Как американский GDPR повлияет на украинский IT-бизнес — колонка Олега Дерлюка, Stron

4611

В январе 2019 года в Калифорнии приняли «американский GDPR» — собственный закон о защите персональных данных. Олег Дерлюк, управляющий партнер юридической компании Stron, и юрист Катерина Струкова, написали для AIN.UA колонку о сути инициативы и ее потенциальном влиянии на IT-бизнес.

Олег Дерлюк

Что произошло

С 1 января 2020 года вступает в силу Калифорнийский Закон о защите прав потребителей от 2018 года (The California Consumer Privacy Act of 2018 — ССРА).

Этот закон – один из самых масштабных законодательных актов, принятых в США, который регулирует порядок обработки персональных данных пользователей, а также внедряет строгие меры защиты конфиденциальности.

Катерина Струкова

Кого это коснется

ССРА распространяется по территориальному принципу — т.е. вне зависимости от фактического места нахождения. 

Поэтому IT-бизнесу, в том числе и украинским компаниям, следует внимательно отнестись к нему, если их услуги ориентированы на калифорнийский рынок и получают минимум $25 млн годового дохода. Здесь есть нюанс: если доход компании меньше, но она хранит персональные данные более 50 000 человек, ее деятельность подпадает под действия ССРА. 

В чем суть

У каждого интернет-пользователя в Калифорнии появляется право запросить у компании информацию, которую она о нём собрала, и список третьих лиц, которым эта информация стала известна. 

На основании этого же Закона пользователь сможет подать иск в суд на компанию, которая неправомерно воспользовалась его персональными данными или не выполнила какой-либо из его запросов в разумный срок. 

Закон требует от бизнеса уведомлять пользователей  об их правах в соответствии с ССРА (например, право отказаться от продажи личной информации), а также список категорий личной информации, собранной о пользователях за предыдущие 12 месяцев, кому эти данные были проданы и раскрыты.

ССРА обязывает компании предоставить на сайте четкую и заметную ссылку с надписью «Не продавать мои личные данные» и предоставить пользователям механизм отказа от передачи их личных данных. 

За несоблюдение правил и несвоевременное исправление любых нарушений на компанию-нарушителя может быть наложен штраф. Размер штрафа варьируется от $100 до $750 каждому пострадавшему. Однако Закон не обязывает компании раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующего запроса.

Почему Калифорния

Имея ряд крупных технологических гигантов, базирующихся именно в Калифорнии, в том числе Google и Facebook (оба из которых недавно пострадали от утечки данных своих пользователей), ССРА поможет обратить большее внимание на проблему кибер-безопасности данных своих пользователей. 

Стоит ли другим штатам подготовится

Многие эксперты прогнозируют, что в ближайшие годы другие штаты последуют примеру Калифорнии.IT-компании, которые сегодня активной займутся безопасностью данных, будут лучше подготовлены к переменам. 

Как это затронет Украину

Украинскому IT-бизнесу, обрабатывающему персональные данные калифорнийских пользователей, следует обратить внимание, что соответствие отечественному законодательству не обеспечивает соответствие CCPA, а также не освобождает от ответственности и избежание штрафов в случае нарушения.

Все компании, ведущие бизнес в Калифорнии, должны принять и скорректировать свои текущие политики в соответствии со стандартами штата, чтобы избежать нарушений Закона.

Как соответствовать?

Для IT-бизнеса данные изменения будут касаться, в первую очередь, пересмотра своих внутренних политик в отношении сбора и защиты персональных данных.

Для этого необходимо уже сейчас адаптировать процессы, IT-системы защиты, контроля и соблюдение протокола обработки персональных данных.

Потребуется внедрить:

  • организованный сбор данных, который позволит пользователям запрашивать конкретную информацию, собранную о них; 
  • право на удаление какой-либо информации с серверов компании и серверов третьих лиц; 
  • право отказаться от передачи своих данных третьим лицам, а также право получения цели сбора персональных данных. Компании должны быстро искать, компилировать и отправлять эти отчеты пользователям;
  • понятные и прозрачные политики конфиденциальности и положения об обработке персональных данных для пользователей, где будет указываться отчет о типах собираемых данных, источниках данных, методах сбора и использовании данных
  • необходимо разместить четкую и заметную ссылку с надписью «Не продавать мои личные данные» и предоставить пользователям механизм отказа от продажи их личных данных;
  • нанять квалифицированных сотрудников с необходимым объёмом знаний касательно личных данными пользователей, знающие и выполняющие правила CCPA;

Несмотря на то, что CCPA вступает в силу в 2020 году, бизнес должен быть готов предоставить пользователям данные, собранные о них за последние 12 месяцев. Соответственно, на реализацию данного правила у компаний осталось всего 4 месяца.

Без сомнения, CCPA ужесточит правила игры для IT бизнеса в отношении обработки персональных данных. Нововведения вызовут дополнительные финансовые затраты как на компетентных сотрудников и юристов, так и на управленческие ресурсы. Кроме того, могут последовать новые иски со стороны пользователей.

Авторы: Олег Дерлюк, управляющий партнер юридической компании Stron и Катерина Струкова, юрист Stron

Оставить комментарий

Комментарии | 0

Поиск