Нові закони США про захист персональних даних у 2023 році

Як відомо, у Сполучених Штатах Америки («США») немає єдиного кодифікованого акту (крім Children’s Online Privacy Protection Act), який би встановлював загальні правила для всіх штатів як збирати, зберігати, передавати та іншим чином опрацьовувати персональні дані. Тому окремі штати взяли справу у свої руки і прийняли місцеві закони для захисту приватності своїх мешканців. 

Донедавна юристи, як правило, концентрували свою увагу на законодавстві Каліфорнії, але з 2023 року набирають чинності нові правила щодо захисту персональних даних не лише в цьому штаті, а й в Вірджинії, Колорадо, Юті та Коннектикуті.

У цій статті розглянемо кому важливо знати правила нових законодавчих актів у США, коли саме вони почнуть діяти та які обов’язки ці закони передбачають.

Зміст:

• Каліфорнія
• Вірджинія
• Колорадо
• Юта
• Коннектикут

Каліфорнія

У Каліфорнії з 01 січня 2020 року уже діє California Consumer Privacy Act (CCPA). California Privacy Rights Act (CPRA) вносить правки в CCPA і набрав чинності (у своїй більшості) з 01 січня 2023 року.

CPRA оперує поняттями «персональна інформація» («personal information»), «бізнес» («business»), «сервіс провайдер» («service provider»), «контрактор» («contractor»), «споживач» («consumer»), «домогосподарство» («household»), «третя сторона» («third party»), «біометрична інформація» («biometric information»), «чутлива персональна інформація» («sensitive personal information»), «продаж або поширення персональної інформації» («sale or sharing of personal information») тощо. Правильне розуміння цих понять  є обов’язковою складовою визначення сфери дії CPRA і його застосування/незастосування до конкретних бізнес процесів. 

Так, CPRA застосовується, зокрема, до фізичних осіб-підприємців, партнерств, товариств з обмеженою відповідальністю, корпорацій, асоціацій та інших юридичних осіб – «бізнесу», що самостійно або через посередника збирає персональну інформацію споживачів, самостійно або спільно з іншими визначає цілі та засоби обробки, веде бізнес в штаті Каліфорнія та відповідає одному або декільком з наступних критеріїв:

• має річний валовий дохід понад 25 000 000 USD;
• окремо або в поєднанні щорічно купує, продає або передає персональну інформацію 100 000 або більше споживачів або домогосподарств; 
• отримує 50 або більше % свого річного доходу від продажу або поширення персональної інформації.

Бізнесом також може бути будь-який суб’єкт господарювання, що (1) контролює або контролюється бізнесом, визначеним вище, і (2) має спільну з ним торговельну марку. 

Порівняно із CCPA, CPRA вніс наступні новели до законодавства Каліфорнії: 

• створено California Privacy Protection Agency (CCPA); 
• введено поняття «чутлива персональна інформація» («sensitive personal information»); 
• запроваджено два додаткових права споживачів: право на виправлення неточної персональної інформації і право на обмеження використання та розкриття чутливої персональної інформації;
• поширено дію акту не лише на «продаж» («sale»), але і на «поширення» («sharing») персональної інформації; 
• проводити щорічний аудит кібербезпеки, який є ретельним та незалежним, та регулярно надавати оцінку ризиків («risk assessment») до CPPA – у разі обробки персональної інформації, яка становить значний ризик для приватності або безпеки споживачів (хоча CPRA прямо не вимагає від компаній проводити оцінку ризиків, він уповноважує CPPA видавати правила, які можуть це вимагати; точні вимоги до цих регулярних оцінок ризиків будуть визначені CPPA в рамках його нормотворчої діяльності, оскільки наразі цих правил ще нема); та 
• запроваджено інші зміни.

Вірджинія

Virginia Consumer Data Protection Act (VCDPA) був прийнятий весною 2021 року та набрав чинності 01 січня 2023 року.

VCDPA оперує поняттями «персональні дані» («personal data»), «контролер» («controller»), «процесор» («processor»), «споживач» («consumer»), «третя сторона» («third party»), «біометричні дані» («biometric data»), «чутливі дані» («sensitive data»), «продаж персональних даних» («sale of personal data») тощо.

Цей акт застосовується до осіб (фізичних і юридичних), які ведуть бізнес у Вірджинії або виготовляють продукти чи надають послуги, призначені для резидентів Вірджинії, і які відповідають одному або декільком з наступних критеріїв: 

• протягом календарного року контролюють або обробляють персональні дані щонайменше 100 000 споживачів; 
• контролюють або обробляють персональні дані щонайменше 25 000 споживачів і отримують понад 50 % валового доходу від продажу персональних даних.

На відміну від CPRA річний дохід суб’єкта господарювання до уваги не береться. Але аналогічно як і з CPRA для підпадання під сферу дії VCDPA необов’язково фізично знаходитись чи мати зареєстровану адресу діяльності саме на території Каліфорнії чи Вірджинії. «Ведення бізнесу» означає також і пропонування своїх товарів чи послуг для мешканців певної території.

