2 тижні тому компанія Facebook повідомила про припинення роботи «десятків тисяч» застосунків близько 400 розробників у межах розслідування витоку даних через консалтингову компанію Cambridge Analytica.

Це не перший випадок витоку великих обсягів персональних даних (ПД). Проте, зокрема, у Європейському союзі вже декілька років працює відповідний регламент із захисту ПД. Крім того, у США вже прийнято відповідний закон, який поки регулює поводження із ПД інтернет-користувачів у Каліфорнії та набере чинності з 1 січня 2020 року. Водночас, з огляду на те, що документ розповсюджується на Силіконову долину, він може зачіпати й інтереси тих підприємств і користувачів, які співпрацюють із компаніями звідти.

Керуючий партнер Stron Legal Services Олег Дерлюк і юрист компанії Тарас Швець розповіли , на які норми документа варто зважати, зокрема, українським фірмам, що працюють із каліфорнійськими компаніями, а також про тенденції у сфері захисту ПД.

Кожен користувач Всесвітньої мережі обов'язково залишає якісь персональні дані про себе на ресурсах, які відвідує: ім'я, адресу, вік або більш широку інформацію. А оскільки не кожна людина хотіла б розкривати ті чи інші персональні дані, існують права щодо їхнього захисту.

Іноземне законодавство у сфері захисту даних

На хвилі почастішання випадків злому, крадіжки і неправомірного використання персональних даних, як в резонансній справі Facebook на початку цього року, були прийняті жорсткіші заходи щодо захисту персональних даних споживачів будь-яких IT-ресурсів.

Так, раніше уряд Європейського союзу вже випустив новий Загальний регламент щодо захисту даних (англ. General Data Protection Regulation/GDPR), який набув чинності 25 травня 2018 року і надавав користувачам право погоджуватися або відмовлятися від обробки персональний даних.

Слідом за ним, практично відразу, був виданий каліфорнійський Закон про захист прав споживачів (англ. The California Consumer Privacy Act of 2018/CCPA), покликаний захищати права інтернет-користувачів з Каліфорнії. Але, на відміну від європейського попередника, каліфорнійський закон не вимагає від компаній доводити згоду користувачів на обробку їхніх персональних даних, а дозволяє відмовитися від такої обробки, а також вимагати надати інформацію про те, як ці дані були використані.

І хоча закон набирає сили лише з 1 січня 2020 року, вже можна судити про те, як і на кого він впливатиме, спираючись на досвід уже існуючих споріднених законодавств із зарубіжних юрисдикцій. Варто відразу зазначити, що найхарактерніша риса CCPA, що відрізняє його від інших подібних законів, – це те, що він чітко встановлює право інтернет-користувачів на захист особистих даних, як, наприклад, право на повне видалення їхніх даних, право бути поінформованим про використання даних та інші права користувачів. Ця, на перший погляд, маленька деталь є ознакою демократичного ставлення уряду США до бізнесу в цілому.

Як каліфорнійський закон захищатиме права споживачів

Розділ про права споживачів можна розділити на шість основних пунктів, про які варто поговорити докладніше.

Перше – це право на видалення зібраних персональних даних. Важливо, що воно не обмежується компанією, яка збирає особисті дані, а зачіпає і третіх осіб, яким дані були продані або передані. Це право дає користувачам інтернет-ресурсів можливість вимагати у компаній, які зібрали інформацію про них, видалити будь-які особисті дані.

Друге – право бути поінформованим. Цей розділ можна вважати стандартною вимогою, яка є у всіх подібних законах. Наприклад, як GDPR, так і CCPA містять розпорядчі положення щодо інформації, яку організації повинні надавати окремим особам під час збирання та оброблення їхньої особистої інформації. Обидва законодавчі акти, зокрема, наказують, коли інформація повинна надаватися особам і про що вони мають бути проінформовані. Проте, на відміну від GDPR, CCPA не робить різниці між повідомленням про збір інформації безпосередньо від фізичних осіб та повідомленням про отримання інформації з інших джерел.

Третє – право відмови від збирання даних. Як вже було сказано раніше, компаніям не потрібно отримувати згоду перед збиранням даних про користувача. А значить, він має бути про це поінформованим, після чого може повідомити про відмову від збирання даних, якщо має таке бажання. На відміну від європейського регламенту, що вимагає підтвердження згоди користувача перед збиранням даних. Можна сказати, що відсутність необхідності згоди в каліфорнійському законі спрощує процес і роботу IT-бізнесу, але водночас дотримуються права користувачів на конфіденційність.

Далі – право на доступ, яке дозволяє окремим особам повністю бачити дані, що має про них організація: вони можуть отримувати докладні відомості про оброблювані дані, а також копії самих документів, що містять дані. Крім того, CCPA передбачає, що кожного разу, коли доступ надається споживачам в електронному вигляді, інформація має бути в портативному і, наскільки це можливо, легко використовуваному форматі, який дозволяє споживачу передавати інформацію іншим особам.

CPPA також має ще одну особливість, яка не міститься в європейському попереднику, – це право не зазнавати дискримінації за задоволення своїх прав. Споживачі не повинні піддаватися дискримінації через здійснення їхніх прав відповідно до CCPA, це означає, що користувачі не повинні піддаватися санкціям, блокуванням, а також зустрічним скаргами з боку компаній. Це важливий пункт для захисту і забезпечення вимог користувача, без загрози дій компаній у відповідь.

Останнє в списку, але не за важливістю – право на можливість переносити дані.

CCPA вказує, що, коли підприємства надають дані в електронному вигляді споживачу після запиту на доступ, ці дані повинні бути передані в портативному і легко використовуваному форматі, який дозволяє без перешкод передавати ці дані третім особам. Це важливий пункт, бо він дозволяє користувачам отримати повну інформацію про використання їх даних, яка не буде зашифрована, і передати її юристу або в суд.

Як закон зачіпає інтереси українських компаній

Не варто забувати, що закон можна застосувати не тільки до певних компаній, що знаходяться на території штату Каліфорнія, а це більшість компаній Силіконової долини, такі як Google, Micorsoft та інші IT-гіганти. Відповідно до закону, треті особи, які працюють з компаніями, що потрапляють під дії закону, також пов'язані зобов'язанням дотримуватися перерахованих вище прав споживачів. Оскільки в Україні знаходиться велика кількість IT-компаній, які співпрацюють або працюють за аутсорсингом з каліфорнійськими компаніями, їм необхідно пам'ятати, що в цьому демократичному суспільстві права клієнтів завжди в пріоритеті.

Для IT-компаній з України, які постачають свої послуги для бізнесу з Каліфорнії, важливо знати критерії, за якими вони можуть потрапити під дію закону. Загалом існує три фактори, що визначають, чи потрапляє бізнес під дію закону:

1. прибуток бізнесу в Каліфорнії становить понад $25 млн;
2. якщо більше ніж 50% прибутку отримано від продажу особистої інформації;
3. якщо бізнес зберігає дані понад 50 000 інтернет-користувачів з Каліфорнії.

Тому, перш ніж починати співпрацю, важливо правильно скласти договір і запросити інформацію про доходи та їхні джерела у компанії-замовника, щоб бути готовим надати дані на першу вимогу користувача.

Джерело: mind.ua