CCPA 2020: яким IT-компаніям варто переглянути політику конфіденційності?
Вступ в дію GDPR два роки тому змусив значну кількість IT-компаній переглянути свої механізми обробки персональних даних та політику конфіденційності. У січні 2020 року ще один "регулятор у сфері персональних даних" набув чинності в Каліфорнії – California Consumer Privacy Act ("CCPA").
Попри те, що CCPA є законодавчим актом іноземної держави, він може мати безпосередній вплив на діяльність українських IT-компаній.
На які компанії поширюється дія CCPA?
Загалом CCPA поширюється на юридичних осіб, які ведуть підприємницьку діяльність в Каліфорнії та збирають персональні дані осіб і визначають цілі та засоби обробки персональних даних. Вимог CCPA мають дотримуватися компанії, які задовольняють хоча б один із трьох наведених критеріїв:
- річний дохід компанії перевищує 25 мільйонів доларів;
- компанії купують, отримують з комерційною метою, продають або діляться з комерційною метою персональними даними не менш як 50 тисяч споживачів, домогосподарств чи пристроїв; або
- 50% або більше відсотків доходу компанії одержуються із продажу персональних даних споживачів.
Важливо! У CCPA також зазначено, що під його дію підпадають компанії, які контролюють чи контролюються вищевказаними компаніями та мають з ними спільний брендинг (комерційне найменування, торгова марка тощо).
Які українські компанії повинні привести свою роботу у відповідність до CCPA?
У відповідність до CCPA привести свою роботу повинні ті українські компанії, які:
- підпадають під вищезгадані критерії, та здійснюють бізнес в Каліфорнії; або
- контролюють або контролюються вищезгаданими каліфорнійськими компаніями та мають спільний брендинг із ними.
Оскільки специфікою сфери IT являється велика кількість аутсорсингових послуг, то в першу чергу звернути увагу на CCPA мають ті компанії, які надають свої послуги в Каліфорнії, а також ті, які мають дочірні компанії в штаті або ж співпрацюють із каліфорнійськими компаніями (залучені у спільні проекти, надають їм послуги тощо).
Чиї дані захищаються CCPA?
Регламент охоплює опрацювання даних фізичних осіб, які є резидентами штату Каліфорнія, і які можуть бути ідентифікованими за будь-яким унікальним ідентифікатором (наприклад за допомогою поштової адреси, номеру соціального страхування, IP-адреси чи біометричних даних резидента штату тощо). Тобто, ті компанії, які здійснюють збирання та опрацювання персональних даних резидентів штату Каліфорнія, мають дотримуватись вимог CCPA.
Що передбачає CCPA?
Норми CCPA в більшості сконцентровані на регулюванні операцій із персональними даними споживачів, які здійснюються з комерційною метою. CCPA не передбачає принципів та підстав обробки персональних даних, на відміну від GDPR та українського законодавства, тобто існує презумпція правомірності оброки персональних даних. Однак, особа може в будь-який момент вимагати від компанії не продавати її персональні дані чи видалити їх. Особі також має бути відомо, які персональні дані збираються, яка інформація обробляється та з якою метою.
Які санкції можуть настати у разі невідповідності діяльності компаній нормам CCPA?
Основний вид відповідальності – це штраф. В залежності від порушення розмір штрафу може сягати 2 500 доларів США, а в разі вчинення умисного порушення 7 500 доларів США.
Сьогодні тенденція із розробки, подібних до CCPA, регламентів поширюється в більшості штатах, тому ІТ-компаніям варто здійснювати моніторинг змін та у разі необхідності переглядати власну політику конфіденційності.
За детальною інформацією звертайтесь до наших партнерів практики інновацій та технологій:
Керуючий партнер
deyneko@everlegal.ua
.jpg)
Партнер
olenyuk@everlegal.ua
