Що потрібно знати українським IT-компаніям про захист персональних даних в Каліфорнії

5 лютого 2020, 21:00

Останнім часом Каліфорнія радує нас новими законодавчими ініціативами, що впливають на роботу як місцевих ІТ-компаній так і українських, що співпрацюють з ними або ведуть самостійний бізнес на території штату. Розглянемо одну з них.

З 1 січня 2020 в Каліфорнії набув чинності CCPA — California Consumer Privacy Act — закон, що регулює збір та продаж персональних даних жителів штату.

Чому це важливо? По-перше, економіка Каліфорнії - це 5-а найбільша економіка світу (!), що поступається лише США (штатом якої вона є), а також Китаю, Японії та Німеччині. Це означає, що зміни можуть вплинути й на міжнародні угоди та процеси.

Відео дня

По-друге, Каліфорнія із Кремнієвою долиною є центром світового ІТ і, разом з іншими штатами, найбільшим покупцем українських ІТ-послуг.

Навколо закону ходило багато чуток та конспірації. Хтось казав, що це новий GDPR (Європейський закон про захист персональних даних), хтось вказував на необхідність зміни бізнесу. Правда, як завжди, десь посередині. Але спочатку трохи контексту: прийнятий законопроект став компромісом між однойменним законопроектом, створеним Аластаіром Мактаггартом, членом Наглядової ради та засновником Californians for Consumer Privacy, з однієї сторони та бізнесом, який зацікавлений у вільному обігу та монетизації даних з іншої.

Мактаггарт представляє силу, зокрема фінансову, яка виступає за посилення прав споживачів у сфері захисту персональних даних. Як зазначає він сам: «Це не правильно, що компанії про які ви ніколи нічого не чули можуть купити або продати інформацію про вас, яку знають лише ваші найближчі друзі».

У відповідь на це, Сенат Каліфорнії прийняв закон, який повинен стати золотою серединою між правами людини та інтересами бізнесу та який ми й розглянемо.

Варто зауважити, що закон прийняли поспіхом, під тиском прихильників Privacy rights, та він має ряд неточностей (або занадто загальних понять). Поки документ доопрацьовують, і зміни до закону та роз’яснення California Attorney General (CAG) мають з’явитися найближчим часом.

Попри це, CCPA вже діє, а тому українським ІТ-компаніям, що працюють з персональними даними жителів Каліфорнії, варто бути готовими та вжити необхідні заходи, щоб уникнути несподіванок від «органів контролю» Каліфорнії.

blog.convert.com
Фото: blog.convert.com

Сфера дії

CCPA застосовується до всіх комерційних компаній, які збирають та обробляють особисті дані жителів («residents») Каліфорнії, ведуть бізнес у Каліфорнії та відповідають одному з наступних критеріїв:

— мають річний валовий дохід, що перевищує $25 млн;

— отримують особисту інформацію 50 тис. або більше жителів Каліфорнії, домогосподарств або пристрої щорічно;

— отримують 50% або більше своїх щорічних доходів від продажу особистої інформації мешканців Каліфорнії.

Що вважається персональними даними

Поняття дещо ширше, ніж у GDPR, та включає не лише інформацію, за допомогою якої може бути ідентифікована особа, а навіть інформацію, що не вказує на конкретну особу, але асоційована з місцем проживання («household»).

У CCPA ще не має визначення цього терміну, проте у запропонованих (та ще не прийнятих) роз’ясненнях Каліфорнійського головного юриста (CAG) вказано, що household — особа або група осіб, що займає приміщення. Тобто, наприклад, інтернет речей (IoT) або розумний дім також підпадають під регулювання.

До суб'єктів ССPA також входять працівники бізнесу, що базуються в Каліфорнії та контакти клієнтів та постачальників (дія останніх двох положень частково відкладені до 1 січня 2021).

На що звернути увагу

Не перераховуватиму права та обов’язки бізнесу або жителів Каліфорнії, частково вони аналогічні до GDPR, частково ще будуть уточнюватись, проте вже зараз українським ІТ-компаніям варто звернути увагу на наступне:

1 Поняття «продавати» інформацію має дуже широке значення і відрізняється від того, що ми зазвичай розуміємо під цим словом. Воно включає будь-яку комунікацію або передачу даних, в обмін на матеріальну (грошову) або нематеріальну вигоду.

