Захист даних у Канаді та США: чого чекати у 2023. CCPA, CRPA, PIPEDA та BILL 27-C
Якщо ви плануєте розширювати свій бізнес на США або Канаду, то вам необхідно перевірити, чи відповідає ваша діяльність вимогам захисту приватності на північноамериканському ринку, який сьогодні зазнає значних змін. California Consumer Protection Act (CCPA), California Privacy Rights Act (CPRA), Personal Information Protection and Electronic Documents Act (PIPEDA) та інші закони можуть суттєво впливати на ваш бізнес.
California Consumer Protection Act (CCPA)
California Consumer Protection Act – це закону штату Каліфорнія, що регулює обробку персональної інформації споживачів, тобто фізичних осіб-резидентів штату Каліфорнія. Під захистом CCPA знаходиться будь-яка персональна інформація, що дозволяє встановити певну конкретну особу чи домогосподарство. Виключеннями є агреговані, деідентифіковані або публічно доступні дані.
CCPA може застосовуватися до організацій (бізнесів), у тому числі тих, що розташовані у інших штатах США або інших країнах, які здійснюють комерційну бізнес діяльність у штаті Каліфорнія та відповідають хоча б одній із трьох умов:
- мають річний прибуток (gross revenues) не менше 25 мільйонів доларів США;
- купують, одержують для ділових комерційних цілей, продають або розповсюджують персональну інформацію не менш як 50 тисяч резидентів штату Каліфорнія, їх домогосподарств або девайсів;
- отримують не менш як 50% прибутку від продажу персональної інформації резидентів штату Каліфорнія.
CCPA встановлює права споживачів (у тому числі знати, які категорії даних і дані зібрані, а також вимагати видалення таких даних), права та обов’язки бізнесів (зокрема щодо публікації політики приватності та створення посилань “не продавайте мої дані”), порядок накладення санкцій та заходи захисту порушеного права, що включають у себе групові позови й позови attorney general.
Усім бізнесам, що виходять на американський ринок, важливо знати і розуміти вимоги CCPA, оскільки він є складним для розуміння та комплаєнсу. Особливі проблеми становить його взаємодія і колізія з більш ніж 30 законами про захист даних, які вже прийняті у США, а також широкі можливості для екстериторіального застосування CCPA, пов’язані із тим, що суди можуть застосовувати різні критерії для визначення, чи підлягають компанії дії права штату Каліфорнія (“doing business”, “на території”, джерело доходів у фінансовому критерії тощо).
California Privacy Rights Act (CPRA)
California Privacy Rights Act – це закон, що суттєво змінює та розширює CCPA; інколи його також називають CCPA 2.0. CPRA був схвалений у листопаді 2020 року та вступає у силу з 01 січня 2023 року.
У цілому, CPRA запроваджує ряд нових прав споживачів, обов’язків бізнесів, встановлює декілька нових визначень, а також передбачає створення нового регулятора.
Нові права споживачів включають у себе права:
- вимагати зміни неточних даних;
- обмежити використання і розкриття чутливої інформації;
- щодо профілювання і автоматизованих алгоритмів прийняття рішень;
- подання особистого позову у випадку витоку електронної пошти, пароля, security questions&answers (від 100 до 750 доларів за інцидент або actual damages).
У свою чергу нові обов’язки бізнесів включають у себе необхідність здійснювати аудити інформаційної безпеки, privacy impact assessments, запроваджують виконання принципів пропорційності і мінімізації даних, встановлюють особливості розподілу ролей процесора і субпроцесора тощо.
Роль нового регулятора за CPRA, замість attorney general, відіграватиме Consumer Privacy Protection Agency (CPPA), що:
- має створювати пояснення і рекомендації щодо застосування CPRA;
- має виступати органом, що реалізовує CPRA;
- має сприяти поширенню знань і підготовки для роботи з даними, видавати нові акти і тлумачення, наглядати за виконанням закону і сертифікувати (коли з’являються сертифікаційні схеми);
- може призначати Chief Privacy Auditors для аудиту бізнесів на комплаєнс;
- буде керуватися комітетом з 5 осіб, по одному з яких призначають Attorney General, Senate Rules Committee, Speaker of the Assembly; дві інші позиції, голову комітету і одного учасника, має визначати губернатор штату.
Федеральне законодавство. CAN-SPAM Act, COPPA, ECPA, FERPA, HIPAA, FCRA, DPPA, VPPA
На рівні США немає окремого закону, що регулював би питання приватності та захисту персональної інформації. Замість цього на федеральному рівні існує ряд актів, які встановлюють положення щодо конфіденційності для окремих видів суб’єктів або сфер економіки (CAN-SPAM Act, COPPA, ECPA, FERPA, HIPAA, FCRA, DPPA, VPPA тощо).
Разом із тим, для створення єдиного федерального законодавства у червні 2022 року до конгресу Сполучених Штатів Америки був поданий законопроект про конфіденційність і захист даних (American Data Privacy and Protection Act).
American Data Privacy and Protection Act, у цілому, має на меті забезпечення споживачів основними правами, пов’язаних із конфіденційністю персональних даних, та створення необхідних механізмів контролю за їх дотриманням.
