Hvordan Californiens Forbrugerbeskyttelseslov Vil Påvirke Små Virksomheder

2023 Forfatter: Susan Creighton | [email protected]. Sidst ændret: 2023-07-30 19:06

Californien vedtog sin California Consumer Privacy Act (CCPA) den 28. juni 2018. Det er en lov, der beskytter forbrugernes rettigheder til privatlivets fred i staten. I lighed med Europas almindelige databeskyttelsesforordning (GDPR) vil CCPA påvirke mange virksomheder, der indsamler personlige oplysninger fra dem i Californien. Loven tillader kaliforniere, der er kendt for at være tvangsfuldmægtigede, sagsøge virksomheder, hvis deres personlige oplysninger kompromitteres i forbindelse med et dataovertrædelse.

Det træder i kraft 1. januar 2020, men de fleste virksomheder ved ikke, hvordan det vil påvirke dem. En nylig undersøgelse foretaget af ESET påviste 625 forretningsejere og ledere for at måle forretningsberedskaben til denne regulering. Næsten halvdelen (44, 2%) havde aldrig hørt om CCPA. Kun 11, 8% ved, om loven finder anvendelse på dem, og 34% er usikre på, om de har brug for at ændre, hvordan de indfanger, gemmer og behandler data.

Det er værd at bemærke, at 2018 var det næstbedste år for dataovertrædelser ifølge Risikobaseret sikkerhed. Der var 6.500 rapporterede overtrædelser, herunder ca. 5 milliarder poster, lige fra mega-overtrædelser af virksomheder som Facebook til meget mindre.

Her er alt hvad du har brug for at vide om handlingen, og hvad du kan gøre for at forberede dig som ejer af en lille virksomhed.

Matt Dumiak, direktør for privatlivets fred hos CompliancePoint, og Greg Sparrow, senior vice president og general manager for CompliancePoint, sagde, at CCPA er et lovforslag, der kræver, at virksomheder implementerer nye politikker og procedurer for at sikre beskyttelsen af personlige oplysninger. Dette inkluderer privatlivspolitikker, sikkerhedsbeskyttelse og lettelse af forbrugerrettigheder.

Virksomheder er dog ikke forpligtet til at respektere alle forbrugeranmodninger. De skal analyseres for at sikre, at virksomheden kun respekterer dem, der er gældende, sagde de.

Ifølge CCPA-webstedet beskytter handlingen følgende forbrugerrettigheder:

• Ret til at kende alle data indsamlet om dem, herunder hvilke kategorier af data, og hvorfor de erhverves, inden de indsamles, og eventuelle ændringer i deres samling
• Ret til at nægte salg af deres oplysninger
• Ret til at anmode om sletning af deres data
• Mandatret til opt-in før salg af oplysninger til børn under 16 år
• Ret til at kende kategorierne af tredjepart, som deres data er delt med, samt dem, som deres data er erhvervet fra
• Håndhævelse af retsadvokaten for staten Californien
• Privat ret til handling skal overtræde for at sikre, at virksomhederne holder deres oplysninger sikre

Dumiak og Sparrow sagde, at virksomheden har 45 dage til at besvare forbrugernes anmodninger; og eventuelle skader, der opstår på grund af et brud, er begrænset til $ 750 pr. forbruger pr. hændelse.

CCPA havde, før den var i ændring med forsamlingsproposition 375, oprindeligt strengere regler, der måske næsten havde lammet techindustrien, der har trives i Californiens Silicon Valley. Men Dumiak og Sparrow bemærkede, at den officielle CCPA giver virksomhederne et 30-dages vindue til at ændre eventuelle overtrædelser, så længe de kan bevise, at de er blevet ændret, og at der ikke mere vil ske. I modsat fald kan overtrædere have en sanktion på op til $ 7.500 pr. Forsætlig overtrædelse.

Dumiak og Sparrow bemærkede, at regningen vil gælde for "enhver virksomhed, der tjener $ 25 millioner i indtægter om året, sælger 50.000 forbrugerregistre om året eller henter 50% af sin årlige indtægt fra at sælge personlige oplysninger." Dette inkluderer virksomheder, der indsamler eller sælger personlige oplysninger fra forbrugere i Californien, uanset hvor virksomheden selv befinder sig.

