Закон Каліфорнії про захист конфіденційності споживачів (CCPA)

Дані стали одним із головних активів сучасної цифрової економіки. Компанії щодня збирають, аналізують, продають та комерціалізують особисту інформацію — найчастіше без відома споживача про те, наскільки активно використовується його цифровий слід. У відповідь на ці побоювання Каліфорнія ухвалила один із найвпливовіших законів про конфіденційність: Закон Каліфорнії про захист конфіденційності споживачів.

Закон Каліфорнії про захист конфіденційності споживачів, зазвичай відомий як CCPA, поставив новий курс для компаній у обробці персональних даних та надав людям безпрецедентні права щодо своєї інформації. CCPA продовжує залишатися одним із ключових елементів регулювання конфіденційності в США, володіючи стійкістю, яка, ймовірно, не була передбачена при його початковому прийнятті кілька років тому, та високим рівнем, який встановив стандарт прогресу в інших штатах.

У цій статті буде пояснено, що таке CCPA, до кого він ставиться, як він співвідноситься з GDPR і чому дотримання CCPA тепер є корпоративною необхідністю, а не другорядним юридичним питанням.

Що таке Закон Каліфорнії щодо захисту конфіденційності споживачів?

Отже, що таке Закон Каліфорнії про захист конфіденційності споживачів простими словами? Це всеосяжний закон про захист конфіденційності, який надає жителям Каліфорнії право знати, контролювати та обмежувати способи, якими компанії керують та використовують їхню особисту інформацію.

Закон Каліфорнії про захист конфіденційності споживачів (CCPA) набрав чинності 1 січня 2020 року. Його суть гранично ясна: споживачам необхідно повідомляти, які персональні дані збираються, навіщо вони збираються і передаватимуться чи продаватимуться третім особам.

На відміну від попередніх законів США про захист конфіденційності, Закон Каліфорнії про захист конфіденційності споживачів має набагато проактивніший, ніж реактивний характер. Компанії не повинні і не можуть чекати на скарги; їм необхідно наперед розробити механізми забезпечення відповідності.

В основі Закону Каліфорнії про захист конфіденційності споживачів лежить відношення до персональних даних як власності клієнта, а не компанії.

Чому Закон Каліфорнії про захист конфіденційності споживачів є важливим для підприємств?

CCPA стосується не лише компаній, які мають фізичні представництва у Каліфорнії; він застосовується до будь-якої організації, яка веде бізнес з громадянами Каліфорнії. Саме тут CCPA стає актуальним для: SaaS-платформ, інтернет-магазинів, мобільних додатків, рекламних та аналітичних компаній, фінансових та фінтех-компаній. Ігнорування CCPA неприпустиме. Штрафи з боку регулюючих органів, позови споживачів та збитки репутації можуть бути катастрофічними. У міру посилення контролю дотримання CCPA тепер розглядається як основна операційна вимога, аналогічна стандартам кібербезпеки або бухгалтерського обліку.

Виникли запитання?

Заповніть форму, і наш юрист зв'яжеться з вами, щоб обговорити деталі та запропонувати вам найкраще рішення для ваших потреб

Надіслати запит

Кого розповсюджується дія CCPA?

Не всі корпорації автоматично підпадають під дію закону, але CCPA застосовується, якщо компанія відповідає хоча б одному з таких критеріїв:

• Корпорація повинна мати річний валовий прибуток, що перевищує двадцять п’ять мільйонів доларів.
• Вона купує, продає чи передає особисту інформацію клієнтів чи домогосподарств про як мінімум 100 000 осіб.
• Отримує 50% або більше свого річного прибутку від маркетингу особистої інформації.
• Якщо виконується хоча б одна з цих умов, компанія зобов’язана дотримуватись Закону про захист конфіденційності споживачів Каліфорнії, незалежно від місця її реєстрації.

Більшість стартапів заявляють, що вони дуже маленькі, доки не досягнуть масштабування. З цієї причини більшість компаній воліють на початковому етапі звернутися за консультацією до юриста з питань конфіденційності в Каліфорнії, щоб уникнути подальшої реструктуризації.

