Skip to main content

1 февраля 2020 года 6 минут чтения

Калифорнийский закон о защите прав потребителей (CCPA) вступает в силу с сегодняшнего дня, 1 января 2020 года

Празднуя начало нового года, мы подробнее рассмотрим новый калифорнийский закон о конфиденциальности на 2020 год, который повлияет на то, как бизнес будет обращаться с персональными данными. Названный California Consumer Privacy Act или CCPA, он призван обеспечить жителям Калифорнии больший контроль над тем, как хранятся и обрабатываются их личные данные. С сегодняшнего дня, 1 января 2020 года, действует этот закон о неприкосновенности частной жизни.

На кого повлияет это новое законодательство? Что самое главное знать о CCPA? Что вы можете сделать, чтобы убедиться, как владелец сайта, что вы соблюдаете его?

Новый закон обязательно затронет большинство владельцев и операторов веб-сайтов, как это ранее происходило с европейским GDPR. Тем не менее, во многих отношениях CCPA не так строг, как GDPR, и более явно ориентирован на компании, которые продают персональные данные потребителей.

Какие сайты будут влиять на CCPA?

Новый закон обязательно затронет большинство владельцев и операторов веб-сайтов, как это ранее происходило с европейским GDPR. Тем не менее, во многих отношениях CCPA не так строг, как GDPR, и более явно ориентирован на компании, которые продают персональные данные потребителей.

 

Какие сайты будут влиять на CCPA?

Прежде всего, действие закона ограничено жителями Калифорнии. Однако это не означает, что предприятия за пределами Калифорнии не будут обязаны соблюдать закон, если они имеют дело с клиентами из этого штата. Поскольку жители Калифорнии могут получить доступ к любому веб-сайту, независимо от того, откуда он работает, это в основном означает, что все владельцы веб-сайтов, как в США, так и за рубежом, должны предпринять шаги, направленные на соблюдение требований CCPA.

Мы уже видели это раньше, когда в Европе действовал закон о GDPR, который был направлен на все компании, работающие с персональными данными граждан ЕС. В момент вступления в силу GDPR владельцы сайтов в США и других странах либо соблюдали GDPR для всех своих клиентов, либо решили просто заблокировать доступ к своим сайтам, если визит осуществлялся с IP в Европейском Союзе.

Если вы управляете веб-сайтом в любом из других американских штатов, то здесь вы можете столкнуться с аналогичным выбором. Если вы можете позволить себе оставить своих клиентов, проживающих в Калифорнии, есть возможность блокировки посещений с калифорнийских IP-адресов. Тем не менее, законы о конфиденциальности данных, скорее всего, будут включены в повестку дня законодателей и в будущем. Не исключено, что больше, если не все государства, примут аналогичное законодательство в будущем. Таким образом, вместо того, чтобы постепенно блокировать потенциальных клиентов, возможно, было бы мудрее соблюдать требования сейчас, независимо от того, где находится ваш бизнес.

Во-вторых, в отличие от ВВПР, влияние закона несколько ограничено. CCPA будет касаться только следующих компаний:

  • с валовым доходом не менее 25 млн. долл.
  • те, кто обладает персональной информацией о не менее чем 50.000 жителях Калифорнии / домохозяйствах / устройствах в год
  • не менее 50% их годового дохода формируется за счет продажи персональных данных калифорнийцев

Если ваш сайт собирает личную информацию, но не подпадает под одну из вышеперечисленных категорий, то вы вольны вести дела, как обычно. Эти предостережения являются явным признаком того, что закон был разработан не для владельцев малого бизнеса, а для корпораций, которые извлекают выгоду из продажи больших комплектов личной информации. Однако не забудьте проверить количество уникальных посетителей из Калифорнии, которые находятся на вашем сайте. Если это число превышает 50,000 в год, то вы должны будете рассмотреть соответствие CCPA.

Что считается персональными данными в соответствии с CCPA?

От того, что мы уже обсуждали ранее по темам, связанным с GDPR, нет большой разницы, т.к. персональные данные практически одинаковы: имена, адреса электронной почты, местоположение, биометрические данные и т.д.. Закон определяет это как любую информацию, которая "идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домашним хозяйством". Обратите внимание, что общедоступная информация, а также деидентифицированная или совокупная информация о потребителе не считается личной информацией в соответствии с CCPA.

Что мне нужно сделать, чтобы соответствовать требованиям CCPA?

Что считается персональными данными в соответствии с CCPA?

От того, что мы уже обсуждали ранее по темам, связанным с GDPR, нет большой разницы, т.к. персональные данные практически одинаковы: имена, адреса электронной почты, местоположение, биометрические данные и т.д.. Закон определяет это как любую информацию, которая "идентифицирует, относится, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домашним хозяйством". Пожалуйста, обратите внимание, что общедоступная информация, а также деидентифицированная или совокупная информация о потребителях не считается личной информацией в соответствии с CCPA.

 

Что мне нужно сделать, чтобы соответствовать требованиям CCPA?

