Закон California Consumer Privacy Act (CCPA) — це нормативний акт штату Каліфорнія, який забезпечує мешканцям штату ширші можливості контролю над їхніми персональними даними. Він встановлює обов’язки для компаній щодо збору, використання, зберігання та розкриття особистої інформації споживачів. Завдяки CCPA споживачі отримали право знати, які саме дані про них збираються, кому вони передаються, а також право вимагати видалення цієї інформації. Детальніше про основні положення розповідають юристи Inferno Digital Law Company.
Що таке CCPA
California Consumer Privacy Act (далі – CCPA) – це законодавчий акт у Сполучених штатах, який регулює отримання та обробку персональних даних. Як випливає з назви – це не федеральний акт, а локальний, а саме: прийнятий у штаті Каліфорнія. Однак, попри його локальний характер, дія акту поширюється в т.ч. на компанії та підприємців у всьому світі, особливо у сфері надання онлайн послуг чи постачання цифрових товарів або програмного забезпечення.
Які дані захищає CCPA
Визначення персональних даних, які підпадають під сферу дії CCPA доволі широке. До таких даних, зокрема, належать:
- Особиста інформація (Прізвище та ім’я, псевдоніми, IP-адреси, адреса місця проживання, адреса для листування, e-mail адреса тощо);
- Біометричні дані, за якими можна встановити особу (скани сітківки ока, відбитки пальців та долонь рук, обличчя, запис голосу особи тощо);
- Професійні дані та дані щодо працевлаштування (якщо вони не є публічними).
Зауважимо, що CCPA розширює перелік персональних даних, що охороняються, відносно, наприклад, GDPR. Отже, щоб забезпечити належний комплаєнс необхідно аналізувати ці акти синергічно.
Кого стосується CCPA
Як вже було зазначено, незважаючи на локальний характер CCPA, його дія (за певних умов) може поширюватись по всьому світу. Справа в тому, що суб’єктами надання персональних даних за CCPA є резиденти штату Каліфорнія (незалежно від фактичного місцезнаходження). А ось отримувачами персональних даних може бути будь-хто, незалежно від резидентства. Таким чином навіть якщо бізнес зареєстрований не в США (наприклад, в Україні), але отримує персональні дані від резидента штату Каліфорнія та відповідає певним умовам – виникає обов’язок дотримання CCPA. До таких умов належать:
- Дохід підприємства за попередній рік перевищує 26 625 000 доларів США;
- Підприємство збирає, обробляє, передає/продає персональні дані більше ніж 100 000 резидентів штату;
- Підприємство отримує більше половини річного доходу від продажу персональних даних резидентів штату.
Які права дає CCPA мешканцям Каліфорнії
Основні права викладені аналогічно до GDPR. До них належать:
- Право знати які персональні дані бізнес збирає, яким чином вони використовуються та поширюються;
- Право на виправлення або видалення персональних даних (з певними виключеннями);
- Право обмежити використання наданих персональних даних;
- Право відмовитись від продажу або передачі іншим особам наданих персональних даних (the right to opt-out…);
- Заборона дискримінації при здійсненні цих прав.
Перелічені права створюють відповідні обов’язки для бізнесу, який отримує персональні дані від резидентів штату Каліфорнія. Зокрема, обов’язок повідомляти про збір та обробку персональних даних, їх умови – для цього розробляються відповідні повідомлення та політики.
Що потрібно зробити компанії, щоб відповідати CCPA
CCPA комплаєнс – це комплексний процес. Перш за все, потрібно визначити чи підпадає діяльність бізнесу під сферу дії CCPA. Після цього починається основна робота – розробка документації. Основними документами, що забезпечують CCPA комплаєнс є Політика конфіденційності та Політика використання файлів cookies. Політика конфіденційності зазвичай містить інформацію про види персональних даних, які збираються, мету та умови їх обробки та передачі/продажу третім особам (якщо такі здійснюються), інформацію про права користувача, порядок їх реалізації, контактні дані бізнесу тощо. Політика використання файлів cookie регламентує які саме cookie використовуються, їх типи тощо. В контексті CCPA комплаєнсу цей документ є важливим, оскільки дані про IP-адреси та історію пошуку користувача і т.п. підпадають під визначення персональних даних, а отже – наявність політики їх збору та використання є обов’язковою.
Також обов’язковими є наявність повідомлень про збір персональних даних та використання файлів cookie. Найкращий спосіб їх реалізації – розміщення інтерактивних спливаючих вікон на сайті бізнесу, які з’являються при першому відвідуванні. Рекомендуємо на обох повідомленнях забезпечити щонайменше наявність кнопок “погодитись” та “відмовитись”. До того ж такі вікна мають містити посилання на відповідні політики, аби відповідати вимозі доступності та прозорості.
Після підготовки та розміщення всіх політик та повідомлень, бізнесу потрібно дотримуватись їх положень та завжди проводити зворотний зв’язок із користувачем.
IT-адвокат Інферно Діджитал надає повний цикл послуг з CCPA комплаєнсу – консультування, розробка документації, практичні рекомендації щодо дотримання CCPA.
Яка відповідальність за порушення CCPA
Недотримання положень CCPA може призвести до накладення штрафів:
- До 2500 доларів США за кожен факт неумисного порушення;
- До 7500 доларів США за кожен факт умисного порушення.
Більше того, користувач матиме право звернутись до суду за відшкодуванням збитків, завданих такими порушеннями.
Автор статті
Сергій Писанчин
Юрист
Буде корисно
Рекомендуємо також прочитати
Реєстрація торговельної марки в США: вимоги, вартість та процес
Гіг-контракт: що це та навіщо він потрібен
Як ІТ-компанії захистити свою інтелектуальну власність: реєстрація авторства на IT розробки