Захист персональних даних відповідно до CCPA

1 січня 2020 року став особливим днем в сфері захисту персональних даних. Набрав чинності Каліфорнійський акт про захист персональних даних споживачів, більш відомий як CCPA (California Consumer Privacy Act).

CCPA застосовується до всіх комерційних компаній, які ведуть бізнес в Каліфорнії (незалежно від місця свого розташування) і чия діяльність відповідає хоча б одній з наступних умов:

• компанія купує, продає або надає доступ до персональної інформації більш ніж 50 000 споживачів — фізичних осіб — резидентів Каліфорнії (навіть якщо фізична особа тимчасово знаходиться за межами штату);
• річний валовий дохід компанії становить понад 25 млн доларів США;
• не менше 50% річного доходу компанії отримано від продажу особистих відомостей споживачів.

Головна мета CCPA — надати фізичним особам можливість контролювати дії компанії щодо їхньої персональної інформації. Акт вимагає прозорості у зборі, використанні та поширенні інформації.

CCPA гарантує такі права жителів Каліфорнії в сфері захисту персональної інформації:

• право бути поінформованим до або під час збору особистої інформації;
• право знати про особисту інформацію, яка збирається, і про те, як вона використовується і поширюється;
• право доступу до своєї персональної інформації;
• право видаляти зібрану особисту інформацію (за деякими винятками);
• право відмовитися від продажу особистої інформації;
• право на захист від дискримінації у здійсненні своїх прав відповідно до CCPA.

Персональною вважається інформація, яка прямо чи опосередковано відноситься до конкретного споживача або домогосподарства чи може бути розумно пов’язана з ним. Наприклад, ім’я, псевдонім, номер соціального страхування, адреса електронної пошти, IP-адреса, файли cookie, дані геолокації, дані про здоров’я, сім’ю.

Одразу варто зазначити відмінність між персональною інформацією за CCPA і персональними даними за GDPR — CCPA також поширюється на інформацію про сім’ю і домашнє господарство. При цьому в США прийнято використовувати термін personal information («персональна інформація»), а не personal data («персональні дані»). Також, на відміну від GDPR, в CCPA відсутні принципи і підстави для обробки персональної інформації.

Крім того, CCPA не передбачає створення спеціального регуляторного органу, тому контроль за відповідністю вимогам Акта здійснює генеральний прокурор Каліфорнії. В окремих випадках позови проти бізнесу можуть подавати споживачі: наприклад, якщо через нездатність компанії підтримувати розумні процедури і методи захисту персональної інформації вона була викрадена в результаті злому.

За порушення CCPA встановлені штрафи:

• 2500 доларів США за ненавмисне і 7500 доларів за навмисне порушення Акта;
• 100 – 750 доларів США (або компенсація фактичних збитків, якщо вони більші) за інцидент з одним споживачем, викликаний порушенням безпеки.

Може здатися, що штрафи невеликі. Однак потрібно розуміти, що вони накладаються за кожне окреме порушення і сумуються. Порушення порядку захисту персональної інформації може стосуватися сотень тисяч споживачів, що сильно вдарить по фінансовому стану компанії.

На старті бізнесу у власників зазвичай немає часу і можливості самостійно розібратися в усіх нюансах законодавчого регулювання. Як наслідок — неправильно складена документація, порушення, штрафи і зіпсована репутація.

Щоб уникнути помилок і зайвих витрат, варто передати всі юридичні питання професіоналам ВігоЛекс і зосередитися на найважливішому — стратегічному розвиткові бізнесу.