Відповідно до VCDPA контролери мають більш суворі обов’язки ніж процесори, зобов’язання останніх, як правило, пов’язані з їхніми договорами з контролерами. VCDPA зобов’язує контролерів:

• обмежити збір персональних даних лише до тих, які є достатніми, релевантними та обґрунтовано необхідними для цілей, для яких такі дані обробляються, як це було повідомлено споживачеві;
• не обробляти персональні дані для цілей, які не повідомлені споживачеві, та чутливі персональні дані, якщо тільки контролер не отримає вільно надану, конкретну, поінформовану та однозначну згоду споживача;
• надавати кінцевим користувачам повідомлення про конфіденційність («privacy notice»);
• встановити адміністративні, технічні та фізичні методи захисту для збору та обробки персональних даних;
• дотримуватись прав споживачів, у тому числі права відмовитися («opt-out») від збору або обробки персональних даних для цілей цільової реклами, продажу та профілювання;
• відповідати на запити споживачів протягом 45 днів з моменту отримання запиту,
• не дискримінувати споживачів на підставі обробки їхніх даних;
• та встановлює інші обов’язки.

Крім того, за VCDPA контролер та процесор мають укласти угоду між контролером та процесором («contract between a controller and a processor») щодо обробки персональних даних. Контролер також має проводити оцінку захисту даних («data protection assessment»), якщо оборбка становить підвищений ризик заподіяння шкоди споживачам (наприклад, здійснюється для цілей таргетованої реклами, продажу персональних даних чи за певних умов профілювання), і розкрити її результати у разі законної вимоги Генерального прокурора Вірджинії.

Колорадо

Colorado Privacy Act (CPA), прийнятий у липні 2021 року, набере чинності 01 липня 2023 року. Офіс Генерального прокурора штату Колорадо 30 вересня 2022 року опублікував для публічного обговорення Правила CPA – набір положень, які, у разі їх прийняття без суттєвих змін, розширюють і уточнюють вимоги CPA.

CPA оперує поняттями «персональні дані» («personal data»), «контролер» («controller»), «процесор» («processor»), «споживач» («consumer»), «третя сторона» («third party»), «чутливі дані» («sensitive data»), «продаж персональних даних» («sale of personal data»), «темний патерн» («dark pattern») тощо.

Цей акт застосовується до контролера, який веде бізнес в штаті Колорадо або виробляє чи постачає комерційні продукти чи послуги, які спеціально орієнтовані на жителів штату Колорадо та відповідає одному або декільком з наступних критеріїв:

• контролює або обробляє персональні дані 100 000 або більше споживачів на рік; 
• отримує дохід або знижку на ціну товарів чи послуг від продажу персональних даних та обробляє або контролює персональні дані 25 000 або більше споживачів.

Так як і у VCDPA – поріг доходу не застосовується.

CPA містить вимоги як до контролерів, так і до процесорів. CPA виокремлює спеціальну статтю, якою покладає наступні обов’язки на контролерів:

• обов’язок прозорості – контролери зобов’язані надавати споживачам вичерпні повідомлення про конфіденційність («privacy notice»);
• обов’язок визначення мети – контролери повинні визначати конкретні цілі, для яких збираються та обробляються персональні дані;
• обов’язок мінімізації даних – контролери повинні обмежити збір даних до обсягу, необхідного для чітко визначених цілей, для яких ці дані обробляються;
• обов’язок уникати вторинного використання – контролери не можуть обробляти персональні дані для цілей, які не сумісні з прямими цілями, для яких ці дані обробляються;
• обов’язок обережності – контролери повинні вживати розумних заходів для захисту персональних даних;
• обов’язок уникати незаконної дискримінації – контролери не можуть обробляти персональні дані з порушенням антидискримінаційного законодавства; та
• обов’язок щодо чутливих даних – контролери не можуть обробляти чутливі дані без згоди споживача.

Контролери також мають дотримуватись визначених CPA прав споживачів і відповідати на їхні запити протягом 45 днів з дня їх отримання. 

CPA забороняє контролеру здійснювати обробку, яка становить підвищений ризик заподіяння шкоди споживачеві, без проведення та документування оцінки захисту даних («data protection assessment»), яка має бути надана Генеральному прокурору штату Колорадо на його вимогу. Обробка даних процесором повинна регулюватися договором між контролером і процесором («contract between the controller and the processor»), який є обов’язковим для обох сторін.

Юта

Utah Consumer Privacy Act (UCPA) був прийнятий у березні 2022 року і набере чинності 31 грудня 2023 року. 

UCPA оперує поняттями «персональні дані» («personal data»), «контролер» («controller»), «процесор» («processor»), «споживач» («consumer»), «третя сторона» («third party»), «біометричні дані» («biometric data»), «чутливі дані» («sensitive data»), «продаж персональних даних» («sale of personal data») тощо.

