Защита персональных данных согласно CCPA

CCPA применяется ко всем коммерческим компаниям, которые ведут бизнес в Калифорнии (независимо от фактического местоположения) и чья деятельность соответствует хотя бы одному из следующих условий:

• компания покупает, продает или предоставляет доступ к персональной информации более 50 000 потребителей — физических лиц — резидентов Калифорнии (даже если физическое лицо временно находится за пределами штата);
• годовой валовой доход компании составляет свыше 25 млн долларов США;
• не менее 50% годового дохода компании получено от продажи личных сведений потребителей.

Главная цель CCPA — дать возможность физическим лицам контролировать действия компании в отношении их персональной информации. Акт требует прозрачности в сборе, использовании и распространении информации.

CCPA гарантирует такие права жителей Калифорнии в сфере защиты персональной информации:

• право быть проинформированным до или во время сбора личной информации;
• право знать, какая личная информация собирается, как она используется и распространяется;
• право доступа к своей персональной информации;
• право удалять собранную личную информацию (с некоторыми исключениями);
• право отказаться от продажи личной информации;
• право на защиту от дискриминации в сфере защиты прав согласно CCPA.

Персональной считается информация, которая прямо или косвенно относится к конкретному потребителю или домохозяйству либо может быть разумно связана с ним. К примеру, имя, псевдоним, номер социального страхования, адрес электронной почты, IP-адрес, файлы cookie, данные геолокации, данные о здоровье, семье.

Сразу обращаем внимание на различие между персональной информацией по CCPA и персональными данными по GDPR — CCPA также распространяется на информацию о семье и домашнем хозяйстве. При этом в США принято использовать термин personal information («персональная информация»), а не personal data («персональные данные»). Также, в отличие от GDPR, в CCPA отсутствуют принципы и основания для обработки персональной информации.

Кроме того, CCPA не предусматривает создания специального регуляторного органа: соблюдение требований Акта контролирует генеральный прокурор Калифорнии. В отдельных случаях иски против бизнеса могут подавать потребители: например, если в результате неспособности компании поддерживать разумные процедуры и методы защиты персональной информации она была украдена в результате взлома.

За нарушения CCPA установлены штрафы:

• 2500 долларов США за непреднамеренное и 7500 долларов за преднамеренное нарушение Акта;
• 100 – 750 долларов США (или компенсация фактических убытков, если они больше) за инцидент с одним потребителем, вызванный нарушением безопасности.

Может показаться, что штрафы небольшие. Но нужно понимать, что они накладываются за каждое отдельное нарушение и суммируются. Инцидент с защитой персональной информации может касаться сотен тысяч потребителей, что нанесет существенный удар по благосостоянию компании.

На старте бизнеса у владельцев, как правило, нет времени и возможности самостоятельно разобраться во всех нюансах законодательного регулирования. Следствие этого — неправильно составленные документы, нарушения, штрафы и испорченная репутация.

Чтобы избежать ошибок и лишних трат, советуем передать все юридические вопросы профессионалам ВигоЛекс и сосредоточиться на самом важном — стратегическом развитии бизнеса.