1 січня 2020 року став особливим днем в сфері захисту персональних даних. Набрав чинності Каліфорнійський акт про захист персональних даних споживачів, більш відомий як CCPA (California Consumer Privacy Act).
CCPA — перший в США акт про захист персональної інформації споживачів. Жоден інший штат не надає своїм жителям захист, подібний до CCPA. Це абсолютно новий акт, і практика його застосування тільки напрацьовується, тому тут легко «наламати дрів»
CCPA застосовується до всіх комерційних компаній, які ведуть бізнес в Каліфорнії (незалежно від місця свого розташування) і чия діяльність відповідає хоча б одній з наступних умов:
- компанія купує, продає або надає доступ до персональної інформації більш ніж 50 000 споживачів — фізичних осіб — резидентів Каліфорнії (навіть якщо фізична особа тимчасово знаходиться за межами штату);
- річний валовий дохід компанії становить понад 25 млн доларів США;
- не менше 50% річного доходу компанії отримано від продажу особистих відомостей споживачів.
Головна мета CCPA — надати фізичним особам можливість контролювати дії компанії щодо їхньої персональної інформації. Акт вимагає прозорості у зборі, використанні та поширенні інформації.
CCPA гарантує такі права жителів Каліфорнії в сфері захисту персональної інформації:
- право бути поінформованим до або під час збору особистої інформації;
- право знати про особисту інформацію, яка збирається, і про те, як вона використовується і поширюється;
- право доступу до своєї персональної інформації;
- право видаляти зібрану особисту інформацію (за деякими винятками);
- право відмовитися від продажу особистої інформації;
- право на захист від дискримінації у здійсненні своїх прав відповідно до CCPA.
Персональною вважається інформація, яка прямо чи опосередковано відноситься до конкретного споживача або домогосподарства чи може бути розумно пов’язана з ним. Наприклад, ім’я, псевдонім, номер соціального страхування, адреса електронної пошти, IP-адреса, файли cookie, дані геолокації, дані про здоров’я, сім’ю.
Одразу варто зазначити відмінність між персональною інформацією за CCPA і персональними даними за GDPR — CCPA також поширюється на інформацію про сім’ю і домашнє господарство. При цьому в США прийнято використовувати термін personal information («персональна інформація»), а не personal data («персональні дані»). Також, на відміну від GDPR, в CCPA відсутні принципи і підстави для обробки персональної інформації.
Крім того, CCPA не передбачає створення спеціального регуляторного органу, тому контроль за відповідністю вимогам Акта здійснює генеральний прокурор Каліфорнії. В окремих випадках позови проти бізнесу можуть подавати споживачі: наприклад, якщо через нездатність компанії підтримувати розумні процедури і методи захисту персональної інформації вона була викрадена в результаті злому.
За порушення CCPA встановлені штрафи:
- 2500 доларів США за ненавмисне і 7500 доларів за навмисне порушення Акта;
- 100 – 750 доларів США (або компенсація фактичних збитків, якщо вони більші) за інцидент з одним споживачем, викликаний порушенням безпеки.
Може здатися, що штрафи невеликі. Однак потрібно розуміти, що вони накладаються за кожне окреме порушення і сумуються. Порушення порядку захисту персональної інформації може стосуватися сотень тисяч споживачів, що сильно вдарить по фінансовому стану компанії.
На старті бізнесу у власників зазвичай немає часу і можливості самостійно розібратися в усіх нюансах законодавчого регулювання. Як наслідок — неправильно складена документація, порушення, штрафи і зіпсована репутація.
Щоб уникнути помилок і зайвих витрат, варто передати всі юридичні питання професіоналам ВігоЛекс і зосередитися на найважливішому — стратегічному розвиткові бізнесу.
