Tietojen minimointi tuli juuri todelliseksi CCPA:n ensimmäisen täytäntöönpanoa koskevan neuvonnan myötä
Sisällysluettelo:
Kalifornian kuluttajansuojalaissa (CCPA) on tietojen minimointia koskeva lauseke, jonka Rolling Stones olisi voinut kirjoittaa. Siinä sanotaan, että yrityksenä et voi aina saada haluamaasi dataa, mutta saat sen, mitä tarvitset. Tiedon minimointi tarkoittaa vain riittävän tiedon keräämistä tarpeellista tarkoitusta varten, ei enempää. Äärimmäisenä esimerkkinä, jos haluat lähettää jollekulle sähköisen uutiskirjeen, voit pyytää hänen sähköpostiosoitettaan, mutta ei skannattua kopiota ajokortista.
Kuusi vuotta sen jälkeen, kun laissa määrättiin tietojen minimointi, Kalifornian tietosuojavirasto (CPPA) on antanut täytäntöönpanon neuvonta selittää, kuinka vakavasti se ottaa tämän asian.
CCPA:n mukaan kuluttajat voivat pyytää organisaatioilta pääsyä itseään koskeviin tietoihin ja tarvittaessa korjata tai poistaa ne. Huhtikuun 2. päivän neuvonnassa kerrotaan, että monet organisaatiot ovat pyytäneet liikaa tietoja täyttäessään näitä pyyntöjä. Viesti on selvä: leikkaa se pois.
Toimivat niin kuin eurooppalaiset tekevät
Fox Rothschild LLP:n GDPR-vaatimustenmukaisuuden ja kansainvälisen tietosuojakäytännön kumppanin ja puheenjohtajan Odia Kaganin mukaan CPPA:n lähestymistapa heijastelee läheisesti eurooppalaista lähestymistapaa.
"Sääntö, jonka mukaan pyyntöjen yhteydessä saamiasi tietoja ei saa käyttää muihin tarkoituksiin ja kerätä vain tarvitsemasi tiedot, on täsmälleen sama Euroopassa", hän kertoo ISMS.online-sivustolle. "Meillä on Euroopan tietosuojaviranomaisen ohjeet tähän."
Joten miksi yritykset eivät yksinkertaisesti sovella tietojen minimointia pyydettäessä pyyntöjä käsitellessään? Se ei ole yksinkertainen asia, huomauttaa Kagan; se on tasapaino mukavuuden ja turvallisuuden välillä. Se on erityisen tärkeää käsiteltäessä tietojen käyttö- ja poistopyyntöjä.
"Poistaminen ja käyttö ovat tärkeämpiä, koska annat tietoja, jotka voivat vaarantuessaan olla vaarallisia", hän sanoo.
Geolocation data on hyvä esimerkki. Jos joku esiintyy maantieteellisen sijaintitietojen laillisena omistajana ja pyytää pääsyä, hän voi saada arkaluonteisia tietoja. Kuten Kagan huomauttaa, tähän voisi kuulua se, menivätkö he aborttiklinikalle – tämä on erityisen herkkä asia Yhdysvalloissa nykyään.
Poistopyynnöt ovat myös riskialttiita. "Entä jos joku pyytää poistamaan perhekuvia?" hän lisää. Drive-by-valokuvien poistaminen ei ehkä ole hengenvaarallista, mutta se on silti erittäin järkyttävää – ja mahdollisesti oikeudellisesti haitallista tietojen haltijalle.
Toisena henkilönä esiintyminen on todellinen uhka
Toisena henkilönä esiintyminen tietojen käyttöpyyntöjä tehtäessä on todellinen uhka, kuten Oxfordin yliopiston tutkija James Pavur osoitti vuonna 2019. Morsiamensa luvalla hän petollinen olla hän lähettäessään tietosuojapyyntöjä GDPR-asetusten mukaisesti.
Lähes neljäsosa 83 yrityksestä, joihin hän otti yhteyttä, ja joilla oli tietoja hallussaan, toimitti ne varmistamatta hänen henkilöllisyyttään ollenkaan, kun taas 16 prosenttia pyysi helposti väärennettävää henkilötodistusta. Hänelle annettiin rikosrekisteritarkastusten tulokset sekä matkatiedot ja kouluarvosanat.
