В мире появляется все больше аналогов GDPR. Недавно подобный законопроект разработали в Индии, сейчас на очереди США. Пример с Европы взяла Калифорния, одобрив собственный закон, регулирующий правила работы с персональными данными пользователей.
California Consumer Privacy Act, или CCPA, вступит в силу 1 января 2020 года. Далее рассмотрим основные положения закона, который разработали и приняли всего за неделю.
/ фото Ryan Brisco PD
Кто попадает под действие закона
Новый закон не так суров, как европейская директива, но всё же предполагает большие изменения в жизни бизнеса. У каждого интернет-пользователя в Калифорнии появляется право потребовать у компании информацию, которую она о нём собрала, и список третьих лиц, которым та стала известна.
На основании этого же закона пользователь теперь может подать в суд на организацию, которая неправомерно воспользовалась его ПД или не выполнила какой-либо из его запросов в срок.
Под действие ССРА попадают компании, которые обрабатывают персональные данные резидентов Калифорнии (резиденты могут находиться как на территории штата, так и за его пределами) и получают минимум 25 млн долларов годового дохода. Но есть нюанс: если доход компании меньше, но она хранит персональные данные более 50 тысяч человек, её деятельность попадает под ССРА.
Новый закон также регулирует деятельность фирм, получающих более половины прибыли (неважно, какого размера) от продажи ПД. Месторасположение организации роли не играет: не важно, находится она в Калифорнии или за пределами штата.
Что считается персональными данными
Персональным данными считаются любые идентификаторы, биометрия, геолокация, история активности в интернете и информация о трудоустройстве или образовании. В целом туда попадают любые данные, по которым можно идентифицировать человека.
При этом в законе встречаются довольно размытые формулировки. Например, персональный идентификатор может включать и информацию о семье пользователя. Также как ПД классифицируют любую информацию, которая позволяет составить профили пользователей: будь только психологические, поведенческие и др.
Права пользователей
По закону пользователь получает «традиционный» набор прав:
- Право доступа. Пользователь может отправить запрос и получить всю информацию, которую собрала о нем компания;
- Право на забвение. Пользователь может потребовать удалить информацию о себе с серверов компании и серверов третьих лиц;
- Право знать. По запросу компания должна раскрыть цели сбора персональных данных и их источники;
- Право на отказ. Пользователи могут отказаться от передачи своих данных третьим лицам.
Здесь кроется важное отличие от GDPR — согласно европейской директиве, компании необходимо получить согласие пользователя на обработку ПД. По закону Калифорнии организация должна лишь обрабатывать запросы, поступающие от пользователей.
Если данные пользователя были потеряны или украдены, компания должна будет заплатить от 100 до 750 долларов каждому пострадавшему.
Если пользователь направил компании жалобу о нарушении, связанном с его персональными данными, та обязана разрешить проблему в течение месяца. В противном случае её ждёт штраф. Сейчас он составляет 7,5 тыс. долларов.
Однако по ССРА компании не обязаны раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующего запроса.
Суммы штрафов и выплат ещё могут измениться, но в любом случае (учитывая все технические и юридические издержки) ССРА может стать финансовой угрозой существованию многих компаний.
/ фото Justin Lim PD
Скидки
Ещё один интересный нюанс — закон запрещает компаниям дискриминировать пользователей, отказавшихся предоставить свои персональные данные. Но при этом предполагает возможность введения системы поощрений для тех, кто согласился.
Формально это значит (если пункт не изменится), что компании могут делать скидки тем, кто поделился своими данными с третьими лицами, и устанавливать разные цены для пользователей в зависимости от их настроек приватности.
Это создает не только интересный технологический прецедент, но и культурный: де-факто CCPA формирует новые правила игры, по которым компании могут покупать у пользователей информацию, которую они раньше получали бесплатно.
В сухом остатке
Формально закон вступает в силу 1 января 2020 года. Но как только он начнёт свое действие, компания должна будет сразу иметь возможность предоставить пользователям данные, собранные о них за последние 12 месяцев. Соответственно, дедлайн для реализации всех необходимых для этого технологических решений наступает на год раньше — то есть всего через четыре месяца.
С таким подходом можно ожидать появления первых судебных исков в первый же день действия директивы. Как это было с GDPR и исками к Facebook и Google.
/ фото Book Catalog CC
Крупные IT-гиганты постепенно, но не очень открыто, выступают против этого закона. В частности, финансируют публичную организацию, которая ведёт против него борьбу.
Эксперты считают, что закон, принятый так поспешно, за два года еще будет исправлен и дописан. Однако они не уверены, что изменения будут значительными. Основные положения, скорее всего, останутся нетронутыми.
Таким образом, ССРА — это первый шаг к абсолютно новому пониманию безопасности информации в Америке и модификации большинства практик, которые долгие годы считались базовыми и неизменными.
P.S. Посты по теме из нашего IaaS-блога:
- Как обрабатывать ПД в облаке и не нарушать закон
- Что считать ПД с точки зрения российского регулятора
- ПД в облаке: за что отвечают заказчик и облачный провайдер
P.P.S. Свежие посты в нашем блоге на Хабре:
- Как облачному провайдеру управлять лицензиями на ПО, и зачем здесь нужен блокчейн
- Три месяца спустя: как GDPR повлиял на работу c cookies
Автор: it_man