Definiowanie zgodności: dokąd zmierza globalna prywatność i bezpieczeństwo danych w 2019 r.

Opublikowany: 2019-01-31

Zeszłej wiosny była więcej niż trochę gorączkowa zarówno dla marketerów, specjalistów IT, jak i prawników, dzięki ogólnemu rozporządzeniu o ochronie danych (RODO), które weszło w życie w maju 2018 r. Te transformacyjne przepisy wstrząsnęły prywatnością i bezpieczeństwem danych, jak wiedzieliśmy to – nie tylko w UE, ale na całym świecie – poprzez obciążanie firm odpowiedzialnością za sposób, w jaki przetwarzają dane klientów i ponowne podkreślanie prawa osób fizycznych do kontrolowania własnych informacji.

W ciągu ostatnich miesięcy słyszeliśmy kolejne przypadki, w których giganci technologiczni, tacy jak Facebook i Google , są karani grzywnami i innymi działaniami prawnymi w związku z brakiem odpowiedniego ujawnienia, w jaki sposób wykorzystują dane osobowe i innymi naruszeniami zgodności. Ponadto RODO rozpoczęło falę rozmów i stopniowych działań dotyczących prywatności i bezpieczeństwa danych, które jasno pokazują, że podstawa w tym kluczowym obszarze jest daleka od ustalenia.

Wraz z nadejściem 2019 r. jedno z głównych pytań, przed którymi stoją duże i małe marki na całym świecie, brzmi: co przyniesie nowy rok dla globalnej prywatności i bezpieczeństwa danych? I chociaż nie mamy w Braze działającej kryształowej kuli, mamy kolejną najlepszą rzecz — naszego starszego wiceprezesa ds. prawnych, głównego radcy prawnego i sekretarza korporacyjnego Susan Wiseman oraz zastępcy głównego radcy prawnego i starszego dyrektora (EMEA) Marjorie Armitage, którzy w ostatnich latach znajdowali się na pierwszej linii frontu tej rozwijającej się przestrzeni. Czytaj dalej, aby zobaczyć, jak planują swoje prognozy na nadchodzący rok:

1) Nacisk na prawa konsumentów do prywatności rozprzestrzeni się poza UE

Wielu prawników powie, że RODO nie jest szczególnie nowatorskie, jeśli chodzi o jego podstawowe koncepcje prawne. Rozporządzenie jest często niejasne i celowo takie jest częścią wysiłków jego autorów, aby umożliwić zachowanie elastyczności i adekwatności ustawodawstwa w miarę rozwoju technologii. (Przecież unijne prawodawstwo, które zastępuje RODO, dyrektywa o ochronie danych, obowiązywało przez 23 lata, kiedy smartfony były tylko błyskiem w oku Steve’a Jobsa.) Tym, co wyróżnia RODO z tłumu, jest sposób że działa na rzecz ochrony obywateli krajów UE. Malując prywatność i bezpieczeństwo danych jako swego rodzaju podstawowe prawo człowieka, prawodawstwo robi wiele, aby zapewnić, że organizacje w innych krajach zajmujące się danymi osobowymi obywateli UE poważnie traktują te kwestie – i zgodność.

W rzeczywistości UE i wiele innych krajów na świecie ma rygorystyczne przepisy dotyczące ochrony danych osobowych. UE pozwala firmom przekazywać dane osobowe z UE do innych krajów, które mają równie rygorystyczne przepisy. UE określa te kraje jako „odpowiednie” jurysdykcje. Ale jeśli na przykład prowadzisz firmę medialną z siedzibą w Stanach Zjednoczonych — czyli kraju, który nie jest obecnie uznawany za odpowiedni według standardów UE — nadal możesz przetwarzać dane osobowe swoich klientów w UE, o ile masz zgodził się ze swoim klientem, że zamierzasz chronić dane osobowe w sposób wykraczający poza wymogi prawa amerykańskiego. Możesz to zrobić, dokonując samodzielnej certyfikacji w ramach Tarczy Prywatności lub podpisując ze swoim klientem klauzule wzorcowe. Zarówno Tarcza Prywatności, jak i Klauzule Modelowe służą do weryfikacji przekazywania danych osobowych do USA; zrobienie tego bez metody uznanej przez UE byłoby naruszeniem prawa UE.

