Чему бренды могут научиться за год GDPR при подготовке к Калифорнийскому закону о конфиденциальности потребителей

Опубликовано: 2022-05-22

Ниже приводится гостевой пост Джека Карвела, главного юрисконсульта Qubit.

В мае 2019 года исполняется год со дня введения в действие Общего регламента по защите данных (​GDPR), самого существенного изменения в регламенте конфиденциальности данных за последние десятилетия. В то время как GDPR добился значительных успехов в повышении осведомленности о правах отдельных лиц, когда речь идет о данных, история правоприменения была совершенно иной.

Удивительное отсутствие крупных штрафов и продолжающееся неправомерное использование данных третьих лиц, которые, как многие думали, полностью перестанут существовать, бросались в глаза в прошлом году. Тем не менее, это все еще может измениться с внедрением нового законодательства, такого как ожидаемый компонент ePrivacy — следующий элемент режима защиты данных ЕС, который, как ожидается, скоро вступит в силу — и крупная разработка конфиденциальности данных, которая появится в США в январе. 2020: Калифорнийский закон о конфиденциальности потребителей (CCPA). В этом посте я расскажу об уроках, извлеченных из GDPR спустя год, и подскажу, как лучше всего подготовиться к CCPA и другим более строгим законам, которые ожидаются в ближайшем будущем.

GDPR: «A+» для осведомленности, «D» для обеспечения соблюдения

Во-первых, давайте отдадим должное: GDPR оказался очень полезным для компаний, которые отнеслись к нему серьезно. Это привело к созданию более здоровых клиентских баз данных с более четким пониманием клиентов и их поведения.

Прошлой весной было что-то вроде применения метода Кондо или весенней уборки данных, поскольку компании по всему миру пытались понять, где хранятся их данные и что с ними происходит. Всего несколько месяцев все сосредоточились на защите данных, сделав мир онлайн более безопасным и защищенным. И проверка значительно улучшилась. Было наложено несколько штрафов, в том числе крупный для Google в размере 50 миллионов евро. Вначале многие в отрасли предполагали, что такие штрафы станут нормой, но пока этого не произошло.

Область, в которой GDPR был особенно слабым, — это его отношения со сторонними брокерами данных. Существует много плохой практики с компаниями, вся бизнес-модель которых основана на продаже данных из вторых или третьих рук. Эти данные могут быть легко скопированы, раскрыты и переданы сторонам без ведома потребителя — и, вероятно, были получены без согласия или понимания того, какие данные собираются и почему. С GDPR многие ожидали, что это закончится, но регулирующие органы не стали преследовать эти неправомерные методы обработки данных.

Есть также более мелкие компании в США (и в других юрисдикциях за пределами ЕС), которые не соблюдают стандарты. У них нет ресурсов для соблюдения различных режимов данных, и у них нет штатных юристов для контроля за соблюдением, поэтому они просто берут на себя риск. С этими компаниями, когда происходит нарушение, очень мало прозрачности, поскольку регулирующие органы не могут проверить точность заявлений. Однако несоблюдение требований является очень рискованной стратегией. Потребители все больше осознают свои права на данные и ценность своих данных, поэтому, хотя компания может избежать штрафов, она рискует своим брендом и репутацией в случае утечки данных, а это может быть даже хуже, чем штрафы.

Могут появиться более строгие меры

Ожидается, что существуют правила конфиденциальности данных, которые могут изменить правила игры с соблюдением требований. Одним из важных новшеств является Регламент электронной конфиденциальности, который определяет политику в отношении файлов cookie, какое согласие необходимо, кому компании могут отправлять электронные письма и по каким причинам, отслеживание и т. д., добавляя более определенный уровень к более широкой концепции личных данных. Это, вероятно, приведет к усилению правоприменения, поскольку регулирующие органы будут совместно использовать как GDPR, так и регулирование ePrivacy, хотя до этого еще несколько месяцев.

