California Consumer Privacy Act: новый тренд США по защите персональных данных в 2020 году

California Consumer Privacy Act, или CCPA – это закон о защите персональных данных пользователей штата Калифорния, который на данный момент является одним из наиболее регламентированных нормативных актов в сфере защиты персональных данных на территории США.

CCPA официально вступил в силу с 1 января 2020 года. Таким образом, важно понимать, что это за акт, какие новшества он призван внедрить и как его принятие может повлиять на ведение бизнеса в США в целом.

Сфера действия CCPA

Прежде всего необходимо знать, что у CCPA – довольно узкий круг действия. Традиционно следует различать действие закона касательно трех критериев:

1) территориальная сфера: действие CCPA распространяется на компании, которые ведут свою бизнес-деятельность в штате Калифорния и соответствуют одному из критериев:

– имеют годовой валовой доход свыше $25 млн;

– ежегодно покупают, получают для коммерческих целей, продают или передают в коммерческих целях персональную информацию более 50 тыс. пользователей или

– получают 50 % (или более) своего годового дохода от продажи персональной информации пользователей;

Важно понимать, что согласно законодательству Калифорнии бизнес-деятельностью считается деятельность с целью получения финансовой, материальной или денежной выгоды. Кроме того, согласно Налоговому кодексу штата компании, расположенные за его пределами, также при определенных условиях могут быть признаны ведущими свою бизнес-деятельность в пределах штата.

2) действие закона по кругу лиц: действие CCPA распространяется на физических лиц – резидентов Калифорнии, которыми являются:

– физические лица, находящиеся в Калифорнии не с целью временного или транзитного характера; а также

– физические лица, проживающие в Калифорнии, которые отсутствуют в связи с обстоятельствами временного или транзитного характера;

3) действие закона по кругу правоотношений: действие CCPA распространяется на правоотношения, которые связаны со сбором, обработкой, передачей, продажей, хранением персональной информации, а также раскрытием персональной информации для бизнес-целей компании.

В целом текст CCPA составлен таким образом, что его действия распространяются на отношения компаний, которые удовлетворяют вышеуказанным критериям, и пользователей – резидентов Калифорнии. Если же компания собирает и продает персональные данные вне штата или же физические лица не являются пользователями в понимании CCPA, то CCPA применяться к ним не будет.

Основные требования и нововведения CCPA

Для тех компаний, которые привели свою политику конфиденциальности в соответствие с требованиями GDPR, многие из требований CCPA покажутся логичными и давно знакомыми. Но из-за общей конъюнктуры защиты персональных данных в США и специфики компаний, которые регистрируют место своей деятельности в Калифорнии, в частности, в Силиконовой долине, такие требования являются довольно ощутимыми.

Например, пользователь может потребовать раскрыть ему информацию о том, какие:

1) персональные данные о нем собирает компания, кому она их передает и для каких целей, а компания обязана предоставить пользователю такую информацию. Для реализации этого права пользователь должен отправить надлежащий запрос, требования к которому определяются Регламентом к CCPA, а компания, в свою очередь, обязана в течение 45 дней предоставить информацию по данному запросу.

2) Пользователь может потребовать у компании прекратить продажу его персональных данных, а компания обязана выполнить это требование в течение 15 дней с момента получения запроса. В случае получения запроса компания вправе в дальнейшем использовать персональные данные такого пользователя исключительно с целью выполнения его запроса.

3. Пользователь может потребовать у компании удалить все его персональные данные, которыми владеет компания, а компания обязана сначала в течение 10 дней подтвердить пользователю получение запроса, а потом в течение 45 дней с момента получения запроса удалить всю информацию о пользователе.

Однако, если запрос об удалении информации был оформлен или отправлен ненадлежащим образом, то компания имеет право ее не удалять, а такой запрос воспринимать как запрос с требованием прекратить продажу информации. Кроме того, CCPA прямо устанавливает, что компания не обязана удалять данные о пользователе, если использование таких данных необходимо, например, для:

– завершения сделки, для которой такие данные были собраны;

– защиты от вредоносной, обманной, мошеннической или незаконной деятельности, или привлечения к ответственности за подобную деятельность;

– исключительно внутреннего использования, которое является адекватным ввиду отношений пользователя и компании;

– соблюдения юридических обязательств компании и прочее.

Таким образом, основное внимание CCPA сфокусировано именно на вопросах продажи и раскрытия персональных данных. Тут CCPA гарантирует как права пользователей (например, обязанность компании получить разрешение несовершеннолетнего пользователя на продажу его информации), так и защищает интересы компаний (например, список ситуаций, когда компании могут не выполнять запрос пользователя об удалении персональных данных). Тем самым CCPA соблюдает достаточно разумный баланс между интересами пользователей и компаний.

Прогнозируемый эффект принятия CCPA

Логичным является то, что принятие CCPA прежде всего повлияет на ведение крупного бизнеса в юрисдикции штата Калифорния. Например, в Калифорнии зарегистрированы такие гиганты, как Facebook (который уже и так в течение прошлого года имел серьезные проблемы с властями из-за небрежного отношения к персональным данным), Google, eBay, Yahoo!, Apple, EA, Twitter и т. д.

Компании, подобные этим, ежеминутно получают и обрабатывают гигантский массив персональных данных и логично, что как бы они ни старались, в процессе получения и обработки данных все равно можно найти нарушения. Таким образом, применение штрафных санкций к ним (согласно CCPA это $2500 за каждое нарушение положений CCPA и $7500 за каждое умышленное нарушение акта) практически неизбежно.

Учитывая штрафы, которые налагались на компании-гиганты в ЕС (например, €50 млн для Google во Франции), можно сделать вывод, что CCPA поддерживает общий тренд на ужесточение контроля по защите персональных данных.

Кроме того, CCPA будет иметь влияние на любого интернет-ритейлера средних размеров, потому что 50 тысяч посетителей сайта в год – не такая уж большая цифра. Таким образом, если вы ведете бизнес в Интернете и зарегистрировали свою компанию в Калифорнии, желательно отложить все дела и пересмотреть свою политику конфиденциальности и правила пользования, а также механику получения и обработки конфиденциальных данных на их соответствие CCPA.

Еще одним возможным влиянием CCPA может стать то, что он вполне в состоянии задать общеамериканский тренд на обновление законодательства в сфере защиты персональных данных. Так, многие американские юристы акцентируют внимание на том, что с большой долей вероятности в 2020 – 2021 г. многие штаты последуют примеру Калифорнии и примут свои собственные CCPA. Поэтому, если ваша компания зарегистрирована, например, в Делавэре и вы уже приготовились расслабиться, мы все-таки посоветовали бы вам подумать на несколько шагов вперед и откорректировать свою политику конфиденциальности в соответствии с требованиями CCPA. На всякий случай. Для достижения душевного спокойствия.

Таким образом, исходя из анализа норм CCPA, можно сказать, что он направлен больше не на тотальную защиту прав и интересов субъектов данных (как, например, GDPR), а, скорее, на то, чтобы искоренить у компаний элемент расхлябанности по отношению к вопросам защиты персональных данных.

    Твой вопрос ІТ юристам


    Хочешь получать крутую инфу по IT-праву,
    без спама и надоедливых акций?