CPRA для бізнесу: чому CCPA недостатньо?

Як відомо, США є федеративною державою. Це означає, що окрім законодавства, орієнтованого на суб’єктів федерації, кожен штат має свій звід законів та регулюючих актів, які між собою переплітаються (доповнюють один одного, а іноді конфліктують або суперечать). На практиці це означає, що компанії слід відповідати законодавству із захисту персональних даних всіх 50 штатів, щоб забезпечити всеохопну відповідність. Задля полегшення відповідності надання послуг та свободи підприємницької діяльності між штатами багато зі штатів гармонізують їхнє законодавство. Однак саме штат Каліфорнія зробила значний крок в ініціативності зміцнення законодавства із захисту персональних даних.

Ця стаття:

• Пояснює взаємовідносини між CPRA та CCPA;
• Пояснює важливість відповідальності каліфорнійським законам зі захисту персональних даних;
• Допомагає компаніям оновити їхні політики зі захисту персональних даних;

 

1. CPRA v. CCPA:

CPRA і CCPA – це закони із захисту прав щодо персональних даних штату Каліфорнія у США.

CPRA – це абревіатура від California Privacy Rights Act, який також відомий як CCPA 2.0.

Чи це означає, що вийшов новий закон щодо захисту персональних даних? Ні, це не означає. Річ в тому, що California Consumer Privacy Act (CCPA) доповнено Proposition 24. Саме з такими поправками акт називається CPRA і він написаний у такий спосіб, що розширює чинні положення CCPA або ж доповнює новими.

Якщо коротко, то варто звернути на нього увагу, бо він набере чинності з 1 січня 2023 року.

Ми зібрали питання, які ставлять найчастіше, з метою, щоб Ваша компанія перевірила та забезпечила відповідність новим вимогам.

2. Чому CCPA недостатньо?

Ніщо не ідеальне. Так і CCPA поширює свою дію не на всі вимоги щодо захисту приватності. Як наслідок, CPRA розширює чинні положення CCPA та забезпечує краще регулювання прав із захисту персональних даних, враховуючи при цьому найкращі принципи General Data Protection Regulation (GDPR).

3. Що там нового?

Та просто сила-силенна!

• Нові визначення понять «чутливі персональні дані» та «згода», які подібні до визначених у GDPR

Перш за все, визначення «персональні дані» змінилося. CPRA додає до CCPA новий термін, а саме «чутливі персональні дані». Прикладами чутливої персональної інформації можуть бути: SNN, номери водійських посвідчень, біометрична інформація, точна геолокація, расове та етнічне походження.

Імплементація цього нового терміну є необхідною, щоб забезпечити високоякісний захист прав, а також запобігти виникненню ситуацій, подібних до тієї, яка описана у справі Atachbarian v. Automatic Funds Transfer Services, Inc і розглядалася відповідно до CCPA. Суть справи полягала в тому, що записи щодо реєстрації транспортних засобів містили у собі імена, адреси, номерні знаки та ідентифікаційні номери транспортних засобів каліфорнійських власників таких засобів (нагадуємо, що цей вид інформації належить до чутливих персональних даних відповідно до CPRA). Суд дійшов висновку, що Automatic Funds Transfer Service порушив зобов’язання із забезпечення розумних процедур захисту персональних даних, не врахувавши природу згаданої інформації.

Бізнеси можуть використовувати чутливі персональні дані у випадках, встановлених CPRA (наприклад, для цілей бізнесу («business purposes»), включно з неперсоналізованою рекламою). Більш того, такий вид інформації можна використовувати з іншою метою, але для цього потрібно, щоб на вебсайті бізнесу був або спеціальний лінк «Обмеження використання моїх чутливих персональних даних» («Limit the Use of My Sensitive Personal Information»), або цей лінк, який буде також включати положення про відмову від згоди на продаж даних, або зазначене, але комбіноване з автоматичним сигналом, який пропонує можливість такої відмови.

Крім того, CPRA змінює визначення поняття «згода», наближуючи його до того, яке встановлене GDPR. Зокрема, під згодою слід розуміти вільно надане, специфічне, проінформоване, однозначне висловлення. З цього випливає, що споживачам слід мати повне розуміння того, хто збирає дані, з якою метою, перелік таких даних, а також те, що згода має бути висловлена як щире погодження, яке не нав’язане іншою стороною.

Отже, нові дефініції змушують бізнес звернути особливу увагу на специфічний вид персональних даних і вимагає впровадження додаткових захисних заходів.

• Коло прав суб’єктів даних розширюється:

Одна з найчутливіших частин регулювання захисту персональних даних – це права споживачів.

У CPRA передбачені чотири нові права, а також п’ять тих, що існують, будуть розширені.