Еще один закон на горизонте, который изменит то, как работают предприятия, — это CCPA. Ключевым моментом здесь является то, что это первый закон такого типа, который укоренен в США. Возможно, мы не видим столько шума вокруг этого предстоящего постановления, возможно, потому, что это не федеральный закон, но компании, которые не готовятся к этому, могут быть очень неприятно удивлены штрафами, такими как до 7500 долларов за нарушение CCPA и 750 долларов за каждую скомпрометированную запись, что может составить значительную сумму и может быть разрушительным для малого бизнеса.

Несколько советов ритейлерам

Розничные продавцы, особенно в США, которые не прошли строгий процесс подготовки к GDPR, который есть у глобальных компаний, должны учитывать значительную предварительную подготовку, необходимую для соблюдения предстоящих политик. Калифорния, вероятно, будет более строгой в отношении наложения огромных штрафов за несоблюдение требований, чем то, что мы наблюдали в GDPR. Крупные глобальные бренды, возможно, уже готовы к CCPA, отчасти благодаря их подготовке к GDPR и тщательному анализу данных, который существует в Европе уже некоторое время. Тем не менее, небольшие предприятия могут быть застигнуты врасплох предстоящими строгими расследованиями конфиденциальности данных и соответствия требованиям. Вот несколько советов, которые могут помочь американским компаниям и тем, кто хочет продолжать вести бизнес в Калифорнии, подготовиться к предстоящему принятию законодательства:

  1. Несмотря на то, что это не является обязательным требованием CCPA, первым шагом должно стать создание «записи об обработке»: определите, какие данные вы собираете и что именно вы с ними делаете. Пройдя этот процесс, вы поймете, к какой области действия CCPA вы относитесь. Вы должны войти в процесс с полным пониманием всего этого.
  2. Конечно, данные ценны, но больше данных не обязательно означает большую ценность. Если вы не знаете, зачем вы его собираете, избавьтесь от него. Данные, которые бесполезны для вашей компании, просто лишают вас денег на хранение и увеличивают риск утечки данных. Удаление данных может показаться пугающим, но это невероятно вдохновляющий шаг, который в конечном итоге сделает ваши решения, основанные на данных, более эффективными. Многие компании добились повышения коэффициента конверсии и более эффективного таргетинга при использовании чистых наборов данных.
  3. В соответствии с GDPR в некоторых случаях требуется сотрудник по защите данных. В целом это хорошая идея: возложить на кого-то ответственность за конфиденциальность данных и за подготовку компании к выполнению своих обязательств в соответствии с применимыми правовыми режимами. Кроме того, убедитесь, что этот человек имеет высокую видимость. В CCPA нет требования, чтобы этот человек отчитывался перед высшим руководством, как в GDPR; однако было бы очень неплохо убедиться, что высшее руководство хорошо осведомлено о том, что находит внутренний аудитор.
  4. Заблаговременно обращайтесь к своим поставщикам и партнерам, чтобы понять, что происходит в конкретных сценариях; смогут ли они помочь вам с требованиями в определенные сроки? Расскажите о процессе. Когда вы начнете этот разговор с другими сторонами, с которыми работает ваш бизнес, быстро станет ясно, смогут ли они помочь и выполнить требования.
  5. Узнайте о положительных преимуществах законов о конфиденциальности данных для вашего бизнеса. Эти политики позволяют компаниям сделать свои клиентские базы данных более здоровыми и активными, снизить затраты, связанные с хранением данных, и развивать более личные коммуникации с теми людьми, которые хотят их получать.
  6. Сделайте это весело. Конечные пользователи с большей вероятностью поймут ваши методы обработки данных и согласятся с ними, если вы будете использовать простой и понятный язык и продемонстрируете им преимущества того, что вы делаете. Если вы не можете обосновать коллекцию, возможно, стоит еще раз подумать, действительно ли она вам нужна!

Может быть непросто разработать и внедрить процессы соответствия, но когда это будет сделано, мир станет лучше. А для хорошо подготовленных компаний это может даже означать стимул для их бизнеса.