CCPA-Anforderungen hinsichtlich stärkerer Datenrechte Die Probleme der Verbraucher halten Datenschutzbeauftragte auf Trab. Doch viele Unternehmen haben möglicherweise keine Zeit zum Durchatmen, bevor die nächste Runde kalifornischer Datenschutzgesetze, der California Privacy Rights Act (CPRA, auch bekannt als CCPA Version 2.0), den Datenschutz für Verbraucher – und die Vorschriften für Unternehmen – weiter ausweitet.
Warum gibt es schon neue Datenschutzbestimmungen in Kalifornien?
Einige sind der Meinung, dass das CCPA nicht weit genug ging. Insbesondere die Gruppe, die hat die CCPA ins Leben gerufen – die Californians for Consumer Privacy – schien nach der Verabschiedung des CCPA unter Reue als Verkäufer zu leiden.
„Einige der weltweit größten Unternehmen haben der Schwächung des CCPA aktiv und ausdrücklich Priorität eingeräumt“, sagt Alastair Mactaggart, der Leiter der Californians for Consumer Privacy.
Außerdem „haben sich technologische Werkzeuge so weiterentwickelt, dass sie die Daten eines Verbrauchers mit potenziell gefährlichen Folgen ausnutzen. Ich glaube, dass die Verwendung von Verbraucherdaten auf diese Weise nicht nur unmoralisch ist, sondern auch unsere Demokratie bedroht“, sagt er.
Neuer Schutz im Rahmen des California Privacy Rights Act (CPRA)
Da der CCPA offenbar geschwächt ist, legte die Gruppe die neue Abstimmungsinitiative zum California Privacy Rights Act für die Wahlen im November vor.
Die CPRA ist im Wesentlichen eine Änderung des CCPA und schlägt Gesetze vor, die bestimmte Bestimmungen des ursprünglichen Gesetzes stärken und neue Schutzmaßnahmen einführen. Dazu gehören unter anderem:
- Einrichtung einer speziellen staatlichen Datenschutzbehörde zur Durchsetzung der Datenschutzbestimmungen
- Ausweitung des Umfangs regulierter Daten
- Einführung neuer Verbraucherdatenrechte, die die Verarbeitung und Weitergabe von Daten regeln
- Änderung der Haftung bei Verstößen
- Schaffung von Anforderungen zur Datenminimierung
Kurz gesagt, die CPRA stellt eine Reihe neuer Anforderungen dar, die Unternehmen dazu zwingen werden, ihre Daten kennen und Datenintelligenz nutzen zur Unterstützung reaktionsschneller, flexibler und umfassender Datenschutzprogramme.
Neue Definitionen und Bestimmungen gemäß CPRA
Durchsetzung durch die California Privacy Protection Agency
CPRA würde die California Privacy Protection Agency gründen, die erste Behörde in den USA mit gesetzgebender Befugnis, die sich ausschließlich dem Datenschutz widmet.
Die Agentur würde die Rolle des kalifornischen Generalstaatsanwalts bei der Durchsetzung, und können nun gegen Unternehmen vorgehen, ohne ihnen eine 30-tägige Frist zur Abmilderung ihrer Verstöße einzuräumen.
Wo soll ich anfangen: In der Lage sein, schnell und effektiv auf regulatorische Anforderungen reagieren, erfüllen alle Verbraucher Datenanfragen in großem Umfang und Aktivitätsberichte.
Definition sensibler personenbezogener Daten (SPI)
„Sensible persönliche Informationen“ (SPI) ist ein neuer Begriff, der unter CPRA existieren würde.
Über personenbezogene Daten (PI) hinausZu den SPI gehören Informationen wie Sozialversicherungsnummern, Führerscheinnummern, staatliche Personalausweise, Passinformationen, genaue Geolokalisierung, Benutzeranmeldeinformationen, Finanz- und Gesundheitsinformationen, Daten zum „Sexualleben“ oder zur sexuellen Orientierung, biometrische und genetische Daten, rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft – sowie Inhalte von Post-, E-Mail- und SMS-Nachrichten.
