Калифорнийский GDPR: 5 Must have Политики конфиденциальности

Несмотря на то, что Акт о защите приватности потребителей штата Калифорния (оригинальное название — California Consumer Privacy Act, CCPA), или, как его уже окрестили юристы — «Калифорнийский GDPR», является меньшим по объему, чем GDPR, и не предоставляет такого исчерпывающего регулирования отношений по защите персональных данных, он имеет свои беспрекословно сильные стороны.

Так, после вступления в силу данного Акта, статья 1798.130 главы 4 раздела 3 Гражданского кодекса штата Калифорния будет изменена и установит 5 основных категорий информации, которые должны быть указаны в политике конфиденциальности.

1. Рассказать потребителям, какие права касательно защиты приватности они имеют.

Главным содержательным наполнением политики конфиденциальности должно стать описание прав, которыми Калифорнийский GDPR наделяет потребителей. В соответствии с требованиями Акта, в политике должно быть указано и описано 3 категории прав потребителей:

• права потребителей, информацию которых собирает компания;
• права потребителей, информацию которых компания продает или иным образом раскрывает в коммерческих целях;
• права потребителей касательно недопустимости дискриминации, а также права потребителей на участие в различных финансовых программах лояльности компании.

Такое требование является несколько схожим с требованием GDPR, в котором указывается, что контроллер должен предоставлять информацию, касающуюся обработки данных субъекта данных, в сжатой, прозрачной, понятной и легкодоступной форме, однако более детализированной.

Сам акт содержит перечень и общее описание таких прав. В процессе составления политики конфиденциальности стоит кастомизировать такое описание под свою специфику ведения бизнеса и (по возможности) привести примеры практических ситуаций, в которых такие права могут использоваться потребителями.

2. CCPA требует указать, какая информация потребителей собирается.

Следующим требованием Калифорнийского GDPR является требование указать в политике конфиденциальности исчерпывающий перечень персональной информации, которую собирает компаниея о конкретном виде или о потребителях в целом.

Давая определение понятия персональной информации, Акт указывает, что в ее состав, в том числе, могут входить такие сведения как:

• настоящее имя, псевдоним, почтовый адрес, уникальный персональный идентификатор.
• идентификатор в Интернете, адрес Интернет-протокола, адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта или другие подобные идентификаторы.
• коммерческая информация, включая записи о личном имуществе, продукты или услуги, приобретенные, полученные или рассмотрены, или другие истории покупки или потребления.
• биометрическая информация.
• информация о деятельности в Интернете или иной электронной сети, включая, но не ограничиваясь этим, историю просмотров, историю поиска и информацию о взаимодействии потребителя с сайтом, приложением или рекламой Интернета.
• данные геолокации.
• аудио, электронные, визуальные, тепловые, обонятельные или подобные сведения.
• профессиональная информация или информация, связанная с трудоустройством.
• информация об образовании, которая определяется как информация, которая не является общедоступной, или есть идентифицирующей личная информация.
• выводы, полученные из любой информации, указанной в этом разделе, для создания профиля о потребителе, отражающий его потребительские предпочтения, характеристики, психологические тенденции, склонности, поведение, отношение, интеллект, способности и склонности.

Стоит отметить, что перечень такой информации должен касаться 12-месячного периода, предшествующего составлению или пересмотру политики. Такое требование отличает CCPA от GDPR, где контроллер не ограничен определенным сроком в рамках аналогичного обязательства.

3. Если вы продаете или иным образом раскрываете личную информацию потребителей — они должны об этом знать.

 Из анализа текста положений CCPA можно сделать четкий вывод, что он, в своем подавляющем большинстве, направленный на урегулирование отношений именно о продаже персональных данных. Поэтому очень серьезное внимание в данном Акте уделяют именно этим вопросом.

Так, компания обязана указать в своей политике конфиденциальности исчерпывающий перечень информации потребителей, которую она продает или раскрывает в коммерческих целях. Перечень такой информации, по аналогии с предыдущей требованием, должен касаться 12-месячного периода, предшествующего составлению или пересмотру политики.

Стоит отметить, что Акт предусматривает возможность того, что определенные компании не будут продавать информацию своих потребителей или раскрывать эти данные ради получения выгоды. Таким компания обязательно необходимо отдельными пунктами в политиках приватности указать, что они никоим образом не продают и не раскрывают в коммерческих целях персональную информацию своих потребителей.

4. Какие средства связи требует Калифорнийский GDPR?

Данное требование Калифорнийского GDPR хорошо отражает определенную консервативность правовой системы США в целом. Так, согласно положениям проекта CCPA, компания обязана сделать доступными для потребителей два или более средств связи, включая:

• как минимум, бесплатный телефонный номер;
• а если бизнес поддерживает веб-сайт Интернет — адрес сайта.

Опять же, по сравнению с GDPR, в котором в общих чертах указано, что субъект данных должен иметь возможность получить информацию в сжатой, прозрачной, понятной и легкодоступной форме, Акт о защите приватности потребителей штата Калифорния четко детализирует требования к компаниям и вводит обязательный минимум по тем средствам связи, которые должны быть доступны.

5. CCPA напоминает: не забывайте обновлять Вашу политику!

Еще одним ключевым требованием к политике конфиденциальности, которое устанавливает Калифорнийский GDPR, является обязанность компании обновлять свою политику каждые 12 месяцев.

В политике должна быть указана дата последнего обновления, а также рекомендуется указать, что компания обновляет данную политику не реже одного раза в 12 месяцев. Таким механизм направлен на постоянное поддержание актуальности политики компании и постоянное поддержание ее compliance-тонуса.

Вывод.

В отличие от GDPR, который устанавливает требования по сбору и обработке персональных данных, не устанавливая конкретных требований относительно политики конфиденциальности, Калифорнийский GDPR уделил отдельное роль именно содержанию такой политики.

Стоит отметить, что в соответствии с требованиями CCPA, значительный массив информации не является обязательным к внесению в политику конфиденциальности (например, процедура реализации права потребителя на удаление информации о нем или права потребителя запретить продажу информации о нем, порядок верификации запроса потребителей и т.п.) .

Такой подход может быть объяснен желанием оптимизировать содержание политики конфиденциальности и сделать ее как можно четкой, простой и понятной для потребителей. Таким образом, указание только вышеупомянутых категорий информации в политике конфиденциальности будет достаточным для того, чтобы такая политика соответствовала требованиям Акта о защите приватности потребителей штата Калифорния.

В то же время, компании могут не ограничиваться вышеуказанным перечнем и дополнительно указывать в политиках другую информацию, которую они считают целесообразной (например, порядок обращения потребителя с запросом/требованием к компании и процедура рассмотрения такого запроса/требования, порядок верификации запроса потребителей и т.п.).