zaměstnanci.
Jakmile víte, jaký typ dat máte ve svém podnikání, můžete je začít klasifikovat na základě toho, jak důležitá nebo citlivá jsou. Jedná se o zásadní krok, protože některé z vašich datových kategorií (zejména citlivé osobní údaje) budou vyžadovat mnohem vyšší úroveň zabezpečení a specifický soubor pokynů pro nakládání s nimi.
Pro prevenci ztráty nebo úniku dat je dobré omezit přístup k nejkritičtějším souborům pouze na ty zaměstnance, kteří jej specificky potřebují pro svou roli, a také nastavit omezení toho, co mohou dělat při práci s těmito soubory.
Audit dat by vám měl jasně ukázat nejvýznamnější problémy ve vaší organizaci. Nyní je čas vyvinout pokyny pro správu dat pro všechny vaše zaměstnance. Pokyny by měly popisovat, jak se očekává, že zaměstnanci budou spravovat zákaznická data, jaký je hlavní proces reagování na žádosti spotřebitelů, hlavní bezpečnostní pokyny a kdo je odpovědný za nakládání se zvláště citlivými nebo důvěrnými informacemi. Takový manuál je také vynikajícím místem k poučení vašich zaměstnanců o tom, jak reagovat na ztrátu nebo únik dat.
Podle CCPA mohou spotřebitelé žalovat o náhradu škody, pokud byly jejich osobní údaje porušeny v důsledku selhání podniku zavést a udržovat přiměřená bezpečnostní opatření. To znamená, že jakýkoli únik dat by mohl být významným problémem pro vaši organizaci – jak pokud jde o vysoké pokuty, tak o poškození pověsti.
Takže při auditu se také blíže podívejte na svá bezpečnostní opatření – například jak často se provádějí zálohy, zda používáte správné šifrování, zda vyžadujete dvoufaktorovou autorizaci a zda máte zavedený systém reakce, takže víte, jak reagovat na podezřelé aktivity.
Zásady ochrany osobních údajů a oznámení o cookies jsou základními složkami CCPA a jejich nepřítomnost na vašem webu nebo aplikaci může být okamžitě považována za porušení. I když však již máte na svém webu nebo aplikaci zásady ochrany osobních údajů, pravděpodobně budou potřebovat aktualizaci, aby byly v souladu s požadavky CCPA.
V souladu s mnoha dalšími zákony o ochraně soukromí dat má kalifornský zákon o ochraně soukromí spotřebitelů poměrně přísné sankce za nedodržení.
Úmyslná porušení California Consumer Privacy Act mohou přinést občanské pokuty až 7 500 USD za každé porušení, zatímco za méně závažná porušení je pokuta 2 500 USD za porušení. Pokud porušení zahrnuje děti mladší 16 let, každé porušení může přinést pokutu 7 500 USD, ne pouze úmyslné.
Navíc spotřebitelé postižení porušením mohou podniknout právní kroky a podat také žádost o zákonné odškodnění, mezi 100 a 750 USD „za spotřebitele za incident nebo skutečné škody, podle toho, co je vyšší". Možná to nezní jako mnoho ve srovnání se slavnými pokutami GDPR ve výši několika milionů dolarů. Měli byste však vědět, že předpisy CCPA považují každé porušení samostatně a ukládají sankce odpovídajícím způsobem.
Zoom se to naučil tvrdou cestou poté, co miliony uživatelů Zoomu žalovaly společnost a tvrdily, že jejich spotřebitelská práva byla porušena poté, co Zoom prodal jejich osobní údaje společnostem provozujícím sociální média. K vyrovnání žaloby Zoom souhlasil se zaplacením 85 milionů USD jako vyrovnání. Navíc Zoom také souhlasil s přidáním více bezpečnostních opatření na svou platformu (například s upozorněním uživatelů, když organizátoři schůzek nebo jiní účastníci používají v schůzkách aplikace třetích stran) a se školením svých zaměstnanců v oblasti soukromí a nakládání s daty.
Co je ještě důležitější, neexistuje horní limit pro pokuty CCPA. Takže pokud byla společnost velikosti Facebooku (která má 18 milionů uživatelů v Kalifornii) obviněna z porušení CCPA, pokuty by mohly dosáhnout 45 miliard USD – a to jen za méně závažné scénáře porušení a bez započítání zákonných škod.
Učinit vaši společnost v souladu s CCPA se může na první pohled zdát zdrcující – je třeba provést audit dat, klasifikaci, zabezpečení zvláště citlivých souborů, školení zaměstnanců v dodržování nových pokynů a také vyřizování dotazů spotřebitelů.
Se Safetica může vaše firma postarat se o všechny tyto kroky a stát se v souladu s CCPA mnohem snadněji. Tady je, jak vám můžeme pomoci:
Navíc vám Safetica může pomoci vzdělávat své kolegy v tom, jak klasifikovat data, rozpoznat, předcházet a reagovat na bezpečnostní incidenty a také zůstat v souladu s CCPA (a dalšími) předpisy. Tímto způsobem si můžete být jisti, že informace vaší společnosti jsou v naprostém bezpečí – a že váš personál ví, jak předcházet a reagovat na jakékoli problémy nebo hrozby s daty.
CCPA je prvním komplexním zákonem o ochraně soukromí spotřebitelů v USA – a v některých aspektech je vlastně přísnější než jeho evropský protějšek, GDPR. Nevztahuje se však na všechny organizace – pokud nesplňujete prah příjmů nebo množství dat, pak nemusíte být v souladu se zákonem CCPA. I když však zatím požadavky nesplňujete, je vždy lepší začít s předstihem, abyste nemuseli vše spěchat později.
Se Safetica po vašem boku můžete učinit splnění standardů souladu mnohem rychlejší a snadnější, protože vám může pomoci jak s auditem dat, tak se zabezpečením vašich nejdůležitějších souborů a se zvyšováním povědomí o zabezpečení dat mezi vašimi kolegy.
Takže ať už potřebujete být v souladu s předpisy nyní, nebo plánujete do budoucna, se Safetica můžete proces souladu zjednodušit – a zajistit, že zůstanete v souladu po mnoho let.