CCPA, GDPR, Закон Украины «О защите персональных данных». Одинаковы ли они?

Сфера предоставления IT и E-commerce услуг на экспорт в Украине, в своем подавляющем большинстве, экспортирует такие услуги на территорию ЕС и США. В то же время, в силу юрисдикции регистрации бизнеса, страны-происхождения клиентов и территории предоставления услуг, для украинских компаний, и не только, является важным понимание различий между их национальным законодательством и законодательством стран их деятельности.

В данной статье мы сравним требования украинского, европейского и калифорнийского законодательств по базовым вопросам защиты персональных данных.

1. Сфера Действия CCPA, GDPR и Закона Украины «О защите персональных данных».

Традиционно, сфера деятельности любого правового акта различается по кругу лиц, по предмету регулирования и по территории применения. Говоря о сфере применения всех трех актов по кругу лиц, следует указать, что все они касаются защиты персональных данный физических лиц. Специфика определения понятия «физического лица» в каждом из актов более подробно описана в пунктах 2 и 3. Если же рассматривать предметную и территориальную юрисдикции данных актов, то каждый из них имеет свои отличия.

Рассматривая вопрос предметной юрисдикции, стоит отметить, что в Законе Украины «О защите персональных данных» (далее — Закон) указывается, что его действие распространяется на правовые отношения, связанные с защитой и обработкой персональных данных, в частности — на обработку, которая осуществляется полностью или частично с применением автоматизированных или неавтоматизированных средств. Аналогичную сферу действия имеет General Data Protection Regulation (далее — «GDPR»), вместе с тем детализируя такое положение и указывая перечень отношений, на которые действие GDPR не распространяется (например, касательно деятельности, выходящей за пределы действия права ЕС и т.д.).

По сравнению с такой сферой действия, California Consumer Privacy Act 2018 (далее — «CCPA») устанавливает более широкую предметную юрисдикцию, указывая, что действие акта распространяется на правовые отношения по сбору, обработке и продаже персональной информации лиц, включая раскрытие информации в целях достижения бизнес-целей.

Если анализировать нормы данных актов на предмет территориальной сферы действия, то стоит отметить, что Закон не определяет в своих положениях территориальную сферу его действия. Однако, с учетом того, что Закон является актом законодательства национального уровня, то его действие распространяется на отношения по обработке персональных данных на территории Украины. Зато GDPR четко определяет границы своей территориальной юрисдикции, указывая, что его действие распространяется на:

• обработку персональных данных контроллером или оператором, который зарегистрирован на территории ЕС;
• обработку персональных данных контроллером или оператором, которые зарегистрированы вне территории ЕС, но которые обрабатывают данные лиц, находящихся на территории ЕС.

Действие CCPA распространяется на компании, которые ведут свою бизнес-деятельность в штате Калифорния, то есть ведут деятельность с целью получения финансового, материального или денежного дохода. Кроме того, согласно Налоговому кодексу штата, компании, расположенные за пределами штата, также, при определенных условиях, могут быть признаны такими, что ведут свою бизнес-деятельность в пределах штата. Однако, если компания собирает и продает персональные данные вне штата, то CCPA не имеет над ней власти.

2. Различные Персональные Данные.

Согласно Закону, персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. В целом, такое определение персональных данных позаимствовано из текста GDPR и несколько трансформировано. Как следствие, персональные данные согласно GDPR являются более широкой и детализированной категорией, потому что:

• использует понятие «любая информация, касающаяся личности», а не сведения о лицах (например, название фирмы, в которой используется ФИО лица, будет информацией, касающейся лица, однако не будет сведением о личности);
• дополнительно разъясняет, когда лицо может считаться таким, которое можно идентифицировать.

Вместе с тем, категория персональных данных по CCPA охватывает еще больший круг информации. Так, указывается, что персональными данными является информация, которая идентифицирует, касается, описывает, ассоциируется с или может быть разумно связана, прямо или косвенно, с лицом. Таким образом, CCPA устанавливает максимально возможные рамки отнесения информации к персональным данным.