Yritysten on tehtävä due diligence -työnsä, mutta ne eivät saa olla liian rajoittavia, Kagan selittää.
"Et halua tehdä pyynnön suorittamisesta liian vaikeaa, etkä halua joutua sekaantumaan arkaluontoisten tietojen kanssa", hän huomauttaa. Liian arkaluontoisten tietojen kerääminen jonkun henkilöllisyyden todentamiseksi ei vain aseta häntä sääntelytoimien vaaraan. se myös lisää vastuuta, jos kyseisiä varmennustietoja myöhemmin rikotaan.
Kuinka kulkea linjaa
Joten kuinka yritykset voivat noudattaa linjaa astumatta sen yli? Täytäntöönpanoa koskeva neuvonta tarjoaa kaksi esimerkkiä siitä, kuinka pyynnöt vastaanottavat yritykset voivat noudattaa näitä sääntöjä.
Ensimmäinen esimerkki on kieltäytymispyyntö henkilötietojen myynnistä. Tämä on helpoin navigoida, koska kieltäytymishakemusten käsittely ei edellytä henkilöllisyyden vahvistamista lainkaan CCPA:n mukaan. Se tarvitsee vain tiedot, jotka ovat välttämättömiä asiakkaaseen viittaamiseen, kuten sähköpostiosoite.
Toinen esimerkki koskee sitä, että joku pyytää yritystä poistamaan henkilötietonsa, kun hänellä ei ole tiliä organisaatiossa. Tämän yrityksen on vahvistettava henkilön henkilöllisyys.
Peruskysymykset on esitetty kohdassa 11 CCR § 7002(c)–d) ja ovat pohjimmiltaan näitä:
- Onko keräämämme tiedot enemmän kuin tarvitsemme?
- Mitä kielteisiä vaikutuksia tietojen keräämisellä tai käsittelyllä voi olla yksilöille?
- Onko olemassa suojatoimia (kuten salaus tai automaattinen poisto), jotka voisivat suojella kuluttajia?
Annetuissa esimerkeissä neuvonta varoittaa yrityksiä kysymään itseltään, tarvitseeko heidän kerätä enemmän tietoa kuin heillä on jo kuluttajalta. CCPA yleensä rypistää kulmiaan pyydettäessä lisätietoja todentamista varten, ellei se ole ehdottoman välttämätöntä, ja kehottaa yrityksiä poistamaan tiedot, jos niitä kerätään.
Aika valmistautua
Kagan varoittaa asiakkaitaan valmistautumaan näihin kysymyksiin tekemällä riskianalyysin. Tämä sisältää arvioinnin, mitä tietoja organisaatiolla on henkilöstä sekä näiden tietojen herkkyys. He voivat määrittää asianmukaisen todennustason pyynnön luonteen perusteella ja voivat päättää, voivatko he käyttää tietoja, joita heillä on jo olemassa olevan henkilön todentamiseen.
Hän sanoo, että yritysten tulee ottaa tiedon minimointi vakavasti, sillä siitä on tulossa keskeinen kysymys tiedonkäsittelyssä. UK Information Commissioner's Office (ICO) on oma ohjaus, kuten useat Yhdysvaltain osavaltiot. Myös Yhdysvaltain liittovaltion kauppakomissio (Federal Trade Commission) on alkanut kiinnostua aiheesta yhä enemmän ja asettaa tiedon minimoinnin etusijalle sen tapauksessa alkoholin toimituspalvelua Drizlyä vastaan, ja kerrotaan keskittyvän tulevan kaupallisen valvonta- ja tietoturvasäännönsä asiaan.
Eri lainkäyttöalueilla on useimmiten sama vaatimus: kerättyjen tietojen on oltava tarpeellisia aiottuun tarkoitukseen.
"Se, että se on yleistä ja yksinkertaista, ei tarkoita, että se olisi helppoa", Kagan päättää. ”Se ei ole ollenkaan helppo toteuttaa. Mutta standardi on melko yleinen tällä hetkellä."
