Что такое Калифорнийский закон о конфиденциальности потребительских данных?

После крупного скандала с потребительскими данными, связанного с Facebook и Cambridge Analytica в 2018 году, было создано несколько новых нормативных актов о конфиденциальности. Общее положение о защите данных или GDPR является одним из наиболее широко разрекламированных. Он гарантирует, что компании будут оштрафованы, если они нарушат права на потребительские данные. Хотя GDPR распространяется на некоторые американские компании, ведущие бизнес в ЕС, это в основном европейская инициатива. Именно поэтому в 2018 году был принят закон о конфиденциальности потребительских данных в Калифорнии, или CCPA, чтобы американские потребители могли требовать, чтобы компании, владеющие их данными, удаляли их, если их об этом попросят. Новый закон вступил в силу 1 января 2020 года. Но что такое CCPA? Каковы его основные положения? И чем он отличается от GDPR?

CCPA — это закон о конфиденциальности потребителей (AB 375), который позволяет жителям Калифорнии запрашивать всю личную информацию, которую компания, работающая в штате Калифорния, может хранить о них. Кроме того, компании обязаны раскрывать информацию о том, с какими третьими лицами они передали эти данные. В случае нарушения закона потребители могут подать в суд на компанию за нарушение правил.

Закон был подписан губернатором Калифорнии Джерри Брауном в июне 2018 года и изначально возник в результате инициативы для голосования, собравшей более 600 000 подписей. Окончательный закон считается более предпочтительным, чем инициатива для голосования, поскольку в него можно вносить поправки в будущем. В отличие от этого, меры для голосования — после их принятия — не могут быть легко изменены.

Определения того, что считать «частной» или «личной» информацией, могут отличаться в разных компаниях. Согласно CCPA, персональная информация определяется как любые данные, которые могут идентифицировать, описать или косвенно связать человека. В то время как имя, электронная почта, дата рождения и адрес являются очевидными примерами персональных данных, Закон идет гораздо дальше. Например, он включает коммерческую информацию, такую как любые записи о товарах, которые потребитель приобрел или арендовал. Другие категории «личной» информации, защищаемой Законом, включают в себя информацию о действиях пользователя в Интернете, например, историю просмотра веб-страниц, историю аудиозаписей, геолокационные данные или информацию, связанную с работой. Однако закон не распространяется на информацию, находящуюся в открытом доступе. Полный список того, что является «личной» информацией согласно CCPA, можно посмотреть здесь.

Закон содержит несколько основных положений, которые должны соблюдать американские компании. Например, потребители могут запросить информацию о том, какими персональными данными о них располагает компания. В то же время, компании должны указать, какую информацию они собирают в рамках своей политики конфиденциальности и какова цель сбора этой информации. Жители Калифорнии также могут запросить информацию о том, для чего используется их информация и кому она была передана.

Потребители теперь имеют право отказаться от того, чтобы компании продавали их информацию другим лицам. Если потребитель просит удалить его данные, компании не имеют права отказать ему в обслуживании, за некоторыми исключениями. Например, медицинская страховая компания не сможет предоставить услугу без сбора определенных данных потребителя, таких как дата рождения или известные состояния здоровья.

Закон также предусматривает, что компании должны предоставить потребителям веб-сайт и бесплатный телефонный номер для подачи запроса на удаление своих данных. Например, чтобы запросить удаление данных в компании IONOS, этот запрос должен быть подан в письменном виде по электронной почте по адресу legal@ionos.com, а по всем соответствующим вопросам потребители могут звонить по телефону 1 877 206 4253. Любые запросы потребителей на просмотр их личной информации должны быть выполнены в течение 45 дней после их получения. С января 2020 года компании должны проверять данные за 12 месяцев.

Вот обзор некоторых из основных положений CCPA:

• Потребители могут запросить информацию, которую компания собрала о них (включая тип данных и формат) и передала третьим лицам за 12 месяцев.
• Потребители могут потребовать удаления своей информации
• Потребители могут отказаться от продажи своих данных
• Потребители имеют право не получать отказ в обслуживании, за некоторыми исключениями
• Потребители имеют право на получение ответа на свой запрос в течение 45 дней.

Закон распространяется на все коммерческие компании, предоставляющие услуги или продукты жителям штата Калифорния, которые:

• получают доход более 25 миллионов долларов США в год
• собирают личные данные более 50 000 жителей штата Калифорния.
• получают 50% своего дохода от продажи личной информации жителей Калифорнии.

Это означает, что компания не обязательно должна находиться в Калифорнии или даже в США, чтобы соблюдать CCPA. Действительно, международная компания, которая подпадает под вышеуказанный закон, также должна будет соблюдать его.

