DATA PROTECTION

Защита персональных данных

Закон Калифорнии о защите данных пользователей

Защита персональных данных в России беспощадна и неразумна, в большинстве случаев. Проблема заложена в непонимании регулятором в лице Роскомндзора ценности приватных данных и целей регулирования, а с другой стороны, российские пользователи и владельцы сайтов не отличают российское регулирование от европейского или США. Интернет не имеет гражданства и общей юрисдикции, поэтому применимое право к регулированию оборота персональных данных должно определяться в первую очередь пользователями сайта или его владельцем. Пользователи в сети постоянно встречают массовые рассылки и занимающими половину дисплея объявления об изменениях в политике обработки персональных данных, о принятии файлов Cookie, что стало следствием вступления в силу Европейского регламента по защите персональных данных.

1 января 2020 года для англоязычных сайтов стал применяться Калифорнийский закон о защите прав потребителей (жителей) в штате Калифорния.(The California Consumer Privacy Act – CCPA), и компании, работающие в этом штате и соответствующие ряду критериев, должны будут подчиняться требованиям нового закона.

Этот закон, названный в США «новаторским», на самом деле намного мягче, чем политика защиты приватных данных в других стран, и тем более в России и выражение «GDPR-lite» сильно преувеличивает его масштабы, поскольку меры защиты, которые он предлагает, так и организации, к которым он применяется, сильно ограничены. Тем не менее, для нескольких компаний, которые будут затронуты, это будет настоящим регуляторным ударом. Забавный факт, многие компании в России не в даваясь в детали стали внедрять правила CCPA в свои политики конфиденциальности и пользовательские соглашения, притом что они в принципе не являются объектами регулирования.

CCPA является самой свежей новеллой американских законодателей, и многие отмечают сходство его положений с Европейским регламентом. В то же время документ содержит ряд отличий, которые кратко изложены в настоящей статье. ССPA устанавливает для жителей (резидентов) штата Калифорния права:

1. Знать, какие именно личные данные о них собирают компании.

2. Знать, проданы ли их личные данные, и если да – то кому.

3. Запретить продажу своих личных данных.

4. Иметь доступ к своим личным данным.

5. Иметь возможность потребовать от компании удалить свои личные данные.

6. Не подвергаться дискриминации за действия, направленные на сохранение приватности своих личных данных.

ССPA устанавливает для компаний, зарегистрированных в Калифорнии, обязанность соблюдать права жителей Калифорнии, указанные выше.

CCPA весьма похож на Европейский GPDR, однако имеет следующие различия:

1. GDPR применяется ко всем предприятиям, которые обрабатывают данные граждан ЕС, независимо от их географического расположения (юрисдикции) или размера. CCPA применяется только к предприятиям в Калифорнии, которые удовлетворяют хотя бы одному из критериев: a. Имеют оборот более 25 млн. USD в год или b. Получают или раскрывают личную информацию о 50 000 или более жителей, домохозяйств или устройств в Калифорнии в год или c. Имеют более половины годового оборота от продажи персональных данных.

2. Второе существенное различие касается санкций за невыполнение: По GDPR на компанию может быть наложен штраф за несоблюдение Еврорегламента по защите персданных, который может доходить до 4% от годового оборота компании или до 20 миллионов евро (в зависимости от того, какая сумма больше). GDPR может применить санкцию, если компания считается подверженной риску нарушения или не ведет себя ответственно. Однако прописано, что размер штрафа будет определяться пропорционально экономическим показателям компании. ССPA предусматривает: a. штраф в 7500 USD за каждое намеренное нарушение или 2500 – за ненамеренное нарушение положения CCPA– то есть по факту его фиксирования. (Санкции накладываются Генеральным прокурором Калифорнии – California Attorney General.) b. 100–750 USD за каждый инцидент в отношении отдельного потребителя. Также CCPA оставляет потребителю право подать в суд на компанию за подобное нарушение. То есть это положение допускает масштабируемость ответственности компании в зависимости от того, сколько пользователей оказались вовлечены в инцидент, поэтому общая сумма потерь компании может быть весьма ощутимой.

3. Субъекты применения закона. GDPR регулирует только персональные данные пользователей (граждан ЕС). CCPA применяется шире: в его трактовке идентифицируемым объектом может быть как гражданин, так и домохозяйство. (например, набор из почтового адреса дома и IPадреса, ему назначенного). То есть в отличии от GDPR, CCPA защищает также приватность информации, поступающей от интернет-вещей. (количество и тип умных устройств в домохозяйстве, передаваемыми этими устройствами данные и т.п.)

4. Для соответствия требованиям CCPA компании должны иметь на своем сайте ссылку «Запрещаю продавать мою информацию», которая позволила бы пользователям выразить свой запрет на продажу этой компанией своих личных данных. Подобный механизм не является обязательным требованием для соответствия GDPR.

Обзор CCPA

CCPA предлагает следующие меры защиты жителям Калифорнии:

  • Право потребителей требовать, чтобы узнать, какие данные о них хранит компания.
  • Право требовать удаления данных

Компании также должны будут разместить на своих веб-сайтах обязательную ссылку, позволяющую потребителю запретить этой компании продавать свои данные.

На какие компании распространяется CCPA?

CCPA распространяется на:

  • Компании с доходом более 25 млн долларов США и 50% или более, если этот доход поступает от продажи данных потребителей или торговли данными более чем 50 000 потребителей.
  • Только граждане Калифорнии

Для этого прочтите Google, Facebook, Amazon и всех тех «брокеров данных», которые засоряют ваш браузер своими отслеживающими cookie-файлами. Хотя в 2021 году Google анонсировал отказ от полного использования cookie-файлов.

Штрафы CCPA

На нарушающие закон компании могут взиматься штрафы в размере от 2500 до 7500 долларов, но есть много исключений.

Чем CCPA соотносится с Общим регламентом защиты данных (GDPR)?

Хотя это и объявлено ответом США (или, скорее, Калифорнии) на Общий регламент Европейского Союза о защите данных (GDPR), законодательство гораздо более ограничено, как показано в таблице ниже:

CCPAGDPR
Затронутый бизнесТолько крупные брокеры данныхВсе предприятия
Защита от утечки данныхНетда
Сбор данных требует правовой основыНетда
Право на забвениеНетда
Разрешение по умолчаниюВыбрать вУклоняться
Максимальные штрафы7 500 долл. США4% от мировых доходов или 20 млн евро, в зависимости от того, что больше

Влияет ли CCPA на Российские компании?

Калифорнийский закон о защите данных на российские компании не распространяется. Конечно, если компания является международным сервисом, то стоит учесть эти риски и проверить соответствие компании критериям регулирования. Если вы не торгуете данными о потребителях, не имеете товарооборота более 19 миллионов долларов или не храните и не торгуете данными более чем 50 000 человек, вас этот закон гарантированно не касается.

CCPA и CRM

В отличие от GDPR, CCPA не распространяется на безопасность или место хранения данных, а только позволяет потребителям видеть, какие данные хранятся, и запрашивать их удаление. Поскольку разрешение на сбор (и продажу) личных данных предоставляется по умолчанию, нет необходимости собирать и записывать согласие человека на сбор данных.

Маловероятно, что кому-либо из наших клиентов придется проверять использование CRM, хотя, если они являются крупным брокером данных, им может потребоваться настроить процессы для обработки запросов на просмотр и удаление данных потребителя – но только для жителей Калифорнии.