В США приняли закон о защите персональных данных. Как он касается украинских бизнесменов

Не успели украинские предприниматели выучить аббревиатуру GDPR и адаптировать свою работу под правила регламента ЕС, который скрывается за этими четырьмя буквами, как нечто подобное ввели в США. Сооснователь Brightman FinTech Law Firm Кристина Немчинова в колонке для MC Today объясняет, что и почему бизнесмен в Украине должен знать и делать в связи с этим нововведением.

Итак, июнь 2018 года, Общий регламент по защите данных (GDPR) уже вовсю соблюдается (или нет), когда губернатор штата Калифорния Джерри Браун вдруг подписывает Калифорнийский закон о защите персональных данных потребителей (California Consumer Privacy Act). CCPA тут же назвали аналогом GDPR и призвали к его соблюдению все остальные штаты.

Дело в том, что скандал с утечкой данных коснулся в последнее время не только Facebook. Колокол уже звонил над головами Google, Yahoo и Equifax. Стыдно было также банковскому холдингу Capital One, сети отелей Marriott, интернет-магазину eBay, соцсети LinkedIn и многим другим.

Стало очевидно, что американское законодательство плохо защищает интересы своих граждан, когда речь идет о неприкосновенности их персональных данных. 

Давайте посмотрим, разберется ли с этим беспорядком CCPA и так ли он страшен на самом деле.

GDPR по-американски

Калифорнийский закон о защите персональных данных потребителей (CCPA) вступит в силу 1 января 2020 года. Сейчас это самый мощный закон, принятый в каком-либо из штатов и максимально защищающий права потребителей, когда речь идет об их персональных данных. 

Какие права закрепляет закон?

Право требовать от компаний информацию о собранных данных (personal information request). Компания обязана будет раскрыть информацию о собираемых данных и методах продажи, включая категории персональных данных, источник их получения, цель сбора и информацию о том, каким третьим лицам и зачем были проданы или переданы данные. 

По поводу последнего: компании обязаны уведомлять клиентов о том, что их данные могут продаваться третьим лицам, а у резидентов Калифорнии, соответственно, появляется право запретить компаниям передавать свои данные (opt-out). 

Вместе с этим правом человек также получит право на получение копии данных, собранных в течение последних 12 месяцев. 

Право на удаление данных. С исключениями, как и в GDPR, но резидент сможет требовать от компании уничтожить собранные данные о лице.

И, наконец, если лицо воспользовалось каким-то из вышеупомянутых прав, оно имеет право на недискриминацию в связи с этим. А вот тут есть нюансы, с которыми даже не все юристы смогли разобраться.

Дискриминацией может быть предоставление услуг худшего качества по более высокой цене или отказ от предоставления услуг. Однако компаниям разрешены упомянутые действия, если разница в качестве услуг и цен «напрямую связана с уровнем доступа к данным лица».

Бизнесу также разрешено финансово поощрять пользователей за возможность сбора их данных, если такие действия не являются «несправедливыми, необоснованными, принудительными или не носят ростовщический характер». 

В отличие от вышеназванного California Online Privacy Protection Act 2003 года, понятие «потребителя» теперь стало шире. Реализовать свои права лицо сможет, независимо от того, есть ли у него клиентские или какие-либо другие отношения с компанией. Потребителем по новым правилам теперь признается лицо, которое «ищет или приобретает путем покупки или аренды любые товары, услуги, деньги или кредит для личных, семейных или домашних целей». 

Потенциальные «жертвы», или При чем здесь украинский бизнес

Американские законодатели призывают не обольщаться словом «калифорнийский». CCPA должны будут соблюдать американские компании во всех штатах. И не только на территории США, но и за пределами страны. Давайте разберемся, что это значит.

Закон применяется к компаниям, которые ведут свой бизнес в штате Калифорния, а также к тем, которые находятся за пределами штата, но продают товары и услуги калифорнийцам или дают им возможность пользоваться своим сайтом. Очевидно, что бизнес будет соблюдать требования CCPA на общенациональном уровне.

