California DELETE Act для брокерів даних

Каліфорнійський DELETE Act набрав чинності: які нові вимоги до брокерів даних?

10 жовтня Губернатор штату Каліфорнія підписав Білль № 362, так званий DELETE Act (далі – DELETE), додаток до Каліфорнійського Цивільного Кодексу (далі – ЦК). Цей документ визначає нові вимоги до брокерів даних, які працюють і з інформацією про резидентів штату Каліфорнія.

Як це було раніше?

Брокери даних мають зареєструватись у Генерального прокурора штату Каліфорнія, сплатити реєстраційний внесок та надати відповідну інформацію про свою діяльність. При реєстрації брокери зобов’язані вказати назву, основну фізичну адресу, адресу електронної пошти та вебсайту. Генеральний прокурор має право подати адміністративний позов щодо брокерів, які не зареєструвались або порушують вимоги чинного законодавства щодо захисту персональних даних, та зобов‘язати їх сплатити відповідні штрафи та інші витрати.

До чого готуватись зараз?

Визначення

DELETE залишає чинними попереднє визначення брокерів: ними є суб’єкт господарювання, що свідомо збирає та продає третім особам особисту інформацію споживача, з яким такий суб’єкт не має прямих відносин.

Нагадаємо, що “суб’єкт господарювання” визначено як юридичну особу, яка організована або функціонує для отримання прибутку або фінансової вигоди, збирає особисту інформацію споживачів або від імені якої така інформація збирається, самостійно або спільно з іншими визначає цілі та засоби опрацювання особистої інформації споживачів, веде господарську діяльність у штаті Каліфорнія і відповідає одній або декільком з наступних вимог:

  • станом на 1 січня календарного року має річний валовий дохід понад двадцять п’ять мільйонів доларів ($25.000.000) за попередній календарний рік;
  • купує, продає або поширює особисту інформацію 100.000 або більше споживачів, або;
  • отримує понад 50% річного доходу від продажу або обміну персональними даними.

Брокерами не є суб’єкти господарювання, які підпадають під дію федерального Закону про чесну кредитну звітність (Fair Credit Reporting Act), Закону Грамма-Ліча-Блайлі (Gramm-Leach-Bliley Act), Закону про страхову інформацію та захист конфіденційності (Insurance Information and Privacy Protection Act), Закону про мобільність та підзвітність медичного страхування (Health Insurance Portability and Accountability Act), а також Закону про конфіденційність медичної інформації (Confidentiality of Medical Information Act).

California DELETE Act for data brokers

Як брокерам зареєструватись?

Функції Генерального прокурора DELETE передає Каліфорнійській Агенції захисту персональних даних (California Privacy Protection Agency, далі – КАЗПД).

Щороку, якщо суб’єкт господарювання кваліфікується як брокер даних, він має зареєструватися в КАЗПД до 31 січня року, наступного за тим, в якому він відповідає визначенню брокера. При реєстрації, брокер має надати інформацію про:

  • найменування та основну фізичну адресу, адресу електронної пошти та вебсайту;
  • дані про опрацювання запитів споживачів  (див. нижче);
  • чи збирає брокер персональні дані неповнолітніх, точну геолокацію споживачів, дані про їх репродуктивне здоров’я;
  • починаючи з 1 січня 2029 року – дані про проходження брокером аудиту та звіту за його результатами;
  • чи підпадає брокер або його контрагенти під дію Закону про чесну кредитну звітність, Закону Грамма-Ліча-Блайлі, Закону про страхову інформацію та захист конфіденційності, Закону про мобільність та підзвітність медичного страхування або Закону про конфіденційність медичної інформації;
  • іншу інформацію про збір даних на власний розсуд.

Крім того, встановлено вимоги для вебсайту брокера, яку він має вказати КАЗПД при реєстрації. Цей сайт має містити детальну інформацію про те, як споживачі можуть реалізувати своє право на приватність, а саме:

  • видалення персональних даних;
  • виправлення в них неточностей;
  • отримання інформації про їх збір та доступу до таких даних;
  • отримання інформації про те, які персональні дані продаються чи передаються, і кому; а також інформації про те, як відмовитись від передачі або продажу даних;
  • дізнатися, як обмежити використання та розголошення конфіденційної особистої інформації.

Вебсайт брокера не має містити так званих темних патернів (dark patterns), оманливих шаблонів дизайну сайту.

Що таке accessible deletion mechanism?

