Ще один “GDPR”. Тепер американський

Цього року Штати покажуть світові свою позицію щодо персональних даних. Тестова версія запрацює в Каліфорнії вже у 2020.

Ми залучили на підмогу бабака Філа, Регіну Петренко з “Битви екстрасенсів” та Сивілу Трелоні із “Гаррі Поттера”, щоб зробити для вас найточніший з усіх можливих прогнозів на 2019 рік.

Якщо ви думаєте, що 2018 рік пройшов під символом жовтого земляного собаки, то ви помиляєтеся. Цим символом були чотири букви G — D — P — R серед європейського сузір’я. Зображення із цим символом заполонили увесь Інтернет і стали ще популярнішими, ніж Феміда із зав’язаними очима серед юристів.

Якщо ви не знаєте, що таке GDPR, — вам сюди

США мали щось зробити у відповідь на GDPR, бо що люди скажуть. Цей процес прискорили скандали із Cambridge Analytica та Equifax.

Що сталося

У червні минулого року світ побачив California Consumer Privacy Act (Закон про приватність споживачів штату Каліфорнія або CCPA). А наприкінці 2018 сенатор Річард Блументаль пообіцяв, що проект нового федерального закону про захист даних буде завершено вже на початку 2019 року.

Як було

Захист персональних даних в США сьогодні мов розмаїтий гуцульський ліжник із заплутаними візерунками. Ним можна вкритися з головою і думати, що ти в безпеці, та чи може він врятувати тебе від снігової лавини на схилі Ґорґан?

У США панує так званий секторальний підхід в регулюванні — тобто існують окремі закони щодо, наприклад, обробки медичних даних чи фінансової інформації.

А ще існує безліч законів та регулювань на рівні окремих штатів, купа рекомендацій різних органів та індустріальних груп. Усі вони працюють одночасно, застосовуються урізнобій і спокійно можуть суперечити одне одному. Так, цей гуцульський ліжник ткали не надто дбайливо, і деякі нитки нахабно випинають.

Що прийняли в Каліфорнії

Першим штатом, який спробував упорядкувати цей хаос, стала сонячна Каліфорнія. Політ думки законодавців Каліфорнії був не таким широким, як у творців GDPR. Їхньої творчості вистачило лиш на якихось там 15 сторінок. Що це у порівнянні із сотнею сторінок GDPR?

CCPA ≈ GDPR

За аналогією до GDPR, California Consumer Privacy Act дає фізичним особам право керувати своїми даними. Новий закон надав каліфорнійцям право на доступ до своїх персональних даних та право на їхнє видалення. Також можна отримати інформацію про те, які саме дані обробляються, з яких джерел їх отримано, які цілі обробки, кому дані передаються, а також кому вони були продані. Додатково, законом закріплено за особою право заборонити продаж її даних.

Так само, як і GDPR, California Consumer Privacy Act забороняє будь-яким чином дискримінувати осіб, що скористалися своїми правами.

Наприклад, не можна відмовити такому споживачеві у товарах чи послугах. Але американці не є такими пуританами, як аристократи старої Європи. Каліфорнійський закон прямо дозволяє бізнесу встановити для тих, хто бажає скористатися їхніми правами, іншу ціну за товари чи послуги, або ж надавати їм послуги чи товари іншої якості, якщо така різниця обґрунтовано спричинена цінністю користувацьких даних. Також бізнес може запропонувати споживачам фінансові стимули, у тому числі різного роду компенсації за збір персональних даних, їхній продаж, чи видалення.

Запит за CCPA

Споживач має право отримати інформацію про обробку, а компанія зобов’язана відповісти на такий запит особи протягом 45 днів. Запит є безкоштовним, але користувач повинен пройти верифікацію. Зокрема верифікованим запитом вважається такий, що зроблений через захищений паролем акаунт.

Механізм верифікації для осіб, що не мають акаунта, повинен бути розроблений протягом року від прийняття закону. Відповідальність за розробку цього механізму, а також інших регулювань, що деталізуватимуть положення закону, лежить на Генеральному прокуророві. У такий спосіб каліфорнійці уникнули надмірної складності закону, а також дозволили громадськості взяти участь в обговоренні регулювань, що прийматимуться.

Бізнесоорієнтованість California Consumer Privacy Act додатково ілюструє право бізнесу стягнути збір за надання інформації, якщо запити споживача є явно необґрунтованими або надмірними, зокрема через їхню повторюваність.

Максимальний штраф за GDPR, як ви знаєте, — 20 млн. євро або 4% від річного обороту. California Consumer Privacy Act за кожне умисне порушення карає на $7500.

CCPA≄GDPR

Каліфорнійський закон не визначає жодних принципів обробки інформації. Ніяких вам законності, прозорості, точності даних, обмеження обробки її метою чи мінімізації даних. Закон лише визначає певні заборонені дії. Не йдеться у CCPA і про законну підставу для обробки.

Сфера застосування у CCPA теж зовсім інша. Цей акт застосовується лише до компаній, що працюють у Каліфорнії і відповідають одному із наступних критеріїв. Він стосується компаній, що за рік отримують більше, ніж 25 млн. доларів прибутку, обробляють дані більше, ніж 50 тис. споживачів, або отримують 50% і більше відсотків своїх прибутків від продажу персональних даних.


Попри красиву мету, California Consumer Privacy Act — це новий Дамоклів меч над захистом персональних даних у США. Джоел Каплан із Facebook уже говорив, що якщо вірус California Consumer Privacy Act перекинеться на інші штати, то законодавство США у цій сфері не перестане бути клаптиковою ковдрою, а необхідність дотримуватися цілого пакету різних правил водночас — це ще гірше, ніж GDPR. Воно і не дивно, адже обробка даних — це не продаж арахісової пасти у кафе під будинком. Часто обробка стосується величезної кількості людей, що можуть жити не просто в різних штатах, а й у різних країнах, тому навіть технологічні гіганти прагнуть грати за чіткими правилами. Саме їх Америці і потрібно напрацювати.

То до чого я це все. Чекаємо на новини від Дядька Сема у 2к19. Вони обов’язково будуть.

А поки слідкуємо за напрямком дискусії:

Eric Goldman, Professor of Law & Co-Director of the High Tech Law Institute, Santa Clara University