При проведенні аудиту постає питання оцінки CPRA та CCPA.
Юристи пояснюють головні вимоги та розповідають про захист персональних даних. Треба розрізняти CPRA та CCPA, ознайомитися з атестацією та проаналізувати поширені питання.
Що таке CCPA?
CCPA розуміють як закон про захист персональних даних, який діє в штаті Каліфорнія. Він надає жителям Каліфорнії більше контролю над тим, як компанії збирають, використовують і передають їхні особисті дані. Також можна сказати, що CCPA дає людям право дізнатись, які дані про них збираються. Так легко вимагати видалення цих даних, заборонити продаж своїх персональних даних третім сторонам. Важливо не бути дискримінованими за реалізацію своїх прав. Цей закон зобов’язує компанії бути прозорими та відповідальними у поводженні з особистою інформацією.
Що таке CPRA?
CPRA використовують, як розширення та оновлення CCPA. Воно набрало чинності у 2023 році, і його іноді називають CCPA 2.0. Він посилює захист даних і вводить нові правила. Основні зміни стосуються нових категорій даних. Це персональні дані, як номери документів, точна геолокація, релігійні або расові погляди. При CPRA створено Агентство захисту приватності Каліфорнії, яке стежить за виконанням закону. Компанії повинні зберігати дані тільки стільки часу, скільки це потрібно. Плюс до цього вони мусять пояснювати, навіщо вони їх збирають. CPRA робить захист персональних даних ще сильнішим і наближає законодавство Каліфорнії до європейського рівня.
Атестація CPRA та CCPA: реальна перевірка чи формальність
Атестація за CPRA та CCPA являє собою процес перевірки того, наскільки компанія дотримується вимог законів про захист персональних даних у Каліфорнії. Проводиться вона у кілька ключових етапів. В першу чергу йде оцінка політик конфіденційності. Тобто перевіряється, чи компанія прозоро інформує користувачів про те, які дані вона збирає. Далі відстежується, як підприємство їх використовує і чи передає третім сторонам.
Перевірка процесів обробки даних припускає, що аналізуються внутрішні процедури. Головні питання, як збираються, зберігаються, видаляються й передаються персональні дані. Оцінка відповіді на запити користувачів також має значення. Компанія повинна мати чіткий механізм для обробки запитів щодо доступу, видалення продажу даних. Далі йде документальне підтвердження відповідності. Це означає, що готуються звіти та докази, які показують, що компанія виконує всі законодавчі вимоги. Процес особливо актуальний для великих компаній, які обробляють велику кількість особистих даних. У деяких випадках атестація має проводитися щорічно.
Проведення аудиту – головні вимоги
Згідно з CPRA деякі компанії зобов’язані проходити регулярний аудит конфіденційності. Це потрібно, щоб довести свою відповідність стандартам захисту персональних даних. Існують різні вимоги до аудиту. На першому місці стоїть частота. Аудит має проводитись не рідше одного разу на рік, якщо компанія обробляє великі обсяги даних або займається їхнім продажем. Друга вимога – незалежність. Аудит повинна проводити незалежна сторона, оскільки це гарантує об’єктивність перевірки.
Перевіряється не лише технічна безпека, а й процедури, навчання персоналу, збереження та передача даних. Як правило, результати аудиту повинні бути задокументовані. Вони містять висновки та рекомендації щодо покращення. Такі вимоги спрямовані на підвищення прозорості, відповідальності та захисту прав споживачів у цифровому просторі. АО «Бачинський та партнери» допомагає з захистом персональних даних, тому звертайтесь з будь-яких питань.
Вам може сподобатись