+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
США privacy compliance

CCPA vs. CPRA: основні зміни

The California Consumer Privacy Act (CCPA) набув чинності 1 січня 2020 року. Він створив положення про захист даних, яке визначає права споживачів і зобов’язання компаній щодо збору персональної інформації. Ймовірно, більшість підприємств, які збирають дані від жителів Каліфорнії, вже знайомі з цим законодавчим актом та дотримуються  відповідних правил. Однак California Privacy Rights Act (CPRA) змінює та розширює CCPA. Цей акт уже набув чинності з 1 січня 2023 року.

Важливо знати, що «чинний» не означає повністю «застосовний». CPRA стане повністю діючим 1 липня 2023 року; таким чином, він буде застосовуватись до всіх порушень, скоєних у цей день або після нього, даючи підприємствам 6 місяців для підготовки до нових положень (з 1 січня 2023). Зверніть увагу, що CPRA не замінює CCPA, але він змінює та додає нову інформацію до його положень.

Що нового у CPRA?

Застосовність

Перш за все, деякі малі підприємства, які підпадали під дію CCPA, можуть більше не підпадати під CPRA, оскільки поріг споживачів, чиї дані обробляє бізнес, збільшився з 50 000 до 100 000. Тому ті, хто обробляє, наприклад, дані 75 000 осіб вже не підпадають під CPRA та норми цього закону на таке підприємство не розповсюджуються.

1798.140 (B) Alone or in combination, annually buys, receives for the business’s commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices sells, or shares the personal information of 100,000 or more consumers or households.

Однак, деякі компанії навпаки можуть тепер підпадати під дію CPRA через нове положення, яке передбачає, що CPRA застосовується до компаній, які отримують 50 або більше відсотків свого річного доходу не лише від продажу, але й від поширення/розповсюдження особистої інформації. 

1798.140 (C) Derives 50 percent or more of its annual revenues from selling or sharing consumers’ personal information.

Спеціальні категорії персональної інформації, чутлива персональна інформація

CPRA має певну схожість з GDPR (Регламентом ЄС про захист даних). Він також вводить спеціальну категорію персональних даних, також відому як “чутлива персональна інформація”, та надає споживачам право забороняти бізнесу використовувати і поширювати такі дані. Відповідно до CPRA, підприємства повинні забезпечити “чітке та помітне” посилання на своїй домашній сторінці під назвою “Обмежити використання моєї чутливої особистої інформації”/“Limit the Use of My Sensitive Personal Information”.

Спеціальні категорії персональних даних включають в себе наступні дані:

  • Номер соціального страхування;
  • Посвідчення водія;
  • Ідентифікаційний номер;
  • Номер фінансового рахунку; 
  • Номер медичного страхування або медичний ідентифікаційний номер;
  • Пароль облікового запису;
  • Питання безпеки та відповіді на них (наприклад, для доступу до акаунту);
  • Номер дебетової або кредитної картки та коди доступу;
  • Точні геолокаційні дані;
  • Релігійні або філософські переконання;
  • Етнічне походження;
  • Генетичні дані;
  • Біометрична інформація для цілей ідентифікації;
  • Інформація про стан здоров’я;
  • інформація про стать або сексуальну орієнтацію.

Notice at collection

Notice at collection виконує ту ж саму функцію, що і Privacy Notice. Воно повинно надавати споживачам всю необхідну інформацію про обробку їхніх персональних даних у доступному форматі, наприклад, через посилання на веб-сайті або у друкованому вигляді у випадку офлайн-бізнесу. Підприємство повинно включити до свого Notice at collection наступну інформацію (нові вимоги CPRA виділені): 

  • перелік категорій персональних даних про споживачів, у тому числі категорії чутливої персональної інформації;
  • цілі, для яких збираються категорії персональної інформації, включаючи категорії чутливої персональної інформації
  • чи продається або передається кожна категорія персональних даних; 
  • тривалість часу, протягом якого бізнес має намір зберігати кожну категорію персональних даних, або, якщо це неможливо, критерії, що використовуються для визначення періоду часу, протягом якого вони будуть зберігатися;
  • якщо компанія продає або передає особисту інформацію, посилання на Повідомлення про право відмовитися від продажу/передачі (Notice of Right to Opt-out of Sale/Sharing);
  • посилання на політику конфіденційності.