Tego typu umowy mają kluczowe znaczenie, ponieważ osiągnięcie adekwatności może być trudne dla danego kraju. Na przykład, ponieważ Stany Zjednoczone nie mają jeszcze żadnych ogólnych przepisów krajowych, które są zgodne z RODO, firmy z siedzibą w USA mogą przetwarzać dane osobowe z UE tylko wtedy, gdy podpisały ze swoimi klientami klauzule wzorcowe lub posiadają samocertyfikację w ramach Tarczy Prywatności UE-USA — która umożliwia firmom z UE przekazywanie danych osobowych obywateli UE firmom amerykańskim (np. Braze!)

2) Stany Zjednoczone prawdopodobnie nie opracują federalnej ustawy o ochronie danych w 2019 r. — ale stanowe ustawodawstwo się poprawi

Chociaż prawdą jest, że Stany Zjednoczone nie mają żadnych przepisów krajowych spełniających standardy wymagane przez organy ochrony danych w UE, jeśli chodzi o prywatność i bezpieczeństwo danych konsumentów, powoli, ale z pewnością zaczynamy dostrzegać poszczególne stany w grę wchodzą przepisy.

W zeszłym roku Kalifornia stała się pierwszym stanem w kraju, który uchwalił nowe przepisy dotyczące prywatności danych, tworząc ustawę o ochronie prywatności konsumentów w Kalifornii. Ta ustawa jest przełomowa, jeśli chodzi o wymagania dotyczące prywatności danych w USA, gwarantując konsumentom prawo do dostępu do danych i ich usuwania, a także wymagając od firm aktualizowania umów dotyczących przetwarzania danych z podmiotami zewnętrznymi w celu zapewnienia zgodności w sposób przypominający zasady administratora/przetwarzającego w RODO, między innymi pierwszymi w swoim rodzaju wymogami w USA

Kiedy w maju 2018 r. weszło w życie egzekwowanie RODO, więcej niż kilka amerykańskich firm zdecydowało się zająć tym ważnym nowym rozporządzeniem, no cóż… nie zajmować się nim. Oznacza to, że niektóre organizacje, które nie miały klientów w UE, zdecydowały się nie działać na rzecz zgodności z RODO, ponieważ nie miały klientów w UE; tymczasem inne firmy, które miały klientów w UE, zdecydowały się ich wykluczyć, zamiast próbować przestrzegać nowego prawa. Niektóre marki w Kalifornii, głównym centrum technologicznym i medialnym w USA, również wpadły na tę łódź – pamiętasz, kiedy Los Angeles Times całkowicie zlikwidował swoją witrynę internetową w UE, wszystko po to, by nie musiały przestrzegać RODO? Cóż, teraz te same firmy mają mniej niż rok na dostosowanie się do kalifornijskiej ustawy o ochronie prywatności konsumentów, zanim zacznie się egzekwować 1 stycznia 2020 r.

Ogólnie rzecz biorąc, bardzo wypadałoby, aby firmy z siedzibą w Stanach Zjednoczonych — duże i małe, nowe i ugruntowane — zaczęły zmierzać w kierunku rzeczywistości, w której prywatność i prawa do bezpieczeństwa danych klientów są zapewnione. Chociaż Kalifornia była pierwszym stanem, który uchwalił całkowicie nowe przepisy dotyczące prywatności danych w następstwie RODO, widzimy, jak inne stany, takie jak Luizjana, Alabama, Kolorado i Wirginia, podejmują kroki w celu wzmocnienia istniejących przepisów dotyczących prywatności danych. (Ponadto Vermont wcześniej uchwalił nowe przepisy zaostrzające przepisy dotyczące brokerów danych i ustalające minimalne standardy bezpieczeństwa.)

