California Consumer Privacy Act: перемога чи недо-GDPR?

Американські юристи та правники назвали 28 червня 2018 року видатною датою в історії розвитку законодавства щодо захисту персональних даних у США. У цей день, губернатор штату Каліфорнія Джері Браун підписав California Consumer Privacy Act 2018 (надалі – «Регламент»).

Закон має вступити в силу лише з 1 січня 2020 року, проте вже зараз юридичні кола США активно обговорюють ті наслідки, які може спричинити його вступ у дію. Що ж такого особливого передбачено у даному законі, чому до нього прикута така велика увага та чим він відрізняється від GDPR? Давайте розбиратися з усім по черзі.

Кого взагалі стосується цей Регламент?

Перш за все, Регламент чітко вказує на те, що суб’єктами даних є фізичні особи (звичайні люди). Порівняно з GDPR, положення якого можуть стосуватися компаній за ряду спеціальних умов, Регламент звужує коло суб’єктів даних, зводячи його виключно до фізичних осіб.

До фізичних осіб, яких стосуватимуться дані нововведення, відноситимуться особи, які є резидентами штату Каліфорнія та можуть бути ідентифіковані за будь-яким унікальним ідентифікатором. До таких ідентифікаторів Регламент відносить практично все: унікальний код електронного пристрою, файли cookies, IP-адреса, унікальний псевдонім або номер особи, телефонні номеру тощо. Вказується, що список не є вичерпним, тобто, теоретично, будь-яка інформація, яка може допомогти ідентифікувати особу, є таким ідентифікатором.

По іншу сторону барикад California Consumer Privacy Act ставить компанії, які обробляють персональні дані.

До таких компаній відносяться зареєстровані у штаті Каліфорнія приватні підприємці, партнерства, ТОВ, корпорації, асоціації та будь-які інші юридичні особи, які створюється або працюють з метою отримання прибутку та які збирають особисту інформацію особисто або від імені своїх споживачів та які поодинці або спільно з іншими визначають цілі та засоби обробки такої інформації. Також, такі компанії обов’язково мають відповідати хоча б одному з трьох критеріїв:

• річний валовий дохід, що перевищує $25 мільйонів;
• поодинці або спільно з іншими щорічно купує, отримує для комерційних цілей бізнесу, продає або ділиться для комерційних цілей, окремо або в спільно, особисту інформацію не менш як 50 тисяч споживачів, домогосподарств або пристроїв;
• одержує 50 або більше відсотків своїх щорічних доходів від продажу особистої інформації споживачів.
  
  

Окрім того, до них відносяться будь-які організації, які контролюють вищевказані компанії або мають з ними спільний брендинг. Порівняно з GDPR, положення якого стосуються як компаній-контролерів, так і компаній-операторів,  коло юридичних осіб за Регламентом обмежується тільки контролерами.

Таким чином, коло застосування California Consumer Privacy Act є більш вузьким стосовно суб’єктів даних, які пов’язані з колообігом персональних даних.

Які персональні дані захищає Регламент?

Відповідно до положень Регламенту, персональною інформацією є інформацію, яка ідентифікує, стосується, описує, здатна бути пов’язана або може бути розумно пов’язана безпосередньо чи опосередковано з певним суб’єктом даних чи домогосподарством.

Особиста інформація включає зокрема, проте не виключно:

• ідентифікатори, такі як справжнє ім’я, псевдонім, поштова адреса, будь-який інший унікальний персональний ідентифікатор, IP-адреса, адреса електронної пошти, ім’я облікового запису, номер соціального страхування, номер посвідчення водія, номер паспорта чи інші подібні ідентифікатори;
• будь-які категорії особистої інформації, такі як номер страхового полісу, освіта, зайнятість, історія зайнятості, номер банківського рахунку, номер кредитної картки, номер дебетової картки або будь-яка інша фінансова інформація;
• раса, колір шкіри, стать, вік (40 і старше), віросповідання, національне походження, інвалідність, статус громадянства, генетична інформація, сімейний стан, сексуальна орієнтація та самоідентифікація, стан здоров’я, інфекційні хвороби, військовий або ветеранський статус, політичні переконання або приналежність, статус жертви домашнього насильства, нападу чи переслідування;
• комерційна інформація, включаючи записи про особисте майно, продукти чи послуги, придбані, отримані чи розглянуті, або інші історії покупки чи споживання;
• біометрична інформація;
• інтернет- або будь-яка інша інформація щодо активності у соціальних мережах, зокрема, проте не виключно, історія переглядів, історія пошуку та інформація щодо взаємодії особи з веб-сайтом, додатком чи інтернет-рекламою;
• дані геолокації;
• аудіо, електронні, візуальні, теплові, нюхові або подібні відомості;
• професійна інформація чи інформація, пов’язана з працевлаштуванням;
• інформація про освіту, яка визначається як не загальнодоступна особиста ідентифікуюча інформація;
• висновки, отримані від будь-якої інформації, визначеної в цьому підрозділі, для створення профілю про споживача, що відображає його споживчі вподобання, характеристики, психологічні тенденції, уподобання, схильність, поведінку, ставлення, інтелект, здібності та схильності.
  
  

Категорія особистої інформації не включає загальнодоступну інформацію, тобто інформація, якою на законних підставах володіють органи влади. Загальнодоступною не є: біометрична інформація, яку збирає компанія про особу без її відома; дані, які знаходяться у відкритому доступі або якщо вони використовуються з метою, яка не сумісна з ціллю, для якої вони збиралися та зберігалися; інформація, яка є деідентифікованою або сумісною з інформацією про суб’єкта даних.

З огляду на вищезазначене, можемо зробити висновок, що категорія особистих даних за Регламентом є більш деталізованою, аніж за GDPR, і це є його сильною стороною: він водночас і чітко визначає обсяг поняття, і залишає можливість віднести до цієї категорії «іншу інформацію».

А які права надаються суб’єктам даних?

California Consumer Privacy Act надає суб’єктам даних широке коло прав. Так, суб’єкти даних будуть вправі вимагати від компаній, які збирають персональні дані:

• розкрити особі категорії та конкретні дані, які зібрала компанія;
• видалити будь-яку особисту інформацію про особу, яку компанія зібрала у нього;
• розкрити особі:
• категорії даних, які зібрала компанія про особа;
• категорії джерел, з яких збираються такі дані;
• ділова чи комерційна мета для збору чи продажу цих даних;
• категорії третіх осіб, з якими компанія ділиться цими даними;
• конкретні частини персональних даних, які зібрала компанія;
• право вимагати, щоб компанія, яка продає особисту інформацію особи, або розкриває її з діловою метою, розкрила цій особі:
• категорії особистої інформації, яку компанія збирає про особу;
• категорії особистої інформації особи, які компанія продала, і категорії третіх осіб, яким продана така інформація;
• категорії особистої інформації особи, які компанія розкрила для досягнення бізнес-цілей;
• від компанії, яка продає особисту інформацію особи третім особам, не продавати такі інформацію.

Як бачимо, обсяг прав суб’єктів даних за Регламентом є, по суті, аналогічним обсягу таких прав за GDPR. Таким чином, можна зробити висновок що Регламент надійно захищає права суб’єктів даних.

Висновок

Підбиваючи підсумки, варто зазначити, що California Consumer Privacy Act є «перемогою» і великим кроком вперед у питанні захисту персональних даних у США. Незважаючи на те, що дія Регламенту поширюватиметься тільки на територію штату Каліфорнія, юристи зазначають, що з великою долею вірогідності інші штати підтримають таку тенденцію та приймуть власні відповідні акти щодо захисту персональної інформації.

На думку американських правників, ті компанії, які вже сьогодні будують свою політику захисту персональних даних відповідно до вимог GDPR, у кількарічній перспективі матимуть значні переваги над тими компаніями, які цього не роблять. Тренд на захищеність персональних даних набирає обертів і найближчим часом спад цієї тенденції не очікується.

Тому, ми радимо вам слідкувати за змінами та переглядати свої політики та процедури для того, аби вести бізнес відповідно до найостанніших вимог законодавства.