Вы все еще можете собирать и даже продавать личную информацию, но вам нужно сделать так, чтобы пользователи могли легко отказаться от этого процесса. Закон прямо гласит, что если предприятие продает личную информацию пользователей, оно должно предоставить четкую ссылку на их домашнюю страницу под названием "Не продавать мою личную информацию". Кроме того, противозаконно предлагать различные услуги или функции в зависимости от выбора, чтобы согласиться или отказаться от них. Все клиенты должны пользоваться одними и теми же услугами.

Как и GDPR, вы должны предоставить клиентам право доступа к данным, удаления их персональных данных, а также потребовать раскрытия всех категорий персональных данных, которые собираются и продаются (если это так). Это будет делаться ежегодно. По запросу Вы должны предоставить персональные данные за предыдущие 12 месяцев, предшествующие запросу. Кроме того, клиент может подавать такие претензии только дважды в год.

Также, пожалуйста, не забудьте включить в свою политику конфиденциальности следующее:

  • все категории информации, которую вы собираете и обрабатываете
  • для чего используются эти категории информации
  • как собирается информация
  • что такое процедура запроса доступа, изменения, перемещения или удаления личных данных
  • как проверяется личность лица, подавшего запрос.
  • если личные данные продаются, то это должно быть описано здесь.
  • как отказаться от продажи их данных.

Означает ли соответствие GDPR автоматически, что вы также соответствуете требованиям CCPA?

Не обязательно, но есть шанс, что если вы предприняли шаги по соблюдению GDPR, то вы также соответствуете требованиям CCPA. Все вышеперечисленные условия встречаются и в GDPR, за исключением однозначных правил продажи персональных данных.

Каковы риски несоблюдения CCPA?

Означает ли соответствие GDPR автоматически, что вы также соответствуете требованиям CCPA?

Не обязательно, но есть шанс, что если вы предприняли шаги по соблюдению GDPR, то вы также соответствуете требованиям CCPA. Все вышеперечисленные условия встречаются и в GDPR, за исключением однозначных правил продажи персональных данных.

 

Каковы риски несоблюдения CCPA?

Основной риск, с которым сталкиваются владельцы сайтов, заключается в нарушении данных. В соответствии с законом, компания несет ответственность за предотвращение несанкционированного доступа и кражи данных потребителей. Если это произойдет, то любой пользователь, данные которого утеряны, имеет право подать заявку на возмещение ущерба в размере от 100 до 750 долларов США. Крупная утечка данных, при которой похищены данные тысяч пользователей, потенциально может привести компанию к банкротству. Умножьте 1000 x 750 долларов и получите оценку воздействия.

Однако, прежде чем подавать гражданский иск, компаниям разрешается 30 дней, чтобы "вылечить замеченное нарушение", если это возможно.

 

Аналитические инструменты Соответствие CCPA

Поскольку деидентифицированные данные, так же как и агрегированные данные, не подпадают под правила CCPA, большинство аналитических инструментов, скорее всего, по умолчанию являются совместимыми. Тем не менее, вы должны обязательно ознакомиться с соглашением об обработке данных и политикой конфиденциальности любых таких третьих лиц, чтобы убедиться, что у вас есть вся информация об использовании персональных данных. В рамках усилий, направленных на соблюдение GDPR, Visitor Analytics тоже стала CCPA-совместимой. Наша компания не занимается продажей или обменом данными с другими. Собранные нами данные не могут быть связаны с личностью какого-либо лица или домашнего хозяйства или устройства.

Если вам нужна более подробная информация о новом законе о конфиденциальности, вы можете прочитать полный текст 1.81.5. Калифорнийский закон о защите прав потребителей здесь. Если вы хотите узнать больше о том, как Visitor Analytics соблюдает законы о конфиденциальности, пожалуйста, ознакомьтесь с нашей Политикой Конфиденциальности и Соглашением по обработке данных.

Аналитические инструменты Соответствие CCPA

Поскольку деидентифицированные данные, так же как и агрегированные данные, не подпадают под правила CCPA, большинство аналитических инструментов, скорее всего, по умолчанию являются совместимыми. Тем не менее, вы должны обязательно ознакомиться с соглашением об обработке данных и политикой конфиденциальности любых таких третьих лиц, чтобы убедиться, что у вас есть вся информация об использовании личных данных. В рамках усилий по соблюдению GDPR, Visitor Analytics также стала соответствовать CCPA. Наша компания не занимается продажей или обменом данными с другими лицами. Собранные нами данные не могут быть связаны с личностью какого-либо лица, домашнего хозяйства или устройства.

Если вам нужна более подробная информация о новом законе о конфиденциальности, вы можете ознакомиться с полным текстом 1.81.5. Калифорнийского закона о защите прав потребителей здесь. Если вы хотите узнать больше о том, как компания Visitor Analytics соблюдает законы о конфиденциальности, пожалуйста, ознакомьтесь с нашей Политикой конфиденциальности и Соглашением об обработке данных.