CCPA, GDPR и закон Украины «О защите персональных данных»

В этой статье, как и в предыдущей, мы хотим поделиться опытом работы с другими странами. Это будет особенно интересно тем, кто хочет работать за пределами Украины и тем, кто ценит свои права и конфиденциальность. В thedc.studio мы решили уделить больше внимания именно штату Калифорния, так как первый закон о защите персональных данных в США был принят именно в этом штате. Мы сравним его законы с европейскими и украинскими.

Во-первых, нужно сразу сказать, что Калифорния не единственный штат с законами, регулирующими права пользователей, такими как CCPA (California Consumer Privacy Act). Другие штаты, следуя примеру Калифорнии, также приняли подобные законы, например: Вирджиния (Virginia Consumer Data Protection Act, VCDPA), Колорадо (Colorado Privacy Act, CPA), Юта (Utah Consumer Privacy Act, UCPA). Однако эти законы вступили в силу только в 2023 году, тогда как законы Калифорнии действуют с 1 января 2020 года и считаются образцом. Европейские законы GDPR (General Data Protection Regulation) действуют с 2018 года.

Основные положения CCPA:

Итак, CCPA стал первым всеобъемлющим законом о защите данных в США, предоставив жителям Калифорнии новые права в отношении их личной информации и установив новые обязанности для компаний, которые обрабатывают эти данные.

Права пользователей:

• Право знать, какие личные данные собираются о них.
• Право требовать удаления своих данных.
• Право отказаться от продажи своих данных (да, именно от продажи, а не от передачи прав).
• Право на недискриминацию за использование своих прав.

Обязанности компаний:

• Уведомлять потребителей о сборе их данных.
• Предоставлять механизмы для отказа от продажи данных (например, ссылка «Не продавать мои личные данные»).
• Обеспечивать доступность информации о правах потребителей и способах их реализации.

Основные положения GDPR:

В Европе основным нормативным актом, регулирующим защиту личной информации, является GDPR (General Data Protection Regulation), который вступил в силу 25 мая 2018 года. Этот закон применяется во всех странах-членах Европейского Союза и устанавливает единые правила для обработки персональных данных.

Права пользователей:

• Право на доступ к своим данным.
• Право на исправление неверных данных.
• Право на удаление данных («право на забвение»).
• Право на ограничение обработки данных.
• Право на переносимость данных.
• Право возражать против обработки данных.
• Право не подвергаться автоматизированным решениям, включая профилирование.

Обязанности компаний:

• Получать явное согласие на обработку данных.
• Обеспечивать прозрачность в отношении обработки данных.
• Сообщать о нарушениях безопасности данных.
• Назначать DPO (Data Protection Officer) в определенных случаях.
• Соблюдать принципы минимизации данных и конфиденциальности.

Сравнение Закона Украины «О защите персональных данных» и GDPR

Мы специально подняли эту тему, чтобы обратить внимание на некоторые важные различия между законом Украины и европейским законодательством, а также на то, к чему должны быть готовы компании и пользователи, когда Украина станет полноправным членом Европейского Союза.

Применение закона:

• GDPR: Применяется ко всем компаниям, которые обрабатывают персональные данные резидентов ЕС, независимо от местонахождения компании.
• Украинский закон: Применяется к субъектам, находящимся в Украине и обрабатывающим персональные данные граждан Украины.

Штрафы за нарушение закона:

• GDPR: Штрафы могут достигать 20 млн евро или 4% от годового мирового оборота компании, в зависимости от того, что больше.
• Украинский закон: Штрафы за нарушение значительно ниже. Максимальные штрафы составляют несколько тысяч гривен, что является менее значительным воздействием на крупные компании.

Получение согласия на обработку данных:

• GDPR: Требует явного и информированного согласия на обработку персональных данных, которое должно быть четко выражено (например, путем активного подтверждения).
• Украинский закон: Согласие может быть получено в письменной форме или путем совершения действий, которые указывают на предоставление согласия (например, заполнение формы на сайте).

Права субъектов данных:

• GDPR: Предоставляет более широкие права субъектам данных, включая право на переносимость данных и право на ограничение обработки данных.
• Украинский закон: Имеет схожие права, но не включает право на переносимость данных и имеет некоторые ограничения в реализации права на ограничение обработки.

Назначение ответственного за защиту данных (DPO):

Data Protection Officer (DPO) – это должностное лицо, назначаемое организацией для обеспечения соответствия обработки персональных данных требованиям законодательства о защите данных.

• GDPR: Требует назначения DPO в определенных случаях, например, если обработка данных является основной деятельностью компании или включает большой объем специальных категорий данных.
• Украинский закон: Не содержит обязательного требования о назначении DPO, хотя это может быть рекомендовано.

Оценка воздействия на защиту данных (DPIA):

• GDPR: Требует проведения оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA) в случаях, когда обработка данных может привести к высокому риску для прав и свобод лиц.
• Украинский закон: Не содержит конкретных требований о проведении DPIA.

Уведомление о нарушении:

• GDPR: Требует уведомления контролирующих органов и субъектов данных о нарушении защиты персональных данных в течение 72 часов после выявления.
• Украинский закон: Не содержит конкретных сроков для уведомления о нарушении защиты данных, хотя предусматривает обязанность информировать субъекты данных и контролирующие органы.

Как вы поняли, несмотря на то, что украинское законодательство о защите персональных данных имеет много общего с европейским GDPR, оно все же отличается в деталях и степени строгости. Наше законодательство продолжает развиваться и будет приближаться к стандартам GDPR, особенно в контексте гармонизации законодательства с нормами ЕС.

А сейчас вернемся к США и различиям между CCPA и GDPR:

Основные различия между CCPA (Калифорнийским законом) и GDPR (Европейским законом):

Применимость:

• CCPA: Применяется к компаниям, которые ведут бизнес в Калифорнии и соответствуют определенным критериям (например, доход свыше $25 млн в год).
• GDPR: Применяется к любым компаниям, которые обрабатывают данные резидентов ЕС, независимо от местонахождения компании.

Консенсус:

• CCPA: Основывается на праве потребителей отказаться от продажи данных.
• GDPR: Требует явного согласия на обработку данных.

Штрафы:

• CCPA: Штрафы могут достигать $7,500 за умышленные нарушения.
• GDPR: Штрафы могут достигать €20 млн или 4% от годового мирового оборота компании, в зависимости от того, что больше.

Фокус:

• CCPA: Преимущественно направлен на защиту потребительских данных и предотвращение их продажи.
• GDPR: Более всеобъемлющий, охватывает все аспекты обработки данных и включает строгие требования к защите данных.

Мы можем сделать вывод, что GDPR, CCPA и Закон Украины «О защите персональных данных» имеют общую цель – обеспечение защиты персональных данных, однако они различаются по масштабу, строгости и подходам к защите прав граждан.

GDPR является наиболее комплексным и строгим, охватывая все аспекты обработки данных в ЕС. CCPA более сосредоточен на правах потребителей и прозрачности данных в Калифорнии, тогда как украинский закон можно считать более общим, ориентированным на адаптацию к европейским стандартам, но менее детализированным по сравнению с GDPR.

Желаем, чтобы ваши данные были в безопасности, а права не нарушались.