Оно живое! Подготовьтесь к правилам CPRA и новому законодательству о конфиденциальности данных

Законодательство о конфиденциальности данных набирает обороты: более всеобъемлющие законопроекты о конфиденциальности были предложены и приняты на уровне штатов, чем когда-либо прежде. Но ни один из них не является столь масштабным, как то, что происходит в штате Калифорния.

Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA) вступил в силу 1 января 2023 г., и его применение начнется 1 июля 2023 г. CPRA представляет собой как разъяснение, так и расширение первоначального Калифорнийского закона о конфиденциальности потребителей (CCPA); вместе они составят самые строгие законы о конфиденциальности в стране.

Что это значит для вашего бизнеса? Во-первых, если ваша маркетинговая стратегия находится под угрозой несоблюдения, и вы ведете какой-либо бизнес (включая онлайн-продажи) в штате Калифорния, вам необходимо поставить конфиденциальность на первое место в списке приоритетов.

Обзор: CPRA против CCPA и другие законы о конфиденциальности данных вступят в силу в 2023 г.

Вы, вероятно, знаете о множестве измененных сроков и скорректированных графиков вокруг CPRA, которые были объявлены в конце 2022 года, но они не меняют ранее установленный график принудительного исполнения. Итак, приступим к делу.

CPRA был мерой голосования, которая возникла из-за того, что в первоначальном CCPA были серые зоны, которые оставили без ответа многие вопросы, особенно в отношении определения личной информации (PII) и различных типов сбора данных.

Проволочное колесо

Другие законы штата о конфиденциальности за пределами Калифорнии, вступающие в силу в 2023 году:

• Закон штата Колорадо о конфиденциальности (CPA): вступает в силу 1 июля 2023 г.
• Закон штата Коннектикут о конфиденциальности персональных данных и онлайн-мониторинге (CTDPA): вступает в силу с 1 июля 2023 г.
• Закон штата Юта о конфиденциальности потребителей (UCPA): вступает в силу 31 декабря 2023 г.
• Закон штата Вирджиния о защите данных потребителей (CDPA): вступает в силу с 1 января 2023 г.

Как и CPRA, законы всех этих штатов содержат положения о правах потребителей, а также собственные толкования того, что составляет конфиденциальную личную информацию. Но очень важно знать, что все они разные. Не существует универсального решения для соблюдения конфиденциальности в разных штатах.

Вот где вступает в игру ваш юридический отдел. Вам необходимо наладить регулярную связь с вашим юридическим отделом, чтобы быть в курсе новых правил и норм, которые могут повлиять на ваш бизнес в этом году и в будущем.

Изменения: CPRA изменило правила в отношении PII и обмена данными.

Хотя CPRA уже действует, окончательные правила, основанные на измененных правилах, не будут опубликованы до апреля 2023 года после небольшой задержки со стороны Калифорнийского агентства по защите конфиденциальности (CPPA).

Некоторые из изменений в соответствии с CPRA включают ужесточение ограничений на обмен данными и предоставление более четких указаний о том, как маркетологи могут использовать то, что закон определяет как «потенциально конфиденциальную» личную информацию, в том числе:

• Номер социального обеспечения или водительского удостоверения
• Государственное удостоверение личности или номер паспорта
• Данные для входа потребителя
• Геолокация
• Финансовые счета, включая номера дебетовых/кредитных карт вместе с любой проверкой или паролем, привязанным к учетной записи.
• Раса
• Этническая принадлежность
• Религия
• Генетические данные
• Биометрические данные
• Частные сообщения
• Сексуальная ориентация
• Информация о здоровье

Одним из самых больших споров, которые привели к CPRA, была двусмысленная формулировка требования CCPA «Не продавать». В соответствии с новым законом предприятия теперь должны позволить потребителям отказаться как от продажи, так и от обмена своей информацией с обязательной опцией «Не продавать и не делиться моей информацией» на своих веб-сайтах.

Если вы делитесь данными с третьей стороной, которая изначально не была уполномочена, вы обязаны по закону разрешить пользователям отказаться. Есть две части, которые следует учитывать:

• Настоящая личность: личная информация пользователя (PII), которая собирается на месте.
• Пассивная идентификация: файлы cookie и идентификаторы браузера или все, что автоматически отслеживает пользователей.

В то время как текущие правила дорабатываются, вы можете ожидать дополнительных правил в будущем. Раздел 1798.185 CPRA уполномочивает CPPA «добиваться широкого участия общественности и принимать правила для достижения целей этого раздела (CPRA)». Это дает широкие возможности для дополнительных правил и ограничений, начиная от добавления новых категорий личной информации, связанных с конфиденциальностью данных, и заканчивая установлением новых процедур, связанных с обменом личной информацией и отказом от продажи личных данных.

По сравнению с законами, вступающими в силу в других четырех штатах, Калифорния предлагает наибольшую правовую защиту конфиденциальности данных потребителей. Но помните: соблюдение требований в Калифорнии не означает автоматически соблюдение требований в других местах.

OneTrust

Последствия: чего ожидать от исполнения CPRA

В соответствии с CCPA правоприменение оставалось под большим вопросом, но ожидайте, что Калифорния поднимет жар с помощью CPRA. Штраф в размере 1,2 миллиона долларов, наложенный на Sephora за нарушение CCPA в 2022 году, должен послужить предупредительным выстрелом для брендов, которые думали, что могут пройти мимо.