Den gennemsnitlige årlige indtægt for en lille virksomhed er mindre end $ 25 millioner. Faktisk for virksomheder med mellem 20 og 99 ansatte er den gennemsnitlige omsætning $ 7.124.000 millioner ifølge Quickbooks. Selvom de kvalifikationer, der berøres af denne regning, muligvis udelukker mange små virksomheder, betyder det ikke, at du ikke skal forberede dig.

"CCPA giver små virksomheder incitament og motivation til at begynde at tænke på de personoplysninger, der behandles og beskyttes inden for deres forretningsmiljø, " sagde Dumiak. "De fleste organisationer føler sig begrænset af ressourcer, og små virksomheder er ikke forskellige, hvis ikke mere."

"Californiens lov vil hæve søjlen markant, og dette vil ikke være sidste gang, det hæves, da stater forsøger at efterligne EU's nye GDPR, " tilføjede Robert Cattanach, en partner i Dorsey & Whitney, der hjælper klienter med at navigere i lovgivningsmæssig lov. "Denne foranstaltning vil sandsynligvis øge retssager, når flere forbrugers rettigheder oprettes og udvides."

Men den manglende opmærksomhed kan føre til en manglende overholdelse, hvilket kan udsætte virksomhederne for betydelige økonomiske sanktioner.

"Det er klart, at virksomheder er forvirrede over denne kommende regulering, de ved ikke, om de er underlagt loven, og hvad de skal gøre for at blive kompatible, " sagde Tony Anscombe, global sikkerhedsevangelist ved ESET. "Sanktionerne vil være alvorlige, og den økonomiske skade kan være alvorlig for disse virksomheder. Virksomheder bør især fokusere på det 'rimelige sikkerhed' aspekt af loven ved at sikre, at de har strenge processer og praksis på plads, herunder stærk endepunktbeskyttelse og kryptering, gennem deres organisation. " [Er du på markedet for internetsikkerhed og antivirussoftware til din lille virksomhed? Se vores anmeldelser og de bedste valg.]

Mens Californien kun er en stat, spreder dens reguleringer opmærksomhed og opfordrer ligesindede til at tale og gribe ind. Virksomheder bør forvente, at lignende love vil blive vedtaget over hele landet i de næste par år. Faktisk vedtog Nevada en ændring af sin online privatlivslovgivning, der krævede virksomheder at tilbyde forbrugere en ret til at fravælge salget af deres personlige oplysninger. Det træder i kraft 1. oktober 2019. New York, Washington og Texas indførte hver for sig lignende regninger som CCPA. En føderal privatlivslovgivning er stadig til behandling i Washington, DC.

"Kongressen vil føle pres fra både fortalere for privatlivets fred for at støtte de rettigheder, der er skabt af Californien, og virksomhederne for at forsøge at bringe ensartethed til det, der i stigende grad er et dynamisk udviklende politikområde, " sagde Cattanach. "Hovedpunkterne er, at dette udnytter de koncepter, der er indeholdt i GDPR, og det er bestemt, at de bliver valgt som standard af andre stater."

CCPA træder i kraft i januar 2020, så små virksomheder har lidt tid til at forberede sig. Men ikke meget. For at gøre dette, sagde Dumiak, skulle de gennemgå forretningsområder, herunder:

• Holdning til informationssikkerhed
• Behandling af personoplysninger
• Ændring af adgangsanmodninger
• Andre gældende rettigheder eller krav

"Ydermere vil bøder og privatretlige handlinger, når de har indflydelse på enhver organisation, sandsynligvis være en større procentdel af deres indtægter og mere indflydelse på forretningsdrift og indtægter, " sagde Dumiak. "Mens mange ser regulering som en hovedpine, er denne regulering en fantastisk mulighed for organisationer, små og store, til at få tiltrængt ressourcehjælp i sikkerheds- og forretningsdrift."

Hvis din lille virksomhed ikke allerede har ansat en konsulent til databehandling for at sikre, at din virksomhed er i overensstemmelse med GDPR, kan det nu være tid til at undersøge en sådan professionel. Det kan være en god ide at kigge efter nogen, der er certificeret af International Association of Privacy Professionals (IAPP). Det er det største og mest omfattende globale informationssikkerhedsfællesskab, der indeholder omkring 40.000 medlemmer.

Selv hvis du allerede er kompatibel, er det værd at holde øje med Californiens regler, da der i øjeblikket er to regninger, der er under overvejelse, der vil udvide CCPA. Og der overvejes ni regninger, der ville indsnævre CCPA's rækkevidde.