To żyje! Przygotuj się na przepisy CPRA i nowe przepisy dotyczące prywatności danych

Opublikowany: 2023-02-23

Ustawodawstwo dotyczące prywatności danych nabiera rozpędu: bardziej kompleksowe ustawy o ochronie prywatności zostały zaproponowane i przyjęte na szczeblu stanowym niż kiedykolwiek wcześniej. Ale żaden nie jest tak szeroki, jak to, co nadchodzi w stanie Kalifornia.

Kalifornijska ustawa o prawach do prywatności (CPRA) weszła w życie 1 stycznia 2023 r., a egzekwowanie rozpocznie się 1 lipca 2023 r. CPRA stanowi zarówno wyjaśnienie, jak i rozszerzenie pierwotnej kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA); razem stworzą najsurowsze przepisy dotyczące prywatności w kraju.

Co to oznacza dla Twojej firmy? Po pierwsze, jeśli Twoja strategia marketingowa jest zagrożona niezgodnością i prowadzisz jakąkolwiek działalność (w tym sprzedaż online) w stanie Kalifornia, musisz przenieść prywatność na początek listy priorytetów.

Zanim przejdziemy dalej, pamiętaj, że treści na tym blogu należy traktować jako raporty i/lub opinie, a NIE jako porady prawne. Skonsultuj się z działem prawnym w sprawie wszystkich decyzji dotyczących zgodności.

Omówienie: CPRA a CCPA i inne przepisy dotyczące prywatności danych, które wejdą w życie w 2023 r

Prawdopodobnie jesteś świadomy lawiny zmienionych terminów i dostosowanych harmonogramów wokół CPRA, które zostały ogłoszone pod koniec 2022 r., ale nie zmieniają one wcześniej ustalonego kalendarza egzekwowania. Przejdźmy więc do rzeczy.

CPRA była środkiem głosowania, który powstał, ponieważ w pierwotnym CCPA istniały szare obszary, które pozostawiły wiele pytań bez odpowiedzi, szczególnie dotyczących definiowania danych osobowych (PII) i różnych rodzajów gromadzenia danych.

Harmonogram przepisów dotyczących prywatności w Kalifornii: od CCPA do CPRA

Druciane koło

Inne stanowe przepisy dotyczące prywatności poza Kalifornią, które wejdą w życie w 2023 r., to:

  • Colorado Privacy Act (CPA): Obowiązuje od 1 lipca 2023 r
  • Ustawa Connecticut dotycząca prywatności danych osobowych i monitorowania online (CTDPA): Obowiązuje od 1 lipca 2023 r.
  • Utah Consumer Privacy Act (UCPA): Obowiązuje od 31 grudnia 2023 r
  • Virginia Consumer Data Protection Act (CDPA): Obowiązuje od 1 stycznia 2023 r

Podobnie jak CPRA, wszystkie te przepisy stanowe zawierają przepisy dotyczące praw konsumentów, a także własne interpretacje tego, co stanowi wrażliwe dane osobowe. Ale bardzo ważne jest, aby wiedzieć, że wszystkie są różne. Nie ma jednego uniwersalnego rozwiązania w zakresie przestrzegania prywatności w różnych stanach.

Tutaj wkracza Twój dział prawny. Musisz ustanowić regularną komunikację z zespołem prawnym, aby być na bieżąco z nowymi zasadami i przepisami, które mogą mieć wpływ na Twoją działalność w tym roku iw przyszłości.

Zmiany: CPRA zmodyfikowała przepisy dotyczące danych osobowych i udostępniania danych

Chociaż CPRA już obowiązuje, ostateczne zasady oparte na zmodyfikowanych przepisach zostaną opublikowane dopiero w kwietniu 2023 r. po krótkim opóźnieniu ze strony Kalifornijskiej Agencji Ochrony Prywatności (CPPA).

