С 1 января в Калифорнии начал действовать California Consumer Privacy Act (CCPA) — закон о персональных данных, который ранее прозвали «американским GDPR».
Он ужесточает обращение с личной информацией по таким направлениям:
- Компании должны четко раскрывать, какую информацию они собирают, для каких целей и кто получает к ней доступ.
- Компании обязаны отвечать и реагировать на официальные запросы от клиентов по удалению данных.
- Клиенты имеют право отказаться от сбора персональных данных, это не должно сказываться на цене услуг или товаров. Но компании могут предлагать «финансовые поощрения» за право собирать личные данные.
- Калифорнийские власти имеют право накладывать штрафы на нарушителей.
Формально, с 1 января начался шестимесячный «тестовый период» — закон уже действует, но реальных штрафов за нарушения пока не будет.
Компании могут подготовиться к полноценной его имплементации. Критерии для бизнеса широкие: CCPA заденет фирмы, зарегистрированные в Калифорнии и предоставляющие там сервис, бизнесы с выручкой выше $25 млн и так далее.
На практике, как пишет The New York Times и TechCrunch, процесс растянется на годы.
Закон написан в обтекаемых формулировках, которые нужно переложить на язык строгого регулирования. Интернет-компании публично критиковали CCPA — они настаивали, что регулирование нужно, но не в такой форме. В ответ на запросы журналистов, большинство фирм так и не смогли ответить, чем конкретно обернется внедрение закона — все зависит от интерпретации конкретными юристами.
Полные правила соответствия закону опубликуют в середине 2020 года. Как замечает TechCrunch, пример GDPR показывает, что такое регулирование воплотить вполне реалистично. Но если ваша компания еще не занялась подготовкой — самое время начать.
О том, как CCPA может повлиять на украинский бизнес, AIN.UA рассказывал ранее.