Кроме того, отдельного внимания заслуживает вопрос «чувствительных данных». Так, GDPR определяет, что такими являются данные, раскрывающие расовую или этническую принадлежность, убеждения, религиозные или философские верования, или членство в профессиональных союзах и обработка генетических данных, биометрических данных для цели единой идентификации физического лица, данных о состоянии здоровья или данных о половой жизни физического лица или данные о его сексуальной ориентации. Законом дополнительно устанавливаются ограничения по обработке данных касательно адреса лиц (т.н. Blacklist).

В свою очередь, CCPA хотя и содержит понятие биометрической и медицинской информации, однако не устанавливает никаких ограничения или специальных режимов сбора и обработки любых категорий персональных данных.

3. Есть ли Разница между Субъектами Данных согласно CCPA, GDPR и Закона Украины «О защите персональных данных»?

Положения Закона, GDPR и CCPA также имеют определенные различия относительно того, кого следует считать субъектом данных. Так, GDPR устанавливает, что субъектом данных является физическое лицо, которое идентифицировано или можно идентифицировать. В Законе субъект данных определяется как физическое лицо, персональные данные которого обрабатываются. В своем общем смысле, данные понятия значительным образом не отличаются, однако в разрезе вопросов анонимизации и псевдонимизации данных более целесообразно определение, которое используется в тексте GDPR.

CCPA определяет субъекта данных (в оригинальной версии текста — потребитель) как идентифицированное физическое лицо, в том числе по любым уникальным идентификатором, который является резидентом штата Калифорния. Как видим, CCPA не относит к субъектам данных лиц, которые могут быть идентифицированы, в отличие от GDPR. В разрезе понятие персональных данных по CCPA теоретически возможна ситуация, когда компания будет считаться такой, что собирает персональные данные лица, однако не связана с субъектом данных (например, в ситуация продаже информации и т.д.).

Кроме того, в вопросе, касающемся обработки персональных данных несовершеннолетних, существуют как сходства, так и различия регулирования. Так, и GDPR, и CCPA в вопросе регулирования обработки персональных данных несовершеннолетних отталкиваются от двух возрастных ориентиров — 13 и 16 лет. Однако, GDPR устанавливает, что для обработки данных лица, моложе 16 лет, нужно получить согласие его родителей или опекунов. При этом, GDPR дает право странам-участницам ЕС снизить такой возрастной порог до 13 лет, чем пользуется большинство стран (Бельгия, Эстония, Греция и т.д.), а обработка данных лиц, моложе 13 лет, запрещается.

В свою очередь, CCPA предусматривает, что для продажи информации лица, не достигшего 16 лет, компания должна получить согласие такого лица (по общему правилу CCPA, компания не должна получать согласие субъекта данных, подробнее — в пункте 4). Если же лицо не достигло 13-летнего возраста, то компания должна получить согласие родителей или опекунов такого лица на продажу ее информации. Важным моментом также является то, что CCPA освобождает от ответственности компании, которые обрабатывали данные без получения надлежащего согласия, так как не знали реального возраста человека. GDPR не содержит таких исключений из правил ответственности.

Если говорить о Законе, то в действующей редакции он не содержит специальных положений касательно обработки данных несовершеннолетних.

4. На Основании Чего Можно Осуществлять Обработку Персональных Данных?

GDPR устанавливает шесть оснований, на основе которых можно законно осуществлять обработку персональных данных субъекта. Главным основанием является согласие субъекта данных на обработку его персональных данных. К другим основаниям относятся необходимость выполнения договора с субъектом, необходимость защиты жизненно важных интересов субъекта, необходимость выполнения контроллером возложенных на него обязанностей и т.д. По аналогии с вопросом определения субъекта данных, Закон полностью реципирует положения GDPR и в измененной формулировке устанавливает те же шесть оснований, на основе которых можно осуществлять обработку данных.

