California Consumer Privacy Act: победа или недо-GDPR?

Американские юристы обозначили 28 июня 2018 как выдающуюся дату в истории развития законодательства по защите персональных данных в США. В этот день, губернатор штата Калифорния Джерри Браун подписал California Consumer Privacy Act 2018 (далее — «Регламент»).

Закон должен вступить в силу только с 1 января 2020 года, однако уже сейчас юридические круги США активно обсуждают те последствия, которые может повлечь его вступление в силу. Что же такого особенного предусмотрено в данном законе, почему к нему приковано столь большое внимание и чем он отличается от GDPR? Давайте разбираться со всем по очереди.

Кого касается этот Регламент?

Прежде всего, Регламент четко указывает на то, что субъектами данных являются физические лица (обычные люди). По сравнению с GDPR, нормы которого могут касаться компаний в ряде специальных условий, Регламент сужает круг субъектов данных, сводя его исключительно к физическим лицам.

К физическим лицам, которых будут касаться данные нововведения, относиться лица, являющиеся резидентами штата Калифорния, и могут быть идентифицированы с помощью любого уникального идентификатора. К таким идентификаторам Регламент относит практически все: уникальный код электронного устройства, файлы cookies, IP-адрес, уникальный псевдоним или номер человека, телефонные номера и т.д. Указывается, что список не является исчерпывающим, то есть, теоретически, любая информация, которая может помочь идентифицировать человека, может являться таким идентификатором.

По другую сторону баррикад California Consumer Privacy Act ставит компании, которые обрабатывают персональные данные.

К таким компаниям относятся зарегистрированные в штате Калифорния частные предприниматели, партнерства, ООО, корпорации, ассоциации и любые другие юридические лица, которые были созданы или работают с целью получения прибыли и которые собирают личную информацию лично или от имени своих потребителей и которые в одиночку или совместно с другими компаниями определяют цели и средства обработки такой информации. Также, такие компании обязательно должны соответствовать хотя бы одному из трех критериев:

• годовой валовой доход, превышающий $ 25000000;
• в одиночку или совместно с другими ежегодно покупает, получает для коммерческих целей бизнеса, продает или делится для коммерческих целей, отдельно или в совместно, личную информацию не менее 50 000 потребителей, домохозяйств или устройств;
• получает 50 или более процентов своих ежегодных доходов от продажи личной информации потребителей.

Кроме того, к ним относятся любые организации, которые контролируют вышеуказанные компании или имеют с ними общий брендинг. По сравнению с GDPR, положения которого касаются как компаний-контроллеров, так и компаний-операторов, круг юридических лиц согласно Регламенту ограничивается только контроллерами.

Таким образом, круг применения California Consumer Privacy Act является более узким относительно субъектов данных, связанных с оборотом персональных данных.

Какие персональные данные защищает Регламент?

В соответствии с положениями Регламента, персональной информацией является информация, которая идентифицирует, касается, описывает, способна быть связана или может быть разумно связана прямо или косвенно с определенным субъектом данных или домохозяйством.

Персональная информация включает, в частности, однако не исключительно:

• идентификаторы, такие как настоящее имя, псевдоним, почтовый адрес, любой другой уникальный персональный идентификатор, IP-адрес, адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта или другие подобные идентификаторы;
• любые категории личной информации, такие как номер страхового полиса, образование, занятость, история занятости, номер банковского счета, номер кредитной карты, номер дебетовой карты или любая другая финансовая информация;
• раса, цвет кожи, пол, возраст (40 и старше), вероисповедания, национальное происхождение, инвалидность, статус гражданства, генетическая информация, семейное положение, сексуальная ориентация и самоидентификация, состояние здоровья, инфекционные болезни, военный или ветеранский статус, политические убеждения или принадлежность, статус жертвы домашнего насилия, нападения или преследования;
• коммерческая информация, включая записи о личном имуществе, продуктах или услугах, приобретенных, полученных или рассмотреных, или другие истории покупки или потребления;
• биометрическая информация;
• интернет- или любая другая информация про активность в социальных сетях, в частности, однако не исключительно — история просмотров, история поиска и информация про взаимодействие человека с сайтом, приложением или интернет-рекламой;
• данные геолокации;
• аудио, электронные, визуальные, тепловые, обонятельные или подобные сведения;
• профессиональная информация или информация, связанная с трудоустройством;
• информация об образовании, которая определяется как не общедоступная, личная, идентифицирующая информация;
• выводы, полученные из любой информации, указанной в этом разделе, для создания профиля о потребителе, отражающего его потребительские предпочтения, характеристики, психологические тенденции, предпочтения, склонности, поведение, отношение, интеллект, способности и склонности.

Категория личной информации не включает общедоступную информацию, то есть информацию, которой на законных основаниях владеют органы власти. Общедоступной не является: биометрическая информация, которую собирает компания о лице без его ведома; данные, которые находятся в открытом доступе или если они используются с целью, не совместимой с целью их сбора или хранения; информация, которая является деидентификованною или информация, связанная с субъектом данных.

Учитывая вышенаписанное, мы можем сделать вывод, что категория личных данных согласно Регламента является более детализированной, чем в GDPR, и это является его сильной стороной: он одновременно и четко определяет объем понятия, и оставляет возможность отнести к этой категории «другую информацию».

А какие права предоставляются субъектам данных?

California Consumer Privacy Act предоставляет субъектам данных широкий спектр прав. Так, субъекты данных будут вправе требовать от компаний, которые собирают персональные данные:

• раскрыть им категории и конкретные данные, которые собрала компания;
• удалить любую личную информацию о человека, которую компания собрала о нем;
• раскрыть человеку:
• категории данных, которые компания собрала о нем;
• категории источников, из которых собираются такие данные;
• деловая или коммерческая цель сбора или продажи этих данных;
• категории третьих лиц, с которыми компания делится этими данными;
• конкретные части персональных данных, которые собрала компания;
• право требовать, чтобы компания, которая продает личную информацию человека, или раскрывает ее с деловой целью, раскрыла ему:
• категории личной информации, которую компания собирает о человеке;
• категории его личной информации, которые компания продала и категории третьих лиц, которым продана такая информация;
• категории личной информации лица, которые компания раскрыла для достижения бизнес-целей;
• от компании, которая продает личную информацию человека третьим лицам — не продавать такие информацию.

Как видим, объем прав субъектов данных согласно Регламента является, по сути, аналогичным объему таких прав согласно GDPR. Таким образом, можно сделать вывод, что Регламент надежно защищает права субъектов данных.

Выводы

Подводя итоги, стоит отметить, что California Consumer Privacy Act является «победой» и действительно большим шагом вперед в вопросе защиты персональных данных в США. Несмотря на то, что действие Регламента распространяется только на территорию штата Калифорния, юристы отмечают, что, с большой долей вероятности, другие штаты поддержат такую ​​тенденцию и примут собственные соответствующие акты.

По мнению американских юристов, те компании, которые уже сегодня строят свою политику защиты персональных данных в соответствии с требованиями GDPR, в перспективе ближайших лет будут иметь значительные преимущества над теми компаниями, которые этого не делают. Тренд на защищенность персональных данных набирает обороты и в ближайшее время спад этой тенденции не ожидается.