Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA):

Kalifornie koncem června 2018 přijala zákon AB 375 o ochraně osobních údajů spotřebitelů, který by mohl mít pro americké společnosti větší dopady než obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), jež vstoupilo v platnost v květnu 2018. Kalifornský zákon neobsahuje některé z nejobtížnějších požadavků nařízení GDPR, jako je například úzká 72hodinová lhůta, během níž musí společnost ohlásit narušení bezpečnosti. V jiných ohledech však jde ještě dál.

CCPA má širší pohled na to, co představují soukromé údaje, než GDPR. Výzvou pro zabezpečení je tedy vyhledání a zabezpečení těchto soukromých údajů.

Co je CCPA?

Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) je zákon, který umožňuje každému kalifornskému spotřebiteli požadovat zobrazení všech informací, které o něm společnost uložila, a také úplný seznam všech třetích stran, kterým jsou tyto údaje sdíleny. Kalifornský zákon navíc umožňuje spotřebitelům žalovat společnosti, pokud dojde k porušení zásad ochrany osobních údajů, a to i v případě, že k žádnému porušení nedošlo.

Kterých společností se zákon CCPA týká?

Zákon musí dodržovat všechny společnosti, které slouží obyvatelům Kalifornie a mají roční příjmy alespoň 25 milionů dolarů. Kromě toho se zákon vztahuje i na společnosti jakékoli velikosti, které mají osobní údaje alespoň 50 000 osob nebo které získávají více než polovinu svých příjmů z prodeje osobních údajů. Společnosti nemusí mít sídlo v Kalifornii ani tam nemusí být fyzicky přítomny, aby se na ně zákon vztahoval. Nemusí mít dokonce ani sídlo ve Spojených státech.

Z dubnové novely jsou vyňaty „pojišťovací instituce, agenti a podpůrné organizace“, protože ty již podléhají podobným předpisům podle kalifornského zákona o ochraně informací a soukromí v pojišťovnictví (IIPPA).

Kdy musí moje společnost dodržovat zákon CCPA?

Zákon vstoupil v platnost 1. ledna 2020, ale jeho prosazování začalo 1. července.

Co se stane, když moje společnost nebude dodržovat zákon CCPA?

Společnosti mají 30 dní na to, aby se přizpůsobily zákonu, jakmile je regulační orgány upozorní na jeho porušení. Pokud problém nevyřeší, hrozí pokuta až 7 500 dolarů za každý záznam. „Když se zamyslíte nad tím, kolika záznamů se porušení týká, tak to opravdu velmi rychle narůstá,“ říká Debra Farberová, vrchní ředitelka pro strategii ochrany osobních údajů ve společnosti BigID. Vzhledem k tomu, že návrh zákona byl sestaven a schválen během pouhého týdne, dočká se pravděpodobně ještě několika změn, dodává. „Věci jako výše pokut se pravděpodobně změní.“

Podle Farberové existuje také další potenciální finanční riziko. „Návrh zákona poprvé stanoví právo jednotlivce podat žalobu, “ říká. „A umožňuje hromadné žaloby o náhradu škody.“

Znovu existuje 30denní lhůta, která začíná běžet, když spotřebitelé písemně oznámí společnosti, že se domnívají, že byla porušena jejich práva na ochranu soukromí. „Pokud nedojde k nápravě a generální prokurátor odmítne stíhání, mohou podat hromadnou žalobu,“ říká Farber. „A netýká se to jen případů narušení bezpečnosti.“

Zákon například stanoví, že společnosti musí mít na webových stránkách jasně viditelnou patičku, která spotřebitelům nabízí možnost odmítnout sdílení údajů. Pokud tato patička chybí, mohou spotřebitelé podat žalobu. Žalobu mohou podat také v případě, že nemohou zjistit, jak byly jejich informace shromážděny, nebo získat kopie těchto informací. „Může se to týkat čehokoli,“ říká Farber.