Нові права споживачів

CPRA передбачає широкий спектр прав споживачів, в тому числі і нові (на відміну від CCPA), а саме: 

  • право на доступ до персональної інформації;
  • право на видалення персональної інформації;
  • право на виправлення неточної інформації;
  • право знати категорії та конкретні частини персональної інформації;
  • право на відмову від продажу або поширення персональної інформації;
  • право на обмеження використання та розкриття чутливої персональної інформації;
  • право на відмову від зустрічної скарги (наприклад, якщо один працівник добросовісно поскаржився на порушення з боку іншого працівника, перший працівник має бути вільним від зустрічних скарг з боку другого працівника);
  • право на доступ до інформації про автоматизовану технологію прийняття рішень та на відмову від такої обробки.

Крос-контекстна поведінкова реклама

Крос-контекстна поведінкова реклама визначається CPRA як: “the targeting of advertising to a consumer based on the consumer’s personal information obtained from the consumer’s activity across businesses, distinctly-branded websites, applications, or services, other than the business, distinctly-branded website, application, or service with which the consumer intentionally interacts.”

Така обробка може включати рекламу через сторонні платформи, такі як Google Ads, Twitter та Facebook. Вони встановлюють відстежуючі онлайн ідентифікатори (файли cookie, пікселі) на веб-сайті та збирають особисту інформацію, яку споживачі залишають під час перегляду різних веб-сайтів, щоб таргетувати рекламу конкретному споживачеві на основі його/її дій. 

За винятком загальних правил при такій обробці, таких як дотримання принципів захисту даних, отримання згоди споживача, реагування на запити споживачів тощо, також існує зобов’язання забезпечити чітке та помітне посилання на головній сторінці веб-сайту під назвою “Не продавати та не поширювати мою особисту інформацію”. CPRA вказує, що підприємства повинні розглядати сигнал про відмову від продажу як дійсний запит на відмову від продажу або передачі не тільки для цього браузера або пристрою, але і для “будь-якого профілю споживача, пов’язаного з цим браузером або пристроєм, включаючи псевдонімні профілі”.

Вимоги CPRA до постачальників послуг (service providers), тобто для тих хто обробляє дані не в своїх цілях, а на замовлення інших сторін; в частині онлайн-реклами є більш складними, ніж до підприємств (businesses), що може спричинити проблеми для таких постачальників послуг. Справа в тому, що крос-контекстна поведінкова реклама була прямо виключена з переліку бізнес-цілей, для яких підприємство може укладати договори з постачальниками послуг. Таким чином, цей спосіб реклами не слугує жодній дійсній діловій меті відповідно до CPRA. Якщо якась компанія обробляє персональні дані споживачів з такою метою, вона не є постачальником послуг відповідно до CPRA. Сподіваємося, що це питання буде врегульовано найближчим часом шляхом прийняття нових нормативно-правових актів або роз’яснень, оскільки на сьогоднішній день ці положення буквально вбивають AdTech бізнес.

Принципи захисту персональної інформації

В частині впровадження нових принципів захисту даних CPRA наближає американське законодавство до правил GDPR. До підприємств, які підпадають під дію CPRA, застосовуватимуться наступні принципи захисту даних:

  • Мінімізація даних: бізнес повинен збирати інформацію лише в тому обсязі, який є необхідним для досягнення його цілей, що повідомляються споживачеві. Це означає, що бізнес не може збирати додаткову інформацію “про всяк випадок”. 
  • Обмеження мети: бізнеси зобов’язані обробляти персональні дані лише для цілей, про які вони попередньо повідомили споживача. У випадку, якщо бізнес хоче обробляти інформацію для інших цілей (наприклад, зібрали електронні адреси для реєстрації на платформі, а тепер хочуть використовувати ці електронні адреси в маркетингових цілях), вони повинні повідомити споживача про такі нові цілі та обробку.
  • Обмеження щодо зберігання: бізнес повинен зберігати дані лише протягом періоду, який є “обґрунтовано необхідним” для досягнення зазначених цілей. Бізнес не може зберігати інформацію протягом невизначеного періоду, потрібно надати хоча б критерії, за якими буде визначатись період зберігання даних.

