В последние годы множество стран рассматривают перспективы введения собственного нового регламента – аналога GDPR. Не так давно о разработке подобного документа заявила Индия. Теперь новый свод правил представили в штате Калифорния, США. Чем он отличается от GDPR?
Новый документ, получивший название California Consumer Privacy Act, или сокращенно – CCPA, должен вступить в силу уже 1 января 2020 года. Примечательно, что разработан и принят он был стремительно – буквально за одну неделю.
Только в течение последних лет в новостях можно было прочесть о множестве случаев взлома баз данных различных компаний. Если проанализировать 2017 и 2018 годы, в этот список вошли Equifax, Quora, Marriott Hotels и Uber. Таким образом, пострадали персональные данные миллионов пользователей. С этой точки зрения имеет смысл ввести такие законы, как GDPR и CCPA. Компании должны нести ответственность за неправильное обращение с данными потребителей, а те, в свою очередь, должны иметь возможность отказаться от предоставления и хранения информации, когда они захотят.
Следует отметить, что положения разработанного Америкой документа являются не такими строгими, как в случае с положением о защите персональных данных GDPR.
Целью CCPA является выделение трех отдельных областей защиты данных, а именно: как пользователь контролирует свои личные данные, как компании защищают пользовательские данные, какую информацию компании могут получить о своих клиентах.
Согласно новым правилам, любой гражданин Калифорнии получает право потребовать у компании информацию о том, для чего использовались его личные данные, куда они были направлены и т. д. В случае если компания не предоставила пользователю ответ в установленный срок либо если клиент выяснил, что персональная информация использовалась неправомерно, он имеет право заявить об этом в суд.
Одно можно сказать наверняка: оба нормативных акта имеют цель защитить пользовательские данные и дать клиентам возможность выбирать, хотят ли они, чтобы эти данные отслеживались. Несмотря на это, следующее сравнение покажет, насколько менее строгой будет реализация CCPA по сравнению с GDPR.
В случае с GDPR абсолютно все компании, которые обрабатывают личные данные пользователей ЕС, обязаны соблюдать положения данного документа. Исключений здесь нет. Следует отметить, что GDPR распространяется на те российские компании, филиалы которых находятся в одной из стран Европейского союза.
California Consumer Privacy Act распространяется на любые компании, которые собирают какие-либо личные данные своих пользователей – жителей Калифорнии. При этом сами организации не обязательно должны находиться на территории этой локации. Положение действует даже в том случае, если компания базируется за ее пределами. Однако есть и нюанс – минимальный порог дохода для компаний, на которых распространяется действие документа – $25 млн в год. В случае если выручка не превышает этого значения, но фирма обрабатывает персональные данные более чем 50 тыс. пользователей, ее деятельность также должна регулироваться ССРА.
Кроме того, закон распространяется и на те организации, которые получают более 50% прибыли от продажи персональных данных граждан. При этом совершенно неважно, какого она размера, также не имеет значения, где территориально расположена эта компания.
Версия для печати | Обсудить на форуме
Все новости