У разі прийняття American Data Privacy and Protection Act на федеральному рівні у США буде встановлено:
- вимогу для організацій на обмеження збору, обробки та передачі персональної інформації у тому розмірі, що є розумно необхідним для надання товару чи послуги;
- загальну заборону для організацій на передачу персональної інформації фізичних осіб без їх чіткої згоди;
- загальне право на доступ до інформації, виправлення та видалення персональної інформації;
- додатковий захист персональної інформації осіб віком до 17 років.
Закони штатів Вірджинії, Колорадо, Коннектикуту, Юти. VCDPA, CPA, CDPA, UCPA
Окрім штату Каліфорнія, закони про захист персональної інформації вже також були прийняті у чотирьох інших штатах США:
- Virginia Consumer Data Protection Act (прийнятий у 2021 році; положення вступають в силу 1 січня 2023 року);
- Colorado Privacy Act (прийнятий у 2021 році; положення вступають в силу 1 липня 2023 року);
- Connecticut Data Privacy Act (прийнятий у 2022 році; положення вступають в силу 1 липня 2023 року);
- Utah Consumer Privacy Act (прийнятий у 2022 році; положення вступають в силу 31 грудня 2023 року).
У цілому, закони штатів є схожими між собою. Вони передбачають ряд аналогічних прав споживачів, але відрізняються критеріями для їх застосування та можливими санкціями.
До основних прав за VCDPA, CPA, CDPA, UCPA належать:
- право на інформацію та доступ до персональних даних;
- право на видалення персональних даних;
- право на виправлення неточних персональних даних;
- право на мобільність (портативність) даних;
- право відмовитися від обробки персональних даних для цільового маркетингу;
- право відмовитися від продажу персональних даних;
- право відмовитися від здійснення профілювання на основі персональних даних;
- право не бути дискримінованим за реалізацію свого права.
Критерії для застосування VCDPA, CPA, CDPA, UCPA, як правило, є аналогічними. Під їх дію підпадають бізнеси (організації), що здійснюють діяльність у певному штаті, а також:
- обробляють персональну інформацію певної кількості резидентів штату (наприклад, 100 тисяч); або
- отримують дохід від продажу персональної інформації, якщо обробляють персональну інформації певної кількості (наприклад, 25 тисяч) резидентів відповідного штату.
Розмір санкцій за порушення відрізняється від штату до штату і може досягати штрафу у розмірі до 20 тисяч доларів США.
Канада: реформа PIPEDA. Bill 27-C
Реформа PIPEDA у Канаді є довгоочікуваною, і зміни до Personal Information Protection and Electronic Documents Act пропонувалися неодноразово. В основному вони пов’язані із Bill 27-C – комплексним законопроектом, представленим в Палаті громад у червні 2022 року, що включає у себе:
- Закон про захист конфіденційності споживачів (Consumer Privacy Protection Act або CPPA);
- Закон про трибунал із захисту персональної інформації та даних (Personal Information and Data Protection Tribunal Act або Tribunal Act);
- Закон про штучний інтелект та дані (Artificial Intelligence and Data Act або AI Act).
Bill 27-C визнає недійсним частину 1 Закону про захист персональної інформації та електронних документів (Personal Information Protection and Electronic Documents Act або PIPEDA) та змінює його назву на Закон про електронні документи (Electronic Documents Act). Станом на жовтень 2022 року Bill 27-C все ще знаходиться на другому читанні в Палаті громад. Після підтримки Палатою громад законопроект також має бути підтриманий Сенатом.
У цілому, CPPA:
- встановлює, що дійсна згода («valid consent») залишається підставою для обробки персональної інформації, однак розширює її визначення;
- передбачає два нові винятки для отримання згоди на обробку персональної інформації (підприємницька діяльність організації та розкриття інформації для суспільно корисних цілей);
- встановлює нове право на видалення персональної інформації;
- передбачає private right of action;
- передбачає право на data portability, відповідно до якого одна організація, на запит особи, має розкрити персональну інформацію про неї іншій визначеній організації;
- прямо визначає, що персональна інформація про неповнолітніх («minors») є чутливою інформацією;
- надає Уповноваженому з питань конфіденційності додаткові повноваження, включаючи можливість ухвалювати рішення, видавати накази та рекомендувати новому адміністративному трибуналу накладати стягнення («penalty»), максимальний розмір якого складає 10 000 000 канадських доларів або 3% валового глобального прибутку організації (за окремі порушення положень CPPA);
- передбачає максимальний штраф («fine»), що не перевищує 25 000 000 канадських доларів або 5% від валового глобального доходу організації у разі засудження за порушення певних конкретних положень CPPA або у випадку перешкоджання діяльності Уповноваженого з питань конфіденційності.
У свою чергу, Tribunal Act запроваджує діяльність Трибуналу із захисту персональної інформації та даних, визначає принципи та особливості його діяльності, а AI Act – ряд вимог до проектування, розробки та використання систем штучного інтелекту.
Законодавство США та Канади у сфері приватності може бути складним для розуміння. Необхідність дотримання вимог ряду законодавчих актів одночасно, наявність проектів, що суттєво змінюють вже існуючі положення, та екстериторіальна дія законів тільки ускладнюють комплаєнс для бізнесу. Разом із тим, демонструвати відповідність та дотримуватися прав суб’єктів критично важливо для уникнення штрафів та позовів від суб’єктів даних, чиї права були порушені.