Zákon stanoví konkrétní sankce v případě, že dojde k neoprávněnému přístupu, ať už v důsledku narušení, exfiltrace, krádeže nebo „zveřejnění v důsledku porušení povinnosti podniku zavést a udržovat přiměřené bezpečnostní postupy a praktiky.“ V současné podobě umožňuje AB 375 sankce ve výši 100 až 750 USD na spotřebitele za každý incident nebo skutečnou škodu, podle toho, která je vyšší.

„Když k tomu připočteme všechny další náklady spojené s narušením bezpečnosti – reakce IT, forenzní expertiza a obnovení, právní služby, oznamování atd. – může narušení bezpečnosti pro mnoho podniků znamenat existenční hrozbu,“ říká Chris Prevost, vedoucí architektury runtime bezpečnostních řešení ve společnosti Imperva.

Obecně platí, že pokud společnost podnikla kroky potřebné k dosažení souladu s nařízením GDPR, pak je z velké části připravena splnit podmínky kalifornského zákona o ochraně soukromí spotřebitelů. Přinejmenším je blíže, než kdyby na GDPR připravena nebyla, říká Eric Dieterich, vedoucí praxe ochrany osobních údajů ve společnosti Focal Point Data Risk, LLC. „Některé nadnárodní společnosti provedly změny pro své evropské trhy, ale možná je nepřevedly na aktivity v USA, takže může dojít ke změně rozsahu,“ říká.

Na jaké údaje se CCPA vztahuje?

Kalifornský zákon přistupuje k tomu, co jsou citlivé údaje, šířeji než GDPR. Zahrnuje například čichové informace, historii prohlížení a záznamy o interakcích návštěvníka s webovou stránkou nebo aplikací. Zde je uvedeno, co AB 375 považuje za „osobní údaje“:

• Identifikátory, jako je skutečné jméno, přezdívka, poštovní adresa, jedinečný osobní identifikátor, online identifikátor IP adresa, e-mailová adresa, název účtu, číslo sociálního pojištění, číslo řidičského průkazu, číslo pasu, nebo jiné podobné identifikátory
• Charakteristiky chráněných klasifikací podle kalifornských nebo federálních zákonů
• Komerční informace včetně záznamů o osobním majetku, zakoupených, získaných nebo zvažovaných produktech nebo službách nebo jiné nákupní či spotřební historii nebo tendencích
• Biometrické informace
• Internetové nebo jiné informace o činnosti v elektronické síti včetně, mimo jiné historii prohlížení, historii vyhledávání a informace týkající se interakce spotřebitele s webovou stránkou, aplikací nebo reklamou
• Geolokační údaje
• Zvukové, elektronické, vizuální, tepelné, čichové nebo podobné informace
• Profesní nebo pracovní informace
• Informace o vzdělání, definované jako informace, které nejsou veřejně dostupnými informacemi umožňujícími identifikaci osoby (PII), jak jsou definovány v zákoně o právech rodiny na vzdělání a soukromí (20 U.S.C. § 1232g, 34 C.F.R. Část 99)
• Závěry vyvozené z kterékoli z informací uvedených v tomto pododdílu za účelem vytvoření profilu spotřebitele odrážejícího jeho preference, charakteristiky, psychologické trendy, preference, predispozice, chování, postoje, inteligenci, schopnosti a vlohy

Novela AB 874, která v současné době čeká na podpis guvernéra, by vyňala veřejně dostupné, deidentifikované a souhrnné informace o spotřebiteli z klasifikace PII. Veřejně dostupné informace jsou definovány jako údaje dostupné a vedené z vládních záznamů

Zákon CCPA se původně vztahoval na údaje o zaměstnancích i spotřebitelích. V dubnu schválená novela však údaje o zaměstnancích z nařízení vyjímá. Další novela, AB 25, částečně vyjímá osobní údaje shromážděné od uchazečů o zaměstnání, vlastníků, ředitelů, funkcionářů, zdravotnického personálu a dodavatelů. Platnost této výjimky by skončila 1. ledna 2021. V době psaní tohoto článku čekal návrh AB 25 na podpis guvernéra.

