Představujeme Colorado Privacy Act (CPA), který vstoupil v platnost 1. července 2023 a učinil Colorado třetím státem USA, který získal vlastní komplexní zákon o ochraně osobních údajů, když byl podepsán do zákona v červenci 2021. Ale držte se, protože CPA nejen kráčí ve stopách svých kalifornských a virginských protějšků – je připraven razit vlastní cestu a stanovuje přísnější standardy ochrany osobních údajů (a vyšší sankce).
Na koho se CPA vztahuje a co znamená pro vaše podnikání?
V jádru má CPA za cíl chránit práva obyvatel Colorada na soukromí a posílit opatření zabezpečení dat. Stanovuje pravidla pro to, jak podniky nakládají s citlivými daty a co s nimi smí a nesmí dělat. Spotřebitelé na druhé straně získávají nová práva a větší kontrolu nad svými daty.
Pro podniky to znamená, že jsou povinny získat souhlas, než zahájí různé činnosti zpracování dat.
V podstatě CPA zajišťuje, aby podniky respektovaly preference jednotlivců na soukromí a omezuje zbytečné zpracování dat.
V dalším osvěžujícím kroku CPA klade silný důraz na minimalizaci dat. Podporuje podniky, aby si ponechávaly pouze osobní údaje, které jsou nezbytné, přiměřené a relevantní pro jejich stanovené účely zpracování. To znamená pravidelně revidovat postupy ukládání dat a zajistit, aby informace jako biometrické identifikátory, fotografie nebo hlasové záznamy byly uchovávány s nějakým účelem a ne jen tak.
CPA má za cíl najít rovnováhu mezi posilováním spotřebitelů s kontrolou nad jejich daty a pomáhat podnikům orientovat se ve vyvíjejícím se prostředí ochrany osobních údajů.
CPA se řídí filozofií „buď ve velkém, nebo vůbec" a pokrývá širokou škálu organizací.
Konkrétněji to znamená všechny subjekty, které podnikají v Coloradu, vyrábějí nebo dodávají komerční produkty nebo služby záměrně cílené na obyvatele Colorada a splňují konkrétní prahy uvedené v CPA.
Pro určení použitelnosti bere CPA v úvahu jak prahy spotřebitelů, tak příjmy. Na rozdíl od California Consumer Privacy Act (CCPA) nemá CPA peněžní práh pro použitelnost. Místo toho se zaměřuje na objem zpracování dat se dvěma možnými variantami. Pokud podnik:
A je tu zajímavý zvrat – neziskové organizace nejsou vyloučeny z rozsahu CPA (další rozdíl mezi CPA a kalifornskými a virginskými zákony).
Samozřejmě, žádný zákon by nebyl úplný bez nějakých výjimek. Například finanční instituce podléhající Gramm-Leach-Bliley Act, určité údaje související se zdravotnictvím a údaje upravené FERPA (Family Educational Rights and Privacy Act) se nemusí o CPA strachovat. Podniky, které již podléhají federálním zákonům o ochraně osobních údajů, by měly pečlivě prozkoumat výjimky CPA a určit jejich použitelnost.
Nyní, když víme, co to je a na koho se vztahuje, podívejme se blíže na hnací síly, které vedly k vytvoření nového nařízení o ochraně osobních údajů v Coloradu.
Hlavní motivací pro CPA je chránit práva jednotlivců na soukromí v neustále se vyvíjejícím digitálním prostředí. S rostoucí závislostí na technologiích je naléhavá potřeba zajistit, aby spotřebitelé měli kontrolu nad tím, jak je s jejich informacemi nakládáno.
Dalším klíčovým cílem CPA je chránit citlivá data před úniky dat a neoprávněným přístupem ze strany kybernetických zločinců.
CPA má za cíl najít rovnováhu mezi tím, že jednotlivcům dává kontrolu nad jejich osobními informacemi, a podporou odpovědného nakládání s daty ze strany podniků. Jeho cílem je vytvořit transparentní a na soukromí zaměřené prostředí, kde se spotřebitelé budou cítit jistě při sdílení svých dat.
Dosažení souladu s Colorado Privacy Act (CPA) může znít jako náročný úkol, ale nebojte se! Jsme tu, abychom vám pomohli orientovat se na cestě k souladu a zajistit, aby vaše firma byla na správné cestě. Pojďme se ponořit do několika klíčových bodů, které je třeba zvážit.
Pro nastartování vašeho úsilí o soulad zde je několik praktických kroků k zvážení:
Pravidelná posouzení jsou zásadním požadavkem CPA. Posouzení by měla pokrývat všechny aspekty zpracování dat: povahu, účel, rozsah a potenciální rizika. Je důležité vyhodnotit celý životní cyklus osobních údajů, od shromažďování po ukládání, použití, sdílení a případnou likvidaci.
