CCPA — пілотний data privacy документ в США

17 мая 2021

California Consumer Privacy Act (CCPA) — це закон, який був прийнятий в штаті Каліфорнія (Сполучені Штати Америки) в 2018 році та набрав законної сили 01 січня 2020 року. Багато хто з експертів зазначає, що цей закон був прийнятий законотворцями з Каліфорнії як експериментальний перед прийняттям федерального закону США, який буде спрямований на захист персональних даних в рамках не лише одного штату, а всієї країни.

До кого застосовується CCPA

Якщо розглядати цей документ з точки зору механізму захисту прав та інтересів фізичних осіб, то варто зазначити, що норми California Consumer Privacy Act спрямовані на захист громадян, які зареєстровані в адміністративних межах штату Каліфорнія. На відміну від положень General Data Protection Regulation (GDPR), цей документ, в жодному разі, не може бути застосований до фізичних осіб, які не є резидентами Каліфорнії, але знаходяться на території штату в момент збирання персональних даних про них.

Розглядаючи CCPA як закон, який регулює діяльність суб’єктів господарювання, в частині обробки ними персональних даних, необхідно зауважити, що цей закон застосовується до комерційних організацій, які ведуть бізнес у Каліфорнії та відповідають будь-якому з наступних показників:

  • мають валовий річний дохід понад 25 мільйонів доларів;
  • купують, отримують або продають особисту інформацію про 50 000 або більше жителів каліфорнії, домогосподарств або пристроїв;
  • отримують 50% або більше щорічного доходу від продажу особистої інформації жителів каліфорнії.

Варто підкреслити, що норми закону не застосовуються до неприбуткових організацій та державних органів, не зважаючи на те, здійснюють вони обробку персональних даних чи ні.

Особиста інформація, яка захищається CCPA

Під особистою інформацією, у відповідності з положеннями California Consumer Privacy Act , слід розуміти інформацію, яка ідентифікує особу, стосується особи або може бути  обґрунтовано пов’язана з особою чи домогосподарством.

Наприклад, вона може включати ваше ім’я, номер соціального страхування, адресу електронної пошти, записи про придбані товари, історію веб-перегляду, дані про геолокацію, відбитки пальців та висновки з іншої особистої інформації, які можуть бути використані для створення профілю про уподобання та характеристики особи.

Важливо: Положення CCPA визначають домогосподарство як особу чи групу людей, які проживають за однією адресою, мають спільний пристрій або користуються тією самою послугою, що надається компанією, і яку компанія ідентифікує як спільний обліковий запис групи або унікальний ідентифікатор.

Разом з тим, в законі чітко визначено, що до особистої інформації не відноситься інформація, яка включає загальнодоступну інформацію, що надходить із федеральних, штатних чи місцевих державних записів, таких як професійні ліцензії та державні записи про нерухомість або майно.

Варто зауважити, що в нормах CCPA не визначено поняття «чутливих даних», що в свою чергу не створює будь-яких додаткових вимог щодо захисту подібної інформації.

Права осіб, які передбачаються ССРА

California Consumer Privacy Act  надає жителям Каліфорнії п’ять основних прав, які спрямовані на забезпечення захисту їхніх даних, а також автономність даних, а саме:

  • Право знати про особисту інформацію, яку компанія збирає про осіб, і про те, як такі дані використовуються та передаються третім особам;
  • Право на видалення особистої інформації про відповідних осіб;
  • Право відмови від продажу їхньої особистої інформації;
  • Право на недискримінацію за здійснення своїх прав CCPA.
  • Окрім зазначених вище прав, ССРА також передбачає право на здійснення дій, спрямованих на отримання компенсації за порушення особистої інформації.

Переважна більшість прав реалізується особами, шляхом надання відповідного запиту компаніям, які здійснюють обробку персональних даних.

Чи потрібна згода на обробку особистої інформації

Згода на обробку особистої інформації (так званий «OPT IN»), у відповідності з вимогами ССРА, не вимагається, однак, разом з тим, слід мати на увазі, що закон передбачає необхідність ставити до відома фізичних осіб про продаж їхньої особистої інформації. У цьому випадку, фізична особа – власник особистої інформації має право заперечити проти продажу своїх даних, надавши компанії відповідний запит (так званий «OPT OUT»). Порядок подачі OPT OUT передбачається в ССРА та буде розкритий спеціалістами BSO Privacy Group в окремій статті.

Виключенням з правил щодо ненадання згоди є випадки, коли компанія намагається продати персональні дані осіб, які не досягли віку 13 років. В такому випадку, продаж особистої інформації забороняється. Також, якщо особі не виповнилося 16 років, вимагається отримання згоди від батьків такої особи.

Технічні заходи безпеки

Будучи документом, який йде в одній зв’язці з GDPR, ССРА не передбачає особливих вимог щодо вжиття технічних заходів безпеки, які б максимально забезпечили охорону особистої інформації. Зі слів деяких експертів, такі відсутність пояснюється тим, що:

  • у фізичних осіб, які підпадають під захист ССРА, завжди є право вимагати компенсацію за порушення особистої інформації, якщо таке порушення трапиться;
  • технічні заходи повинні завжди вживатися компаніями по замовчуванню, з ціллю уникнення настання порушень особистої інформації.

Висновок

California Consumer Privacy Act є доволі «неоднозначним» документом, який має багато протиріч та недоопрацювань, однак, він вже працює і застосовується до компаній, які зареєстровані на території штату Каліфорнія. В будь-якому разі, підготовка та впровадження надійної Privacy Program завжди, буде надійним щитом компанії від загрози бути притягнутим до відповідальності за неналежну обробку особистої інформації.  Спеціалісти BSO Privacy Group з радістю допоможуть вам в розробці надійної Privacy Program.