США: Новый закон Калифорнии по защите неприкосновенности частной жизни затронет полмиллиона одних только американских организаций

Данная заметка была опубликована в номере за июль-август 2018 года издаваемого Международной ассоциацией специалистов по управлению документами ARMA International журнала «Управление информацией» (Information Management Journal, July-August 2018, p.16, см. http://imm.arma.org/publication/?m=23097&l=1#{%22issue_id%22:510805,%22page%22:18} )

Мой комментарий: Хочу сказать два слова о том, почему закон одного из более чем полусотни американских регионов имеет большое значение. Всё очень просто: его обязана соблюдать любая американская или иностранная компания, действующая в Калифорнии. Калифорния – одни из самых экономически мощных штатов страны (это 5-я экономика мира в целом!), и, естественно, на его территории присутствуют все сколько-нибудь крупные компании. Вот и получается, что один-единственный штат – уже не в первый раз! – способен навязать всей стране свои законы :) Российским организациям тоже следует отнестись к этому закону столь же серьёзно, как если бы он был принят Конгрессом США.

28 июня 2018 года Калифорния приняла «Закон Калифорнии о неприкосновенности частной жизни потребителей в Калифорнии 2018 года» (California Consumer Privacy Act of 2018, CCPA, см. https://iapp.org/resources/article/california-consumer-privacy-act-of-2018/ ), компромиссную меру, которая воспрепятствовала прохождению ещё более жёсткой законодательной инициативы. Согласно анализу, проведенному Международной ассоциацией специалистов по вопросам неприкосновенности частной жизни (International Association of Privacy Professionals, IAPP), новый закон так или иначе затронет более чем полмиллиона американских компаний, большинство из которых являются малыми или средними организациями и предприятиями.

Новый закон предоставляет калифорнийцам право на прозрачность в отношении сбора данных, «право на забвение» (right to be forgotten), право на переносимость данных и право запретить (opt out) продажу своих персональных данных (чтобы продавать данные несовершеннолетних, требуется первоначально получить их явное согласие - opt in). Закон применим в отношении тех организаций, которые собирают персональные данные потребителей, а также тех, что продают такую информацию или раскрывают её в коммерческих целях.

С точки зрения закона, «коммерческой организацией» (business) является юридическое лицо, действующее с целью получения прибыли, которое персональные данные потребителей и ведет деловую деятельность в штате Калифорния. Ассоциация IAPP в своей новостной статье отмечает: «Мы полагаем, что данный закон не применяется к некоммерческим организациям, хотя это не вполне ясно из определения». IAPP далее предполагает, что формулировка «ведение деловой деятельности в штате Калифорния» охватывает организации, которые продают товары или услуги резидентам штата Калифорния, даже если эти организации физически располагаются вне этого штата.

Чтобы подпасть под действие закона, организация должна удовлетворять одному из следующих условий:

• Иметь годовой оборот в размере 25 миллионов долларов США или более (в законе явным образом не уточняется, идёт ли речь об обороте в пределах Калифорнии, или об общем обороте компании – Н.Х.),


• Располагать персональными данными более чем 50 тысяч «потребителей, домохозяйств или устройств»,


• Зарабатывать более половины своего ежегодных поступлений, продавая персональные данные потребителей.

Понятие «потребитель» определяется как «любое физическое лицо, находящееся на территории штата (за исключением временного проживания или транзита), а также любое постоянно проживающее в штате физическое лицо, которое находится за его пределами временно или проездом. Данное определение охватывает находящихся в пути калифорнийцев. Ассоциация IAPP предполагает, что закон затронет 112 организаций в самой Калифорнии и 507 тысяч - в Соединенных Штатах.

Закон не применяется в отношении данных, обработка которых уже регулируются в соответствии с Законом о перемещаемости медицинского страхования и его подотчётности (Health Insurance Portability and Accountability Act, HIPAA), Законом Грэмма-Лича-Блайли (Gramm-Leach-Bliley Act, GLBA), Законом о честной кредитной отчетности (Fair Credit Reporting Act) и/ли Законом о неприкосновенности частной жизни водителей (Drivers' Privacy Protection Act).

Мой комментарий: Закон начнёт действовать с 1 января 2020 года. Впервые в американском законодательстве понятие «персональные данные» толкуется по-европейски широко, как «любая информация, относящаяся к конкретному потребителю или домохозяйству».

Субъекты персональных данных защищаются не только в их роли потребителей (в обычном смысле этого слова), но и в качестве наёмных работников, пациентов, арендаторов жилья, студентов, родителей, детей и т.д. IAPP в качестве примера отмечает, что понятие «персональные данные» будет охватывать данные о ежегодном потреблении воды или энергии домохозяйством, описание должностных обязанностей конкретного сотрудника, IP-адреса, историю просмотра интернет-сайтов и сведения о предпочтениях при покупке товаров и услуг.

Источник: сайт журнала «Information Management Journal» / сайт IAPP
http://imm.arma.org/publication/?m=23097&l=1#{%22issue_id%22:510805,%22page%22:18}
https://iapp.org/news/a/analysis-the-california-consumer-privacy-act-of-2018/