Företag som inte är redo för Kaliforniens CCPA Privacy Act | VPNoverview.com

Företag i Kalifornien klarar sig för att förstå och uppfylla de omfattande kraven i den nya Kalifornien Consumer Privacy Act eller CCPA. Det är ingen överraskning, eftersom samma hände med Europas allmänna dataskyddsförordning eller GDPR månaderna innan den trädde i kraft. Men med den effektiva tidsfristen den 1 januari 2020, precis runt hörnet, är tiden ute för företag som bedriver verksamhet i Kalifornien eller som har personuppgifter om californiska invånare. Även med en sexmånaders tjänstgöringsperiod innan statliga utredningar och verkställighetsåtgärder börjar finns det anledning till viss oro.


Datareglering ett pågående arbete

I USA är dataregleringen fortfarande ett pågående arbete. Sedan 2018 införde och antog flera stater lagstiftning som speglar några av de skydd som ges av GDPR. Andra, i synnerhet Kalifornien och i mindre utsträckning Vermont-lagar, syftar till att erbjuda ett bredare skydd för konsumenterna och gå utöver anmälningsreglerna för dataöverträdelser. I likhet med GDPR ger den omfattande lagen om konsumenters integritet användarna många nya rättigheter när det gäller att kontrollera deras data.

Från och med 1 januari 2020 har invånarna i Kalifornien rätt att:

  • Vet vilka personuppgifter som samlas in
  • Vet om deras personuppgifter säljs eller avslöjas och till vem
  • Säg “Nej” vid försäljningen av deras personuppgifter
  • Få tillgång till deras personliga data
  • Begär ett företag för att ta bort all personlig information
  • Bli inte diskriminerad för att ha utövat dessa rättigheter

En annan skillnad med befintliga sekretesslagar i de flesta stater är att CCPA kommer att gälla alla ideella organisationer (eller enheter som kontrollerar eller kontrolleras av sådana företag) – oberoende av deras plats – som bedriver verksamhet i Kalifornien och / eller har information på kaliforniska invånare.

Företag måste uppfylla CCPA-kraven om de uppfyller ALLA av följande kriterier:

  • Generera en årlig bruttoinkomst på mer än 25 miljoner dollar
  • Besitter personuppgifter från mer än 50 000 konsumenter, hushåll eller enheter
  • Tjäna mer än hälften av företagets årliga intäkter som säljer personuppgifter

Uppskattningsvis 500 000 amerikanska företag uppfyller ett eller flera av dessa krav och måste därför uppfylla.

Monumental Shift i USA: s föreskrifter om dataskydd

CCPA markerar en monumental förskjutning i USA: s personuppgiftsregler. För närvarande är datareglering fortfarande ett lapptäcke av olika regler och förordningar i olika stater och sektorer. För de flesta konsumenter är det omöjligt att följa vad deras rättigheter är. Å andra sidan, många företag kämpar för att följa och välkomnar mer lagstiftningssäkerhet. I september uttalade 51 toppchefer från företag som Amazon, IBM, Dell, SAP och JP Morgan Chase sina bekymmer i ett öppet brev till kongressen och uppmanade politiska beslutsfattare att godkänna omfattande sekretesslagar för konsumentuppgifter.

Under de kommande månaderna kommer ingen tvekan att vara på Kalifornien. Inte bara är många av de bästa tekniska företagen baserade i Silicon Valley och Palo Alto, inklusive Apple, Alphabet Inc. och Google. Med en BNP på 3 biljoner dollar (2018) är det också kronjuvelen i USA: s ekonomi, framför länder som Indien och Storbritannien.

Från och med januari 2020 kommer Kalifornien också att ha de striktaste sekretesslagarna i USA, jämförbara med men också på vissa sätt annorlunda än GDPR. I likhet med GDPR, kvalificerar CCPA “online-identifierare” som din IP-adress som personlig information samt enhets-ID. En viktig skillnad är att CCPA också tar hänsyn till information som kan kopplas till ”ett hushåll” och inte nödvändigtvis en person i det hushållet. Överraskande gör det en åtskillnad mellan personuppgifter som tillhandahålls av en konsument (ingår) och personuppgifter som köpts eller förvärvats av en tredje part (främst uteslutna), samtidigt som de erbjuder en opt-out-rätt för försäljning av personlig information.

CCPA-överensstämmelse medför betydande utmaningar

För de flesta företag kräver dessa sekretessbestämmelser stora förändringar av teknik och processer. De måste förstå vilka regler som gäller för dem och ta reda på hur de bäst kan hantera sina uppgifter. Ingen överraskning, den nya CA-sekretesslagen kommer att presentera ett antal utmaningar för efterlevnad för organisationer i alla storlekar, oavsett om det handlar om försäljning av personlig information, tillgångs åtkomstpersoner, datasäkerhet och säkerhetskrav eller sekretesspolicy krav.

Tyvärr verkar de flesta företag sakna en tydlig färdplan. Integritetsteknikföretaget Ethyca genomförde nyligen en studie för att förstå de olika sätt som företag närmar sig integritet och efterlevnad. Rapporten visar att bara 12% av de svarande tror att de har uppnått ett tillräckligt tillstånd för efterlevnad eller efterlevnadsberedskap, vilket innebär att 88% är “inte redo”. Mer än 70% har ingen teknisk lösning och förlitar sig på arbetstimmar och eftermonterade processer. Grundläggande datakartläggning är fortfarande den största oroen för företag i ett tidigt skede. Nystartade företag har minst troligt formaliserade resurser och processer för datasekretess.

Precis som vi har sett i dataskandalen Facebook-Cambridge Analytica, kan böter enkelt läggas till. Enligt CCPA kan alla överträdare och parter som inte uppfyller kraven straffas med monetära böter om ett intrång inträffar. Från $ 750 per drabbad användare i civilskada, till $ 2500 för dem som saknar avsikt och $ 7 500 per kränkning om avsiktligt.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me