Якщо ви думаєте, що 2018 рік пройшов під символом жовтого земляного собаки, то ви помиляєтеся. Цим символом були чотири букви G — D — P — R серед європейського сузір’я. Зображення із цим символом заполонили увесь інтернет і стали ще популярнішими, ніж Феміда із зав’язаними очима серед юристів. США мали щось зробити у відповідь на GDPR, бо що люди скажуть. Цей процес прискорили скандали із Cambridge Analytica та Equifax.

Що сталося

У червні минулого року світ побачив California Consumer Privacy Act (Закон про приватність споживачів штату Каліфорнія або CCPA). А наприкінці 2018 сенатор Річард Блументаль пообіцяв, що проект нового федерального закону про захист даних буде завершено вже на початку 2019 року.

Як було

Захист персональних даних в США сьогодні мов розмаїтий гуцульський ліжник із заплутаними візерунками. Ним можна вкритися з головою і думати, що ти в безпеці, та чи може він врятувати тебе від снігової лавини на схилі Ґорґан? У США панує так званий секторальний підхід в регулюванні — тобто існують окремі закони щодо, наприклад, обробки медичних даних чи фінансової інформації.

А ще існує безліч законів та регулювань на рівні окремих штатів, купа рекомендацій різних органів та індустріальних груп. Усі вони працюють одночасно, застосовуються урізнобіч і спокійно можуть суперечити одне одному. Так, цей гуцульський ліжник ткали не надто дбайливо, і деякі нитки нахабно випинають.

Що прийняли в Каліфорнії

Першим штатом, який спробував упорядкувати цей хаос, стала Каліфорнія. Політ думки законодавців Каліфорнії був не таким широким, як у творців GDPR. Їхньої творчості вистачило лиш на якихось там 15 сторінок. Що це у порівнянні із сотнею сторінок GDPR?

За аналогією до GDPR, California Consumer Privacy Act дає фізичним особам право керувати своїми даними. Новий закон надає каліфорнійцям право на:

  • Доступ до своїх персональних даних та на їхнє видалення. 
  • Отримання інформації про те, які саме дані обробляються, з яких джерел їх отримано, які цілі обробки, кому дані передаються, а також кому вони були продані. 
  • Заборону на продаж власних даних. 

Так само, як і GDPR, California Consumer Privacy Act забороняє будь-яким чином дискримінувати осіб, що скористалися своїми правами. Наприклад, не можна відмовити такому споживачеві у товарах чи послугах. Але американці не є такими пуританами, як аристократи старої Європи.

Каліфорнійський закон прямо дозволяє бізнесу встановити для тих, хто бажає скористатися їхніми правами, іншу ціну за товари чи послуги, або ж надавати їм послуги чи товари іншої якості, якщо така різниця обґрунтовано спричинена цінністю користувацьких даних. Також бізнес може запропонувати споживачам фінансові стимули, у тому числі різного роду компенсації за збір персональних даних, їхній продаж, чи видалення.

Запит за CCPA

Споживач має право отримати інформацію про обробку, а компанія зобов’язана відповісти на такий запит особи протягом 45 днів. Запит є безкоштовним, але користувач повинен пройти верифікацію. Зокрема верифікованим запитом вважається такий, що зроблений через захищений паролем акаунт.

Механізм верифікації для осіб, що не мають акаунта, повинен бути розроблений протягом року від прийняття закону. Відповідальність за розробку цього механізму, а також інших регулювань, що деталізуватимуть положення закону, лежить на Генеральному прокуророві. У такий спосіб каліфорнійці уникнули надмірної складності закону, а також дозволили громадськості взяти участь в обговоренні регулювань, що прийматимуться.

Бізнесоорієнтованість California Consumer Privacy Act додатково ілюструє право бізнесу стягнути збір за надання інформації, якщо запити споживача є явно необґрунтованими або надмірними, зокрема через їхню повторюваність. Максимальний штраф за GDPR  — 20 млн євро або 4% від річного обороту. California Consumer Privacy Act за кожне умисне порушення карає на $7500.

CCPA — не GDPR

Каліфорнійський закон не визначає жодних принципів обробки інформації. Ніяких вам законності, прозорості, точності даних, обмеження обробки її метою чи мінімізації даних. Закон лише визначає певні заборонені дії. Не йдеться у CCPA і про законну підставу для обробки.

Сфера застосування у CCPA теж зовсім інша. Цей акт застосовується лише до компаній, що працюють у Каліфорнії і відповідають одному із наступних критеріїв. Він стосується компаній, що за рік отримують більше, ніж $25 млн прибутку, обробляють дані більше, ніж 50 000 споживачів, або отримують 50% і більше відсотків своїх прибутків від продажу персональних даних.

Попри красиву мету, California Consumer Privacy Act — це новий дамоклів меч над захистом персональних даних у США. Джоел Каплан, віце-президент Facebook з громадської політики, вже говорив, що якщо вірус California Consumer Privacy Act перекинеться на інші штати, то законодавство США у цій сфері не перестане бути клаптиковою ковдрою, а необхідність дотримуватися цілого пакету різних правил водночас — це ще гірше, ніж GDPR.

Автор: Катерина Наливайко, юрист Axon Partners