CCPA официально вступил в силу 1 января 2020 года. Этот акт регулирует процесс обработки персональных данных физических лиц – потребителей товаров и услуг в Калифорнии.
Соответствие Закону штата Калифорния о защите персональных данных потребителей (CCPA)
В чем суть
CCPA официально вступил в силу 1 января 2020 года. Этот акт регулирует процесс обработки персональных данных физических лиц – потребителей товаров и услуг в Калифорнии. Предполагается, что с его вступлением в силу под защиту попали персональные данные, используемые для рекламных целей, общая стоимость которых превышает 12 млрд долларов.
Если компания допустит умышленное нарушение CCPA, то она обязана будет заплатить штраф в размере до 7,500 долларов США за каждое нарушение. Если нарушение будет признано неумышленным, штраф за каждое нарушение не будет превышать 2,500 долларов США.
Физические лица, пострадавшие от нарушений CCPA, смогут обращаться к компаниям с исками о взыскании компенсации в размере от 100 долларов США до 750 долларов США или же требовать взыскания убытков в большем размере.
Если компания допустит умышленное нарушение CCPA, то она обязана будет заплатить штраф в размере до 7,500 долларов США за каждое нарушение. Если нарушение будет признано неумышленным, штраф за каждое нарушение не будет превышать 2,500 долларов США.
Физические лица, пострадавшие от нарушений CCPA, смогут обращаться к компаниям с исками о взыскании компенсации в размере от 100 долларов США до 750 долларов США или же требовать взыскания убытков в большем размере.
Для кого это важно
Под действие ССРА попадают коммерческие организации, которые собирают персональные данные потребителей в Калифорнии и соответствуют одному из следующих критериев:
- обрабатывают персональные данные резидентов Калифорнии и при этом получают свыше 25 млн. долларов США годового дохода;
- хранят данные более 50 тысяч потребителей;
- получают более половины своей прибыли вне зависимости от ее размера от продажи персональных данных.
На что нужно обратить внимание
В первую очередь, необходимо провести анализ деятельности компании и существующих методов обработки персональных данных, то есть понять, что и как компания собирает и как обрабатывает.
По результатам анализа, привести в соответствие с требованиями CCPA внутренние процессы по получению, обработке, передаче и хранению персональных данных, а также внедрить необходимые меры безопасности.
Необходимо также проанализировать, передаются ли данные третьим лицам и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
Также необходимо создать или обновить имеющиеся политики конфиденциальности и иные документы, предоставляемые клиентам.
При этом стоит учитывать, что возможно часть мер уже была предпринята компанией в рамках подготовки к соответствию GDPR. Так, и CCPA, и GDPR требуют от компаний обеспечивать безопасность данных доступными техническими средствами и своевременно отвечать на запросы на предоставление и удаление данных. Однако по требованиям CCPA компании дополнительно должны предоставить субъекту право запретить продавать их персональные данные. Право на такой запрет должно быть предоставлено всем субъектам, и только активное согласие на продажу может санкционировать возмездную передачу данных третьим лицам.
По результатам анализа, привести в соответствие с требованиями CCPA внутренние процессы по получению, обработке, передаче и хранению персональных данных, а также внедрить необходимые меры безопасности.
Необходимо также проанализировать, передаются ли данные третьим лицам и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
Также необходимо создать или обновить имеющиеся политики конфиденциальности и иные документы, предоставляемые клиентам.
При этом стоит учитывать, что возможно часть мер уже была предпринята компанией в рамках подготовки к соответствию GDPR. Так, и CCPA, и GDPR требуют от компаний обеспечивать безопасность данных доступными техническими средствами и своевременно отвечать на запросы на предоставление и удаление данных. Однако по требованиям CCPA компании дополнительно должны предоставить субъекту право запретить продавать их персональные данные. Право на такой запрет должно быть предоставлено всем субъектам, и только активное согласие на продажу может санкционировать возмездную передачу данных третьим лицам.
