CCPA (California Consumer Protection Act): які вимоги та умови відповідності?
California Consumer Protection Act (CCPA) або California Consumer Rights Act (CPRA) – це закони про захист персональних даних штату Каліфорнія у США. CPRA розширив і доповнив CCPA, тому часто ці абревіатури вживаються як взаємозамінні.
CCPA / CPRA: що це?
CCPA/CPRA багато в чому схожий на європейський GDPR:
- застосовується до всіх компаній, що “ведуть бізнес у Каліфорнії”, незалежно від місця реєстрації;
- застосовується для захисту даних всіх каліфорнійців – і споживачів, і відвідувачів сайтів, і працівників тощо;
- має широке визначення “персональної інформації”;
- має поділ на “бізнес” (контролерів) та “провайдерів послуг” або “контракторів” (аналоги процесора даних);
- має низку імперативних вимог до організацій щодо виконання запитів на якісь дії з персональними даними, обмежує вільний продаж і розкриття даних, вимагає дбайливої безпеки.
Але вони не ідентичні. CCPA/CPRA не мають такого ж широкого спектра дії, як GDPR. Зокрема:
- поширюється тільки на комерційні організації;
- організації повинні для прибутку використовувати ці дані (монетизувати їх певним чином);
- продаж даних загалом не заборонений – людина просто має право на заборону такого продажу;
- немає правових підстав, як визначено у GDPR;
- під дію закону потрапляють тільки ті компанії, що перевищують певний поріг доходу від монетизації даних.
Що це за поріг і як зрозуміти, чи на вашу компанію поширюються CCPA/CPRA – читайте далі у цій статті.
Хто повинен виконувати вимоги CCPA?
Так, якщо ваша компанія веде бізнес у Каліфорнії та:
- має річний валовий дохід у розмірі $25 млн або більше, або
- купує, отримує або продає персональну інформацію 50 тис або більше жителів, домогосподарств або пристроїв з Каліфорнії (так, ми відштовхуємось часто не тільки від особи, а і від більш колективної сутності – навіть якщо в домогосподарстві живе не одна людина або у людини є кілька пристроїв);
- отримує 50% або більше свого річного доходу від продажу персональної інформації жителів Каліфорнії.
“Вести бізнес у Каліфорнії” – це обширне поняття, яке тлумачиться відповідно до податкового і цивільного права штату. Якщо простими словами, то зазвичай це означає, що компанія (з Каліфорнії чи іншого штату або країни) має клієнтів з Каліфорнії, про каліфорнійське походження (і поточне перебування там) компанія знає, отримує платежі звідти і регулярно надає послуги чи товари жителям штату. Але будьте обережні – навіть якщо Ви свідомо не запитуєте, звідки походять ваші клієнти, CCPA / CPRA все ще може до вас застосовуватися.
Також будьте уважні: дуже часто рекламна діяльність (наприклад, показ реклами на каліфорнійські ІР на своєму сайті) може офіційно не підпадати під другий критерій, але потрапляти під третій. Навіть якщо самі ІР рекламодавцям не відкриваються (критерій №2), ці дані все ще монетизуються – і CCPA / CPRA може застосовуватися.
Які документи потрібні для комплаєнсу з CCPA / CPRA?
CCPA / CPRA вимагає менше документації і доказів комплаєнсу, бо покладає менше обов\язків на компанії. Але докази все ще необхідно збирати, а процедури комплаєнсу – затверджувати.
Як правило, компанія має підготувати наступні документи:
- політика приватності – з описом обробки даних, прав суб’єктів даних, категорій персональної інформації, що збираються;
- сторінка “Do not sell or share my personal information”, що має налаштування для відкликання згоди на продаж даних, та логи цього механізму;
- альтернативно, якщо це дитячий сервіс – механізм для надання згоди на продаж даних неповнолітніх;
- політика інформаційної безпеки;
- договори з провайдерами послуг і контракторами на обробку даних;
- для брокерів даних – інформація про реєстрацію у відповідному реєстрі та оплата внесків.
Часто додатково до цих документів ще готують:
- політику обробку запитів на реалізацію прав споживачів (тобто суб’єктів даних, які хочуть щось зробити з даними);
- процедуру реагування на інциденти у безпеці даних;
- інші документи, які походять з вимог сертифікаційних схем (наприклад, kidSAFE) або галузевих організацій (DAA, NAI, IAB).
Документи тут відіграють дуже важливу роль – вони вказують, що компанія має зрілу програму комплаєнсу і допомагають зробити перевірку наглядового органу швидшою і менш частовитратною.
Але навіть найкраща документація не врятує, якщо реальність відрізняється від декларацій. Тому слід подбати про правильну архітектуру програми комплаєнсу.
CCPA / CPRA: алгоритм впровадження
Програма комплаєнсу має декілька основних кроків:
- Аудит або діскавері: компанія проглядає всі вхідні і вихідні потоки даних і встановлює, які персональні дані є в обробці.
- Gap Assessment: пошук (не)відповідностей вимогам закону на поточний момент.
- Створення внутрішньої документації: візуалізація потоків даних, складання політик безпеки тощо.
- Перегляд відносин з провайдерами послуг і комплаєнсу щодо даних працівників: перевірка контрагентів, укладання угод про обробку даних і нерозголошення, надання працівникам інструментів для запитів щодо воїх даних тощо.
