CCPA – американский аналог GDPR

В последние годы множество стран рассматривают перспективы введения собственного нового регламента – аналога GDPR. Не так давно о разработке подобного документа заявила Индия. Теперь новый свод правил представили в штате Калифорния, США. Чем он отличается от GDPR?

Новый документ, получивший название California Consumer Privacy Act, или сокращенно – CCPA, должен вступить в силу уже 1 января 2020 года. Примечательно, что разработан и принят он был стремительно – буквально за одну неделю.

Только в течение последних лет в новостях можно было прочесть о множестве случаев взлома баз данных различных компаний. Если проанализировать 2017 и 2018 годы, в этот список вошли Equifax, Quora, Marriott Hotels и Uber. Таким образом, пострадали персональные данные миллионов пользователей. С этой точки зрения имеет смысл ввести такие законы, как GDPR и CCPA. Компании должны нести ответственность за неправильное обращение с данными потребителей, а те, в свою очередь, должны иметь возможность отказаться от предоставления и хранения информации, когда они захотят.

Следует отметить, что положения разработанного Америкой документа являются не такими строгими, как в случае с положением о защите персональных данных GDPR.

Целью CCPA является выделение трех отдельных областей защиты данных, а именно: как пользователь контролирует свои личные данные, как компании защищают пользовательские данные, какую информацию компании могут получить о своих клиентах.

Согласно новым правилам, любой гражданин Калифорнии получает право потребовать у компании информацию о том, для чего использовались его личные данные, куда они были направлены и т. д. В случае если компания не предоставила пользователю ответ в установленный срок либо если клиент выяснил, что персональная информация использовалась неправомерно, он имеет право заявить об этом в суд.

Читайте также: Регламент GDPR – система штрафов

Одно можно сказать наверняка: оба нормативных акта имеют цель защитить пользовательские данные и дать клиентам возможность выбирать, хотят ли они, чтобы эти данные отслеживались. Несмотря на это, следующее сравнение покажет, насколько менее строгой будет реализация CCPA по сравнению с GDPR.

В случае с GDPR абсолютно все компании, которые обрабатывают личные данные пользователей ЕС, обязаны соблюдать положения данного документа. Исключений здесь нет. Следует отметить, что GDPR распространяется на те российские компании, филиалы которых находятся в одной из стран Европейского союза.

California Consumer Privacy Act распространяется на любые компании, которые собирают какие-либо личные данные своих пользователей – жителей Калифорнии. При этом сами организации не обязательно должны находиться на территории этой локации. Положение действует даже в том случае, если компания базируется за ее пределами. Однако есть и нюанс – минимальный порог дохода для компаний, на которых распространяется действие документа – $25 млн в год. В случае если выручка не превышает этого значения, но фирма обрабатывает персональные данные более чем 50 тыс. пользователей, ее деятельность также должна регулироваться ССРА.

Кроме того, закон распространяется и на те организации, которые получают более 50% прибыли от продажи персональных данных граждан. При этом совершенно неважно, какого она размера, также не имеет значения, где территориально расположена эта компания.

Читайте также: Сфера деятельности постановления GDPR 25.05.2018

Наказания за нарушение правил CCPA демократичнее, чем санкции за несоблюдение GDPR. Штраф может составить порядка $7500, однако это значение может быть пересмотрено. Нарушения CCPA принимаются во внимание только после подтверждения утечки данных. GDPR же может наказать компанию, даже если считает, что она работает неправомерно. Наконец, что не менее важно, потребители могут подать в суд на компанию, если она не соблюдает требования CCPA.

Несмотря на то, что компаниям строго запрещено каким-либо образом дискриминировать тех пользователей, которые отказались от предоставления персональных данных, предлагать систему поощрения тем, кто на это согласился, не запрещено действующими положениями.

Таким образом, цена на те или иные услуги фирмы может разниться для тех, кто поделился этой информацией, и для тех, кто предпочел сохранить ее в тайне.

Читайте также: Регламент GDPR: в каких странах он действует?

Читайте также: GDPR. Как отразится на гемблинг-индустрии?