Jaká jsou klíčová ustanovení o ochraně osobních údajů v zákoně CCPA?

Společnosti musí umožnit spotřebitelům, aby si zvolili, že jejich údaje nebudou sdíleny s třetími stranami. To znamená, že společnosti budou nyní muset být schopny oddělit shromažďované údaje podle toho, co si uživatelé zvolí z hlediska ochrany soukromí.

Kromě toho společnost sice nemůže odmítnout uživatelům stejné služby, ale může nabídnout pobídky uživatelům, kteří poskytnou osobní údaje. „Toto ustanovení se může změnit, ale jak je uvedeno dnes, dává možnost nabízet slevy lidem, kteří jsou ochotni nechat své údaje sdílet nebo prodávat třetím stranám,“ říká Dieterich. „Tradičně nejsou systémy navrženy tak, aby se vaše cenová struktura mohla měnit v závislosti na volbě ochrany osobních údajů. To je nový koncept, který má velmi technické důsledky.“

Dalším významným rozdílem oproti GDPR je, že kalifornský zákon umožňuje zákazníkům mnohem větší přístup k jejich záznamům, říká Subra Ramesh, SVP produktů společnosti Dataguise. Kalifornský spotřebitel má právo zjistit, jaké informace o něm společnost shromažďuje. Většina společností bude mít problém tyto informace dát dohromady. „Zaprvé, množství dat, která shromažďují, je již nyní obrovské a stále roste, často v hodnotě stovek až tisíců terabajtů, přičemž organizace na podnikové úrovni zpracovávají petabajty dat.“

Tato data jsou obsažena v několika úložných platformách, v různých souborových časech. „Většina nástrojů pro vyhledávání souborů postrádá schopnost vyhledávat napříč moderními ekosystémy souborových úložišť, které jsou dnes tak rozšířené,“ říká Aaron Ganek, generální ředitel společnosti Cloudtenna. „Správa souborů napříč systémy je velkou výzvou. Je obtížné pochopit kontext jednotlivých souborů, pokud jsou rozptýleny uvnitř různých úložišť.“ Navíc jsou s propojováním dat spojeny problémy s dodržováním předpisů, říká. „Starší podnikové nástroje mají potíže s dodržováním rozdílných modelů oprávnění a zabezpečení, čímž porušují samotné zákony a předpisy, které mají splňovat.“

Pak je tu časový limit. „Po žádosti o přístup má společnost 45 dní na to, aby jim poskytla komplexní zprávu o tom, jaký typ informací má, zda a komu je prodala, a pokud je za posledních 12 měsíců prodala třetím stranám, musí uvést jména a adresy třetích stran, kterým údaje prodala,“ říká John Tsopanis, produktový manažer ochrany osobních údajů ve společnosti 1touch.io. „To v Evropě nemůžete udělat.“

Protože se pravidlo vztahuje na záznamy za předchozích 12 měsíců, musí podle něj společnosti začít s jeho dodržováním za šest měsíců. Poté, 1. ledna 2020, musí každá společnost zveřejnit každou další společnost, které prodává údaje. „Navždy to změní prostředí ochrany osobních údajů v Americe,“ říká Tsopanis.

Co znamená zákon CCPA pro bezpečnost?

Zákon 375 je ve srovnání s nařízením GDPR méně náročný na požadavky týkající se bezpečnosti a reakce na narušení. Jak již bylo uvedeno, zákon definuje sankce pro společnosti, které vystaví údaje spotřebitelů v důsledku narušení nebo selhání zabezpečení. Umožňuje také soudům nabídnout „soudní příkaz nebo deklaratorní úlevu“ nebo „jakoukoli jinou úlevu, kterou soud považuje za vhodnou“.

