В январе 2019 года в Калифорнии приняли «американский GDPR» — собственный закон о защите персональных данных. Олег Дерлюк, управляющий партнер юридической компании Stron, и юрист Катерина Струкова, написали для AIN.UA колонку о сути инициативы и ее потенциальном влиянии на IT-бизнес.
Что произошло
С 1 января 2020 года вступает в силу Калифорнийский Закон о защите прав потребителей от 2018 года (The California Consumer Privacy Act of 2018 — ССРА).
Этот закон – один из самых масштабных законодательных актов, принятых в США, который регулирует порядок обработки персональных данных пользователей, а также внедряет строгие меры защиты конфиденциальности.
Кого это коснется
ССРА распространяется по территориальному принципу — т.е. вне зависимости от фактического места нахождения.
Поэтому IT-бизнесу, в том числе и украинским компаниям, следует внимательно отнестись к нему, если их услуги ориентированы на калифорнийский рынок и получают минимум $25 млн годового дохода. Здесь есть нюанс: если доход компании меньше, но она хранит персональные данные более 50 000 человек, ее деятельность подпадает под действия ССРА.
В чем суть
У каждого интернет-пользователя в Калифорнии появляется право запросить у компании информацию, которую она о нём собрала, и список третьих лиц, которым эта информация стала известна.
На основании этого же Закона пользователь сможет подать иск в суд на компанию, которая неправомерно воспользовалась его персональными данными или не выполнила какой-либо из его запросов в разумный срок.
Закон требует от бизнеса уведомлять пользователей об их правах в соответствии с ССРА (например, право отказаться от продажи личной информации), а также список категорий личной информации, собранной о пользователях за предыдущие 12 месяцев, кому эти данные были проданы и раскрыты.
ССРА обязывает компании предоставить на сайте четкую и заметную ссылку с надписью «Не продавать мои личные данные» и предоставить пользователям механизм отказа от передачи их личных данных.
За несоблюдение правил и несвоевременное исправление любых нарушений на компанию-нарушителя может быть наложен штраф. Размер штрафа варьируется от $100 до $750 каждому пострадавшему. Однако Закон не обязывает компании раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующего запроса.
Почему Калифорния
Имея ряд крупных технологических гигантов, базирующихся именно в Калифорнии, в том числе Google и Facebook (оба из которых недавно пострадали от утечки данных своих пользователей), ССРА поможет обратить большее внимание на проблему кибер-безопасности данных своих пользователей.
Стоит ли другим штатам подготовится
Многие эксперты прогнозируют, что в ближайшие годы другие штаты последуют примеру Калифорнии.IT-компании, которые сегодня активной займутся безопасностью данных, будут лучше подготовлены к переменам.
Как это затронет Украину
Украинскому IT-бизнесу, обрабатывающему персональные данные калифорнийских пользователей, следует обратить внимание, что соответствие отечественному законодательству не обеспечивает соответствие CCPA, а также не освобождает от ответственности и избежание штрафов в случае нарушения.
Все компании, ведущие бизнес в Калифорнии, должны принять и скорректировать свои текущие политики в соответствии со стандартами штата, чтобы избежать нарушений Закона.
Как соответствовать?
Для IT-бизнеса данные изменения будут касаться, в первую очередь, пересмотра своих внутренних политик в отношении сбора и защиты персональных данных.
Для этого необходимо уже сейчас адаптировать процессы, IT-системы защиты, контроля и соблюдение протокола обработки персональных данных.
Потребуется внедрить:
- организованный сбор данных, который позволит пользователям запрашивать конкретную информацию, собранную о них;
- право на удаление какой-либо информации с серверов компании и серверов третьих лиц;
- право отказаться от передачи своих данных третьим лицам, а также право получения цели сбора персональных данных. Компании должны быстро искать, компилировать и отправлять эти отчеты пользователям;
- понятные и прозрачные политики конфиденциальности и положения об обработке персональных данных для пользователей, где будет указываться отчет о типах собираемых данных, источниках данных, методах сбора и использовании данных
- необходимо разместить четкую и заметную ссылку с надписью «Не продавать мои личные данные» и предоставить пользователям механизм отказа от продажи их личных данных;
- нанять квалифицированных сотрудников с необходимым объёмом знаний касательно личных данными пользователей, знающие и выполняющие правила CCPA;
Несмотря на то, что CCPA вступает в силу в 2020 году, бизнес должен быть готов предоставить пользователям данные, собранные о них за последние 12 месяцев. Соответственно, на реализацию данного правила у компаний осталось всего 4 месяца.
Без сомнения, CCPA ужесточит правила игры для IT бизнеса в отношении обработки персональных данных. Нововведения вызовут дополнительные финансовые затраты как на компетентных сотрудников и юристов, так и на управленческие ресурсы. Кроме того, могут последовать новые иски со стороны пользователей.
Авторы: Олег Дерлюк, управляющий партнер юридической компании Stron и Катерина Струкова, юрист Stron