Если ваши бизнес связан с заработком в интернете за рубежом, то информация о соблюдении конфиденциальности данных в 2023 году будет вам очень полезной.
Независимо от уровня зрелости программ управления данными и конфиденциальности вашей организации, вам следует ознакомиться с изменениями, которые произойдут в 2023 году, или уже произошли.
Чтобы убедиться, что вы сможете выполнить новые или меняющиеся требования с точки зрения интернет-маркетинга и обеспечить соответствие требованиям ваших интернет-магазинов, сайтов и партнерских программ.
Конфиденциальность данных для сайтов в США в 2023 году
Если ваша организация расположена, работает или обслуживает потребителей в стране, где действуют законы о защите частной жизни (а именно в Калифорнии), вы, вероятно, знакомы с текущими требованиями. Однако грядут важные изменения.
Ввиду отсутствия всеобъемлющего федерального закона, четыре штата последовали примеру Калифорнии. Эти штаты - Колорадо, Коннектикут, Юта и Вирджиния - в этом году приняли законы о конфиденциальности, которые вступят в силу в 2023 году. Калифорнии также предстоят важные обновления в 2023 году.
Имейте в виду, что даты вступления в силу и сроки исполнения законов этих штатов различны, как и "периоды лечения". Эти сроки дают сторонам (в данном случае организациям, на которые распространяется действие закона о конфиденциальности) законное право исправить свои ошибки и принять меры для обеспечения соответствия.
В то время как в некоторых штатах периоды исправления неограниченны, есть несколько исключений.
Калифорнийский закон о правах на конфиденциальность (CPRA)
CPRA изменяет и расширяет Закон Калифорнии о защите частной жизни потребителей (CCPA) и вступил в силу 1 января 2023 года.
Однако только с 1 июля он начнет действовать - это включает в себя создание новых требований, прав потребителей на конфиденциальность и механизмов обеспечения соблюдения для соответствующих организаций.
К числу изменений, которые повлечет за собой CPRA, относятся:
• Добавление специальных категорий информации, таких как персональные идентификаторы, которые включают такие данные, как номера социального страхования или водительских прав, точную информацию о геолокации, расовое или этническое происхождение, генетические данные, биометрические данные и многое другое;
• Новые требования к данным, принадлежащим несовершеннолетним, и введение автоматических штрафов за нарушения, связанные с данными, принадлежащими несовершеннолетним;
• Установление ограничений на сбор и хранение данных;
• Расширение индивидуальных прав, включая право на исправление неточной информации, имеющейся у компаний, и право на ограничение использования и раскрытия конфиденциальной информации в список прав CCPA;
• Внедрение механизмов правоприменения, включая недавно созданное Калифорнийское агентство по защите частной жизни;
• И многое другое.
Подготовка сайтов к соблюдению требований CRPA
Подробнее о шагах, которые необходимо предпринять для подготовки к CPRA… Закон также расширяет перечень прав работников и их данных, включая порядок обращения с личной информацией в сфере бизнеса (B2B).
На рабочие места и предприятия B2B теперь будут распространяться те же строгие правила конфиденциальности Калифорнии, что и на личную информацию потребителей.
Это означает, в частности, что сотрудники организации должны быть уведомлены о своих правах в соответствии с CPRA и иметь возможность сообщить работодателю об использовании этих прав. Работодатель также имеет ограниченное время для ответа на запрос и должен надлежащим образом документировать все ответы, как это требуется в отношении потребителей.
Закон штата Вирджиния о защите данных потребителей (VCDPA)
VCDPA принят, дата вступления в силу и применения - 1 января 2023 года. В этом законе есть много общего с калифорнийским законом CPRA, а также те области, которые вдохновлены Общим регламентом ЕС о конфиденциальности данных (GDPR).
Однако этот закон штата достаточно сильно отличается от GDPR, чтобы требовать индивидуальной стратегии соответствия.
Закон о конфиденциальности Колорадо (CPA)
CPA вступает в силу в 2023 году. Этот закон во многом создан по образцу закона Вирджинии, но также пересекается с CCPA и CPRA Калифорнии. Дата вступления в силу CPA - 1 июля 2023 года, а не 1 января.
Закон о конфиденциальности Колорадо (CPA) не добавляет и не расширяет значительных новых требований, которые не рассматриваются в других законах штата о конфиденциальности.
CPA будет применяться к коммерческим и некоммерческим организациям, которые ведут бизнес в Колорадо или предоставляют коммерческие продукты или услуги, предназначенные для жителей Колорадо.
Кроме того, чтобы попасть под действие CPA, организация должна превысить один из следующих порогов:
• Обрабатывать персональные данные более 100 000 потребителей в течение любого календарного года;
• Получать доход или скидки на товары или услуги в обмен на продажу персональных данных 25 000 или более потребителей.
Поставщики услуг, подрядчики и продавцы, которые управляют, поддерживают или предоставляют услуги, связанные с заработком в интернете и данными от имени этих компаний, также подпадают под действие нового закона.
