Захист приватних даних в Америках: CCPA, PIPEDA, LGPD

Всім привіт! Нещодавно ми здійснили фурор (але це не точно) і провели вебінар про захист приватних даних в Америках, а саме США, Канаді та Бразилії ?

Для тих, хто пропустив прямий ефір, чи ніяк не може знайти час для перегляду запису, пропонуємо текстовий фолоу-ап вебінару.

Америка може здаватись далекою, але камон, онлайн-кордонів немає. Ось тут і виникає потенційна необхідність бути у комплаєнсі із місцевим регулюванням щодо захисту приватних даних. Сьогодні – про CCPA (Каліфорнія), PIPEDA (Канада) та LGPD (Бразилія).

Поїхали!

Чи поширюють ці акти дію на мою компанію та діяльність?

* вординг щодо приватних даних відрізняється у кожному акті: CCPA – personal information, PIPEDA – personal information, LGPD – personal data. У цій статті будемо використовувати абревіатуру ПІ (персональна інформація) щодо всіх актів.

Як зрозуміти, що дані, які я збираю та обробляю, є персональною інформацією?

Йой, мені треба бути у комплаєнсі ?
Що робити?

Далі «пройдемось» по основних вимогах до збору та обробки ПІ користувачів відповідно до актів, які сьогодні аналізуємо.

Почнемо з отримання згоди

CCPA

Загальне правило – згоду користувача на збір, обробку і продаж ПІ не потрібно отримувати окремо. Однак, не поспішайте радіти. У будь-якому випадку, користувачів потрібно повідомити про категорії ПІ, яка збирається, джерела отримання  ПІ, цілі збору ПІ, продаж ПІ (якщо такий є), та надати інформацію про третіх осіб, яким передається ПІ. Окрім того, користувачі мають бути обізнані про те, які права вони мають щодо своєї ПІ.

Як повідомляти? Notices, які можуть міститись у політиці конфіденційності. Акт не містить вимог до конкретної форми повідомлення, головне, щоб воно було помітне та зрозуміле (наприклад, лінк на лендинговій сторінці (для маркетплейсу),  на сторінці завантаження та у налаштуваннях (для додатків), тощо).

Також діє правило: нова ціль збору/категорія ПІ – новий notice.

Зауважимо, що хорошою практикою вважається отримання прямої згоди користувачів для зниження ризиків претензій та обмеження відповідальності.

Окрім цього, щодо продажу ПІ, користувачі можуть реалізувати право на opt-out та заборонити такий продаж. Цікаво, що через 12 місяців після заборони ви можете знову «постукати у двері» і спитати, чи користувач, бува, не передумав. У такому разі ви можете отримати згоду на продаж ПІ, а користувач тим самим реалізує право на opt-in.

Право на opt-in також реалізовує користувач, який не досягнув віку 16 років (або один із батьків/опікунів, якщо користувачу менше 13 років), і надає згоду на продаж своєї ПІ. Отже, продавати ПІ користувачів, молодших 16 років заборонено без прямого на це дозволу таких осіб (батьків або опікунів).

До речі, залежно від цінності ПІ, компанії можуть пропонувати певну винагороду за продаж ПІ користувачів (до прикладу, отримання певних послуг безкоштовно чи зі знижкою).

 

PIPEDA

Канадський акт встановлює вимогу, відповідно до якої за загальним правилом потрібно отримувати згоду на збір та використання ПІ користувачів. Згода є належною, якщо особа обізнана про ПІ, яка збирається, цілі збору, використання і розкриття ПІ, передачу інформації третім особам. Вимог до форми повідомлення немає, на практиці таку інформацію. включають у політику конфіденційності.

Згоду можна отримувати у тій формі, що відповідає механіці вашої взаємодії з користувачами (окрема форма заявки, відповідне поле для проставлення відмітки). Нова ціль/категорія ПІ – нова згода, про це не забуваємо.

Цікавий момент – залежно від чутливості даних (до речі, чутливість даних згадана, однак суть категорії не розкрита) згода може бути явно вираженою або такою, що мається на увазі.

Але цим правилом не варто зловживати. Якщо особа, замовляючи якийсь продукт/послугу через маркетплейс, ставить відмітку «отримувати інформаційну розсилку», вона очікує і розуміє, що її дані, наприклад електронна пошта та історія покупок, будуть використані для такої мети. Однак для інших цілей таку інформацію використовувати не можна.

І звісно, згоду можна відкликати у будь-який момент.

Ненадання згоди не може бути перешкодою для надання послуг/товарів (за винятком випадків, коли без такої згоди неможливо вчиняти відповідні дії, наприклад, виставляти рахунки).

Без згоди збирати і обробляти ПІ можна лише у цілях, визначених законом (вони перелічені у акті, наприклад розслідування злочинів, а також художні, журналістські, літературні цілі, тощо). 

