Автор материала: Сергей Овчаренко, руководитель International Law Department в Alcor

В последнее время Калифорния радует нас новыми законодательными инициативами, которые влияют на работу как местных IT-компаний так и украинских, которые сотрудничают с ними или ведут самостоятельный бизнес на территории штата. Рассмотрим одну из них.

С 1 января 2020 в Калифорнии вступил в силу CCPA — California Consumer Privacy Act — закон, регулирующий сбор и продажу персональных данных жителей штата.

Почему это важно? Во-первых, экономика Калифорнии — это пятая крупнейшая экономика мира (!), уступающая только США (штатом которой она явяется), а также Китаю, Японии и Германии. Это означает, что изменения могут повлиять и на международные соглашения и процессы.

Во-вторых, Калифорния с Кремниевой долиной является центром мирового ІТ и, вместе с другими штатами, крупнейшим покупателем украинских ІТ-услуг.

Вокруг закона ходило много слухов и конспирации. Кто-то говорил, что это новый GDPR (Европейский закон о защите персональных данных), кто указывал на необходимость изменения бизнеса. Правда, как всегда, где-то посередине. Но сначала немного контекста: принятый законопроект стал компромиссом между одноименным законопроектом, созданным Аластаиром Мактаггартом, членом Наблюдательного совета и основателем Californians for Consumer Privacy, с одной стороны и бизнесом, который заинтересован в свободном обращении и монетизации данных с другой.

Мактаггарт представляет силу, в том числе финансовую, которая выступает за усиление прав потребителей в сфере защиты персональных данных. Как отмечает он сам: «Это не правильно, что компании о которых вы никогда ничего не слышали, могут купить или продать информацию о вас, которую знают только ваши близкие друзья».

В ответ на это, Сенат Калифорнии принял закон, который должен стать золотой серединой между правами человека и интересами бизнеса и который мы и рассмотрим.

Стоит заметить, что закон приняли в спешке, под давлением сторонников Privacy rights, и он имеет ряд неточностей (или слишком общих понятий). Пока документ дорабатывают, и изменения в закон и разъяснения California Attorney General (CAG) должны появиться в ближайшее время.

Несмотря на это, CCPA уже действует, а потому украинским ІТ-компаниям, работающим с персональными данными жителей Калифорнии, стоит быть готовыми и принять необходимые меры, чтобы избежать неожиданностей от «контролирующих» органов Калифорнии.

Сфера действия

CCPA применяется ко всем коммерческим компаниям, которые собирают и обрабатывают личные данные жителей («Residents») Калифорнии, ведут бизнес в Калифорнии и соответствуют одному из следующих критериев:

— имеют годовой валовой доход, превышающий $25 млн;

— получают личную информацию 50 тыс. или более жителей Калифорнии, домохозяйств или устройства ежегодно;

— получают 50% или более своих ежегодных доходов от продажи личной информации жителей Калифорнии.

Что считается персональными данными

Понятие несколько шире, чем в GDPR, и включает не только информацию, с помощью которой может быть идентифицирована личность, а также информацию, не указывающую на конкретное лицо, но ассоциированную с местом проживания («Household»).

В CCPA еще нет определения этого термина, однако в предложенных (и еще не принятых) разъяснениях Калифорнийского главного юриста (CAG) указано, что household — лицо или группа лиц, занимающих помещения. То есть, например, интернет вещей (IoT) или умный дом также подпадают под регулирование.

К субъектам ССPA также входят относятся работники бизнеса, базирующиеся в Калифорнии, и контакты клиентов и поставщиков (действие последних двух положений частично отложены до 1 января 2021).

На что обратить внимание

Не стану перечислять права и обязанности бизнеса или жителей Калифорнии, частично они аналогичны GDPR, частично еще будут уточняться, однако уже сейчас украинским ІТ-компаниям стоит обратить внимание на следующее:

1. Понятие «продавать» информацию имеет очень широкое значение и отличается от того, что мы обычно понимаем под этим словом. Оно включает любую коммуникацию или передачу данных, в обмен на материальную (денежную) или нематериальную выгоду.

Нематериальная выгода специально расшифрована в законе и включает любую взаимную выгоду. Например, взаимный обмен информацией, предоставление информации для таргетированной рекламы и тому подобное.

2. Продуктовым компаниям, работающим с данным жителей Калифорнии, стоит обновить сайт и/или приложения, которые включали возможность потребителям разрешать или отказываться от продажи его данных третьим лицам.

Между обновление Privacy Notice и Privacy Policy, сайт или приложение может содержать заметные ссылки на главной странице (или главном экране приложения) с текстом «Do not sell my information», которая позволяла реализовывать требование, описанное выше.

3. В отличие от GDPR, CCPA не имеет понятия трансграничной передачи данных, а потому в переговорах с клиентами не придется подписывать любые дополнительные соглашения кроме «service provider contract clauses» (договор о предоставлении услуг — ред.) для сервисных компаний.

То есть ІТ-компаниям, которые предоставляют услуги по разработке ПО калифорнийским компаниям, следует добавлять специальные положения в договор с клиентом, подтверждающий статус украинской компании как «service provider» (специально введенный термин CCPA). Этот термин указывает, что компания лишь предоставляет услуги клиенту, работает от его имени и не собирается использовать данные любым другим образом. В таком случае украинская компания не будет субъектом CCPA.

Не до конца понятно, как будет действовать передача данных между компаниями одной группы. CCPA указывает, что под бизнесом понимается компания, отвечающая критериям указанным в начале статьи, но также включающая в себя другие компании, которые: контролируются или контролируемы субъектом CCPA; работают под одним брендом (то есть общее название, торговая марка и т. д.).

Большинство юристов быстро сделали вывод, что передача внутри группы ничем не ограничена, но возникают вопросы: что делать с аффилированными компаниями, имеющими другой бренд? Подпадают ли «сестринские» компании под понятие бизнеса, то есть те, которые имеют косвенное корпоративную связь с субъектом ССРА? Означает ли, что другие аффилированные компании также должны отвечать требованиям CCPA и, например, резидент Калифорнии или California Attroney General (орган, контролирующий выполнение условий CCPA) может обратиться к любой компании в группе?

Поэтому уже сейчас стоит провести аудит обращения персональных данных в группе компаний и, где это возможно, обновить договоры о передаче данных положениями CCPA, чтобы отразить отношения заказчик-поставщик (Service provider), и не быть субъектом ССРА для тех компаний, которым это нужно.

Вместо заключения

CCPA уже действует и заставляет компании переосмысливать и менять бизнес-модели в Калифорнии. Однако это еще не окончательная версия. Именно сейчас происходит политическая борьба между сторонниками защиты прав человека и представителями бизнеса.

Аластаир Мактаггарт уже анонсировал, что в ответ на многочисленные законопроекты, лоббирующиеся бизнесом и размывающие начальную идею акта, помимо прочего, внесет новый закон, который создаст специальное агентство по защите персональных данных и будет сфокусировано на контроле выполнения ССРА.

Однако самое важное другое: Калифорния десятки лет была лидером в США в сфере персональных данных. Например, в 2002 этот штат первым принял закон, обязывающий сообщать людей о случаях нарушения их прав в сфере персональных данных. Через несколько лет аналогичный закон приняли во всех других штатах, а в 2009 году уже и на федеральном уровне.

Источник: nv.ua