В случае, если вы не были уверены, серьезно ли относится к Калифорнии, создание CPPA должно быть явным признаком; они перейдут к Генеральному прокурору Калифорнии (AG) по надзору за соблюдением, будущими правилами и штрафами за нарушения закона. CPRA также отменяет 30-дневный период «исправления» перед штрафом за нарушение, вместо этого оставляя его на усмотрение AG и/или CPPA на основании намерения (или отсутствия такового) организации нарушить закон.

OneTrust

Менее очевидно, как будет действовать правоприменение в четырех штатах, где законодательство вступает в силу впервые; что мы знаем, так это то, что и правоприменение, и наказания будут разными в каждом штате. Будь то в Калифорнии или где-либо еще, нарушения будут иметь последствия, которые могут нанести финансовый ущерб вашему бизнесу и поставить под угрозу вашу репутацию в глазах ваших клиентов.

Соответствие CPRA: как работать с вашей командой юристов

Что бренды могут сделать сейчас, так это действовать так, как будто окончательные правила и правоприменение уже действуют. Если вы не уверены, что это значит, свяжитесь со своим юридическим отделом и поищите способы совместной работы, чтобы убедиться, что ваш бизнес соответствует требованиям.

Есть несколько способов начать работу с вашей юридической командой:

• Сопоставьте свои хранилища данных: даже организации с усовершенствованными процессами управления данными и хранения могут обнаружить, что некоторые данные разрознены внутри их организации. Крайне важно разработать всеобъемлющую карту, определяющую, какие данные хранятся, где они хранятся и для чего предназначено хранилище. В идеале вы хотели бы разрушить эти разрозненные хранилища, но первый шаг — выяснить, где находятся данные.
• Предоставляйте исчерпывающую информацию о прецедентах: юридические команды часто стремятся полностью заблокировать потоки данных, если они могут создать риск для организации. Например, при отсутствии контекста юридические группы могут посоветовать своим командам включить ограниченную обработку данных в аккаунте Google Рекламы. Фактически это будет применяться ко всем жителям, на которых распространяются региональные законы о данных, а не только к тем, кто воспользовался своим правом на отказ. Хотя этот подход может обеспечить абсолютную юридическую защиту, он также повлияет на эффективность маркетинга (и это то, что бренды должны будут понять, чтобы определить правильный баланс между этими компромиссами). прямой видимости, чтобы они могли поддерживать всеобъемлющую и актуальную политику конфиденциальности на вашем веб-сайте, отражающую характер того, как эти данные используются сегодня (многое может измениться всего за несколько месяцев!)
• Рассчитайте предполагаемое влияние мер соответствия: если вы блокируете все отслеживание для потребителей в данном регионе, рассчитайте предполагаемую область охвата и предоставьте различные сценарии потери эффективности. Например, если у вас есть 100 000 клиентов в год и 12 % из них находятся в Калифорнии, вы можете использовать существующие данные о цене за приобретение (CPA), чтобы продемонстрировать влияние снижения эффективности медиа на 10 % или 20 % (или более). ). Это может произойти из-за увеличения цены за конверсию или снижения количества привлеченных клиентов. Вы можете использовать свою работу, чтобы помочь своим командам понять масштаб финансовых последствий при внедрении универсального отказа. Поскольку на самом деле трудно оценить это влияние заранее, эти масштабированные примеры побудят руководителей других организаций с большей вероятностью обратить внимание и работать с вами и вашей командой юристов, чтобы найти жизнеспособное решение, которое гарантирует, что потребители смогут осуществлять свои права при одновременном снижении фискальных рисков. к прибыли бренда.
• Обсудите роль и использование Платформы управления согласием (CMP). То, как потребители реализуют свои права на отказ от обмена данными или удаление своих данных, имеет решающее значение. Не все решения CMP одинаковы. Некоторые из них, такие как CookieBot, просто предназначены для блокировки файлов cookie (и, следовательно, отслеживания рекламы), в то время как другие, такие как OneTrust, являются более комплексными. Вам нужно будет найти правильное решение для вашего бизнеса, которое обеспечит соблюдение требований и функционирование вашего маркетинга.
• Согласуйте язык, который вы используете для обучения потребителей: обсудите различные способы информирования потребителей об использовании данных с вашим юридическим отделом. Без контекста многие потребители могут предположить наихудший сценарий. Но если вы предоставите четкие примеры того, как вы используете их данные и какие ограничения вы установили, вы можете обнаружить, что потребители более открыты для обмена своими данными. Ни в коем случае нельзя создавать стимулы, чтобы помешать потребителям осуществлять свои права, но ваша команда юристов может предоставить конкретные рекомендации о том, что вы можете и что не можете говорить потребителям, когда они планируют отказаться.

Помните: соблюдение не является обязательным. Опередите будущие вызовы уже сейчас, объединившись со своим юридическим отделом и найдя наилучший путь вперед.

Загрузите State of the Data 2023: The Path to Profitability Requires Privacy Compliance, чтобы узнать о готовящемся законодательстве и требованиях соответствия, которые повлияют на ваш бизнес.