В действительности, учитывая большое население Калифорнии, многие крупные компании уже обслуживают жителей Калифорнии. Хотя компании могут установить IP-трекеры для контроля за тем, обслуживают ли они калифорнийских клиентов, такие дорогостоящие технологические дополнения могут подойти не всем компаниям. Поэтому более вероятно, что компании обновят свои политики конфиденциальности, чтобы они соответствовали Закону для всех своих клиентов. Поскольку законы о защите данных постоянно меняются в связи с обеспокоенностью потребителей по поводу конфиденциальности, ожидается, что в ближайшем будущем большинство штатов США примут более строгие правила.

Закон не распространяется на небольшие компании, которые не собирают большие объемы данных, некоммерческие организации и индивидуальных предпринимателей, которые не собирают данные или зарабатывают больше порогового уровня. Есть и некоторые другие компании, на которые закон CCPA не распространяется, в том числе страховые провайдеры, агенты и вспомогательные организации. Это связано с тем, что последние уже подпадают под действие Закона Калифорнии о защите страховой информации и конфиденциальности.

CCPA вступил в силу 1 января 2020 года. Это означает, что все соответствующие предприятия должны соблюдать положения закона. Однако, поскольку потребители могут запрашивать данные за 12 месяцев, большинство компаний должны были внедрить системы сбора и управления данными с начала 2019 года.

Если потребитель жалуется, что Закон был нарушен, у компаний есть 30 дней, чтобы выполнить требования закона. Если компания не действует быстро или не соблюдает закон, она может быть оштрафована на сумму до 7 500 долларов США за каждый случай. Для компании, которая имеет дело с тысячами записей о потребителях, преднамеренное или непреднамеренное несоблюдение закона может быстро стать дорогостоящим.

Более того, благодаря этому законопроекту потребители впервые получили право подать в суд на компанию — индивидуально или коллективно. На данный момент неизвестно, как может выглядеть установленный законом ущерб в случае коллективного иска и каков может быть верхний порог. Поэтому компаниям рекомендуется серьезно отнестись к этому закону и обеспечить его соблюдение. Однако компании могут избежать штрафов и судебных исков, если они ответят клиентам в течение 30 дней и оперативно внесут любые требуемые изменения.

В случае несанкционированного доступа и нарушения данных, например, кражи или халатности, Закон гласит, что потребители могут получить возмещение ущерба в размере от 100 до 750 долларов США на каждого клиента и инцидент.

Поскольку многие крупные компании в США также предоставляют продукты и услуги в Европе, они уже обновили свои политики конфиденциальности, чтобы соответствовать GDPR. Таким образом, они уже находятся на пути к соблюдению большей части CCPA, поскольку некоторые положения этих двух законов схожи. Но насколько похожи CCPA и GDPR?

CCPA часто называют «американским GDPR». Это потому, что, по сути, многие его положения схожи с европейским аналогом. Однако CCPA рассматривается как несколько более широкий и, возможно, более строгий закон, чем GDPR. Одним из основных различий между CCPA и GDPR является возможность отказа от участия. В то время как GDPR требует, чтобы компании позволяли потребителям отказаться от обработки данных, CCPA позволяет отказаться только от продажи личной информации. Это означает, что компании по-прежнему могут собирать личные данные, но не могут продавать их без согласия. Основные различия и сходства между этими двумя законами приведены в таблице ниже.

Источники: PWC и Управление комиссара по информации

CCPA имеет далеко идущие последствия для многих предприятий в США и за рубежом. «Наши персональные данные — это то, что питает сегодняшнюю экономику, управляемую данными, и богатство, которое она генерирует. Пришло время контролировать использование наших персональных данных. Это включает в себя сохранение их конфиденциальности», — сказал Ксавьер Бекерра, генеральный прокурор Калифорнии. Как следствие, компании могут понести значительные расходы на соблюдение Закона. Им также следует подготовиться к большому количеству поступающих запросов от потребителей, а также к возможным штрафам и судебным разбирательствам. Компаниям, которые уже соблюдают требования GDPR, необходимо тщательно проанализировать, следует ли им вносить дополнительные изменения в политику конфиденциальности. В течение следующих нескольких лет в CCPA, вероятно, будет внесено несколько обновлений, и компаниям необходимо будет убедиться, что они идут в ногу с меняющимися правилами.

Калифорнийский закон о защите частной жизни потребителей рассматривается как начало волны нормативных актов о защите частной жизни, прокатившейся по США. Эксперты прогнозируют, что 2020 год станет ключевым годом для серьезных обновлений законов о защите персональных данных потребителей, особенно в таких штатах, как Нью-Йорк и Массачусетс, где уже находятся на рассмотрении соответственно Нью-Йоркский закон о конфиденциальности и Закон о конфиденциальности данных потребителей. Владельцам бизнеса рекомендуется принять меры, которые позволят им быстро адаптироваться к новым или изменяющимся требованиям к персональным данным.

Нажмите здесь для ознакомления с важными юридическими оговорками.