В Америке приняли акт о защите персональных данных (CCPA). Его отличие от GDPR

Что такое CCPA и кто попадает по его действие

California Consumer Privacy Act, или акт CCPA, вступит в силу с 1 января 2020 года.

Акт CCPA позволяет каждому калифорнийскому пользователю интернет-платформ потребовать у компаний предоставить его персональные данные, которые у них имеются, и список лиц, у которых к ним есть доступ.Теперь интернет-пользователи смогут подавать в суд на такие компании, которые неправильно обрабатывают их персональные данные или не ответили на их запросы в определенные сроки.

Под действие ССРА попадают компании, которые обрабатывают персональные данные резидентов Калифорнии (резиденты могут находиться как на территории штата, так и за его пределами) и получают минимум 25 млн долларов годового дохода.

Также есть исключение: если доход компании меньше, чем 25 млн долларов, но она хранит персональные данные более 50 тысяч человек, её деятельность попадает под действие ССРА.
Новый закон регулирует деятельность фирм, получающих более половины прибыли (неважно, какого размера) от продажи персональных данных. Месторасположение организации роли не играет: не важно, находится она в Калифорнии или за пределами штата.
 

Что считается персональными данными

Персональным данными считаются любые идентификаторы, биометрия, геолокация, история активности в интернете и информация о трудоустройстве или образовании. Туда попадают любые данные, по которым можно идентифицировать человека, как и в европейском GDPR.
 

Права пользователей в соответствии с CCPA

По закону пользователь получает «традиционный» набор прав:

  • Право доступа. Пользователь может отправить запрос и получить всю информацию, которую собрала о нем компания;
  • Право на забвение. Пользователь может потребовать удаления информации о себе с серверов компании и серверов третьих лиц;
  • Право знать конечную цель. По запросу компания должна раскрыть цели сбора персональных данных и их источники;
  • Право на отказ. Пользователи могут отказаться от передачи своих данных третьим лицам.
     

Чем CCPA отличается от GDPR?

Существует очень важное отличие от GDPR — согласно европейской директиве, компании необходимо получить согласие пользователя на обработку данных. По закону Калифорнии организация должна лишь обрабатывать запросы, поступающие от пользователей.

Если данные пользователя были потеряны или украдены, компания должна будет заплатить от 100 до 750 долларов каждому пострадавшему.
 
Если пользователь направил компании жалобу о нарушении, связанном с его персональными данными, то компания обязана разрешить проблему в течение месяца. В противном случае её ждёт штраф. Сейчас он составляет 7,5 тыс. долларов, что тоже сильно отличается от требований GDPR.
Однако по ССРА компании не обязаны раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующего запроса.
 

Покупка информации

Создается не только интересный технологический прецедент, но и культурный: де-факто CCPA формирует новые правила игры, по которым компании могут покупать у пользователей информацию, которую они раньше получали бесплатно.
 

Первому игроку приготовиться

Формально закон вступает в силу 1 января 2020 года. Но как только он начнёт свое действие, компания должна будет сразу предоставить пользователям данные, собранные о них за последние 12 месяцев. Соответственно, дедлайн для реализации всех необходимых для этого технологических решений наступает на год раньше — то есть всего через четыре месяца.

ССРА — это первый шаг к абсолютно новому пониманию безопасности информации в Америке и модификации большинства практик, которые долгие годы считались базовыми и неизменными. Скорее всего, на такую мысль законодателей натолкнул GDPR и «страшные» последствия для его нарушителей. 

Получить консультацию   Назад

Получить консультацию