Здесь важно отметить, что бизнес должен соответствовать определенным критериям, чтобы CCPA стал для него обязательным. Так, под горячую руку попадают:

• компании с оборотом $25 млн или больше;
• компании, которые ежегодно приобретают, получают, продают или передают персональные данные 50 тыс. или более потребителей, домашних хозяйств или устройств («любого физического объекта, который можно прямо или косвенно подключить к интернету или другого устройства», то есть телефон, USB и так далее); 
• компании, которые получают 50 % или более своего годового оборота от продажи персональных данных потребителей;
• компании, которые контролируют или контролируются бизнесом, который подпадает под требования CCPA или функционируют под общим брендингом.

Даже если у вас украинский или любой другой бизнес, который предлагает товары и услуги резидентам Калифорнии или тем или иным образом связан с другим бизнесом, подпадающим под требования Акта, вам необходимо соответствовать требованиям CCPA. И вообще, если среди ваших клиентов есть любые граждане США, чьи данные вы так или иначе обрабатываете (онлайн или офлайн), CCPA для вас обязателен к выполнению.

Что делать

Уже сейчас обновите свои внутренние политики и проконтролируйте процесс сбора и обработки данных. 

• Определите, какую информацию вы собираете и считается ли она персональными данными. Убедитесь, что собираете данные с конкретной целью и храните, передаете или продаете их в соответствии с требованиями закона. Введите внутренний учет данных, которые собираете, и запросов клиентов, которые будете получать.
• Если к вашему веб-сайту имеют доступ сторонние платформы, убедитесь, что знаете, какие данные они могут собирать. Помните, как посторонние компании запускали опросы и тесты на Facebook и таким образом собирали данные миллионов пользователей? Потом эти данные были переданы в Cambridge Analytica, а отвечал за все Facebook. Так что именно ваша компания будет в ответе за такие действия третьих лиц.
• Обновите веб-документацию в соответствии с CCPA, которая должна включать в себя минимальное требование о способах передачи данных. Поясню на практике. Это значит, что в соответствии с Актом у ваших клиентов должно быть минимум два способа связи с вашей компанией, если они захотят потребовать информацию о своих персональных данных. А именно: веб-страница и toll-free номер телефона.
• Укажите в Политике конфиденциальности все категории данных, собранные, проданные или раскрытые для бизнес-целей за последние 12 месяцев, их источники и цели сбора. Помимо этого, в документе должны быть перечислены права ваших клиентов и способы их реализации (ссылка на opt-out страницу, возможность подать запрос об удалении своих данных и так далее).
• Проведите внутренний инструктаж своей команды. Для начала проведите тренинг для оператора колл-центра, который будет отвечать на те самые звонки на toll-free номер. Также необходим инструктаж персонала, который будет обрабатывать запросы по имейлу. Юридический департамент компании и комплаенс-офицер обязаны быть в курсе того, какие данные собирает компания, как она их обрабатывает и с какой целью, чтобы внести соответствующие коррективы в документацию бизнеса. IT-специалисты будут непосредственно проводить процедуру сбора, обрабатывания и удаления данных, поэтому им тоже необходимо ознакомиться с требованиями закона.
• Внедрите стандарты информационной безопасности, как, например, ISO 27001. Такой сертификат в целом крайне важен для работы на зарубежном рынке, так как подтверждает, что ваша компания выстраивает систему управления рисками, бизнес- и технические процессы и менеджмент в соответствии с международными стандартами.
• Доверьте все вышеперечисленное юристам. 

Вопрос на миллион

Генеральный прокурор Калифорнии имеет право подать гражданский иск против нарушителя, а тот, в свою очередь, будет иметь 30 дней, чтобы все исправить. За каждое непреднамеренное нарушение компания заплатит до $2,5 тыс., а за преднамеренное – до $7,5 тыс.

Трактовка того, что есть одно нарушение, дается в прецеденте «Народ против Верховного суда» 1973 года, когда одно нарушение против множества лиц признали множественным нарушением, а много нарушений против одного – единичным. Так что если компания, предположим, нарушит права десятков миллионов пользователей, арифметика получится весьма занимательная, а штрафы достигнут миллиардов долларов. 

И хотя до 1 июля 2020 года законодатели обещают санкции не применять, начать соблюдать закон нужно уже сегодня.