Нематеріальна вигода спеціально розшифрована в законі та включає будь-яку взаємну вигоду. Наприклад, взаємний обмін інформацією, надання інформації для таргетованої реклами, тощо.

2 Продуктовим компаніям, що працюють з даними жителів Каліфорнії варто оновити сайт та/або додатки, які б включали можливість споживачам дозволяти або відмовлятися від продажу його даних третім особам.

Поміж оновлення Privacy Notice та Privacy Policy, сайт або додаток має містити помітне посилання на головній сторінці (або головному екрані додатку) з текстом «Do not sell my information», яка б дозволяла реалізовувати вимогу описану вище.

3 На відміну від GDPR, CCPA не має поняття транскордонної передачі даних, а тому в перемовинах з клієнтами не доведеться підписувати будь-які додаткові угоди окрім «service provider contract clauses» (договір про надання послуг — ред.) для сервісних компаній.

Тобто ІТ-компаніям, які надають послуги щодо розробки ПЗ каліфорнійським компаніям варто додавати спеціальні положення в договір з клієнтом, що б підтверджували статус української компанії як «service provider» (спеціально введений термін CCPA). Цей термін вказує, що компанія лише надає послуги клієнту, працює від його імені та не збирається використовувати дані будь-яким іншим чином. В такому випадку українська компанія не буде суб'єктом CCPA.

Не до кінця зрозуміло, як буде діяти передача даних між компаніями однієї групи. CCPA вказує, що під бізнесом розуміється компанія, що відповідає критеріям вказаним на початку статті, але й також включає в себе інші компанії, що: контролюються або контрольовані суб'єктом CCPA; працюють під одним брендом (тобто спільна назва, торгова марка і т. і.).

Більшість юристів швидко зробили висновок, що передача всередині групи нічим не обмежена, але виникають запитання: що робити з афілійованими компаніями, що мають інший бренд? Чи підпадають «сестринські» компанії під поняття бізнесу, тобто ті які мають непрямий корпоративний зв’язок з суб'єктом ССРА? Чи означає, що інші афілійовані компанії також мають відповідати вимогам CCPA та, наприклад, резидент Каліфорнії або California Attroney General (орган, що контролює виконання умов CCPA) може звернутися до будь якої компанії в групі?

Тому вже зараз варто провести аудит обігу персональних даних в групі компаній та, де це можливо, оновити договори про передачу даних положеннями CCPA, щоб відобразити відносини замовник-постачальник (service provider) та не бути суб'єктом ССРА для тих компаній, яким це непотрібно.

Замість висновку

CCPA вже діє та змушує компанії переосмислювати та змінювати бізнес-моделі у Каліфорнії. Проте це ще не остаточна версія. Саме зараз відбувається політична боротьба між прихильниками захисту прав людини та представниками бізнесу.

Аластаір Мактаггарт вже анонсував, що у відповідь на численні законопроекти, що лобіюються бізнесом та розмивають початкову ідею акту, поміж іншого, внесе новий закон, що створить спеціальне агентство щодо захисту персональних даних та буде сфокусоване на контролі виконання ССРА.

Проте найважливіше інше: Каліфорнія десятки років була лідером у США у сфері персональних даних. Наприклад, у 2002 цей штат першим прийняв закон, що зобов’язував повідомляти людей про випадки порушення їх прав у сфері персональних даних. Через декілька років аналогічний закон прийняли у всіх інших штатах, а у 2009 році вже й на федеральному рівні.

Навчаючись та працюючи в Каліфорнії, я часто чув про так званий «Каліфорнійський ефект». Це давно відома ідея, що один штат може встановлювати загальнонаціональний стандарт законодавства. Наприклад, захист персональних даних в Каліфорнії або корпоративне право у штаті Делавер. Вже зараз можна точно сказати, що найближчим часом подібні закони будуть прийматися в інших штатах та на федеральному рівні.

Більше того, варто очікувати, що американська концепція захисту персональних даних буде розширюватися і за кордон, як це сталося з GDPR. А тому вже через декілька років ми отримаємо два підходи до захисту персональних даних у світі: європейский, у якому приватність — це невід'ємне право людини, та США — де приватність розглядається з точки зору споживача та ринку.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X