Калифорнийский закон о конфиденциальности потребителей вступает в силу с 1 января 2020 года

Евгений Краснов из Buzko Legal рассказывает о главных положениях нового и пока единственного в своём роде в США закона о защите персональных данных потребителей.

Всем было известно об Общем регламенте по защите данных (General Data Protection Regulation, GDPR), принятом Европейским союзом, ещё задолго до того, как он вступил в силу 25 мая 2018 года.

Этот регламент существенно изменил ландшафт в сфере контроля над персональными данными между бизнесом и пользователями и послужил нескончаемым электронными письмами от компаний об изменении их политик о конфиденциальности, чтобы соответствовать новым обширным требованиям GDPR.

Но мало кто знает, что чуть больше месяца после того, как GDPR вступил в силу, примеру Европы последовал штат Калифорния, где 28 июня 2018 года был принят Калифорнийский закон о защите конфиденциальности потребителей (California Consumer Privacy Act или CCPA).

В нашей обзорной статье для основателей стартапов в США мы уже упоминали CCPA, но теперь хотим более подробно разобрать его положения в связи с надвигающейся датой вступления в силу — 1 января 2020 года.

• CCPA похож на GDPR.
• Будет применяться не только к компаниям с выручкой выше $25 млн, но и к тем, которые обрабатывают данные более 50 тысяч резидентов Калифорнии.
  

Для начала немного вводной информации. В США власть распределена между федеральным правительством и штатами. Федеральный закон имеет преимущество перед законами штатов, но федеральное правительство ограничено Конституцией США в сферах, в которых оно может принимать законы.

Не вдаваясь в подробности, отметим, что федеральное правительство имеет полномочия регулировать персональные данные граждан, но закона, подобного CCPA, еще не приняло. Пока такая ситуация сохраняется, каждый штат вправе регулировать персональные данные, как ему захочется.

Так как закон каждого отдельного штата применяется только к субъектам этого штата, может показаться, что это не такое важное событие. Но принятие CCPA в Калифорнии заслуживает внимания по, как минимум, двум причинам.

Во-первых, инициативы, принятые в Калифорнии, зачастую имеют масштабное влияние на США в целом. Это во многом объясняется размером штата: Калифорния имеет самую большую численность населения среди штатов (около 40 млн. человек), находится на третьем месте по территории и на первом месте с огромным отрывом – по размеру экономики.

Как известно, если бы Калифорния была отдельным государством, она бы вошла в пятёрку крупнейших в мире по ВВП. Поэтому инициативы, принятые в Калифорнии, часто задают тон будущим переменам на федеральном уровне в США и, следовательно, в мире.

Во-вторых, позиция Калифорнии по регулированию персональных данных особенно важна, потому что Кремниевая долина является основным местом деятельности главных сборщиков таких данных в мире: Google и Facebook, а также многих других игроков этого рынка имеют свои штаб-квартиры именно там.

Таким образом, есть все основания полагать, что, когда придет время общенационального закона о персональных данных в США, его содержание будет во многом определяться CCPA и его последствиями.

CCPA действует в отношении коммерческих организаций, которые собирают личные данные потребителей. На компанию распространяются правила CCPA, если она: ведет коммерческую деятельность в штате Калифорния и соответствует хотя бы одному из следующих критериев:

• Имеет годовую выручку в размере не менее $25 млн.
• Ежегодно собирает, продает или передает в коммерческих целях персональные данные как минимум 50 тыс. потребителей или устройств.
• Получает как минимум 50% своей выручки от продажи персональных данных потребителей.

Месторасположение компании не играет роли. Если она соответствует указанным критериям, она обязана соблюдать CCPA при работе с персональными данными резидентов Калифорнии.

Основное новшество CCPA – наделение потребителей определенными правами в отношении их персональных данных и установление соответствующих обязанностей для компаний, подпадающих под действие закона. Компании будут обязаны:

• Подробно раскрывать в своих политиках о конфиденциальности, как они собирают, обрабатывают, используют и продают персональные данные пользователей (право знать).
• Предоставлять пользователям способы обращаться с просьбой о получении доступа к их данным и об удалении этих данных (право на доступ и удаление).
• Уведомлять пользователей, если компания занимается продажей персональных данных, и предоставлять им способ отзыва согласия на продажу их данных (право на отказ).
• Внедрять и поддерживать разумные меры по защите персональных данных (право на безопасность данных и раскрытие информации о взломах).

CCPA обязывает всех подпадающих под его действие компаний опубликовать комплексную политику о конфиденциальности, описывающую практику сбора, использования, раскрытия и продажи персональных данных, а также права потребителей в отношении их данных. Если у компании есть сайт или приложение, политика должна быть опубликована по заметной ссылке под названием «Конфиденциальность» (Privacy) на домашней странице сайта или посадочной странице приложения.

CCPA также обязывает компании предоставлять потребителям конкретные способы для осуществления их прав. Например, если компания занимается продажей персональных данных, она обязана предоставлять своим пользователям интерактивную онлайн-анкету, заполнив которую пользователи могут отозвать свое согласие на продажу данных.

Анкета должна быть доступна через заметную ссылку под названием «Не продавайте мои персональные данные» (Do Not Sell My Personal Information) на сайте или в приложении компании.

Компании также будут обязаны заметным способом уведомлять потребителей каждый раз, когда у потребителя запрашивается личная информация. Если компания предлагает какие-либо финансовые стимулы потребителям за право продавать их персональные данные, компания также будет обязана недвусмысленно уведомить потребителей об этом.

Важно, что подготовка регламента CCPA продолжается, и в законодательном органе Калифорнии регулярно появляются поправки к закону.

С момента принятия CCPA в прошлом году появилось немало исключений. Одним из главных является исключение из определения «персональных данных» анонимизированных и агрегированных данных, таких как IP-адреса и геолокация.

Таким образом, если ваша компания на первый взгляд подпадает под CCPA, необходимо тщательно проверить, применяются ли к ней какие-либо исключения.

Все в курсе про гигантские штрафы по GDPR, поэтому стоит отдельно сказать про ответственность по CCPA. Обязанность следить за соблюдением CCPA возложена на Генерального прокурора Калифорнии. Если Генпрокурор узнает, что компания нарушила CCPA, он обязан сначала дать ей 30 дней на устранение нарушения, а затем может оштрафовать ее от $2 500 до $7 500 за каждое нарушение.

CCPA также позволяет потребителям обращаться с частными исками против компаний в случае утечки персональных данных, вызванных ненадлежащими мерами по защите таких данных в компании.

Закон позволяет взыскать бóльшую из следующих сумм: от $100 до $750 на потребителя за каждое нарушение или реальный ущерб. Установление суммы ущерба для частных исков в законе является важным нововведением CCPA в сфере персональных данных: сейчас у потребителей, у которых нет объективных доказательств убытков от утечки данных, нет возможности отсудить деньги у нарушителей.

Вступление в силу CCPA будет важным событием в американской правовой системе, так как в стране впервые появится комплексный закон о защите данных потребителей. Закон мало повлияет на практики обработки персональных данных самых крупных игроков технологического рынка, которые уже исполняют требования более строгого GDPR.

Вместе с тем существенная часть американских потребителей получат схожие с GDPR права, что определенно послужит введению аналогичных законов в других штатах, а затем и на федеральном уровне.

Поэтому независимо от того, подпадает ваша компания под действие CCPA или нет, следует провести аудит ваших практик обработки персональных данных и удостовериться, что они достоверно отражены в вашей политике о конфиденциальности.

Автор статьи — Евгений Краснов, партнер юридической фирмы Buzko Legal и лицензированный юрист по американскому праву.