CPA klade důraz na zapojení klíčových zúčastněných stran z celé organizační struktury, aby se zaručilo holistické posouzení.
Při provádění posouzení zvažte vnitřní i vnější rizika, jako jsou zranitelnosti ve vašich systémech, vztahy se třetími stranami a kybernetické hrozby. Jakmile jsou rizika identifikována, musíte zavést opatření, která je účinně zmírní. To může zahrnovat zavedení ochranných opatření, jako jsou:
Generální prokurátor Colorada má pravomoc požadovat od podniků posouzení ochrany dat. CPA výslovně neuvádí požadovanou frekvenci posouzení, ale musíte být připraveni předložit své posouzení do 30 dnů od jeho vyžádání.
Osvědčeným postupem je pravidelně přehodnocovat, a zejména když dojde ke změnám v existujících zpracovatelských činnostech nebo v situaci, kdy by mohla být zvýšena úroveň rizika zabezpečení dat.
Pamatujte, osobní údaje podle CPA jsou jakékoli informace propojené nebo důvodně propojitelné s identifikovanou nebo identifikovatelnou osobou. To zahrnuje nejen zjevné identifikátory jako data narození a kontaktní údaje, ale také nepřímé identifikátory jako IP adresy, informace o poloze, historii transakcí nebo i vzorce chování.
CPA vás vybízí, abyste minimalizovali data, která shromažďujete a zpracováváte. Shromažďujte pouze to, co je nezbytné pro stanovený účel, a vyhněte se zpracování dat pro účely nesouvisející s původním záměrem.
Při zpracování spotřebitelských informací, zejména citlivých dat, jako jsou ta odhalující rasový původ, sexuální orientaci nebo zdravotní stav, je nutné získat výslovný a informovaný souhlas. Stojí za zmínku, že pouhé přijetí obecných podmínek nestačí pro získání souhlasu.
Konkrétně musí souhlas:
Obyvatelé Colorada se mohou také rozhodnout odhlásit z cíleného reklamy a prodeje svých osobních údajů.
Každý podnik, který spolupracuje s tzv. zpracovateli – třetími stranami zpracovávajícími data, která podnik shromažďuje – vyžaduje, aby smlouvu o zpracování dat (DPA) podepsaly obě strany.
DPA stanovují rámec pro zákonné zpracování dat. Zajistěte, aby vaše DPA obsahovala prvky jako povaha a účel zpracování, typ použitých osobních údajů, požadavky na důvěrnost, bezpečnostní opatření, ustanovení o vrácení nebo smazání dat, audit, jakož i požadavek, aby zpracovatelé měli vlastní smlouvy s podzpracovateli.
Subjekty, které získaly souhlas spotřebitele se zpracováním dat před 1. červencem, mohou nadále zpracovávat osobní údaje spotřebitelů, včetně citlivých informací. Ale je tu „ale" – tento předchozí souhlas zůstane platný pouze tehdy, pokud splňoval požadavky CPA na platný souhlas i tehdy. Takže pokud jste měli správný souhlas zavedený před implementací CPA, můžete pokračovat ve zpracování osobních údajů. Jinak musíte aktualizovat své postupy.
Generální prokurátor Colorada a okresní prokurátoři mají pravomoc podniknout kroky proti subjektům, které nedodržují předpisy. Mají pravomoc vyšetřovat porušení, vydávat oznámení o porušení a udělovat peněžní sankce.
Konečně CPA také ukládá přísnější a vyšší sankce ve srovnání s CCPA i Virginia Consumer Data Protection Act. Subjekty, které nedodržují předpisy, mohou čelit peněžním sankcím v rozmezí 2 000–20 000 USD za porušení. A sankce se kumulují! Pokud se zjistí, že podnik má více případů nedodržování různých ustanovení CPA, každé porušení může vést k samostatné sankci a mohou se rychle sčítat.
Veškeré tyto řeči o souladu a potenciálních sankcích vás mohou nechat trochu zaplaveni. Ale Safetica je tu, aby vám pomohla orientovat se ve složitém prostředí ochrany osobních údajů a dat.
V Safetica chápeme důležitost ochrany citlivých dat a splnění regulačních požadavků. Také víme, že nechcete utratit zbytečně času nebo zdrojů na DLP řešení.
DLP produkty Safetica poskytují uživatelsky přívětivé rozhraní a robustní bezpečnostní funkce, které podporují vaše úsilí o soulad a ochranu dat. Například:
Spojením se Safetica můžete proaktivně řešit výzvy ochrany osobních údajů a souladu. Pomůžeme vám orientovat se ve složitostech ochrany dat při zachování produktivity a efektivity.
Pojďme si promluvit o regulační compliance vaší organizace