Chociaż jak dotąd nic nie wskazuje na to, że rząd federalny USA podejmie w tym roku kroki w celu opracowania ustawy federalnej w stylu RODO, rozszerzająca się mozaika oraz nowe i wzmocnione przepisy dotyczące prywatności danych w poszczególnych stanach są kluczowym sygnałem dla firm że muszą poważnie zastanowić się nad tym, jak obecnie radzą sobie z danymi. Jeśli tego nie zrobią, ryzykują, że zostaną oślepieni, gdy wejdzie w życie nowe ogólnokrajowe prawo lub bębnienie przepisów stanowych uniemożliwi prowadzenie działalności gospodarczej w Stanach Zjednoczonych bez zmiany sposobu przetwarzania i zarządzania danymi konsumenckimi.

Jest mało prawdopodobne, że Kongres USA uchwali w najbliższym czasie ustawę o ochronie prywatności w całym kraju. Niemniej jednak prywatność jest wyraźnie na uwadze ludzi. Nawet w Stanach Zjednoczonych rośnie rozmach i nacisk na prawo do prywatności oraz potrzeba lepszego i większego ustawodawstwa. Myślę, że zamiast nowego i szeroko zakrojonego federalnego prawa prywatności, zobaczymy, jak kilka stanów wprowadza przepisy podobne do tego, co Kalifornia zrobiła w zeszłym roku z CCPA.

Susan Wiseman, starszy wiceprezes ds. prawnych, radca prawny i sekretarz korporacyjny w Braze

3) Prywatność z założenia stanie się nową normą

„Prywatność w fazie projektowania” oznacza zapewnienie, że systemy są budowane od początku z zamiarem przechowywania, ochrony, przesyłania i przetwarzania danych osobowych przy użyciu standardowych praktyk bezpieczeństwa w branży oraz zgodnie z życzeniami konsumentów w odniesieniu do ich danych osobowych. Ale chociaż koncepcja ta istnieje już od jakiegoś czasu, RODO jest pierwszym rozporządzeniem, które uwzględnia je jako część wymagań dotyczących zgodności. Mimo że parametry tego, co kwalifikuje się jako prywatność w fazie projektowania w ramach RODO, są nieco niejasne, zapewnia to, że zgodne firmy podejmują środki w celu projektowania swoich systemów z myślą o bezpieczeństwie danych.

Upewnienie się, że Twoja firma spełniła standardy „prywatności w fazie projektowania”, wymaga rozważności i czujności, jeśli chodzi o zarządzanie informacjami. Musisz wiedzieć, skąd pochodzą dane, jakie osoby i systemy ich dotykają, a także kiedy można i nie można uzyskać do nich dostępu lub użyć. Wszystko to jest znacznie łatwiejsze, jeśli od samego początku tworzysz systemy i procesy zarządzania danymi, które integrują silne koncepcje prywatności i bezpieczeństwa danych.

RODO kładzie nacisk na zapewnienie konsumentom jasnego zrozumienia, w jaki sposób ich dane są wykorzystywane przez organizacje (bez konieczności czytania ogromnego dokumentu prawnego), dając im możliwość prostej zmiany preferencji dotyczących danych w dowolnym momencie oraz prawo dostępu i zażądać usunięcia swoich informacji, kiedy tylko zechcą. Prywatność domyślnie pasuje również do tej koncepcji, co oznacza, że ​​jeśli klient nie zaktualizował swoich preferencji, domyślnym ustawieniem powinien być najwyższy poziom ochrony i kontroli danych. Jak dobrze wiedzą marketerzy, tego rodzaju ograniczenia mogą czasami negatywnie wpłynąć na wrażenia klientów — na przykład użytkownicy aplikacji do wspólnych przejazdów będą mieli dość frustrujące wrażenia, jeśli nie zapewnią dostępu do swojej lokalizacji. Oznacza to, że to firmy muszą używać kreatywnych (i zgodnych!) komunikatów, aby konsumenci zdecydowali, że istnieje prawdziwa wartość w umożliwieniu tym firmom wykorzystywania ich danych osobowych w celu wspierania bardziej odpowiednich i wywierających większy wpływ doświadczeń.