Цей акт застосовується до будь-якого контролера або процесора, який здійснює підприємницьку діяльність у Юті або виробляє товари чи надає послуги, призначені для резидентів Юти, має річний дохід у розмірі 25 000 000 доларів США або більше, і відповідає одному або декільком з наступних критеріїв: 

• протягом календарного року контролює або обробляє персональні дані 100 000 або більше споживачів; 
• отримує понад 50% валового доходу від продажу персональних даних та контролює або обробляє персональні дані 25 000 або більше споживачів.

UCPA містить вимоги як до контролерів, так і до процесорів. Зокрема, UCPA покладає наступні обов’язки на контролерів:

• надати споживачам достатньо чітке та доступне повідомлення про конфіденційність («privacy notice»); 
• встановити, впровадити та підтримувати розумні адміністративні, технічні та фізичні методи захисту даних; 
• не обробляти чутливі дані, зібрані від споживача, без попереднього надання споживачеві чіткого повідомлення та можливості відмовитися від обробки (на відміну від VCDPA та CPA, які вимагають згоду); 
• не дискримінувати споживачів на підставі обробки їхніх даних;
• інші обов’язки.

Контролер не зобов’язаний надавати споживачеві продукт, послугу або функціонал, якщо персональні дані споживача є обґрунтовано необхідними для надання контролером цього продукту, послуги або функціоналу, а споживач не надав персональні дані або не дозволив контролеру обробляти свої персональні дані.

Контролери також мають дотримуватись визначених UCPA прав споживачів і відповідати на їхні запити протягом 45 днів з дня їх отримання. 

Перед здійсненням обробки за дорученням контролера процесор та контролер укладають договір між собою («the processor and controller shall enter into a contract»). На відміну від VCDPA та CPA, UCPA не містить жодних вимог щодо проведення оцінки захисту даних («data protection assessment»).

Коннектикут

Connecticut Data Privacy Act (CDPA) був прийнятий у травні 2022 року і набере чинності 01 липня 2023 року. 

CDPA оперує поняттями «персональні дані» («personal data»), «контролер» («controller»), «процесор» («processor»), «споживач» («consumer»), «третя сторона» («third party»), «біометричні дані» («biometric data»), «чутливі дані» («sensitive data»), «продаж персональних даних» («sale of personal data»), «темний патерн» («dark pattern») тощо.

Цей акт застосовується до осіб, які здійснюють підприємницьку діяльність у Коннектикуті, або до осіб, які виробляють продукцію чи надають послуги, призначені для резидентів Коннектикуту, і які протягом попереднього календарного року: 

• контролювали або обробляли персональні дані не менше 100 000 споживачів; або 
• контролювали або обробляли персональні дані не менше 25 000 споживачів та та отримували більше 25 % свого валового доходу від продажу персональних даних.

CDPA містить вимоги як до контролерів, так і до процесорів, подібні до тих, що розглядались вище. Зокрема, контролери мають:

• надати споживачам розумно доступне, чітке та змістовне повідомлення про конфіденційність («privacy notice»);
• обмежити збір персональних даних лише тими, які є достатніми, доречними та обґрунтовано необхідними по відношенню до розкритих цілей, для яких ці дані обробляються;
• уникати вторинного використання – якщо контролер не отримає згоду споживача, він не може обробляти персональні дані для цілей, які не є обґрунтовано необхідними або сумісними з розкритими цілями;
• встановити, впровадити та підтримувати розумні адміністративні, технічні та фізичні методи безпеки для захисту конфіденційності, цілісності та доступності персональних даних;
• не обробляти персональні дані про споживача без його згоди;
• не дискримінувати споживачів на підставі обробки їхніх даних;
• надати споживачам ефективний метод відкликання згоди, який є таким же простим, як і метод, який вони використовували для надання згоди;
• виконувати інші обов’язки.

Подібно до інших комплексних законів штатів про конфіденційність, контролери мають дотримуватись визначених CDPA прав споживачів і відповідати на їхні запити протягом 45 днів з дня їх отримання.

Обробка даних процесором повинна регулюватися договором між контролером і процесором («contract between the controller and the processor»), який є обов’язковим для обох сторін. Контролер також має проводити оцінку захисту даних («data protection assessment») для діяльності з обробки даних, яка становить підвищений ризик заподіяння шкоди споживачеві.

Висновок

Що це все означає для бізнесу? Якщо товари чи послуги орієнтовані на США як окремий ринок, то резиденти зазначених штатів (Каліфорнії, Вірджинії, Короладо, Юти, Коннектикуту) є потенційними споживачами такого бізнесу. Тому програма комплаєнсу може заграти новими барвами, враховуючи індивідуальність кожного акту.

Для правильної оцінки чи необхідно саме вам виконувати вимоги тієї чи іншої законодавчої новинки про приватність ми рекомендуємо звернутись до спеціалізованого юриста. Необхідно в першу чергу оцінити чи підпадає саме ваш бізнес під сферу дії акту, а потім вже імплементувати конкретні зміни.