Skip to main content

1 лютого 2020 року 6 хвилин читання

Закон Каліфорнії про конфіденційність споживачів (CCPA) набуває чинності сьогодні, 1 січня 2020 р.

Коли ми святкуємо початок нового року, ми уважніше розглядаємо новий закон Каліфорнії про конфіденційність 2020 року, який вплине на те, як компанії обробляють персональні дані. Називається Каліфорнійським Законом про конфіденційність споживачівабо CCPA, він покликаний надати жителям Каліфорнії більше контролю над тим, як їхні персональні дані зберігаються та обробляються. Від сьогодні, 1 січня 2020року, цей закон про конфіденційність набуває чинності.

На кого вплине цей новий закон? Що потрібно знати про CCPA? Що ви можете зробити, щоб переконатися, що як власник веб-сайту, ви дотримуєтеся його?

Новий закон обов’язково вплине на більшість власників і операторів веб-сайтів, як це було раніше з Європейським GDPR. Проте багато в чому CCPA не такий суворий, як GDPR, і більш чітко спрямований на компанії, які продають особисті дані споживачів.

На які веб-сайти вплине CCPA?

Перш за все, дію закону обмежується жителями Каліфорнії. Однак це не означає, що підприємства за межами Каліфорнії не повинні будуть дотримуватися закону, якщо вони мають справу з клієнтами з цього штату. Оскільки жителі Каліфорнії можуть отримати доступ до будь-якого веб-сайту, незалежно від того, звідки він працює, це в основному означає, що всі власники веб-сайтів у США та за кордоном повинні вжити заходів для дотримання вимог CCPA.

Ми вже бачили це раніше з європейським законом GDPR, який був спрямований на всі компанії, які обробляють особисту інформацію громадян ЄС. На момент набуття чинності GDPR власники веб-сайтів у США та інших країнах або дотримувалися GDPR для всіх своїх клієнтів, або вирішили просто заблокувати доступ до своїх веб-сайтів, якщо відвідування здійснювалося з IP-адреси в Європейському Союзі.

Якщо у вас є веб-сайт у будь-якому з інших американських штатів, ви можете зіткнутися з подібним вибором і тут. Якщо ви можете дозволити собі залишити своїх клієнтів, які живуть у Каліфорнії, є можливість заблокувати відвідування з каліфорнійських IP-адрес. Проте закони про конфіденційність даних, ймовірно, також будуть на порядку денному законодавців у майбутньому. Непередбачувано, що більше, якщо не всі штати приймуть подібне законодавство в майбутньому. Отже, замість того, щоб поступово блокувати потенційних клієнтів, може бути розумніше дотримуватися цього зараз, незалежно від того, де знаходиться ваш бізнес.

По-друге, на відміну від GDPR, дію закону дещо обмежена. CCPA стосується лише таких компаній:

  • тих, хто має валовий дохід щонайменше 25 мільйонів доларів
  • тих, хто має особисту інформацію про щонайменше 50 000 жителів Каліфорнії/домогосподарств /пристроїв на рік
  • щонайменше 50% їхнього річного доходуотримують від продажу особистих даних каліфорнійців

Якщо ваш веб-сайт збирає особисту інформацію, але не підпадає під жодну з перерахованих вище категорій, то ви можете вести звичайний бізнес. Ці застереження є чіткою ознакою того, що закон розроблено не для власників малого бізнесу, а скоріше, що він спрямований на корпорації, які отримують прибуток від продажу великого набору особистої інформації. Однак обов’язково перевірте кількість унікальних відвідувачів із Каліфорнії на вашому веб-сайті. Якщо це число перевищує 50 000 на рік, вам доведеться розглянути відповідність CCPA.

Що вважається персональними даними згідно з CCPA?