Основні права клієнтів відповідно до CCPA

Жителі штату Каліфорнія мають такі широкі права відповідно до Закону про захист конфіденційності споживачів Каліфорнії (CCPA):

Право на інформацію

Клієнти мають право вимагати від компанії розкриття інформації про те, які категорії особистої інформації вона зібрала та від яких джерел ця інформація була отримана; про компанію або комерційну діяльність, для якої вона була зібрана; та про третіх осіб, яким вона продала чи передала цю інформацію.

Право на видалення

• Право на видалення: Клієнт має право вимагати від компанії видалити будь-яку конфіденційну інформацію про клієнта, яка була збережена за деякими винятками.
• Підприємства зобов’язані виконувати пропозицію клієнта про відмову від продажу чи передачі особистої інформації та забезпечувати дотримання цієї вимоги, розміщуючи чітке та помітне посилання «Не продавати та не передавати мою особисту інформацію».

Право на недискримінацію

Підприємства не повинні позбавляти користувачів будь-яких переваг, підвищувати ціни або знижувати якість без поважної причини, якщо вони скористалися своїми правами на недоторканність приватного життя.

Ці права – це те, що робить практика CCPA – правозастосовною силою в руках користувачів.

Відповідність CCPA: що мають робити підприємства

Досягнення відповідності CCPA – це не разове юридичне рішення. Воно вимагає постійного управління та внутрішньої координації.

Ключові кроки щодо забезпечення відповідності включають:

• Оновлення повідомлень та розкриття інформації про конфіденційність
• Впровадження робочих процесів запитів на доступ до даних та їх видалення
• Навчання персоналу роботі з правами споживачів
• Перевірка угод з постачальниками та угод про обмін даними
• Наявність внутрішніх записів про процедури обробки даних

Багато компаній покладаються на зовнішні юридичні консультації, особливо ті, хто не знайомий зі стандартами законодавства США у сфері політики конфіденційності. Індивідуальний підхід до дотримання вимог набагато ефективніший, ніж використання стандартних шаблонів.

Політика конфіденційності відповідно до CCPA

Політика конфіденційності більше не є статичною юридичною сторінкою, схованою в нижньому колонтитулі веб-сайту. Відповідно до CCPA вона стає центральним інструментом дотримання вимог.

• Політика конфіденційності, яка відповідає вимогам, повинна чітко пояснювати:
• Категорії особистої інформації, що збирається
• Цілі використання даних
• Право власності клієнта та способи його використання
• Процедури подання запитів
• Практики обміну чи продажу даних

Враховуючи складність регулювання конфіденційності в США, співпраця з юристом з питань політики конфіденційності в Каліфорнії допомагає забезпечити відповідність політики як CCPA, так і ширшим умовам законодавства США щодо політики конфіденційності.

Чим CCPA відрізняється від GDPR?

Багато компаній питають, чим CCPA відрізняється від європейського GDPR. Хоча обидва закони захищають персональні дані, їхня структура відрізняється.

GDPR застосовується в широкому сенсі до всієї обробки персональних даних і вимагає законної підстави для кожної діяльності. CCPA, навпаки, більше фокусується на прозорості та виборі клієнта, ніж на згоді.

Ще одна відмінність полягає у стилі правозастосування. GDPR значною мірою спирається на регулюючі органи, тоді як CCPA безпосередньо розширює права споживачів за допомогою приватних позовів у певних випадках витоку даних.

Розуміння цих відмінностей має важливе значення для компаній, що працюють на міжнародному рівні та орієнтуються в рамках захисту конфіденційності, що перетинаються.

Майбутнє CCPA та законодавства США щодо конфіденційності

CCPA (Закон Каліфорнії про захист конфіденційності споживачів) вплинув на розробку законодавства про конфіденційність по всій території Сполучених Штатів. Декілька штатів прийняли аналогічні закони, і обговорення на федеральному рівні в галузі конфіденційності продовжуються.

• Для компаній це означає одне: дотримання вимог конфіденційності лише розширюватиметься. Розгляд CCPA як мінімального базового рівня, а не як максимального зобов’язання є стратегічною перевагою.
• Прогресивні організації інтегрують конфіденційність на етапі проектування, впроваджують дотримання вимог розробки продуктів і розглядають персональні дані як відповідальність, а чи не як товар.

FAQ

Виникли запитання?

Заповніть форму, і наш юрист зв'яжеться з вами, щоб обговорити деталі та запропонувати вам найкраще рішення для ваших потреб

Надіслати запит