CCPA, GDPR, Закон України «Про захист персональних даних». Вони однакові?

Сфера надання IT та E-commerce послуг на експорт в Україні, у своїй переважній більшості, експортує такі послуги на територію ЄС та США. Водночас, в силу юрисдикції реєстрації бізнесу, країни-походження клієнтів та території надання послуг для українських компаній, і не тільки, є важливим розуміння відмінностей між їх національним законодавством та законодавством країн їх діяльності.

У даній статті ми порівняємо вимоги українського, європейського та каліфорнійського законодавства щодо базовим питань захисту персональних даних.

1. Сфера Дії CCPA, GDPR та Закону України «Про захист персональних даних».

Традиційно, сфера діяльності будь-якого правового акту розрізняється за колом осіб, за предметом регулювання та за територією застосування. Говорячи про сферу застосування усіх трьох актів за колом осіб, варто вказати, що усі вони стосуються захисту персональних даний фізичних осіб. Специфіка визначення поняття «фізичної особи» у кожному з актів більш детально описана у пунктах 2 та 3. Якщо ж розглядати предметну та територіальну юрисдикції даних актів, то кожен з них має свої відмінності.

Розглядаючи питання предметної юрисдикції, варто зазначити, що в Законі України «Про захист персональних даних» (надалі – Закон) вказується, що його дія поширюється на правові відносини, пов’язані із захистом і обробкою персональних даних, зокрема – на обробку, яка здійснюється повністю або частково із застосуванням автоматизованих або неавтоматизованих засобів. Аналогічне сферу дії має General Data Protection Regulation (надалі – «GDPR»), разом з тим деталізуючи таке положення та вказуючи перелік відносин, на які дія GDPR не поширюється (наприклад, щодо діяльності, яка виходить за межі дії права ЄС і т.д.).

Порівняно з такою сферою дії, California Consumer Privacy Act 2018 (надалі – «CCPA») встановлює більш широку предметну юрисдикцію, вказуючи, що дія акту поширюється на правові відносини щодо збору, обробки та продажу персональної інформації осіб, включаючи розкриття такої інформації з метою досягнення бізнес-цілей.

Якщо аналізувати норми даних актів на предмет територіальної сфери дії, то варто зазначити, що Закон не визначає у своїх положеннях територіальну сферу його дії. Проте, зважаючи на те, що Закон є актом законодавства національного рівня, то його дія поширюється на відносини щодо обробки персональних даних на території України. Натомість, GDPR чітко визначає межі своєї територіальної юрисдикції, вказуючи, що його дія поширюється на:

• опрацювання персональних даних контролером або оператором, що зареєстрований на території ЄС;
• опрацювання персональних даних контролером або оператором, які зареєстровані поза територією ЄС, проте які обробляють дані осіб, що перебувають в ЄС.

Дія CCPA поширюється на компанії, які ведуть свою бізнес-діяльність у штаті Каліфорнія, тобто ведуть діяльність з метою отримання фінансового, матеріального або грошового прибутку. Окрім того, відповідно до Податкового кодексу штату, компанії, які розташовані поза межами штату, також, за певних умов, можуть бути визнані такими, що ведуть у ньому свою бізнес-діяльність у межах штату. Однак, якщо компанія збирає та продає персональні дані поза межами штату, то CCPA не має над нею влади.

2. Різні Персональні Дані.

Відповідно до Закону, персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. В цілому, таке визначення персональних даних запозичене з тексту GDPR та дещо трансформоване. Як наслідок, персональні дані за GDPR є більш широкою та деталізованою категорією, тому що:

• використовує поняття «будь-яка інформація, що стосується особи», а не відомості про особи (наприклад, назва фірми, у якій використовується ПІБ особи буде інформацією, що стосується особи, проте не буде відомостями про особу);
• додатково роз’яснює, коли особа може вважатися такою, яку можна ідентифікувати.