Кардинально другим является подход CCPA к данному вопросу, который устанавливает презумпцию правомерности обработки персональных данных лиц компанией. Другими словами, он не содержит перечня оснований, на основе которых можно законно осуществлять обработку персональных данных, таким образом устанавливая, что сбор и обработка персональных данных сама по себе является априори законной и может осуществляться компаниями. Вместе с тем, в интересах защиты прав субъектов данных, CCPA устанавливает право лица направить компании требования о запрете продажи его персональных данных. В случае получения такого требования, компания не имеет права в дальнейшем продавать данные этого лица.

5. Разница в Ответственности по CCPA, GDPR и Закону Украины «О защите персональных данных».

Наиболее основательно к вопросу установления ответственности подошел GDPR, который ввел четкое разграничение видов наказаний, а именно:

• 2% общего годового оборота или 10 млн. евро, в зависимости от того, что выше — за нарушение положений по обработке данных несовершеннолетних, обязанностей контролера и оператора и т.д.; или
• 4% общего годового оборота или 20 млн. евро, в зависимости от того, что выше — за нарушение положений о принципах обработки данных, прав субъектов данных, передачу данных в третьи страны и т.д.

Данные штрафы имеют административную природу, то есть накладываются контролирующим органом. В свою очередь, на уровне CCPA устанавливается гражданская природа штрафов, то есть они могут быть наложены только по решению суда. CCPA устанавливает следующие разновидности штрафов:

• 2500 долларов за каждое нарушение положений акта;
• 7500 долларов США за каждое умышленное нарушение акта.

Кроме того, CCPA не устанавливает максимального лимита размеров штрафов. По сравнению с GDPR и CCPA, Закон в наименьшей степени регламентирует вопросы ответственности: в тексте Закона просто устанавливается ссылка на то, что за нарушение требований данного Закона наступает установленная законодательством ответственность. На уровне законодательства, основной массив ответственности предусмотрен статьей 188-39 КУоАП Украины (в виде штрафов разных размеров). Кроме того, ст.182 УК Украины устанавливает ответственность за распространение конфиденциальной информации о лице или незаконное изменение такой информации (вплоть до ограничения свободы на срок 3 года).

Вывод.

Краткий анализ положений GDPR, CCPA и Закона Украины «О защите персональных данных» позволяет понять, что все 3 акта принимались для различных целей, а потому содержат довольно значительные расхождения.

Так, GDPR принимался как общеевропейский законодательный акт обязательной силы, который должен регулировать вопросы обработки персональных данных. Поэтому, из всех трех актов, он является наиболее продуманным, взвешенным и универсальным. GDPR регулирует максимально возможный круг отношений и вопросов по защите персональных данных, а, как механизм дополнительного перестрахования, он предоставил полномочия сначала Working Party 29, а затем European Data Protection Board предоставлять дополнительные разъяснения положений GDPR, тем самым создавая возможность в будущем устранять недостатки законодательного регулирования.

В свою очередь, содержание CCPA дает четко понять, что основной целью его принятия было желание урегулировать отношения касательно продажи персональных данных. Данному вопросу уделяется основное внимание акта (право opt-out и opt-in запросов, получение согласия на продажу данных, право субъекта запретить именно продажа данных, а не их обработку и т.д.), в то время как GDPR вообще не содержит положений о продаже персональных данных.

Говоря о Законе Украины «О защите персональных данных», становится очевидным, что он принимался с целью определенной унификации национального и европейского законодательства в условиях развития новых видов правоотношений, которые не урегулированы национальным законодательством, однако принимался, очевидно, на скорую руку и без полного понимания специфики отношений, а поэтому не содержит многих важных положений (например, по поводу обработки персональных данных несовершеннолетних лиц), а логичность и обоснованность других положений довольно часто можно поставить под сомнение.