Окрім ведення реєстру брокерів, КАЗПД також має розробити доступний механізм видалення (далі – ДМВ) до 1 січня 2026 року. Цей механізм дозволятиме споживачеві за допомогою єдиного запиту вимагати, щоб брокер та пов’язані з ним контрагенти, які зберігають персональні дані, пов’язані з цим споживачем, незалежно від джерела їх походження, видалили цю інформацію.

З 1 серпня 2026 року, брокер має отримати доступ до ДМВ, та перевіряти його щонайменше раз на 45 днів. Брокер має опрацьовувати запити на видалення даних через ДМВ та видаляти інформацію про споживача протягом 45 днів з моменту їх отримання. Однак брокер не має видаляти персональні дані у певних випадках, передбачених Каліфорнійським ЦК.

Якщо брокер даних відхиляє запит споживача на підставі того, що його неможливо перевірити, він має розглядати його як запит на відмову від продажу або передачі персональних даних за ЦК. Крім того, брокери мають проінструктувати всіх пов’язаних з ними контрагентів вжити аналогічних заходів – видалити персональні дані споживача або відмовитися від їх продажу та передачі.

Крім того, з 1 серпня 2026 року DELETE покладає на брокера зобов’язання і надалі видаляти інформацію про споживача, що вже надіслав запит за ДМВ, щонайменше раз на 45 днів. Також брокер не має продавати або поширювати отриману ним нову персональну інформацію про такого споживача, за винятків, передбачених Каліфорнійським ЦК.

Чи має брокер звітувати про отримані запити споживачів про видалення персональної інформації?

Щороку до 1 липня брокер має:

  • підрахувати кількість запитів, які було отримано (як за ДМВ, так і за Каліфорнійським законом про приватність споживачів), задоволено повністю, частково або відхилено протягом попереднього календарного року;
  • розрахувати кількість днів, протягом яких в середньому було надано відповідь на запити;
  • вказати ці показники у політиці приватності на своєму вебсайті.

Чи встановлено інші вимоги до брокерів?

З 1 січня 2028 року, брокери матимуть проходити аудит кожні три роки для визначення чи відповідає діяльність брокера законодавству. За результатами такого аудиту, брокер подаватиме звіт та будь-які пов’язані з ним матеріали до КАЗПД протягом п’яти робочих днів після отримання відповідного письмового запиту.

  California DELETE Act for data brokers

Які санкції передбачає DELETE?

Брокери нестимуть відповідальність як за нереєстрацію, так і за невиконання вимог ДМВ та проходження аудиту.

Наприклад, за нереєстрацію брокер має сплатити адміністративний штраф у розмірі двохсот доларів США ($200) за кожен день нереєстрації, відповідні реєстраційні збори за час, протягом якого він не зареєструвався, а також витрати, понесені КАЗПД під час розслідування та адміністрування позову.

Якщо брокер не задовольняє вимоги щодо проведення аудиту та/або ДМВ, він має сплатити адміністративний штраф у розмірі двохсот доларів ($200) за кожен запит на видалення даних за кожен день, протягом якого брокер не видалив такі дані, а також понесені КАЗПД витрати під час розслідування та адміністрування позову.

Практичні поради

  1. Проведіть моніторинг своєї діяльності, та зареєструйтесь, якщо ви підпадаєте під визначення брокера даних у штаті Каліфорнія. Вже з 2024 року штраф за нереєстрацію подвоїться і становитиме двісті доларів США ($200), разом з необхідністю сплати інших зборів, описаних вище.
  2. Проаналізуйте свої практики збору та опрацювання персональних даних, приведіть у відповідність ваші практики захисту персональних даних. Також подбайте про те, щоб ваш вебсайт задовольняв вимоги DELETE до наступного періода реєстрації брокерів у 2024 році: не містив dark patterns та надавав детальну інформацію споживачеві про можливості захисту його/її персональних даних згідно із законодавством Каліфорнії та федеральними актами. 
  3. Розробіть критерії та систему роботи із запитами споживачів за Каліфорнійським законом про приватність споживачів, а також щодо співпраці з вашими контрагентами в рамках майбутнього ДМВ. Вже при реєстрації у 2024 році брокери мають надавати дані про опрацювання запитів споживачів при реєстрації, а також вказувати їх у своїй політиці приватності на вебсайті.
  4. Проведіть тренінги для співробітників щодо DELETE Act та вдосконалення своїх практик із опрацювання персональних даних.
  5. Моніторте вказівки КАЗПД щодо ДМВ та доступу брокерів до нього у 2026 році, а також вимог до аудиту та звітності про нього у 2028 році.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)