CCPA 2020: яким IT-компаніям варто переглянути політику конфіденційності?

Новини 30.03.2020

Вступ в дію GDPR два роки тому змусив значну кількість IT-компаній переглянути свої механізми обробки персональних даних та політику конфіденційності. У січні 2020 року ще один "регулятор у сфері персональних даних" набув чинності в Каліфорнії – California Consumer Privacy Act ("CCPA").

Попри те, що CCPA є законодавчим актом іноземної держави, він може мати безпосередній вплив на діяльність українських IT-компаній. 

 

На які компанії поширюється дія CCPA? 

Загалом CCPA поширюється на юридичних осіб, які ведуть підприємницьку діяльність в Каліфорнії та збирають персональні дані осіб і визначають цілі та засоби обробки персональних даних. Вимог CCPA мають дотримуватися компанії, які задовольняють хоча б один із трьох наведених критеріїв: 

  • річний дохід компанії перевищує 25 мільйонів доларів;
  • компанії купують, отримують з комерційною метою, продають або діляться з комерційною метою персональними даними не менш як 50 тисяч споживачів, домогосподарств чи пристроїв; або
  • 50% або більше відсотків доходу компанії одержуються із продажу персональних даних споживачів.

Важливо! У CCPA також зазначено, що під його дію підпадають компанії, які контролюють чи контролюються вищевказаними компаніями та мають з ними спільний брендинг (комерційне найменування, торгова марка тощо).

 

Які українські компанії повинні привести свою роботу у відповідність до CCPA? 

У відповідність до CCPA привести свою роботу повинні ті українські компанії, які:

  • підпадають під вищезгадані критерії, та здійснюють бізнес в Каліфорнії; або
  • контролюють або контролюються вищезгаданими каліфорнійськими компаніями та мають спільний брендинг із ними.

Оскільки специфікою сфери IT являється велика кількість аутсорсингових послуг, то в першу чергу звернути увагу на CCPA мають ті компанії, які надають свої послуги в Каліфорнії, а також ті, які мають дочірні компанії в штаті або ж співпрацюють із каліфорнійськими компаніями (залучені у спільні проекти, надають їм послуги тощо).

 

Чиї дані захищаються CCPA? 

Регламент охоплює опрацювання даних фізичних осіб, які є резидентами штату Каліфорнія, і які можуть бути ідентифікованими за будь-яким унікальним ідентифікатором (наприклад за допомогою поштової адреси, номеру соціального страхування, IP-адреси чи біометричних даних резидента штату тощо). Тобто, ті компанії, які здійснюють збирання та опрацювання персональних даних резидентів штату Каліфорнія, мають дотримуватись вимог CCPA.

 

Що передбачає CCPA?

Норми CCPA в більшості сконцентровані на регулюванні операцій із персональними даними споживачів, які здійснюються з комерційною метою. CCPA не передбачає принципів та підстав обробки персональних даних, на відміну від GDPR та українського законодавства, тобто існує презумпція правомірності оброки персональних даних. Однак, особа може в будь-який момент вимагати від компанії не продавати її персональні дані чи видалити їх. Особі також має бути відомо, які персональні дані збираються, яка інформація обробляється та з якою метою.

 

Які санкції можуть настати у разі невідповідності діяльності компаній нормам CCPA?

Основний вид відповідальності – це штраф. В залежності від порушення розмір штрафу може сягати 2 500 доларів США, а в разі вчинення умисного порушення 7 500 доларів США.

 

Сьогодні тенденція із розробки, подібних до CCPA, регламентів поширюється в більшості штатах, тому ІТ-компаніям варто здійснювати моніторинг змін та у разі необхідності переглядати власну політику конфіденційності.

 

За детальною інформацією звертайтесь до наших партнерів практики інновацій та технологій:

Євгеній Дейнеко

Керуючий партнер

deyneko@everlegal.ua

 

Андрій Оленюк

Партнер

olenyuk@everlegal.ua

We solve your legal issues.
However complex they are.
Wherever they occur.
Whenever you need us.