Niektóre zmiany w ramach CPRA obejmują wzmocnienie ograniczeń dotyczących udostępniania danych i zapewnienie jaśniejszych wskazówek, w jaki sposób marketerzy mogą wykorzystywać dane osobowe, które prawo określa jako „potencjalnie wrażliwe”, w tym:

  • Numer ubezpieczenia społecznego lub prawa jazdy
  • Państwowy dowód osobisty lub numer paszportu
  • Dane logowania Konsumenta
  • Geolokalizacja
  • Konta finansowe, w tym numery kart debetowych/kredytowych wraz z weryfikacją lub hasłem powiązanym z kontem
  • Wyścig
  • Pochodzenie etniczne
  • Religia
  • Dane genetyczne
  • Dane biometryczne
  • Komunikacja prywatna
  • Orientacja seksualna
  • Informacje o zdrowiu

Jedną z największych debat, która doprowadziła do powstania CPRA, był niejednoznaczny język wymogu CCPA „Nie sprzedawaj”. Zgodnie z nowym prawem firmy muszą teraz umożliwić konsumentom rezygnację zarówno ze sprzedaży, jak i udostępniania ich informacji za pomocą obowiązkowej opcji „Nie sprzedawaj ani nie udostępniaj moich informacji” na swoich stronach internetowych.

Jeśli udostępniasz dane podmiotowi zewnętrznemu, który nie był pierwotnie upoważniony, zgodnie z prawem musisz umożliwić użytkownikom wycofanie zgody. Należy wziąć pod uwagę dwie części:

  • Prawdziwa tożsamość: dane osobowe użytkownika (PII), które są przechwytywane na miejscu
  • Tożsamość pasywna: pliki cookie i identyfikatory przeglądarki lub cokolwiek, co automatycznie śledzi użytkowników

Podczas gdy obecne przepisy są finalizowane, możesz spodziewać się dodatkowych przepisów w przyszłości. Sekcja 1798.185 CPRA upoważnia CPPA do „zabiegania się o szeroki udział społeczeństwa i przyjmowania przepisów w celu wspierania celów tego tytułu (CPRA)”. Daje to szeroką swobodę w zakresie dodatkowych zasad i ograniczeń, począwszy od dodawania nowych kategorii danych osobowych związanych z prywatnością danych, po ustanowienie nowych procedur związanych z udostępnianiem danych osobowych i rezygnacją ze sprzedaży danych osobowych.

W porównaniu z przepisami obowiązującymi w pozostałych czterech stanach, Kalifornia oferuje zdecydowanie największą ochronę prawną prywatności danych konsumentów. Ale pamiętaj: zgodność w Kalifornii nie oznacza automatycznie zgodności w innych miejscach.

Prawa konsumentów do prywatności na mocy przepisów różnych stanów

OneTrust

Efekty: czego się spodziewać po egzekwowaniu CPRA

W ramach CCPA egzekwowanie przepisów pozostawało dużym znakiem zapytania, ale spodziewaj się, że Kalifornia podkręci temperaturę dzięki CPRA. Grzywna w wysokości 1,2 miliona dolarów nałożona na Sephorę za naruszenie CCPA w 2022 roku powinna stanowić ostrzeżenie dla marek, które myślały, że mogą sobie z tym poradzić.

W przypadku, gdybyś nie był pewien, czy Kalifornia to poważna sprawa, ustanowienie CPPA powinno być wyraźnym znakiem; przejmą obowiązki prokuratora generalnego Kalifornii (AG), aby nadzorować zgodność, przyszłe zasady i kary za naruszenia prawa. CPRA eliminuje również 30-dniowy okres „leczenia” przed nałożeniem grzywny za naruszenie, zamiast tego pozostawia to do uznania AG i/lub CPPA w oparciu o zamiar organizacji (lub jego brak) do złamania prawa.

CPRA a egzekwowanie CCPA

OneTrust

Mniej pewne jest, jak egzekucja będzie przebiegać w czterech stanach, w których ustawodawstwo wejdzie w życie po raz pierwszy; wiemy tylko, że zarówno egzekwowanie, jak i kary będą różne w każdym stanie. Niezależnie od tego, czy w Kalifornii, czy gdzie indziej, naruszenia będą miały konsekwencje, które mogą zaszkodzić finansowo Twojej firmie i zagrozić Twojej reputacji wśród klientów.

Zgodność z CPRA: jak współpracować z zespołem prawnym

To, co marki mogą teraz zrobić, to działać tak, jakby ostateczne przepisy i egzekwowanie już obowiązywały. Jeśli nie masz pewności, co to oznacza, skontaktuj się ze swoim zespołem prawnym i poszukaj sposobów współpracy, aby upewnić się, że Twoja firma działa zgodnie z przepisami.

