Каліфорнійський GDPR: 5 Must have Політики конфіденційності

Незважаючи на те, що Акт щодо захисту приватності споживачів штату Каліфорнія (оригінальна назва – California Consumer Privacy Act, CCPA), або, як його вже охрестили юристи – «Каліфорнійський GDPR», є менший за об’ємом, ніж GDPR, та не надає такого вичерпного регулювання відносин щодо захисту персональних даних, він має свої беззаперечно сильні сторони.

Так, після вступу в силу даного Акту, стаття 1798.130 глави 4 розділу 3 Цивільного кодексу штату Каліфорнія буде змінена та встановлюватиме 5 основних категорій інформації, які повинні бути вказані у політиці конфіденційності компанії.

1. Розказати споживачам, які права щодо захисту приватності вони мають.

Найголовнішим змістовним наповненням політики конфіденційності повинен стати опис прав, якими Каліфорнійський GDPR наділяє споживачів. Відповідно до вимог Акту, у політиці повинно бути вказано та описано 3 категорії прав споживачів:

• права споживачів, інформацію яких збирає компанія;
• права споживачів, інформацію яких компанія продає або іншим чином розкриває в комерційних цілях;
• права споживачів щодо недопустимості дискримінації, а також права споживачів щодо участі у різних фінансових програмах лояльності компанії.
  
  

Така вимога є дещо схожою з вимогою GDPR, у якій вказується, що контролер повинен надавати інформацію, що стосується обробки даних суб’єкта даних, у стислій, прозорій, зрозумілій та легкодоступній формі, проте більш деталізованою.

Сам Акт містить перелік та загальний опис таких прав. В процесі складання політики конфіденційності компанії варто кастомізувати такий опис під свою специфіку ведення бізнесу та (за можливості) навести приклади практичних ситуацій, у яких такі права можуть використовуватися споживачами.

2. CCPA вимагає вказати, яка інформація споживачів збирається.

Наступною вимогою Каліфорнійського GDPR є зазначення у політиці конфіденційності компанії вичерпного переліку персональної інформації, яка збирається компанією про конкретний вид або про споживачів в цілому.

Даючи визначення поняття персональної інформації, Акт вказує, що до її складу, у тому числі, можуть відноситися такі відомості як:

• справжнє ім’я, псевдонім, поштова адреса, унікальний персональний ідентифікатор.
• ідентифікатор в Інтернеті, адреса Інтернет-протоколу, адреса електронної пошти, ім’я облікового запису, номер соціального страхування, номер посвідчення водія, номер паспорта чи інші подібні ідентифікатори.
• комерційна інформація, включаючи записи про особисте майно, продукти чи послуги, придбані, отримані чи розглянуті, або інші історії покупки чи споживання.
• біометрична інформація.
• інформація про діяльність в Інтернеті чи іншій електронній мережі, включаючи, але не обмежуючись цим, історію переглядів, історію пошуку та інформацію про взаємодію споживача з веб-сайтом, додатком чи рекламою Інтернету.
• дані геолокації.
• аудіо, електронні, візуальні, теплові, нюхові або подібні відомості.
• професійна інформація чи інформація, пов’язана з працевлаштуванням.
• інформація про освіту, яка визначається як інформація, яка не є загальнодоступною, або є ідентифікуючою особиста інформація.
• висновки, отримані з будь-якої інформації, визначеної в цьому підрозділі, для створення профілю про споживача, що відображає його споживчі вподобання, характеристики, психологічні тенденції, схильності, поведінку, ставлення, інтелект, здібності та схильності.

Варто наголосити, що перелік такої інформації повинен стосуватися 12-місячного періоду, який передує складанню або перегляду політики. Така вимога створює відмінність від GDPR, де контролер не обмежений певним строком у рамках аналогічного зобов’язання.

3. Якщо ви продаєте або іншим чином розкриваєте персональну інформацію споживачів – CCPA вимагає від вас повідомити про це.

 З аналізу тексту положень CCPA можна зробити чіткий висновок, що він, у своїй переважній більшості, спрямований на врегулювання відносин саме щодо продажу персональних даних. Тому дуже серйозну увагу у даному Акті приділяють саме цим питанням.

Так, компанія зобов’язана вказати у своїй політиці конфіденційності вичерпний перелік інформації споживачів, яку вона продає або розкриває з комерційною метою. Перелік такої інформації, за аналогією з попередньою вимогою, повинен стосуватися 12-місячного періоду, який передує складанню або перегляду політики.

Варто зазначити, що Акт передбачає можливість того, що певні компанії не будуть продавати інформацію своїх споживачів або розкривати ці дані заради отримання вигоди. Таким компанія обов’язково необхідно окремими пунктами у політиках приватності вказати, що вони жодним чином не продають та не розкривають в комерційних цілях персональну інформацію своїх споживачів.

4. Які засоби зв’язку вимагає Каліфорнійський GDPR?

Дана вимога Каліфорнійського GDPR гарно відображає певну консервативність правової системи США в цілому. Так, відповідно до положень проекту CCPA, компанія зобов’язана зробити доступними для споживачів два або більше засобів зв’язку включаючи:

• як мінімум, безкоштовний телефонний номер;
• а якщо бізнес підтримує веб-сайт Інтернет – адресу веб-сайту.

Знову ж, порівняно з GDPR, у якому у загальному значені вказано, що суб’єкт даних повинен мати можливість отримати інформацію у стислій, прозорій, зрозумілій та легкодоступній формі, Акт щодо захисту приватності споживачів штату Каліфорнія чітко деталізує вимоги до компаній та запроваджує обов’язковий мінімум щодо тих засобів зв’язку, які мають бути доступними.

5. CCPA нагадує: не забувайте оновлювати Вашу політику!

Ще однією ключовою вимогою до політики конфіденційності компанії, яку встановлює Каліфорнійський GDPR, є обов’язок компанії оновлювати власну політику кожні 12 місяців.

У політиці повинна бути вказана дата останнього оновлення, а також рекомендовано вказати, що компанія оновлює дану політику не рідше ніж один раз на 12 місяців. Таким механізм спрямований на постійне підтримання актуальності політики компанії та постійне підтримання її compliance-тонусу.

Висновок

На відміну від GDPR, який встановлює вимоги щодо збору та опрацювання персональних даних, не встановлюючи конкретних вимог щодо політики конфіденційності, Каліфорнійський GDPR приділив окрему роль саме змісту такої політики.

Варто зазначити, що, відповідно до вимог CCPA, значний масив інформації не є обов’язковим до внесення у політику конфіденційності (наприклад, процедура реалізації права споживача на видалення інформації про нього або права споживача заборонити продаж інформації про нього, порядок верифікації запиту споживачів тощо).

Такий підхід може бути пояснений бажанням оптимізувати зміст політики конфіденційності та зробити її якомога чіткою, простою та зрозумілою для споживачів. Таким чином, вказання лише вищезазначених категорій інформації у політиці конфіденційності буде достатнім для того, щоб така політика відповідала вимогам Акт щодо захисту приватності споживачів штату Каліфорнія.

Водночас, компанії можуть не обмежуватися наведеним переліком та додатково вказувати у політиках іншу інформацію, яку вони вважають за доцільну (наприклад, порядок звернення споживача зі зверненням/вимогою до компанії та процедура розгляду такого звернення/вимоги, порядок верифікації запиту споживачів тощо).