Одним из отличий этого закона является то, что он имеет самый длительный период действия права на судебную защиту, который составляет 60 дней. Срок действия этого положения истекает 1 января 2025 года.
В течение этого периода генеральный прокурор должен уведомить и дать возможность устранить любое нарушение, прежде чем принимать принудительные меры, но имейте в виду, что с 1 января 2025 года они могут действовать без такого уведомления.
Закон штата Юта о защите частной жизни потребителей (UCPA)
UCPA - самый поздний из этой группы, дата вступления в силу и применения - 31 декабря 2023 года. UCPA в значительной степени создан по образцу VCDPA, но также пересекается с CCPA/CPRA.
В нем также используются такие категории, как "контроллер" и "процессор", аналогично GDPR и VCDPA. И наконец, UCPA, как и CPA, не имеет бессрочного периода лечения - его срок истекает 31 декабря 2024 года.
В отличие от других штатов, Юта включила минимальный порог дохода и дополнительные пороги, которые должны применяться, чтобы организация подпадала под действие UCPA.
UCPA распространяется на коммерческие организации, которые ведут бизнес в штате Юта или предлагают продукты и услуги жителям штата Юта, имеют годовой доход не менее 25 миллионов долларов США и соответствуют одному из дополнительных пороговых требований.
К этим двум пороговым требованиям относятся:
• Ежегодно контролировать или обрабатывать персональные данные 100 000 или более жителей штата Юта;
• Получать более 50 процентов своего валового дохода от "продажи" персональных данных и контролировать или обрабатывать персональные данные 25 000 или более потребителей.
Обратите внимание, что UCPA исключает определенные типы данных, включая общедоступные данные или данные, подпадающие под действие других нормативных актов, таких как Закон о переносимости и подотчетности медицинского страхования (HIPAA).
Он также исключает определенные организации, такие как организации, подпадающие под действие Закона о справедливом кредитном информировании или Закона Грамма-Лича-Блайли.
Закон о защите данных штата Коннектикут (CTDPA)
CTDPA вступает в силу и применяется с 1 июля 2023 года. Он также создан по образцу CPA, VCDPA и UCPA.
Есть некоторые сходства с CPRA, например, прямой запрет "темных шаблонов", которые представляют собой обманчивые методы дизайна, используемые на сайтах и в приложениях, которые заставляют пользователя совершать действия, которые он не собирался совершать, например, покупать или подписываться на что-либо.
CTDPA допускает совместное правоприменение между Калифорнией и Колорадо. Это отличный пример того, как в отсутствие федерального стандарта конфиденциальности штаты начали не только разрабатывать законодательство, но и работать вместе, чтобы координировать правоприменительные законы о конфиденциальности.
Еще одним отличием CTDPA от более новых нормативных актов, таких как VCPDA и CPA, является его позиция в отношении защиты данных детей.
Закон гласит, что организации не могут обрабатывать персональные данные в целях целевой рекламы или продавать персональные данные без согласия при обстоятельствах, когда организации известно, что данные принадлежат потребителю в возрасте от тринадцати до шестнадцати лет.
Соблюдение конфиденциальности данных в Европе в 2023 году
В 2022 году был принят Закон ЕС об управлении данными (DGA), который облегчает доступ к данным и обмен ими с государственным сектором.
Это еще один аспект поступательного движения вперед в Европе, направленного на создание экономики данных при соблюдении прав, конфиденциальности и свободы субъектов данных.
После 15-месячного льготного периода этот закон вступит в силу в сентябре 2023 года. Хотя DGA не касается исключительно персональных данных, он окажет значительное влияние на Общее положение о защите данных (GDPR).
Поскольку определение данных в DGA также включает персональные данные, определенные в GDPR, оба нормативных акта могут применяться одновременно.
Выполнив следующие шаги, вы сможете обеспечить соответствие требованиям конфиденциальности данных в 2023 году.
1. Создайте систему управления конфиденциальностью.
Благодаря существующим и появляющимся законам о конфиденциальности данных, обеспечение соответствия требованиям по-прежнему остается сложной задачей.
Чтобы соответствовать требованиям соответствия, организациям следует активизировать свою деятельность по управлению конфиденциальностью путем внедрения процессов и мероприятий по управлению, которые поддерживают:
• Подотчетность;
• Полномочия;
• Управление рисками;
• Обеспечение.
Подтвердите, что ваша организация располагает соответствующими ресурсами, политиками и стандартами для поддержания соответствия в условиях меняющихся законов о конфиденциальности.
2. Ведение реестра данных.
Чтобы обеспечить точность, полноту и своевременность инвентаризации персональных данных, создайте и поддерживайте подробный реестр персональных данных. Это обеспечит полное понимание вашей организацией источников собираемых персональных данных и способов их использования.
3. Определите чувствительные персональные данные.
В зависимости от закона о конфиденциальности данных, чувствительные персональные данные могут подлежать различному обращению по сравнению с другими типами персональных данных.
Например, вам может потребоваться:
• Раскрыть информацию о сборе чувствительных персональных данных;
• Ограничить их использование;
• Предоставить пользователям возможность отказаться от участия или отказаться от участия.