Istnieje kilka sposobów na rozpoczęcie tej pracy z zespołem prawnym:

  • Mapuj swoje silosy danych: nawet organizacje z udoskonalonymi procesami zarządzania i przechowywania danych mogą stwierdzić, że niektóre dane są silosowane w ich organizacji. Niezwykle ważne jest opracowanie kompleksowej mapy określającej, jakie dane są przechowywane, gdzie są przechowywane i jaki jest cel silosu. Najlepiej byłoby rozbić te silosy, ale pierwszym krokiem jest ustalenie, gdzie znajdują się dane.
  • Dostarczaj wyczerpujących informacji o przypadkach użycia: zespoły prawne często starają się całkowicie zablokować przepływy danych, jeśli mogłyby one stworzyć ryzyko dla organizacji. Na przykład w przypadku braku kontekstu zespoły prawne mogą doradzić swoim zespołom włączenie ograniczonego przetwarzania danych na koncie Google Ads. W rzeczywistości dotyczyłoby to wszystkich mieszkańców podlegających regionalnym przepisom dotyczącym danych, a nie tylko tych, którzy skorzystali z prawa do rezygnacji. Chociaż takie podejście może zapewnić całkowitą ochronę prawną, wpłynie również na skuteczność marketingu (i jest to coś, co marki będą musiały zrozumieć, aby określić właściwą równowagę między tymi kompromisami). w zasięgu wzroku, aby mogli utrzymywać kompleksową i aktualną politykę prywatności w Twojej witrynie, odzwierciedlającą sposób, w jaki te dane są obecnie wykorzystywane (wiele może się zmienić w ciągu zaledwie kilku miesięcy!)
  • Oblicz szacowany wpływ środków zgodności: jeśli blokujesz wszystkie śledzenie dla konsumentów w danym regionie, oblicz szacowany zakres pokrycia i podaj różne scenariusze utraty wydajności. Na przykład, jeśli masz 100 000 klientów rocznie, a 12% z nich ma siedzibę w Kalifornii, możesz wykorzystać istniejące dane dotyczące kosztu pozyskania (CPA), aby pokazać wpływ spadku wydajności mediów o 10% lub 20% (lub więcej ). Może się tak zdarzyć, ponieważ rosną CPA lub spada liczba pozyskiwanych klientów. Możesz wykorzystać swoją pracę, aby pomóc swoim zespołom zrozumieć skalę wpływu na budżet podczas wdrażania uniwersalnych rezygnacji. Ponieważ trudno jest z góry oszacować ten wpływ, te skalowane przykłady skłonią innych liderów organizacji do zwrócenia uwagi i współpracy z Tobą i Twoim zespołem prawnym w celu znalezienia realnego rozwiązania, które zapewni konsumentom możliwość korzystania ze swoich praw przy jednoczesnym ograniczeniu ryzyka fiskalnego do dolnej linii marki.
  • Omów rolę i zastosowanie Platformy Zarządzania Zgodami (CMP): Sposób, w jaki konsumenci korzystają z przysługujących im praw do rezygnacji z udostępniania danych lub usuwania ich danych, ma kluczowe znaczenie. Nie wszystkie rozwiązania CMP są sobie równe. Niektóre, takie jak CookieBot, są przeznaczone tylko do blokowania plików cookie (a tym samym do śledzenia reklam), podczas gdy inne, takie jak OneTrust, są bardziej wszechstronne. Musisz znaleźć odpowiednie rozwiązanie dla swojej firmy, które zapewni zgodność z przepisami i funkcjonowanie marketingu.
  • Dostosuj język, którego używasz do edukowania konsumentów: Omów różne sposoby edukowania konsumentów na temat wykorzystywania danych ze swoim zespołem prawnym. Bez kontekstu wielu konsumentów mogłoby założyć najgorszy scenariusz. Ale jeśli podasz jasne przykłady tego, jak wykorzystujesz ich dane i jakie ustawiłeś limity, może się okazać, że konsumenci są bardziej otwarci na udostępnianie swoich danych. Nigdy nie należy zachęcać konsumentów do korzystania z ich praw, ale Twój zespół prawny może udzielić szczegółowych wskazówek na temat tego, co możesz, a czego nie możesz powiedzieć konsumentom, gdy planują zrezygnować.

Pamiętaj: zgodność nie jest opcjonalna. Już teraz staw czoła przyszłym wyzwaniom, współpracując ze swoim działem prawnym i znajdując najlepszą możliwą ścieżkę do przodu.

Pobierz State of the Data 2023: The Path to Profitability Requires Privacy Compliance, aby dowiedzieć się o nadchodzących przepisach i wymaganiach dotyczących zgodności, które będą miały wpływ na Twoją działalność.

Dane Prywatność danych Inteligencja cyfrowa