CCPA

1 січня 2020 став особливим днем в сфері захисту персональних даних. Набрав чинності Каліфорнійський акт про захист персональних даних споживачів, більш відомий як CCPA (California Consumer Privacy).

CCPA застосовується до всіх комерційних компаній, які ведуть бізнес в Каліфорнії (не залежно від свого місця розташування) і відповідають хоча б одній умові:

• компанія купує, продає або надає доступ до персональної інформації більш 50 000 споживачів – фізичних осіб-резидентів Каліфорнії (навіть якщо фізична особа тимчасово знаходиться за межами штату);
• річний валовий дохід компанії становить понад 25 млн доларів США;
• не менше 50% річного доходу компанії отримано від продажу особистих відомостей споживачів.

Основна ціль CCPA – дати фізичним особам можливість контролювати дії компанії щодо їх персональної інформації. Акт вимагає прозорості у зборі, використанні та поширенні інформації.

CCPA гарантує такі права жителів Каліфорнії в сфері захисту персональної інформації:

• право бути поінформованим до або під час збору особистої інформації;
• право знати про особисту інформацію, яка збирається, як вона використовується і поширюється;
• право доступу до своєї персональної інформації;
• право видаляти особисту зібрану інформацію (з деякими винятками);
• право відмовитися від продажу їх особистої інформації;
• право на захист від дискримінації в здійснення своїх прав відповідно до CCPA.

Персональною вважається інформація, яка прямо або побічно відноситься або може бути розумно пов’язана з конкретним споживачем або домогосподарством. Наприклад, ім’я, псевдонім, номер соціального страхування, адресу електронної пошти, IP-адресу, файли cookie, дані геолокації, дані про здоров’я, сім’ю.

Відразу варто відзначити відмінність між персональної інформації за CCPA і персональними даними за GDPR: CCPA також поширюється на інформацію про сім’ю і домашнє господарство. Цікаво, що в США прийнято використовувати термін personal information (персональна інформація), а не personal data (персональні дані). На відміну від GDPR, в CCPA також відсутні принципи і підстави для обробки персональної інформації.

Крім того, в CCPA не передбачено створення спеціального регуляторного органу, і контроль за відповідністю вимогам Акта здійснює генеральний прокурор Каліфорнії. В окремих випадках позови проти бізнесу також можуть подавати споживачі. Наприклад, якщо в результаті нездатності компанії підтримувати розумні процедури і методи захисту персональна інформація була вкрадена в результаті злому.

За порушення в CCPA встановлені штрафи в розмірі:

• 2500 доларів США за ненавмисне і 7500 доларів за навмисне порушення;
• 100-750 доларів США за інцидент з одним споживачем – чи фактичні збитки, якщо вони вище, – за збиток, викликаний порушенням безпеки.

Може здатися, що розміри штрафів досить невеликі. Однак потрібно розуміти, що вони накладаються за кожне окреме порушення і додаються. Порушення порядку захисту персональної інформації може стосуватися сотень тисяч споживачів, що завдасть істотного удару по фінансовому стану компанії.

На початкових етапах у власників бізнесу, як правило, немає часу і можливості самостійно розібратися у всій нюансах законодавчого регулювання. А далі – неправильно складена документація, порушення, штрафи і зіпсована репутація.