Podniky nejsou podle AB 375 povinny hlásit narušení a spotřebitelé musí podat stížnost, aby bylo možné uložit pokutu. Nejlepším postupem pro zabezpečení je tedy vědět, jaké údaje AB 375 definuje jako soukromé údaje, a přijmout opatření k jejich zabezpečení. Opět platí, že každá organizace, která splňuje požadavky nařízení GDPR, pravděpodobně nemusí přijímat další opatření, aby splnila požadavky nařízení AB 375, pokud jde o zabezpečení dat.

Požadavky nařízení AB 375 týkající se sledování, přístupu a ukládání dat znamenají, že bezpečnostní týmy budou muset úzce spolupracovat se správci databází, říká Terry Ray, senior viceprezident a spolupracovník společnosti Imperva, dodavatele kybernetické bezpečnosti. Jakékoli nástroje vybrané pro řešení problému AB 375 budou muset mít nejen plný přehled o datech uložených v celém heterogenním podnikovém prostředí, ale také zajistit, aby byl přístup k těmto datům řádně zabezpečen. „A konečně budou muset tyto nástroje spolupracovat s novým spotřebitelským portálem tím, že budou sdílet konkrétní spotřebitelská data s ověřitelným spotřebitelem, který o ně požádá,“ říká.

Pokud jsou data uložena u poskytovatelů cloudových služeb, problém se jen zhoršuje. Zaměstnanci si například mohou zřídit účet pro sdílení souborů, aby mohli sledovat marketingové nebo obchodní kontakty. „Není překvapivé, že velké technologické společnosti jako Google a Facebook se postavily proti návrhu zákona,“ říká Kevin Bocek, viceprezident pro bezpečnostní strategii a analýzu hrozeb ve společnosti Venafi. „Kontrola soukromí a osobních informací, které proudí mezi stroji, je neuvěřitelně obtížná a představuje velkou výzvu pro všechny podniky.“

Práce v procesu

Návrh zákona byl sestaven za pouhých sedm dní, protože zákonodárci se chtěli vyhnout volební iniciativě na přijetí ještě přísnějšího zákona, proti kterému se postavilo mnoho technologických společností. „V současné době si mnohá ustanovení a definice vzájemně odporují,“ říká Andy Dale, hlavní právní poradce a viceprezident pro globální ochranu osobních údajů ve společnosti SessionM.

Jednou z problematických oblastí je, zda může společnost účtovat spotřebitelům různé ceny na základě jejich nastavení ochrany osobních údajů. Mnoho společností má například možnost, kdy spotřebitel může přejít na placenou úroveň, kde nevidí žádné reklamy. Zde je zákon v současné podobě poněkud rozporuplný.

„Pokud spotřebitel uplatní svá práva podle nařízení, nemohou mu podniky poskytnout jinou úroveň nebo kvalitu produktu, zboží nebo služby,“ říká Pravin Kothari, generální ředitel společnosti CipherCloud. „Na druhou stranu podle nařízení není podnikům zakázáno účtovat spotřebiteli jinou cenu nebo sazbu nebo mu poskytovat jinou úroveň či kvalitu zboží nebo služeb, pokud tento rozdíl přiměřeně souvisí s hodnotou, kterou spotřebiteli poskytují jeho údaje.“

Vypadá to, že Kalifornie se snaží definovat rámec, v němž spotřebitelé mohou dostat zaplaceno za sdílení svých údajů, říká Kothari. „V této oblasti je legislativa poněkud vizionářská,“ říká. „Uvidíme v praxi, jak to bude skutečně fungovat.“

Více o CCPA:

• 9 otázek k CCPA, na které by měl být každý CISO připraven odpovědět
• CCCPA je příležitost udělat si pořádek v zabezpečení dat
• Co je to „přiměřené zabezpečení“? A jak tento požadavek splnit
• Zacházejte s ochranou údajů spotřebitelů vážně
• Jak vlastnictví údajů občany ovlivní podnikání do budoucna

.