Нові особливості прав, визначених раніше CCPA:

• Споживачі матимуть право відкликати свою згоду на поширення даних. Цей концепт означає, що бізнес повинен забезпечити споживачеві можливість відкликати свою згоду на поширення персональних даних серед третіх осіб у цілях міжконтекстної поведінкової реклами;
• Право на запит та отримання персональної інформації у період 12 місяців все ще існує, проте воно може бути реалізоване поза межами вказаного проміжку, якщо надання відповіді на такий запит є неможливим у такий строк або ж вимагає непропорційних зусиль (California Civil Code 1798.130);
• Право на видалення персональних даних стає більш розлогим: бізнес буде змушений надсилати прохання про видалення персональних даних особи третім сторонам, які отримували таку інформацію;
• Інша особа матиме змогу отримати персональну інформацію споживача, за умови, що споживач здійснив запит до бізнесу щодо цього (раніше лише споживач міг отримати інформації на власний запит);
• Неповнолітнім надається право на висловлення згоди щодо поширення персональних даних для міжконтекстної поведінкової реклами.

Нові права:

• Право на виправлення некоректних персональних даних;
• Право на обмеження використання та розкриття чутливих персональних даних;
• Право на отримання інформації щодо технологій автоматизованого прийняття рішень (Automated Decision-Making);
• Право на відкликання згоди бути суб’єктом щодо технології автоматизованого прийняття рішень, включно з профайлінгом.

Як відомо, якщо одна сторона має права, то інша сторона у більшості випадків буде мати відповідні обов’язки. Всі ці права споживачів накладають на бізнес додатковий тягар забезпечення того, що згадані права та інтереси не будуть порушені. З цього випливає, що забезпечення їхнього захисту зменшує ризик покарання для контролерів та процесорів даних.

• Нові вимоги для визнання юридичної особи бізнесом:

Говорячи про іншу сторону цих правовідносин, бізнес, варто зауважити, що є декілька новел. Наприклад, нове визначення бізнесу та вимог до нього, які передбачені в CPRA. Це означає, що юридична особа, яка здійснює діяльність з метою прибутку або іншої фінансової вигоди, залучає збирання персональних даних, повинна відповідати щонайменше одному з наступних критеріїв:

• Мати річний валовий дохід понад $25 мільйонів у попередньому календарному році. Фраза «у попередньому календарному році» була додана, у порівнянні з CCPA;
• Самостійно чи сукупно купує, продає, поширює персональні дані 100,000 або більше споживачів чи товариств; Це положення подвоює вимоги, у порівнянні з CCPA;
• Отримує 50 % або більше свого річного валового доходу з продажу або поширення персональних даних споживачів. Ця зміна існує, оскільки CPRA розширює право на відкликання відмови також на поширення («sharing»).

Якщо комерційна юридична особа не відповідає цим критеріям, то він можливо не буде вважатися бізнесом у контексті цього акту. Це означає, що CPRA не буде застосовуватися (ймовірність цього існує для деяких малих та середніх бізнесів).

• Інкорпорація принципів GDPR до законодавства Каліфорнії:

CPRA включає декілька концепцій GDPR, які не були зазначені у CCPA. Давайте розглянемо приклади:

Мінімізація даних: про необхідність та пропорційність обсягу даних, які збирають, щодо мети, яку треба досягнути;

Лімітація мети: причини збирання інформації повинні бути сумісними з метою.

Лімітація зберігання: зберігання інформації може здійснюватися у строк, який буде не більших за розумний і необхідний для конкретної мети.

Ці принципи видаються ефемерними, але якщо бізнес не буде враховувати їх, то державний регулятор буде мати підстави притягнути до відповідальності.

• Орган захисту конфіденційності:

CPRA встановлює новий орган захисту конфіденційності – the California Privacy Protection Agency. Новий орган має слідчі, правозастосовні та нормотворчі повноваження. Однак, не переймайтеся. Генеральний прокурор з конфіденційності (The Attorney General) буде штрафувати бізнес лише після спливу 30-денного строку з дня порушення.

Однак, наші висновки можуть допомогти Вашому бізнесу виявити для себе всю необхідну інформацію про нові вимоги законодавства про захист персональних даних.

4. Що Вам слід зробити, щоб відповідати новим вимогам, встановленим CPRA?

• Перевірте відповідність бізнесом новим вимогам;
• Перегляньте інформацію задля обробки якої бізнес має отримати згоду споживача;
• Пам’ятайте про мінімізацію строку зберігання даних, обсягу даних та пропорційність мети збирання інформації;
• Якщо бізнес зберігає чутливі персональні дані, забезпечити спеціальні захисні заходи, наприклад, як уявна Компанія А. Вона розмістила на власному вебсайті посилання «Limit the Use of My Sensitive Personal Information». Більш того, вона додала опцію відкликати згоду на продаж даних;
• Оновіть повідомлення щодо захисту персональних даних, враховуючи нові вимоги захисту персональних даних;
• Повідомте треті сторони, коли переглядаєте справи щодо поширення персональних даних.

 

Ми намагалися донести інформацію якомога доступніше, але якщо виникли якісь запитання, то не соромтеся будь ласка поставити їх нам.

Якщо бізнес відповідає цим вимогам, то він отримає багато переваг. Найважливішими є довіра та лояльність клієнтів, що може забезпечити процвітання компанії.