В США рассматривают федеральный закон о защите персональных данных — что известно

2817

Дмитрий Корчинский, специалист по защите персональных данных в юридической компании AVITAR, написал для AIN.UA колонку о том, как в США будет урегулирован вопрос защиты персональных данных и рассказывает, причем здесь Калифорния.

Дмитрий Корчинский

В начале 2020 года в силу вступил ССРА (California Consumer Privacy Act) – Калифорнийский акт о защите персональных данных. 

В США есть такая негласная традиция: когда Калифорния принимает какой-то закон, многие другие штаты следуют ее примеру. Например, уже сейчас идет работа над актом о защите персональных данных в штате Вашингтон. 

Однако, вероятность иметь 50 штатов и, как минимум, 50 законов в сфере защиты персональных данных не привлекает даже самих американцев. Этот факт подтверждается открытым письмом, которое в сентябре 2019 года написали главы самых больших tech компаний. В этом письме они призывают Конгресс США принять федеральный закон о защите персональных данных. 

Как результат, после вступления в силу ССРА, американский законодатель начал активно разрабатывать федеральный акт. 

Итак, на сегодняшний день самые вероятные претенденты на звание федерального закона это:

У двух актов есть много схожих требований, например: 

  • Явное согласие на обработку чувствительных данных.
  • Обязательное наличие понятных и читаемых политик конфиденциальности.
  • Внедрение разумных практик по защите данных.
  • Проведение оценки рисков.
  • Назначение аналога DPO (Data Protection Officer).
  • Реализация прав пользователей. 

Кстати, акты во многом копируют права из ССРА.

Кроме этого, оба акта копируют из ССРА порог применимости акта к бизнесу. Так, ССРА применим, если удовлетворён хотя бы один из критериев:

  • годовой доход более 25 миллионов долларов;
  • 50 тысяч пользователей (в случае CORPA и CDPA — 100 тысяч);
  • 50% дохода получается от продажи персональных данных (продажа – любое раскрытие данных с целью получения коммерческой выгоды).

Однако, в актах есть и принципиальные отличия, из-за которых идут диспуты, например:

  • подавление локальных актов о защите персональных данных. COPRA будет подавлять действие локального акта только в случае прямой коллизии. Если акт штата будет предлагать больше защитных мер по защите ПД, то это коллизией считаться не будет. CDPA же будет подавлять любой локальный акт, связанный с защитой персональных данных.
  • право частного лица на иск. COPRA предусматривает, CDPA – нет.

Сейчас оба акта находятся на рассмотрении, и нет ясности, какой из них примут. Более того, есть вероятность, что пройдёт совсем другой акт, текст которого еще не опубликовали, а, может, и не написали. 

Кроме этого, в США, недавно поступило предложение забрать у FTC (Federal Trade Commission) полномочия регулятора в сфере персональных данных и передать их Data Protection Agency. Однако, это новое Агентство нужно сперва создать. Для этого уже написали соответствующий проект, который называется Data Protection Act 2020

Сенатор, подавший этот акт, выделяет три основные задачи Агентства:

  1. Дать потребителям (субъекты данных на американский манер) «контроль и защиту» их данных.
  2. Поддерживать индустрию технологий путем обеспечения честной конкуренции на цифровом рынке.
  3. Помогать федеральному правительству с вызовами цифровой эпохи. 

В целом, можно смело сказать, что в США происходит переосмысление ценности персональных данных. Это, в свою очередь, отражается на законодательстве и, как результат, на компаниях, которые обрабатывают персональные данные. 

Потому, всем участникам американского рынка уже стоит начать задумываться о том, как подготовить бизнес к новому законодательству. 

Автор: Дмитрий Корчинский, специалист по защите персональных данных в AVITAR. 

Оставить комментарий

Комментарии | 0

Поиск