- Створення зовнішньої документації: політики приватності, сторінки для відкликання згоди на продаж даних тощо.
- Реєстрація як брокер даних (опціонально).
Як проходить CCPA / CPRA аудит та Gap Assessment?
Аудит CCPA/CPRA – це фундаментальний етап, який визначає, наскільки компанія відповідає нормам закону щодо обробки персональних даних. Його ключовий результат – створення карти руху персональних даних до наступного gap assessment, який окреслює розрив між поточними бізнес-процесами компанії та вимогами CCPA / CPRA.
Саме під час аудиту можна зрозуміти:
- чи підпадає компанія під CCPA / CPRA;
- які дані вони загалом збирає і оброблює;
- у яких роля виступає;
- у якому статусі відповідно до CCPA / CPRA беруть участь партнери, підрядники, інші компанії групи;
- які обов’язки покладаються на компанію.
Більше того – якщо аудит відразу переходить у gap assessment, то тоді можна оцінити вже всю попередньо оброблену роботу (наприклад, якщо компанія вже займалась раніше своїм GDPR Compliance), і які процеси слід доповнити або доробити, щоб покрити ще і CCPA.
Що включає внутрішній CCPA / CPRA compliance?
Далі аудит і gap assessment перетворюється у матеріалу форму: стає документацією, фічами дизайну, архітектурою ПЗ чи приладу. Наприклад, на цьому етапі створюються скрипти для збору згод на cookies, форми для обробку запитів do not sell/share my personal data, політики інформаційної безпеки і так далі.
Команда на цьому ж етапі навчається вирізняти персональну інформацію з усього масиву даних, правильно її оброблювати (наприклад, не забувати про шифрування або деідентифікацію) і планувати свою подальшу роботу з урахуванням вимог CCPA / CPRA та рекомендацій CPPA (регуляторний орган).
Що писати у політики приватності за CCPA / CPRA?
На цьому етапі слід підсумувати всі зміни, які були внесені в процеси та архітектуру (чи інфраструктуру), і викласти їх зрозумілою мовою для осіб, чиї дані будуть пропускатися через компанію.
Щонайменше, людину треба повідомити про наступне:
- які категорії даних про неї компанія буде обробляти;
- які цілі такої обробки;
- які права має ця людина стосовно своїх даних, і як вона може ними скористатися;
- кому можуть передаватися дані;
- як захищені ці дані.
У кожної компанії буде своя специфіка і свої вимоги до розкриття своїх політик обробки персональних даних – тому це важливо з’ясувати ще на початковому етапі і далі обережно втілювати в життя.
Як CCPA / CPRA регулює працівників і підрядників?
CCPA / CPRA унікальний серед подібних законів штатів тим, що захищає не тільки власне споживачів (споживачами є будь-яка особа, чиї дані збираються, необов’язково саме покупець – може бути і представник компанії-партнера, наприклад), але і працівників компанії, що підпадає під CCPA / CPRA. Тому компанія муситиме врахувати цей фактор для свого комплаєнсу і створити всі можливості для свого персоналу: повідомлення про обробку даних і можливості для реалізації своїх прав.
Але важливо не плутати працівників і підрядників. Якщо компанія працює з підрядниками – вона має укладати коректні угоди з ними і вказувати там дані, що передаються, та бізнес-цілі, для яких ці дані надають підрядникові. Цих цілей обмежена кількість (вони перераховані у CCPA / CPRA), і вони мають враховувати заборону на використання даних для ретаргетингу або інших видів cross-context behavioral advertising (CCBA). Наприклад, для вашого бізнесу це може бути актуально, якщо ви від імені клієнта купуєте рекламу у Facebook!
Ну і основне: ці угоди мусять бути письмовими. Тому треба звіритися з CCPA / CPRA для укладання драфту договору і проглянути всі вже раніше укладені угоди з підрядниками.
Як продемонструвати відповідність CCPA / CPRA?
І зрештою у фіналі буде комунікаційна частина: як доказати, що компанія відповідає вимогам CCPA / CPRA?
Зазвичай ми створюємо ілюстративний матеріал – наприклад, використовуємо складжену під час аудиту карту руху потоків персональних даних, пояснюючи правові аспекти кожного з етапів руху таких даних в рамках бізнес-процесів компанії.
Такий матеріал може бути у формі наперед заповненого опитувальника, звіту з Microsoft Purview, слайдів презентації для сейлс-пітчів, навіть FAQ-статей на сайті.
Також для деяких сфер існують сертифікації – але вони рідко охоплюють весь CCPA / CPRA або взагалі слугують “щитом” від відповідальності, якщо порушення законодавства все-таки знайдеться.
Післяслово
Каліфорнія – великий, багатий і густонаселений штат. Відповідно, хоча це і єдиний закон ждиного штату цілої федерації, CCPA / CPRA фактично запустив лавину законів. Каліфорнія має вже активного регулятора з повноваженнями на санкції, технічно та юридично освічене населення, а також багато data-driven бізнесів, які використовують торгівлю даними для отримання профіту і привернення інвестицій.
Тому нехтувати CCPA / CPRA не слід – як і GDPR, у каліфорнійських законів довгі руки і вони можуть створити неприємності – у формі штрафу чи втраченої комерційної можливості – у будь-який момент.