Внедрить процедуры по ограничению использования чувствительных персональных данных, а также получать и отслеживать согласие на их использование.
4. Проводите PIA или DPIA.
Оценки воздействия на частную жизнь (PIA) или оценки воздействия на защиту данных (DPIA) должны проводиться в любое время:
• Ваша организация начинает новый проект, который может подвергнуть риску персональные данные;
• Происходят значительные изменения в существующих программах или мероприятиях, связанных с персональными данными.
Внедрите последовательные процессы для PIA и DPIA и обучите персонал соответствующим образом.
5. Получайте согласие на обработку персональных данных несовершеннолетних.
При продаже, передаче или обработке персональных данных несовершеннолетних вы должны получить соответствующее согласие. Убедитесь, что ваши уведомления о конфиденциальности написаны понятным, соответствующим возрасту языком, и что у вас приняты повышенные меры безопасности для защиты конфиденциальных данных несовершеннолетних.
6. Сообщайте о передаче данных третьим лицам.
Если вы продаете или передаете данные третьим лицам с целью целевой рекламы, некоторые юрисдикции могут потребовать от вашей организации раскрытия этой информации. Предоставьте людям возможность отказаться от сбора, обработки, продажи или совместного использования персональных данных, а также дайте четкое уведомление о том, что информация не продается.
7. Обновляйте свои уведомления о конфиденциальности.
Все ваши уведомления о конфиденциальности должны быть:
• Легко читаемыми;
• Доступными на языках, на которых ваша организация ведет бизнес;
• Доступными для людей с ограниченными возможностями в соответствии с общими отраслевыми стандартами;
• Соответствовать действующему законодательству о конфиденциальности данных.
Время от времени пересматривайте свои уведомления о конфиденциальности, чтобы убедиться, что они читабельны, доступны и актуальны, а также информируйте своих сотрудников об этих обновлениях.
8. Убедитесь, что ваша политика минимизации и хранения данных прошла проверку на соответствие стандартам.
Сколько данных вам действительно нужно? Согласно лучшим практикам в области конфиденциальности, ответ прост: только то, что необходимо. Все нормативные акты США о конфиденциальности, а также GDPR требуют, чтобы вы ограничивали объем собираемых данных тем, что "разумно необходимо" для достижения заявленных целей сбора.
9. Тщательно оценивайте поставщиков.
Ваш бизнес в своей работе полагается на поставщиков, но в процессе налаживания отношений вы можете предоставлять доступ к информации о потребителях. Очень важно убедиться, что в договорах с поставщиками четко прописано, как эта информация может быть использована, чтобы вы могли соблюдать законы о конфиденциальности.
10. Управление индивидуальными запросами на предоставление прав (DSARs).
Знают ли ваши клиенты о правах, на которые они имеют право в отношении своей личной информации? Эта информация, включая возможные действия, которые они могут предпринять, должна быть четко изложена в вашем уведомлении о конфиденциальности.
Вы также должны:
• Установить соответствующие внутренние процедуры для обработки индивидуальных запросов о правах, включая сроки и процессы обжалования;
• Получать и хранить согласия в соответствии с действующими нормативными актами;
• Регистрировать и отслеживать записи DSAR;
• И многое другое.
11. Установите баннеры cookie.
Баннеры cookie - это более сложная задача, чем можно предположить. Требования к баннерам для cookies варьируются в зависимости от региона, поэтому очень важно установить их соответствующим образом. Убедитесь, что ваши ссылки соответствуют изменениям, внесенным CPRA.
12. Обучите свою команду осведомленности о конфиденциальности.
У вас могут быть самые лучшие на планете политики и процедуры обеспечения конфиденциальности, но если ваша команда не знает, как их использовать или почему они важны, толку от них будет мало.
В 2023 году проведите тщательное (и непрерывное) обучение по вопросам конфиденциальности для всех сотрудников. Обеспечьте, чтобы обучение было ориентировано на конкретные отделы и различные уровни ответственности за управление личной информацией.
13. Удостоверьтесь в надежности методов обеспечения безопасности.
Программы обеспечения безопасности и конфиденциальности выигрывают, когда они тесно взаимодействуют в достижении целей организации. Сделайте приоритетом внедрение и документирование комплексных процессов, процедур и политик безопасности для обеспечения защиты личной информации.
14. Обеспечьте устойчивое соответствие.
Соблюдение требований конфиденциальности - это не одноразовое мероприятие. Чтобы действительно добиться эффективной программы обеспечения конфиденциальности, способной противостоять меняющемуся ландшафту, необходимо определить стратегии, позволяющие сделать ее устойчивой.
Это должно включать в себя такие шаги, как:
• Согласование конфиденциальности с миссией вашей организации;
• Установление четких рамок конфиденциальности;
• Выделение соответствующих ресурсов на обеспечение конфиденциальности;
• И многое другое.
Надеюсь, что эта информация будет для вас своевременной и полезной. Всем – Добра!
Еще советуем:
