CCPA против GDPR — 9 главных отличий, которые Вам стоит знать

CCPA против GDPR — 9 главных отличий, которые Вам стоит знать

Калифорнийский закон о защите прав потребителей (CCPA) уже в шутку называют местным GDPR в основном потому, что оба закона вынуждают организации порой в корне менять стратегию ведения бизнеса, чтобы удовлетворить опасения клиентов, связанные с их личными данными. И CCPA, и Общий регламент ЕС по защите данных (GDPR) дают потребителям право знать, какая информация о них собирается, какая информация передается или продается и кому эта информация может быть передана или продана.

CCPA против GDPR - 9 главных отличий, которые Вам стоит знать

И CCPA, и GDPR имеют некоторые ключевые сходства, поэтому организации, соблюдающие GDPR, будут иметь преимущество при рассмотрении CCPA, так как часть моментов уже точно будет приведена в порядок. Однако одних этих усилий недостаточно. Существуют нюансы, с которыми все организации, ведущие бизнес с жителями Калифорнии, должны ознакомиться до 1 января 2020 года, когда CCPA официально станет законом. Вот что вам нужно знать о соответствии CCPA.

Прежде всего: влияет ли CCPA на вашу организацию?

CCPA применяется к определенным компаниям, независимо от их физического местонахождения, которые собирают личную информацию о жителях Калифорнии, и, на данный момент, применяется к личной информации о клиентах (как физических, так и юридических), поставщиках и сотрудниках.

Для CCPA не имеет значения, в какой сфере работает Ваша компания. Но если ваш бизнес связан с розничной торговлей, СМИ и развлечениями, недвижимостью или потребительским программным обеспечением, очень важно понимать этот новый закон о конфиденциальности.

В то время как GDPR охватывает более широкую сеть — любой бизнес, который собирает и / или обрабатывает данные граждан или резидентов ЕС — в соответствии с CCPA, организации обязаны соблюдать, если они ведут бизнес с жителями Калифорнии и при этом:

  • Годовой доход компании превышает 25 миллионов долларов.
  • Организация владеет личной информацией о 50 000 или более потребителей, домашних хозяйствах или устройствах для коммерческих целей.
  • 50% или более годового дохода поступает от продажи личной информации потребителей.

Как соотносятся соответствие CCPA и GDPR?

Понимание того, как эти два закона влияют на операции по обеспечению конфиденциальности данных вашей организации, является ключом к соблюдению нормативных требований и избежанию штрафов. Специально для Вас мы сформулировали основные различия между двумя этими регламентами. С ними Вы можете ознакомиться ниже!

CCPA против GDPR - 9 главных отличий, которые Вам стоит знать

1. Уведомление о конфиденциальности

Скорее всего, как потребитель вы уже привыкли видеть всплывающее уведомление о cockie на сайтах, которые вы часто посещаете. Хотя и CCPA, и GDPR требуют подробных уведомлений о конфиденциальности для потребителей, требуемый язык этих уведомлений отличается. Политика конфиденциальности, соответствующая требованиям GDPR, скорее всего, не будет соответствовать требованиям CCPA.

Согласно GDPR, физическое лицо не обязательно должно давать согласие организации на сбор и использование данных, и в этом случае физическое лицо не имеет  права отказа. В отличие от этого, CCPA потребует, чтобы охваченные организации «на этапе сбора» или до него уведомляли потребителей о категориях личной информации, которую собирает организация, и о том, для каких целей эта информация используется.

2. Права детей на неприкосновенность частной жизни

GDPR требует, чтобы родители давали согласие на обработку личной информации своих детей (младше 16 лет) в онлайн-среде, но только в том случае, если законным основанием для обработки является их согласие.

CCPA не требует согласия на обработку всей личной информации ребенка (младше 13 лет; подростки 13–15 лет могут предоставить свое согласие). Организации, соответствующие правилам CCPA, должны получать согласие только перед продажей личной информации ребенка.

3. Определение личной информации / данных

Согласно GDPR, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому субъекту данных.

Определение CCPA во многом аналогично, но шире в том смысле, что оно также включает информацию, связанную на уровне устройства или домашнего хозяйства: «информация, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством».

CCPA против GDPR - 9 главных отличий, которые Вам стоит знать

4. Безопасность данных

И CCPA, и GDPR требуют принятия «разумных мер безопасности», когда речь идет о защите собранной личной информации. Однако определение того, что подразумевается под словом  «разумные» , что в CCPA, что в GDPR довольно расплывчатое.

CCPA прямым образом не налагает требований к безопасности данных, но зато полагается на существующее законодательство Калифорнии, чтобы «установить право на иски в случае определенных нарушений, которые возникают в результате нарушения обязательств внедрять и поддерживать разумные методы и процедуры безопасности, соответствующие риску».

GDPR, с другой стороны, требует, чтобы контроллеры данных и обработчики данных принимали соответствующие технические и организационные меры для обеспечения уровня безопасности, даже если таковые не предусмотрены местным законодательством.

5. Право на отказ

Согласно GDPR, у физических лиц нет ни общего, ни специального права на отказ от продажи личных данных.

Однако CCPA предоставляет физическим лицам абсолютное право отказаться от продажи своей личной информации. Чтобы соответствовать требованиям CCPA, организации обязаны добавлять ссылку «Не продавать мою личную информацию» на веб-сайтах и ​​в мобильных приложениях.

6. Право на раскрытие информации / доступ

И CCPA, и GDPR устанавливают в целом схожие права на раскрытие информации и доступ к ним. Физические лица имеют право требовать раскрытия своей личной информации, а также дополнительных сведений о целях организации при сборе этих данных, включая информацию о третьих сторонах, которые также имеют доступ к этим данным.

Разница заключается в праве CCPA только на получение письменного раскрытия информации. Принимая во внимание, что GDPR предоставляет более широкий доступ, который не ограничивается письменным раскрытием информации.

7. Право на забвение

Потребители имеют одинаковые права на удаление собственных персональных данных в соответствии с CCPA и GDPR. Право GDPR применяется только в том случае, если запрос соответствует одному из шести критериев, в то время как право CCPA является более широким и имеет лишь несколько исключений.

CCPA против GDPR - 9 главных отличий, которые Вам стоит знать

В соответствии с CCPA и GDPR организации также обязаны информировать получателей данных нижестоящего уровня о запросе клиента на удаление. В то время как CCPA предписывает организациям проинструктировать любые третьи стороны об удалении данных, подход GDPR является более широким и гибким, поскольку организации должны предпринимать «разумные шаги» для информирования третьих сторон о запросе клиента.

8. Ответ на DSAR

CCPA и GDPR во многом схожи, когда дело доходит до ответа на запросы доступа к данным (DSAR). DSAR дают людям право узнавать, какие данные о них есть у организации, почему организация хранит эти данные, а также каким другим организациям раскрывается или продается их информация.

Как вы, вероятно, догадываетесь, управление DSAR от потребителей может быстро стать обузой для организаций любого размера. Даже если ваша организация уже потратила значительное время и ресурсы на создание безопасной инфраструктуры для хранения собранных данных, ответ на DSAR означает, что данные должны быть собраны из разрозненных систем, перемещены из зашифрованных хранилищ данных куда-то еще, чтобы передать его вашим клиентам или тем, кто запрашивает информацию. Это представляет собой серьезную проблему с точки зрения безопасности.

Не только безопасность личных данных при выполнении DSAR вызывает озабоченность экспертов, но и количество запросов, которое отныне будет только расти. Поскольку CCPA вступит в силу 1 января 2020 года, как B2B, так и B2C организации должны ожидать резкого увеличения числа DSAR.

9. Штрафы

Организации, нарушившие GDPR, могут быть оштрафованы на 20 миллионов евро или 4% от общего годового дохода, в зависимости от того, какая сумма больше. Государства-члены ЕС также могут налагать собственные штрафы за нарушения, не подпадающие под административный штраф.

Согласно CCPA, сумма штрафа повышается в случае утечки данных путем создания права коллективного иска и возмещения установленного законом ущерба без необходимости доказывать фактические убытки. У организаций, нарушивших CCPA, есть 30 дней на устранение нарушения. В противном случае им грозит штраф в размере 2500 долларов за одного человека, чьи права на неприкосновенность частной жизни были нарушены, и этот штраф увеличивается до 7500 долларов на человека, если нарушение является преднамеренным. Размер установленного законом ущерба составляет от 100 до 750 долларов на истца.

CCPA против GDPR - 9 главных отличий, которые Вам стоит знатьВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *