Що таке California Consumer Privacy Act (CCPA) та як це працює

Що таке CCPA

California Consumer Privacy Act (далі – CCPA) – це законодавчий акт у Сполучених штатах, який регулює отримання та обробку персональних даних. Як випливає з назви – це не федеральний акт, а локальний, а саме: прийнятий у штаті Каліфорнія. Однак, незважаючи на його локальний характер, дія акту поширюється в т.ч. на компанії та підприємців у всьому світі, особливо у сфері надання онлайн послуг чи постачання цифрових товарів або програмного забезпечення.  

Які дані захищає CCPA

Визначення персональних даних, які підпадають під сферу дії CCPA доволі широке. До таких даних, зокрема, належать:

• Особиста інформація (Прізвище та ім’я, псевдоніми, IP-адреси, адреса місця проживання, адреса для листування, e-mail адреса, тощо)
• Біометричні дані, за якими можна встановити особу (скани сітківки ока, відбитки пальців та долонь рук, обличчя, запис голосу особи, тощо);
• Професійні дані та дані щодо працевлаштування (якщо вони не є публічними).

Зауважимо, що CCPA розширює перелік персональних даних, що охороняються, відносно, наприклад, GDPR. Отже, щоб забезпечити належний комплаєнс необхідно аналізувати ці акти синергічно.

Кого стосується CCPA

Як вже було зазначено, незважаючи на локальний характер CCPA, його дія (за певних умов) може поширюватись по всьому світу. Справа в тому, що суб’єктами надання персональних даних за CCPA є резиденти штату Каліфорнія (незалежно від фактичного місцезнаходження). А ось отримувачами персональних даних може бути будь-хто, незалежно від резидентства. Таким чином навіть якщо бізнес зареєстрований не в США (наприклад, в Україні), але отримує персональні дані від резидента штату Каліфорнія та відповідає певним умовам – виникає обов’язок дотримання CCPA.

До таких умов належать:

• Дохід підприємства за попередній рік перевищує 26 625 000 доларів США;
• Підприємство збирає, обробляє, передає/продає персональні дані більше ніж 100 000 резидентів штату;
• Підприємство отримує більше половини річного доходу від продажу персональних даних резидентів штату.  

Які права дає CCPA мешканцям Каліфорнії

Основні права викладені аналогічно до GDPR. До них належать:

• Право знати які персональні дані бізнес збирає, яким чином вони використовуються та поширюються;
• Право на виправлення або видалення персональних даних (з певними виключеннями);
• Право обмежити використання наданих персональних даних;
• Право відмовитись від продажу або передачі іншим особам наданих персональних даних (the right to opt-out…);
• Заборона дискримінації при здійсненні цих прав.

Перелічені права створюють відповідні обов’язки для бізнесу, який отримує персональні дані від резидентів штату Каліфорнія. Зокрема, обов’язок повідомляти про збір та обробку персональних даних, їх умови – для цього розробляються відповідні повідомлення та політики.

Що потрібно зробити компанії, щоб відповідати CCPA

CCPA комплаєнс – це комплексний процес. Перш за все, потрібно визначити чи підпадає діяльність бізнесу під сферу дії CCPA. Після цього починається основна робота – розробка документації. Основними документами, що забезпечують CCPA комплаєнс є Політика конфіденційності та Політика використання файлів cookies. Політика конфіденційності зазвичай містить інформацію про види персональних даних, які збираються, мету та умови їх обробки та передачі/продажу третім особам (якщо такі здійснюються), інформацію про права користувача, порядок їх реалізації, контактні дані бізнесу, тощо.  Політика використання файлів cookie регламентує які саме cookie використовуються, їх типи, тощо. В контексті CCPA комплаєнсу цей документ є важливим, оскільки дані про IP-адреси та історію пошуку користувача і т.п. підпадають під визначення персональних даних, а отже – наявність політики їх збору та використання є обов’язковою. 

Також обов’язковими є наявність повідомлень про збір персональних даних та використання файлів cookie. Найкращий спосіб їх реалізації – розміщення інтерактивних спливаючих вікон на сайті бізнесу, які з’являються при першому відвідуванні. Рекомендуємо на обох повідомленнях забезпечити щонайменше наявність кнопок “погодитись” та “відмовитись”. До того ж, такі вікна мають містити посилання на відповідні політики, аби відповідати вимозі доступності та прозорості.

Після підготовки та розміщення всіх політик та повідомлень, бізнесу потрібно дотримуватись їх положень та завжди проводити зворотній зв’язок із користувачем.

Юристи Інферно Діджитал надають повний цикл послуг з CCPA комплаєнсу – консультування, розробка документації, практичні рекомендації щодо дотримання CCPA.   

Яка відповідальність за порушення CCPA

Недотримання положень CCPA може призвести до накладення штрафів:

• до 2500 доларів США за кожен факт неумисного порушення;
• до 7500 доларів США за кожен факт умсиного порушення.

Більше того, користувач матиме право звернутись до суду за відшкодуванням збитків, завданих такими порушеннями.