Wo soll ich anfangen: Automatisch finden und identifizieren Ihr gesamtes SPI, wo auch immer es sich befindet – vor Ort, in der Cloud und hybrid – über alle Datenquellen hinweg, im Petabyte-Bereich.
Das Recht auf Berichtigung
Die erste der bahnbrechenden neuen Bestimmungen der CPRA zu den Verbraucherrechten ist das „Recht auf Berichtigung“. Dieses schreibt vor, dass Unternehmen den Verbrauchern die Möglichkeit bieten müssen, unrichtige Informationen, die ein Unternehmen möglicherweise über sie hat, zu aktualisieren und zu korrigieren.
Wo soll ich anfangen: Entdecken und inventarisieren alle sensiblen und persönlichen Daten, die zu einer Identität gehören – direkt und abgeleitet – für ein vollständiges Bild davon, welche Verbraucherdaten Sie sammeln.
Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten
Die zweite wichtige Bestimmung im Zusammenhang mit Datenrechten bietet Verbrauchern die Möglichkeit, den Zweck der Erhebung und Verarbeitung personenbezogener Daten auf die Zwecke zu beschränken, die für die Bereitstellung der angeforderten Waren oder Dienstleistungen erforderlich sind.
Wo soll ich anfangen: Fügen Sie Ihren Daten Kontext hinzu mit erweiterten Einstufung und Korrelation Damit können Sie Zusammenhänge aufdecken, neue Eigenschaften ableiten und Daten entsprechend ihrem Verwendungszweck betrachten.
Das Recht auf Wissen
Die CPRA hat den Umfang der CCPA-Bestimmung zum „Recht auf Information“ Dies umfasst insbesondere personenbezogene Daten, die erhoben und verkauft oder weitergegeben werden. Unternehmen müssen im Voraus offenlegen, welche Kategorien von Informationen erhoben und an Drittanbieter oder Auftragnehmer weitergegeben werden.
Wo soll ich anfangen: Inventar-SPI, Dokumentdatenflüsse und Automatisieren Sie die Prozesse zur Erfüllung des „Rechts auf Information“ für ein stärkeres Datenschutzmanagementprogramm.
Das Recht auf Löschung
CPRA präzisiert das „Recht auf Löschung“ des CCPA dahingehend, dass Drittparteien, Dienstanbieter und Auftragnehmer einer gültigen Löschungsanfrage nachkommen müssen.
Wo soll ich anfangen: Bestimmen Sie, welche Daten gelöscht werden sollen und wo sie sich befinden, und Sicherstellung einer fortlaufenden Löschvalidierung durch automatisierte Abfragen.
Nicht verkaufen
Auch die berüchtigte Vorschrift, personenbezogene Daten nicht zu verkaufen, wurde verschärft. Sie beinhaltet nun die Möglichkeit, der Weitergabe von Informationen – nicht nur dem Verkauf – für verhaltensbasierte Werbezwecke zu widersprechen.
Wo soll ich anfangen: Verfolgen und dokumentieren Sie das Präferenzmanagement, die Einwilligung und die gesamte Datenfreigabe an Dritte.
Datenminimierung und Datenaufbewahrung
Neben dem erweiterten Umfang der regulierten Informationen enthält das vorgeschlagene Gesetz auch Anforderungen zur Datenminimierung und Datenaufbewahrung. Unternehmen müssten offenlegen, wie lange sie Daten aufbewahren und sicherstellen, dass der Zeitraum nur so lang ist, wie es „vernünftigerweise notwendig“ ist.
Wo soll ich anfangen: Definieren und erzwingen Sie Datenaufbewahrungsregeln mit automatisierten Workflows und decken Sie doppelte, abgeleitete und ähnliche Daten auf, um eine datenschutzkonforme Governance und effektive Berichterstattung zu gewährleisten.
