CCPA і GDPR та закон України «Про захист персональних даних»

В цій статті як і в попередній, ми хочемо поділитись досвідом роботи з іншими країнами. Це особливо буде цікаво тим, хто хоче працювати за межами України і тим хто цінує свої права та конфіденційність. В thedc.studio ми вирішили більше уваги приділити саме штату Каліфорнія, так як перший закон про захист персональних даних у США був прийнятий саме в цьому штаті. І порівняємо їх закони з Європейськими та України. 

По перше одразу потрібно сказати, що штат Каліфорнія не єдиний має закони які регулюють права користувачів CCPA (California Consumer Privacy Act). Інші штати по прикладу Каліфорнії теж прийняли подібні закони, наприклад: Вірджинія (Virginia Consumer Data Protection Act, VCDPA), Колорадо (Colorado Privacy Act, CPA), Юта (Utah Consumer Privacy Act, UCPA). Але в порівнянні ці закони вступили в силу тільки рік тому, в 2023, тоді як закони Каліфорнії діють вже з 1 січня 2020 року і є зразком. Європейські ж закони GDPR (General Data Protection Regulation) діють з 2018 року.

Основні положення CCPA:

І так, CCPA став першим всеосяжним законом про захист даних у США, надавши жителям штату Каліфорнія нові права щодо їхньої персональної інформації та встановивши нові обов’язки для компаній, які обробляють ці дані.

Права користувачів:

• Право знати, які особисті дані збираються про них.
• Право вимагати видалення своїх даних.
• Право відмовлятися від продажу своїх даних. (так, саме від продажу а не від передачі прав) 
• Право на недискримінацію за використання своїх прав.

Обов’язки компаній:

• Повідомляти споживачів про збір їхніх даних.
• Надавати механізми для відмови від продажу даних (наприклад, посилання «Не продавати мої особисті дані»).
• Забезпечувати доступність інформації про права споживачів і способи їх реалізації.

Основні положення GDPR:

В Європі основним нормативним актом, що регулює захист особистої інформації, є GDPR (General Data Protection Regulation), який набрав чинності 25 травня 2018 року. Цей закон застосовується до всіх країн-членів Європейського Союзу та надає єдині правила для обробки персональних даних. 

Права користувачів:

• Право на доступ до своїх даних.
• Право на виправлення невірних даних.
• Право на видалення даних («право на забуття»).
• Право на обмеження обробки даних.
• Право на переносимість даних.
• Право на заперечення проти обробки даних.
• Право не піддаватися автоматизованим рішенням, включаючи профілювання.

Обов’язки компаній:

• Отримувати явну згоду на обробку даних.
• Забезпечувати прозорість щодо обробки даних.
• Повідомляти про порушення безпеки даних.
• Призначати DPO (Data Protection Officer) у певних випадках.
• Дотримуватись принципів мінімізації даних та конфіденційності.

Порівнюємо закон України «Про захист персональних даних» та GDPR

Ми спеціально підняли цю тему, так як хотіли звернути увагу на деякі важливі відмінності між законом України та європейським і до чого треба бути готовим компаніям та користувачам коли Україна буде повноправним членом Європейського Союзу. 

Застосування закону:

• GDPR: Застосовується до всіх компаній, які обробляють персональні дані резидентів ЄС, незалежно від місцезнаходження компанії.
• Український закон: Застосовується до суб’єктів, які знаходяться в Україні та обробляють персональні дані громадян України.

Штрафи за порушення закону:

• GDPR: Штрафи можуть досягати до 20 млн євро або 4% від річного світового обороту компанії, в залежності від того, що більше.
• Український закон: Штрафи за порушення є значно нижчими. Максимальні штрафи складають кілька тисяч гривень, що є менш суттєвим впливом на великі компанії.

Отримання згоди на обробку даних:

• GDPR: Вимагає явної та інформованої згоди на обробку персональних даних, яка повинна бути чітко виражена (наприклад, шляхом активного підтвердження).
• Український закон: Згода може бути отримана у письмовій формі або шляхом вчинення дій, які вказують на надання згоди (наприклад, заповнення форми на сайті).

Права суб’єктів даних:

• GDPR: Надає більш широкі права суб’єктам даних, включаючи право на переносимість даних та право на обмеження обробки даних.
• Український закон: Має схожі права, але не включає право на переносимість даних і має деякі обмеження в реалізації права на обмеження обробки.

Призначення відповідального за захист даних (DPO):

Data Protection Officer (DPO): це посадова особа, яка призначається організацією для забезпечення відповідності обробки персональних даних вимогам законодавства про захист даних

• GDPR: Вимагає призначення (DPO) у певних випадках, наприклад, якщо обробка даних є основною діяльністю компанії або включає великий обсяг спеціальних категорій даних.
• Український закон: Не містить обов’язкової вимоги щодо призначення відповідального за захист даних (DPO), хоча це може бути рекомендовано.

Оцінка впливу на захист даних (DPIA):

• GDPR: Вимагає проведення оцінки впливу на захист даних (Data Protection Impact Assessment, DPIA) у випадках, коли обробка даних може призвести до високого ризику для прав і свобод осіб.
• Український закон: Не містить конкретних вимог щодо проведення DPIA.

Повідомлення про порушення:

• GDPR: Вимагає повідомлення контролюючих органів і суб’єктів даних про порушення захисту персональних даних протягом 72 годин після виявлення.
• Український закон: Не містить конкретних строків для повідомлення про порушення захисту даних, хоча передбачає обов’язок інформувати суб’єктів даних і контролюючі органи.

Як ви зрозуміли, незважаючи на те, що українське законодавство про захист персональних даних має багато спільного з європейським GDPR, воно все ж таки відрізняється у деталях і ступені суворості. Наше законодавство продовжує розвиватися і буде наближатися до стандартів GDPR, зокрема у контексті гармонізації законодавства з нормами ЄС.

А зараз повернемось до США та відмінності між CCPA і GDPR:

Основні відмінності між CCPA (Каліфорнійським законом) і GDPR (Європейським законом)

Застосовність:

• CCPA: Застосовується до компаній, які ведуть бізнес у Каліфорнії та відповідають певним критеріям (наприклад, дохід понад $25 млн на рік).
• GDPR: Застосовується до будь-яких компаній, які обробляють дані резидентів ЄС, незалежно від місцезнаходження компанії.

Консенсус:

• CCPA: Основується на праві споживачів відмовитися від продажу даних.
• GDPR: Вимагає явної згоди на обробку даних.

Штрафи:

• CCPA: Штрафи можуть досягати $7,500 за умисні порушення.
• GDPR: Штрафи можуть досягати €20 млн або 4% від річного світового обороту компанії, залежно від того, що більше.

Фокус:

• CCPA: Переважно спрямований на захист споживчих даних і запобігання їх продажу.
• GDPR: Більш всеосяжний, охоплює всі аспекти обробки даних і включає суворі вимоги до захисту даних.

Ми можемо зробити висновок, що GDPR, CCPA і Закон України «Про захист персональних даних» мають спільну мету – забезпечення захисту персональних даних, проте відрізняються масштабом, суворістю та підходами до захисту прав громадян. 

GDPR є найбільш комплексним і суворим, охоплюючи всі аспекти обробки даних в ЄС. CCPA більш зосереджений на правах споживачів і прозорості даних у Каліфорнії, тоді як український закон можна вважати більш загальний, орієнтований на адаптацію до європейських стандартів, але менш деталізований у порівнянні з GDPR. 

Бажаємо, щоб ваші дані були в безпеці, а права не порушували.