С 1 января в Калифорнии начал действовать California Consumer Privacy Act (CCPA) — закон о персональных данных, который ранее прозвали «американским GDPR».

Он ужесточает обращение с личной информацией по таким направлениям:

• Компании должны четко раскрывать, какую информацию они собирают, для каких целей и кто получает к ней доступ.
• Компании обязаны отвечать и реагировать на официальные запросы от клиентов по удалению данных.
• Клиенты имеют право отказаться от сбора персональных данных, это не должно сказываться на цене услуг или товаров. Но компании могут предлагать «финансовые поощрения» за право собирать личные данные.
• Калифорнийские власти имеют право накладывать штрафы на нарушителей.

Формально, с 1 января начался шестимесячный «тестовый период» — закон уже действует, но реальных штрафов за нарушения пока не будет.

Компании могут подготовиться к полноценной его имплементации. Критерии для бизнеса широкие: CCPA заденет фирмы, зарегистрированные в Калифорнии и предоставляющие там сервис, бизнесы с выручкой выше $25 млн и так далее.

На практике, как пишет The New York Times и TechCrunch, процесс растянется на годы.

Закон написан в обтекаемых формулировках, которые нужно переложить на язык строгого регулирования. Интернет-компании публично критиковали CCPA — они настаивали, что регулирование нужно, но не в такой форме. В ответ на запросы журналистов, большинство фирм так и не смогли ответить, чем конкретно обернется внедрение закона — все зависит от интерпретации конкретными юристами.

Полные правила соответствия закону опубликуют в середине 2020 года. Как замечает TechCrunch, пример GDPR показывает, что такое регулирование воплотить вполне реалистично. Но если ваша компания еще не занялась подготовкой — самое время начать.