Зважаючи на тісну співпрацю ІТ-сфери України з США вважаємо за необхідне розказати сьогодні про деякі особливості захисту персональних даних в США, а саме про California Consumer Privacy Act (далі – Акт).

Цей документ було підписано губернатором штату Каліфорнія ще влітку 2018 року, проте набрав чинності він з 01.01.2020.

Стосується він, в першу чергу, фізичних осіб. Від самого початку Акт, на відміну від GDPR, визначив, що суб’єктами персональних даних в його сфері впливу є виключно фізичні особи. Причому під дію підпадають резиденти штату Каліфорнія, які можуть бути ідентифіковані за допомогою ідентифікатора, до якого відноситься майже всі електронні способи ідентифікації (ІР-адреса, номер телефону та ін.).

В другу чергу Акт стосується компаній, які власне обробляють персональні дані таких фізичних осіб. Це можуть бути і приватні підприємці, і компанії в класичному розумінні (ТОВ, корпорації, асоціацій), а також інші юридичні особи, створені з метою отримання прибутку, і відповідають хоча б одному з наступних критеріїв:

  • Мають річний дохід більше $ 25000000;
  • Щорічно співпрацює (купує, продає, ділить і т.д.) з особистою інформацією не менше 50 000 споживачів;
  • Щорічна частина продажів особистої інформації споживачів складає не менше 50% доходу компанії.

GDPR

Окрім того, дія Акту розповсюджується і на компанії, які контролюють описані вище компанії. Тож по суті, Акт розповсюджується на контролерів персональних даних, не охоплюючи операторів, на відміну від GDPR.

До персональних даних, що захищаються Актом, відноситься:

  • Ідентифікуюча інформація про особу;
  • Всі категорії особистої інформації (номер банківського рахунку і т.п.);
  • Особиста інформація (сімейний стан, стан здоров’я і т.п.);
  • Комерційна інформація (стан майна);
  • Біометрична інформація;
  • Інформація про активність в мережі інтернет;
  • Професійна інформація (освіта та працевлаштування);
  • Дані геолокації;
  • Висновки по попереднім категоріям інформації, які дають можливість визначити споживчі уподобання особи.

При цьому варто розуміти, що до персональних даних, які захищаються Актом, не відноситься загальнодоступна інформація, якою на законних підставах володіють органи державної влади.

Суб’єкти персональних даних (фізичні особи) володіють значним обсягом прав щодо зібраної про них інформації. Від компаній, які збирають такі дані, фізична особа може вимагати:

  • Розкрити дані, які вже зібрані;
  • Видалити деякі дані;
  • Відкрити джерела, звідки було зібрано дані;
  • Відкрити компанії, яким було передано дані;
  • Не передавати інформацію про особу.

Як бачимо, з 2020 року персональні дані резидентів штату Каліфорнія будуть добре захищеними. І хоча це поки що ініціатива одного штату, світові тенденції дають право вважати, що аналогічні документі будуть прийняті і в інших штатах, тож під час роботи в юрисдикції США вже слід готуватися до майбутніх вимог, що дасть вам не аби яку конкурентну перевагу в майбутньому.

Інформацію про особливості захисту персональних даних в Україні, особливо зважаючи на вимоги GDPR, ви зможете дізнатись на нашому новому курсі GDPR та захист персональних даних. Переходьте за посиланням, реєструйтеся, та дізнавайтесь програму та спікерів курсу.

Читайте також: Вимоги GDPR та як їм відповідати

Pin It on Pinterest