RODO zostało celowo rozszerzone pod względem tego, jak wygląda zgodność, aby umożliwić rozwój technologii. Niektóre aspekty dyrektywy o ochronie danych stały się nieaktualne w ciągu około pięciu lat, gdy internet eksplodował, więc prawodawcy bardzo uważali, aby RODO było niezależne od technologii.

Marjorie Armitage, zastępca głównego radcy prawnego i starszy dyrektor (EMEA) w Braze

4) Firmy będą coraz częściej poszukiwać walidacji zewnętrznej

Wrodzona, celowa niejasność RODO ma kluczowe znaczenie dla ustawodawstwa i ta niejasność była główną przeszkodą dla wielu firm, które chcą przestrzegać prawa. Ale na szczęście ta sama niejasność pozwoliła również firmom zjednoczyć się, aby określić, jak wygląda zgodne z przepisami przetwarzanie danych, jednocześnie dając miejsce na rozwój i ewolucję technologii. A ponieważ udowodnienie, że Twoja firma faktycznie robi to, co twierdzisz, jeśli chodzi o prywatność danych, jest kluczowym elementem zgodności z RODO, systemy walidacji stron trzecich będą nabierały coraz większego znaczenia dla marek.

Jak to wygląda? Cóż, w Braze skupienie się na zapewnieniu, że priorytetowo traktujemy prywatność i bezpieczeństwo danych, skłoniło nas do kontynuowania walidacji naszych systemów i procesów przez strony trzecie — ostatnio pomyślnie ukończyliśmy zarówno certyfikację SOC 2, typ 2, jak i ISO 27001 podczas 2018 rok kalendarzowy. Certyfikacja ISO potwierdza, że ​​organizacja przeprowadziła kompleksową ocenę zagrożeń dla bezpieczeństwa i stworzyła System Zarządzania Bezpieczeństwem Informacji (ISMS), który jest zgodny z wymaganiami określonymi w globalnej normie ISO dotyczącej zarządzania bezpieczeństwem informacji, zapewniając, że korporacja będąca odbiorcą osiągnęła standard branżowy protokoły bezpieczeństwa.

Normy te są określane przez interesariuszy z całego świata w ramach globalnego procesu ustanawiania norm ISO. W rzeczywistości nasza własna Marjorie Armitage jest obecnie współprzewodniczącą działającej w Wielkiej Brytanii podgrupy europejskiego organu normalizacyjnego, pracującego nad określeniem branżowych standardów prywatności związanych ze zgodnością z RODO. Wraz ze wzrostem liczby standardów związanych z nowymi przepisami dotyczącymi prywatności danych, należy szukać certyfikatów dla takich standardów, które staną się obowiązkami dla firm, które chcą udowodnić swoją zgodność zarówno konsumentom, jak i organom regulacyjnym.

Odpowiedzialność zawsze była kluczową zasadą ochrony danych, ale RODO ostatecznie skodyfikowało ją w prawie. Musisz być w stanie zademonstrować, że jesteś posłuszny i że robisz wszystko, co mówisz.

Marjorie Armitage, zastępca głównego radcy prawnego i starszy dyrektor (EMEA) w Braze

Końcowe przemyślenia

Technologia umożliwiła firmom uzyskanie bogatego, bardziej zniuansowanego obrazu swoich klientów i ich zachowań niż kiedykolwiek wcześniej — ale wykorzystanie szczegółowych danych o klientach, które pozwalają na zrozumienie, może również nieść ryzyko zarówno dla marek, jak i ich użytkowników. Częścią skutecznego wykorzystania danych jest zapewnienie, że dysponujesz procesami, narzędziami i wiedzą potrzebną do ochrony informacji, które powierzyli Ci Twoi klienci.

To jest świat, w którym się znajdujemy, a ryzyko i korzyści będą tylko rosły wraz z postępem technologicznym i zmianami zachowań konsumentów. Aby głębiej zagłębić się w kluczowe kwestie związane z RODO, HIPAA i najnowszymi informacjami na temat wpływu bezpieczeństwa danych na zaangażowanie klientów, zapoznaj się z raportem Braze Security Roundup .