Збір даних неповнолітніх

Якщо ваш додаток або веб-сайт, орієнтований на дітей, ви повинні знати про нові правила CPRA щодо обробки даних неповнолітніх. Якщо компанія має “фактичні відомості” про те, що вона продає або передає особисту інформацію споживача віком до 13 років, вона “повинна встановити, задокументувати та дотримуватися розумного методу визначення того, що особа, яка дає згоду на продаж або передачу особистої інформації про дитину, є батьком або опікуном цієї дитини”. У разі відсутності згоди бізнес повинен або зачекати щонайменше 12 місяців, або дочекатися, поки дитині не виповниться 16 років, перш ніж знову запитувати її згоду на обробку даних.

Крім того, CPRA передбачає, що на додаток до згоди батьків, підприємства повинні отримувати згоду від неповнолітніх, що вимагається федеральним Законом про захист конфіденційності дітей в Інтернеті (COPPA). CPRA також передбачає шість методів для обґрунтованого визначення того, чи є особа, яка надає згоду, одним з батьків або опікунів дитини:

  • Надання форми згоди, яка повинна бути підписана батьками або опікуном з покаранням за неправдиві свідчення та повернута підприємству поштою, факсом або електронним скануванням;
  • Вимагати від батьків або опікунів у зв’язку з грошовою операцією використовувати кредитну картку, дебетову картку або інші системи онлайн-платежів, які забезпечують повідомлення про кожну окрему транзакцію основного власника рахунку;
  • Прохання батьків або опікунів зателефонувати на безкоштовний телефонний номер, укомплектований навченим персоналом;
  • Дозволити батькам або опікунам зв’язатися з кваліфікованим персоналом за допомогою відеоконференції;
  • Особисте спілкування одного з батьків або опікуна з кваліфікованим персоналом; та
  • Перевірка особи одного з батьків або опікуна шляхом звірки виданого державою посвідчення особи з базами даних такої інформації, за умови, що посвідчення особи одного з батьків або опікуна видаляється підприємством зі своїх записів одразу ж після завершення такої перевірки.

Каліфорнійське агентство із захисту персональних даних та штрафи

CPRA створює окремий орган для тлумачення та застосування закону про захист персональних даних – Каліфорнійське агентство із захисту персональних даних (California Privacy Protection Agency, CPPA). Агентство, яке перебере на себе нормотворчі повноваження Генерального прокурора Каліфорнії (General Attorney), стане першим регуляторним органом у США, що зосереджуватиметься виключно на питаннях захисту персональних даних. Він надаватиме рекомендації щодо застосування CPRA, а також розслідуватиме порушення норм з захисту даних, проводитиме слухання та визначатиме відповідальність суб’єктів, на яких поширюється дія закону.

Порушення правил CPRA може призвести до санкцій у розмірі до 2,500 доларів США за порушення або 7,500 доларів США за кожне умисне порушення. Крім того, компанія, яка не “впроваджує та підтримує розумні процедури та практики безпеки”, що призводить до “несанкціонованого доступу та витоку, крадіжки або розголошення” особистої інформації споживача, загрожує штраф до 750 доларів США за кожне порушення або фактичні збитки, залежно від того, яка з цих сум більша. Таким чином, якщо бізнес не буде готовий до нових правил, він може зіткнутися з серйозними фінансовими санкціями у разі виникнення інциденту безпеки або витоку даних. 

Висновки

Зважаючи на велику кількість нововведень не можна сказати, що CPRA є лише невеликим доповненням CCPA. Натомість, він є повноцінним законодавчим актом, який значною мірою підвищує рівень відповідальності компаній за збір персональних даних споживачів. Таким чином, усім компаніям, що обробляють дані Каліфорнійців або зареєстровані в Каліфорнії, треба взяти до уваги нові правила та якнайшвидше імплементувати їх в свої процеси обробки даних. Якщо вам потрібна допомога з комплаєнсом щодо захисту даних в США, напишіть нам листа на пошту 🙂 

2023-01-13

Владислав Дем'янець

Junior IT lawyer

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)