От CCPA к CPRA: 5 действенных шагов, которым должен следовать каждый бизнес
20 декабря 2022 г.1 января 2023 г. официально вступит в силу Закон штата Калифорния о правах на конфиденциальность (CPRA), который заменит действующий Закон штата Калифорния о конфиденциальности потребителей (CCPA). Для бизнеса это означает трудоемкий процесс пересмотра и оценки текущих политик и практик в отношении данных, чтобы обеспечить соответствие будущему закону.
CPRA представляет собой обновленную версию CCPA, поскольку вводит множество новых обязательств и ответственности для компаний, а также предоставляет потребителям больше прав на свои данные.
n Однако путь к соблюдению CPRA может быть не таким сложным для предприятий, если они принимают упреждающие меры, которые повышают их шансы на соблюдение требований и помогают им более эффективно выполнять свои обязательства.
Итак, вот пять действенных шагов, которые предприятия могут предпринять, чтобы добиться соответствия требованиям CPRA, начиная с CCPA:
1. Ежегодная оценка рисков & Аудит кибербезопасности
Одним из основных моментов вступления в силу CPRA является мандат, требующий регулярных и независимых проверок кибербезопасности в случаях, когда организация регулярно обрабатывает личную информацию о потребителях, которая может представлять значительный риск для их конфиденциальности или безопасности.
Кроме того, организации, участвующие в обработке такой личной информации или конфиденциальной личной информации, которые представляют такой высокий риск, должны проводить регулярную оценку рисков своих внутренних механизмов безопасности, аналогичную оценке воздействия на защиту данных (DPIA) в GDPR. п
Проведение таких оценок и аудитов является не только нормативным требованием, но регулярное и энергичное проведение таких проверок позволит организациям получить жизненно важное представление о способности существующих процедур и механизмов должным образом защищать данные своих потребителей. Кроме того, такая информация жизненно важна для выявления и устранения любых потенциальных слепых зон, которые могут представлять какую-либо угрозу для личной информации пользователей.
2. Карта ваших данных & Его источники
Что касается корректировки ваших методов работы с данными для обеспечения соответствия требованиям CPRA, это, пожалуй, самая важная часть. Предприятиям настоятельно рекомендуется провести тщательное сопоставление данных, чтобы в режиме реального времени получать ценную информацию, связанную с их запасами данных.
Это важно для обеспечения того, чтобы организации имели полное представление о своих реестрах данных, а также были готовы обеспечить, чтобы такие данные были подготовлены для обработки запросы потребительских данных. п
Аналогичным образом компания может захотеть провести оценку рисков поставщиков, чтобы убедиться, что их сторонние поставщики услуг имеют аналогичные адекватные механизмы защиты данных, чтобы упростить соблюдение требований CPRA. п
Если будут обнаружены какие-либо несоответствия, вы можете оперативно работать над их устранением или искать альтернативы.
3. Эффективно обрабатывать запросы потребителей
Хотя CCPA гарантирует потребителям ряд прав на данные, таких как право на доступ, право знать, право на удаление и право отказаться от продажи своих данных, CPRA еще больше расширяет эти права.
В соответствии с CPRA потребители будут иметь дополнительные права на исправление, переносимость, ограничение использования и раскрытия своих конфиденциальных личных данных, а также расширение права на отказ от продажи или обмена своей личной информацией. Также важно отметить, что сотрудники организации будут иметь такие же права по отношению к своим организациям.
Следовательно, организациям настоятельно рекомендуется иметь надежный и эффективный механизм для обработки запросов потребителей, связанных с их данными. Лучше всего это сделать с помощью автоматизации. Наличие надежного решения для автоматизации DSR позволит вам эффективно обрабатывать все запросы потребителей и выполнять их в установленные сроки, а также вести подробный учет таких запросов в отношении документации и соблюдения требований.
4. Понимание расширенной области
Как упоминалось выше, CPRA расширяет CCPA во многих отношениях. Введение SPI и предоставление потребителям права ограничивать продажу или обмен их личной информацией — вот некоторые из основных моментов.
Личная информация, такая как расовое и этническое происхождение, номера социального страхования, биометрические данные и геолокация, покрывается SPI.
Для SPI также требуются специальные механизмы защиты данных, такие как минимизация данных и требования к хранению, чтобы обеспечить сбор и удаление SPI только в случае крайней необходимости. должным образом, когда потребитель больше не использует его или не дал на это согласие.
5. Внедрить механизмы «Не продавать и не делиться моей информацией»
Одним из основных критических замечаний CCPA был тот факт, что организациям было предоставлено право свободно интерпретировать требования CCPA "Не продавать". Эта двусмысленность вызвала вопросы о том, обеспечиваются ли данные потребителей необходимой степенью защиты.
- Закон CPRA устраняет любую подобную двусмысленность, требуя от компаний размещать на своих веб-сайтах ссылку «Не продавать и не делиться». Кроме того, предприятия должны должным образом информировать потребителей об этом праве и о том, что будут означать их решения.
Как упоминалось ранее, несоблюдение новых обязательств CPRA может привести к большим финансовым и репутационным потерям. Следовательно, для предприятий было бы уместно скорректировать свою практику и договоренности со сторонними поставщиками и поставщиками услуг, чтобы гарантировать отсутствие продажи или обмена личной информацией, которая может противоречить требованиям, установленным CPRA.
Оригинал