Немає великої різниці від того, що ми вже обговорювали в темах, пов’язаних з GDPR раніше, оскільки персональні дані, які стосуються, майже однакові: імена, адреси електронної пошти, місцезнаходження, біометричні данітощо. Закон визначає це як будь-яку інформацію, яка «ідентифікує, стосується, описує, може бути пов’язаним із певним споживачем чи домогосподарством або може бути обґрунтовано пов’язаним, прямо чи опосередковано, з певним споживачем чи домогосподарством». Зауважте, що загальнодоступна інформація, а також деідентифікованаабо зведена інформація про споживачане вважається особистою інформацією відповідно до CCPA.

Що мені потрібно зробити, щоб відповідати вимогам CCPA?

Ви все ще можете збирати і навіть продавати особисту інформацію, але вам потрібно спростити для користувачів можливість відмовитися від цього процесу. Закон чітко говорить, що якщо компанія продає особисту інформацію користувачів, вона повинна надати чітке посилання на їхній домашній сторінці під назвою «Не продавайте мою особисту інформацію». Крім того, заборонено пропонувати різні послуги чи функції на основі вибору: підключитися чи відмовитися. Усі клієнти мають користуватися тими ж послугами.

Подібно до GDPR, ви повинні надати клієнтам право доступу до даних, видаляти їхні персональні даніта вимагати розкриття всіх категорій персональних даних, які збираються та продаються (якщо це так). Це буде робитися на щорічній основі. На запит ви повинні надати персональні дані за попередні 12 місяців, що передували запиту. Крім того, клієнт може подавати такі претензії максимум двічі на рік.

Також не забудьте включити у свою політику конфіденційності наступне:

  • всі категорії інформації, яку ви збираєте та обробляєте
  • для чого використовуються ці категорії інформації
  • як збирається інформація
  • яка процедура запиту доступу, зміни, переміщення або видалення особистих даних
  • як перевіряється особу особи, яка подає запит
  • якщо персональні дані продаються, то це має бути описано тут
  • як відмовитися від продажу своїх даних

Чи автоматично відповідність GDPR означає, що ви також відповідаєте CCPA?

Не обов’язково, але є ймовірність, що якщо ви вжили заходів для дотримання GDPR, ви також відповідаєте вимогам CCPA. Усі перераховані вище умови також містяться в GDPR, за винятком чітких правил продажу персональних даних.

Які ризики невиконання вимог CCPA?

Основним ризиком, з яким стикаються власники веб-сайтів, є злом даних. Відповідно до законодавства компанія несе відповідальність за запобігання несанкціонованому доступу та крадіжці даних споживачів. Якщо це станеться, будь-який користувач, чиї дані витікають, має право подати заяву на відшкодування збитків у розмірі від 100 до 750 доларів США. Великий злом даних, коли викрадаються дані тисяч користувачів, потенційно може призвести компанію до банкрутства. Помножте 1000 x 750 доларів, і ви отримаєте оцінку впливу.

Однак до того, як почнеться будь-який цивільний позов, компаніям дається 30 днів на «усунення поміченого порушення», якщо це можливо.

Відповідність інструментів Analytics CCPA

Оскільки деідентифіковані дані, а також зведені дані, не підпадають під правила CCPA, більшість інструментів аналітики, швидше за все, сумісні за замовчуванням. Однак вам слід обов’язково ознайомитися з угодою про обробку даних та політикою конфіденційності таких третіх сторін, щоб переконатися, що у вас є вся інформація про використання персональних даних. У рамках зусиль щодо дотримання GDPR система Visitor Analytics також стала відповідати вимогам CCPA. Наша компанія не займається продажем або обміном даними з іншими. Дані, які ми збираємо, не можуть бути пов’язані з особистістю будь-якої особи, домогосподарства чи пристрою.

Якщо вам потрібна більш детальна інформація про новий закон про конфіденційність, ви можете прочитати повний текст 1.81.5. Каліфорнійський закон про конфіденційність споживачівтут. Якщо ви хочете дізнатися більше про те, як Visitor Analytics відповідає законам про конфіденційність, прочитайте нашу Політику конфіденційностіта Угоду про обробку даних.