Haftung bei Datenschutzverletzungen
Die CPRA ergänzt die Haftungsbestimmungen des CCPA für Datenschutzverletzungen, um auch Verstöße einzubeziehen, die zur Kompromittierung der E-Mail-Adresse eines Verbrauchers in Kombination mit einem Passwort oder einer Sicherheitsfrage führen. Dies steht im Einklang mit einer wachsende Zahl von Staaten, wie zum Beispiel New Yorks SHIELD Act, die Benutzeranmeldeinformationen als meldepflichtige Daten einschließen. Wo soll ich anfangen?: Erkennen und korrelieren Sie persönliche Informationen wie E-Mail-Adressen mit Passwörtern, um sie besser vor potenziellen Datenlecks zu schützen. Identifizieren Sie potenziell betroffene Benutzer anhand bekannter Datenlecks, um proaktiv auf Vorfälle reagieren zu können.
Compliance-Herausforderungen mit CPRA und wie BigID helfen kann
Die Einhaltung der CPRA stellt eine Reihe praktischer Herausforderungen dar.
Das erste ist die Notwendigkeit tiefere EntdeckungHerkömmliche Ansätze zur Datenermittlung identifizieren die betroffenen Daten nicht immer, insbesondere nicht im Hinblick auf die neu definierten SPI. Die neuen Datenschutzrechte des Gesetzesentwurfs erfordern von Unternehmen ein tieferes Verständnis personenbezogener Daten im Kontext, um SPI angemessen verarbeiten, den Widerspruch gegen Verkauf und Weitergabe ermöglichen und die Nutzung dieser Daten einschränken zu können.
Die Ausweitung der Haftung für Verstöße durch das vorgeschlagene Gesetz auf E-Mail- und Passwortkombinationen gefährdet auch mehr DatenDies erfordert, dass Unternehmen in der Lage sind, Daten automatisch zu verknüpfen und zu klassifizieren und zu verstehen, wie Kennungen auf der Grundlage von Kriterien wie der Nähe miteinander in Beziehung stehen.
Die neuen Minimierungs- und Aufbewahrungsanforderungen auf Grundlage eines offengelegten Zwecks erfordern die Identifizierung doppelter und redundanter Daten. Dies erweitert in den Data-Governance-Bereich.
Mit BigID können Unternehmen diesen Herausforderungen begegnen, indem sie:
- Ihre Daten kennen: Kombinieren Sie die Identifizierung von PI und die Klassifizierung sensibler Daten
- Verstehen, wessen Daten es sind: Identitätsprofilierung und Datenindizierung, die PI und SPI abdeckt – einschließlich Geolokalisierung
- Minimieren doppelter oder sensibler Daten: Ermöglichen Sie Datenminimierung durch doppelte Identifizierung und wenden Sie Aufbewahrungsregeln für SPI basierend auf einem offengelegten Zweck an
- Verwalten von Datenrisiken: Entdecken, klassifizieren und ordnen Sie Benutzeranmeldeinformationen zu, um Kontrollen zur Reduzierung des Verletzungsrisikos anzuwenden
- Sicherstellen, dass sie die richtigen Daten weitergeben: Weitergabe an Dritte verfolgen und melden
- Berichten, wessen Daten sie haben: Aktivieren Sie Korrektur-Workflows und überprüfen Sie, ob die Geolokalisierung erfasst wird
Obwohl noch nicht feststeht, ob das CPRA offiziell in Kraft tritt, erklärte der kalifornische Außenminister kürzlich, dass das CPRA genügend Stimmen für die allgemeinen Wahlen habe. Alles, was der Gesetzesentwurf benötigt, ist, dass genügend Kalifornier im kommenden November „Ja“ sagen.
Wenn das passiert, haben Unternehmen, die sich auf die Einhaltung des CCPA konzentrieren – und diejenigen, die dies nicht getan haben – möglicherweise Nachholbedarf. Um den ständig wachsenden Eine sich weiterentwickelnde Compliance-Landschaft ist nie eine schlechte Idee.
Autor