LGPD

Згода на обробку персональних даних є основною підставою, яка надає право на обробку ПІ суб’єкта даних. Згода має надаватись у тому вигляді, який засвідчує бажання суб’єкта даних надати таку згоду, і лише для конкретних цілей. Якщо ПІ особи була публічно нею оприлюднена, то обов’язку отримувати згоду не виникає, однак всі принципи збору та обробки ПІ, встановлені у акті, мають бути дотримані.

Тут теж діє правило «нова ціль/категорія ПІ/форма чи строк обробки – нова згода»

Суб’єкт даних у будь-який момент може відкликати згоду на обробку ПІ.

Також підставами для обробки даних є, серед іншого, законний інтерес, виконання договору, стороною якого є суб’єкт даних, та ін.

Які ще обов’язки виникають?

Окрім інформування та отримання згоди, у компанії, яка збирає та обробляє ПІ, виникають й інші обов’язки, які кореспондують правам користувачів (не дивно, що саме на правах користувачів найбільше акцентують увагу аналізовані акти).

CCPA

Права користувачів на подання запитів про доступ до ПІ, на отримання інформації про те, яка ПІ збирається і для чого, видалення ПІ, на подання вимоги не продавати ПІ, на недискримінацію, зумовлюють виникнення відповідних обов’язків у компанії.

P.S. Деякі положення нижче відображені із врахуванням положень CCPA Regulations, які на сьогодні перебувають на фінальній стадії розгляду.

Так, компанія має:

  1. забезпечити можливість подання запитів, вказавши адресу електронної пошти, розмістивши відповідну форму для звернень на сайті чи в додатку, тощо.
  2. розмістити лінк на сторінку «Do not sell my personal information», після переходу на яку користувачі отримують інформацію про те, як вони можуть реалізувати право на opt-out.
  3. відповідати на запити користувачів протягом 45 днів (за загальним правилом) та надавати відповідну інформацію (для відповіді на запити про відмову від продажу ПІ встановлений строк 15 днів).
  4. не дискримінувати користувачів через реалізацію останніми їх прав (наприклад, не пропонувати товари/послуги за вищою ціною). До прикладу, якщо тільки ті користувачі, які платять за преміум-акаунт у додатку, можуть реалізувати своє право на видалення ПІ, така практика вважатиметься дискримінаційною. Якщо ж після запиту на видалення даних про історію переглядів та електронної адреси користувача маркетплейсу такому користувачу більше не надсилаються підбірки спеціальних релевантних пропозицій, такі дії не будуть визнані дискримінацією.

PIPEDA

Відповідно до 10 fair information principles, на компанії, які збирають та обробляють ПІ канадських користувачів, покладаються наступні обов’язки:

  1. призначити відповідальну за відповідність принципам PIPEDAособу або департамент. Користувачі мають знати, до кого звернутись із запитами чи скаргами.
  2. чітко визначити та донести до користувачів цілі збору та обробки ПІ;
  3. захищати ПІ відповідно до її чутливості (як ми вже казали, поняття чутливості даних не розкривається);
  4. оприлюднити у доступному для користувачів форматі детальну інформацію про свої політики та практики щодо дій з ПІ (в тому числі у доступному форматі для людей з особливими потребами)
  5. за запитом користувачів, надавати доступ до інформації про ПІ та її використання, та вносити зміни до ПІ на вимогу користувача;
  6. припинити збір на обробку ПІ у разі відкликання згоди користувачем.

Цікаво, що PIPEDA прямо не передбачає право користувачів подати запит на видалення їх ПІ, і лише в Guidelines for obtaining meaningful consent вказує, що у деяких випадках ПІ потрібно видалити. Наприклад, якщо користувач видаляє свій обліковий запис, то компанія повинна видалити і всю ПІ про нього.

LGPD

LGPD включає широкий перелік прав суб’єктів даних, яким кореспондують обов’язки компанії, яка збирає та обробляє ПІ. До таких обов’язків, зокрема, належать:

  1. відповідати на запити користувачів щодо підтвердження наявності обробки ПІ, доступу до своєї ПІ, виправлення ПІ, щодо видалення ПІ та отримання інформації про те, яким третім особам передається ПІ;
  2. впровадити технічні та адміністративні заходи для захисту ПІ від несанкціонованого доступу та від випадкового чи незаконного знищення, втрати, витоку чи зміни;
  3. призначити data protection officer (для компаній, які виступають контролером даних), відповідального за отримання скарг та повідомлень від суб’єктів даних.

Порушення: Які наслідки?

Підсумовуючи, кожен із проаналізованих актів покладають доволі схожі обов’язки на компанії, які збирають, обробляють та поширюють приватні дані користувачів, та наділяють останніх широким колом прав. Отож, якщо ваша компанія чи діяльність підпадає під дію CCPA, PIPEDA або LGPD (пам’ятаймо, що необов’язковою є реєстрація компаній у відповідній юрисдикції), варто задуматись про комплаєнс. І ми з радістю допоможемо у цьому 😉

Тепер, коли ви вже все (ну або майже все) знаєте про CCPA, PIPEDA, LGPD, можете переглянути наші попередні дописи про GDPR і порівняти, хто крутіший.

 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)