Разом з тим, категорія персональних даних за CCPA охоплює ще більше коло інформації. Так, вказується, що персональними даними є інформація, яка ідентифікує, стосується, описує, асоціюється з або може бути розумно пов’язана, прямо чи опосередковано, з особою. Таким чином, CCPA встановлює максимально можливі рамки віднесення інформації до персональних даних.

Окрім того, на окрему увагу заслуговує питання «чутливих даних». Так, GDPR визначає, що такими є дані, що розкривають расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування, чи членство в професійних спілках, і опрацювання генетичних даних, біометричних даних для цілі єдиної ідентифікації фізичної особи, даних стосовно стану здоров’я чи даних про статеве життя фізичної особи чи її сексуальної орієнтації. Законом додатково встановлюються обмеження щодо обробки даних щодо її адреси (т.зв. Blacklist).

В свою чергу, CCPA хоч і містить поняття біометричної та медичної інформації, проте не встановлює жодних обмеження або спеціальних режимів збору та обробку будь-яких категорій персональних даних.

3. Чи є Різниця між Суб’єктами Даних CCPA, GDPR та Закону України «Про захист персональних даних»?

Положення Закону, GDPR та CCPA також мають певні відмінності щодо того, кого слід вважати суб’єктом даних. Так, GDPR встановлює, що суб’єктом даних є фізична особа, яку ідентифіковано чи можна ідентифікувати. У Законі суб’єкт даних визначається як фізична особа, персональні дані якої обробляються. У своєму загальному розумінні, дані поняття значним чином не відрізняються, проте у розрізі анонімізації та псевдонімізації даних більш доцільним є саме визначення, яке використовується у тексті GDPR.

CCPA визначає суб’єкта даних (в оригінальній версії тексту – споживач) як ідентифіковану фізичну особу, у тому числі за будь-яким унікальним ідентифікатором, яка є резидентом штату Каліфорнія. Як бачимо, CCPA не відносить до суб’єктів даних осіб, які можуть бути ідентифіковані, на відміну від GDPR. В розрізі поняття персональних даних за CCPA теоретично можлива ситуація, коли компанія буде вважатися такою, що збирає персональні дані особи, проте не пов’язана із суб’єктом даних (наприклад, у ситуація продажу інформації і т.д.).

Окрім того, у питанні, що стосується обробки персональних даних неповнолітніх осіб, існують як подібності, так і відмінності регулювання. Так, і GDPR, і CCPA в питанні регулювання обробки персональних даних неповнолітніх відштовхуються від двох вікових орієнтирів – 13 та 16 років. Проте, GDPR встановлює, що для обробки даних особи, яка молодше 16 років, потрібно отримати згоду її батьків чи опікунів. При цьому, GDPR право країнам-учасницям ЄС знизити такий віковий поріг до 13 років, чим користується більшість країн (Бельгія, Естонія, Греція тощо), а обробка даних осіб, які молодше 13, забороняється.

В свою чергу, CCPA передбачає, що для продажу інформації особи, яка не досягла 16 років, компанія повинна отримати згоду такої особи (за загальним правилом CCPA, компанія не повинна отримувати згоду суб’єкта даних, детальніше – у пункті 4). Якщо ж особа не досягла 13-річного віку, то компанія повинна отримати згоду батьків або піклувальників такої особи на продаж її інформації. Важливим моментом також є те, що CCPA звільняє від відповідальності компанії, які обробляли дані без отримання належної згоди, тому що не знали реального віку особи. GDPR не містить таких виключень з правил відповідальності.

Якщо говорити про Закон, то в чинній редакції він не містить спеціальних положень щодо обробки даних неповнолітніх осіб.

4. На Підставі Чого Можна Здійснювати Обробку Персональних Даних?

GDPR встановлює шість підстав, на основі яких можна законно здійснювати обробку персональних даних суб’єкта. Основною підставою є згода суб’єкта даних на обробку його персональних даних. До інших підстав відносяться необхідність виконання договору з суб’єктом, необхідність захисту життєво важливих інтересів суб’єкта, необхідність виконання контролером покладених на нього обов’язків і т.д. По аналогії з питанням визначення суб’єкта даних, Закон повністю рецепіює положення GDPR та в зміненому формулюванні встановлює ті ж самі шість підстав, на основі яких можна здійснювати обробку даних.

