Розглядаємо новий каліфорнійський акт про захист персональних даних та чим він відрізняється від європейського.

Розвинуті країни все більше опікуються захистом даних своїх громадян. В ЄС вже понад півтора роки працює Регламент про захист і обробку персональних даних (GDPR). Є перші результати, на порушників накладаються штрафи. А ось у США пішли іншим шляхом замість федеральних законів про захист інформації прийнято акт на рівні штату. З 1 січня 2020 року в Каліфорнії запроваджується CCPA (California consumer protection act). В ЄС діють однакові правила для 28 країн, чи буде в США 50 різних законів, поки що невідомо, але вже зрозуміло, що європейський та американський підходи до захисту даних суттєво відрізняються. Детальніше про GDPR ви можете прочитати у нашому довіднику.

Дія каліфорнійського акту обмежена бізнесом, що збирає та обробляє дані резидентів штату

В CCPA визначено, що регулювання спрямоване на тих, хто працює з даними резидентів штату Каліфорнія. А ось вимог GDPR повинні дотримуватись як ті, хто працює з даними жителів ЄС, так і компанії, що розташовані в Євросоюзі, незалежно від місця проживання їх клієнтів.

CCPA більш широко, ніж GDPR, трактує персональні дані

Персональна інформація, за визначенням CCPA, це будь-яка інформація, що може в розумних межах, прямо чи опосередковано, бути пов’язана з користувачем або домогосподарством у Каліфорнії. Персональні дані GDPR — це будь-яка інформація, що стосується суб’єкта даних. 

 

Іншими словами, за каліфорнійським законом під захист потрапляють, наприклад, історія пошуку, сторінки, що збережені в браузері, і навіть дані, які можна отримати за допомогою аналітики схильності та характеристики користувача. Європейським регламентом регулюється робота з інформацією, що ідентифікує особу, наприклад, ім’я, адреса, IP.

CCPA переважно стосується середнього та великого бізнесу

Каліфорнійський закон стосується таких комерційних організацій, що працюють у штаті, збирають персональну інформацію і відповідають хоча б одному з критеріїв річний дохід більший за 25 мільйонів доларів, робота з даними більш ніж 50 000 людей, більше 50% річного доходу надходить від продажу даних користувачів. GDPR має вимоги до всіх організацій, незалежно від розміру та профілю діяльності.

Новий закон Каліфорнії має на меті підвищення прозорості використання даних

Згідно CCPA, бізнес повинен повідомляти користувачів про те, які дані збираються і з якою метою. Регламент GDPR наполягає на тому, щоб мінімізувати можливість доступу до персональних даних і зберегти їх. Тобто Каліфорнія робить наголос на прозорості роботи з інформацією, а ЄС на збереженні конфіденційності.

Мешканці ЄС можуть отримати більше інформації про використання їхніх персональних даних

В GDPR для користувача передбачена можливість безкоштовно отримати в електронній формі повну інформацію про те, які дані про нього зібрані та як їх було використано. Згідно CCPA, бізнес має надавати лише категорії та частину інформації за останні 12 місяців.

GDPR дозволяє користувачеві змусити компанію “забути” про нього. В CCPA обмежено таку можливість

Регламент ЄС дозволяє видалити дані — в разі якщо вони більше не потрібні та/або користувач вимагає зробити це. Каліфорнійський акт обмежує право людей на видалення персональної інформації, в разі якщо вона зберігається, наприклад, для виконання юридичних зобов’язань чи з метою забезпечення безпеки.

Санкції за порушення CCPA менші, ніж штрафи, передбачені GDPR

Умисне нехтування нормами каліфорнійського акту спричинить накладення штрафу в $7 500, ненавмисне у $2 500. А ось за порушення вимог регламенту GDPR можна позбутися 10 мільйонів євро або 2% від загального доходу Google був змушений сплатити 50 мільйонів євро. При цьому CCPA дозволяє користувачам в разі порушення їхніх прав — наприклад, викрадення даних і спричинення збитків — вимагати у компаній відшкодування в розмірі від 100 до 750 доларів за кожний випадок.

Це топ-7 відмінностей між європейським і американським законодавчими актами, що покликані регулювати роботу з персональними даними. Прагнення урядів впорядкувати цю сферу виглядає розумним, і каліфорнійський CCPA здається більш доброзичливим до бізнесу. Але для компаній виникає додатковий тягар як відповідати вимогам національного законодавства всіх країн, де мешкають їхні клієнти. Необхідно замислитись над уніфікацією правил роботи з персональною інформацією на міжнародному рівні, наприклад, в межах СОТ.