Кардинально іншим є підхід CCPA до даного питання, який встановлює презумпцію правомірності обробки персональних даних осіб компанією. Іншими словами, він не містить переліку підстав, на основі яких можна законно здійснювати обробку персональних даних, таким чином встановлюючи, що збір і обробка персональних даних як така є апріорі законною та може здійснюватися компаніями. Разом з тим, в інтересах захисту прав суб’єктів даних, CCPA встановлює право особи направити компанії вимоги щодо заборони продажу її персональних даних. У випадку отримання такої вимоги компанія не має права в подальшому продавати дані цієї особи.

5. Різниця Відповідальності за CCPA, GDPR та Законом України «Про захист персональних даних».

Найбільш ґрунтовно до питання встановлення відповідальності підійшов GDPR, який запровадив чітке розмежування видів покарань, а саме:

• 2% загального річного обороту або 10 млн. євро, залежно від того, що вище – за порушення положень щодо обробки даних неповнолітніх осіб, обов’язків контролера та оператора і т.д.; або
• 4% загального річного обороту або 20 млн. євро, залежно від того, що вище – за порушення положень щодо принципів обробки даних, прав суб’єктів даних, передачу даних в треті країни і т.д.

Дані штрафи мають адміністративну природу, тобто накладаються контролюючим органом. В свою чергу, на рівні CCPA встановлюється цивільна природа штрафів, тобто вони можуть бути накладені лише за рішенням суду. CCPA встановлює наступні різновиди штрафів:

• 2500 доларів за кожне порушення положень акту;
• 7500 доларів США за кожне умисне порушення акту.

Окрім того, CCPA не встановлює максимального ліміту розмірів штрафів. Порівняно з GDPR та CCPA, Закон у найменшій мірі регламентує питання відповідальності: у тексті Закону просто встановлюється посилання на те, що за порушення вимог даного Закону настає встановлена законодавством відповідальність. На рівні законодавства, основний масив відповідальності передбачений статтею 188-39 КУпАП України (у виді штрафів різних розмірів). Окрім того, ст.182 КК України встановлює відповідальність за поширення конфіденційної інформації про особу або незаконну зміну такої інформації (аж до обмеження волі на строк 3 роки).

Висновок.

Короткий аналіз положень GDPR , CCPA та Закону України «Про захист персональних даних» дає змогу зрозуміти, що усі 3 акти приймалися з різною метою, а тому містять доволі значні розбіжності.

Так, GDPR приймався як загально європейський законодавчий акт обов’язкової сили, який повинен регулювати питання обробки персональних даних. Тому, з усіх трьох актів, він є найбільш продуманим, виважений та універсальним. GDPR регулює максимально можливе коло відносин та питань щодо захисту персональних даних, а як механізм додаткового перестрахування він надавав повноваження спочатку Working Party 29, а потім European Data Protection Board надавати додаткові роз’яснення положень GDPR, тим самим створюючи можливість у майбутньому усувати недоліки законодавчого регулювання.

В свою чергу, зміст CCPA дає чітко зрозуміти, що основною метою його прийняття було бажання врегулювати відносини щодо продажу персональних даних. Даному питанню приділяється основна увага акту (право opt-out та opt-in запитів, отримання згоди на продаж даних, право суб’єкта заборонити саме продаж даних, а не їх обробку тощо), в той час як GDPR взагалі не містить положень щодо продажу персональних даних.

Говорячи про Закон України «Про захист персональних даних», вбачається, що він приймався з метою певної уніфікації національного та європейського законодавства в умов розвитку нових видів правовідносин, які не врегульовані національним законодавством, проте приймався, очевидно, нашвидкуруч та без повного розуміння специфіки відносин, а тому не містить багатьох важливих положень (наприклад, щодо обробки персональних даних неповнолітніх осіб), а логічність та обґрунтованість інших положень доволі часто можна поставити під сумнів.