На прошлой неделе компания Facebook сообщила о прекращении работы «десятков тысяч» приложений около 400 разработчиков в рамках расследования утечки данных через консалтинговую компанию Cambridge Analytica.
Это не первый случай утечки больших объемов персональных данных (ПД). Хотя, в частности, в Европейском союзе уже несколько лет работает соответствующий регламент по их защите. Кроме того, в США уже принят соответствующий закон, который пока регулирует обращение с ПД интернет-пользователей в Калифорнии и вступит в силу с 1 января 2020 года. А поскольку действие документа распространяется на Силиконовую долину, он может затрагивать интересы тех компаний и пользователей, которые сотрудничают с компаниями оттуда.
Управляющий партнер Stron Legal Services Олег Дерлюк и юрист компании Тарас Швец рассказали Mind, какие нормы документа следует учитывать украинским компаниям, работающим, в частности, с калифорнийскими компаниями, а также о тенденциях в сфере защиты ПД.
Каждый пользователь Всемирной сети обязательно оставляет какие-либо персональные данные о себе на посещенных ресурсах, будь то имя, адрес, возраст или более обширная информация. А поскольку не каждый пользователь хотел бы раскрывать ту или иную информацию, соответственно, существуют права по защите персональных данных.
На волне учащающихся случаев взлома, кражи и неправомерного использования персональных данных, как в резонансном деле Facebook в начале этого года, были приняты более жесткие меры по защите персональных данных потребителей любых IT-ресурсов.
Так, ранее правительство Европейского союза уже выпустило новый Общий регламент по защите данных (англ. General Data Protection Regulation/GDPR), который вступил в силу 25 мая 2018 года и предоставлял пользователям право соглашаться или отказываться от обработки персональный данных.
Вслед за ним, практически сразу, был издан калифорнийский Закон о защите прав потребителей (англ. the California Consumer Privacy Act of 2018/CCPA), призванный защищать права интернет-пользователей из Калифорнии. Но, в отличие от европейского предшественника, калифорнийский закон не требует от компаний доказывать согласие пользователей на обработку их личных данных, а позволяет пользователям отказаться от обработки их данных , а также требовать предоставить информацию о том, как эти данные были использованы.
И хотя закон вступает в силу лишь с 1 января 2020 года, уже можно судить о том, как и на кого он будет иметь влияние, опираясь на опыт уже существующих родственных законодательств из зарубежных юрисдикций. Стоит сразу отметить, что самая характерная черта CCPA, отличающая его от других подобных законов, – это то, что он четко устанавливает право интернет-пользователей на защиту личных данных, как например, право на полное удаление их данных, право быть проинформированным об использовании данных и другие права пользователей. Эта, на первый взгляд, маленькая деталь, является признаком демократического отношения правительства США к бизнесу в целом.
Раздел о правах потребителей можно разделить на шесть основных пунктов, о которых стоит поговорить подробнее.
Первое – это право на удаление собранных персональных данных. Важно, что оно не ограничивается компанией, которая собирает личные данные, а затрагивает и третьих лиц, которым данные были проданы или переданы. Это право дает пользователям интернет-ресурсов возможность требовать у компаний, собравших информацию о них, удалить любые личные данные.
Второе – право быть проинформированным. Этот раздел можно считать стандартным требованием, которые есть во всех подобных законах. Например, как GDPR, так и CCPA содержат предписывающие положения в отношении информации, которую организации должны предоставлять отдельным лицам при сборе и обработке их личной информации. Оба законодательных акта, в частности, предписывают, когда информация должна предоставляться лицам и о чем они должны быть проинформированы. Тем не менее, в отличие от GDPR, CCPA не делает различия между уведомлением о сборе информации непосредственно от физических лиц и уведомлением о получении информации из других источников.
Третье – право отказа от сбора данных. Как уже было сказано ранее, компаниям не требуется получать согласие перед сбором данных о пользователе. А значит, он должен быть об этом проинформирован, после чего может сообщить об отказе от сбора данных, если имеет такое желание. В отличии от европейского регламента, который требует подтверждения согласия пользователя перед сбором данных. Можно сказать, что отсутствие необходимости согласия в калифорнийском законе упрощает процесс и работу IT-бизнеса, но в то же время соблюдаются права пользователей на конфиденциальность.
Далее – право на доступ, которое позволяет отдельным лицам полностью видеть данные, которые имеет о них организация: они могут получать подробные сведения об обрабатываемых данных, а также копии самих документов, содержащих данные. Кроме того, CCPA предусматривает, что всякий раз, когда доступ предоставляется потребителям в электронном виде, информация должна быть в портативном и, насколько это возможно, легко используемом формате, который позволяет потребителю передавать информацию другим лицам.
CPPA также имеет еще одну особенность, которая не содержится в европейском предшественнике, – это право не подвергаться дискриминации за удовлетворение своих прав. Потребители не должны подвергаться дискриминации из-за осуществления их прав в соответствии с CCPA, это значит, что пользователи не должны подвергаться санкциям, блокировкам, а также встречным жалобам со стороны компаний. Это важный пункт для защиты и обеспечения пользовательских требований, без угрозы ответных действий компаний.
Последнее в списке, но не по важности – право на переносимость данных.
CCPA указывает, что, когда предприятия предоставляют данные в электронном виде потребителю после запроса на доступ, эти данные должны быть переданы в портативном и легко используемом формате, который позволяет без помех передавать эти данные третьим лицам. Это важный пункт, так как он позволяет пользователям получить полную информацию об использовании их данных, которая не будет зашифрована, и передать ее юристу или в суд.
Не стоит забывать, что закон применим не только к определенным компаниям, находящимся на территории штата Калифорния, а это большинство компаний Силиконовой долины, такие как Google, Micorsoft и остальные IT-гиганты. Согласно закону, третьи лица, работающие с компаниями, попадающими под действия закона, также связаны обязательством соблюдать вышеперечисленные права потребителей. Поскольку в Украине находится большое количество IT-компаний, сотрудничающих или работающих по аутсорсингу с калифорнийскими компаниями, им необходимо помнить, что в настоящем демократическом обществе права клиентов всегда в приоритете.
Для IT-компаний из Украины, поставляющих свои услуги для бизнеса из Калифорнии, важно знать критерии, по каким они могут попасть под действие закона. Всего существует три фактора, определяющих, попадает ли бизнес под действие закона:
Поэтому, прежде чем начинать сотрудничество, важно правильно составить договор и запросить информацию о доходах и их источниках у компании-заказчика, чтобы быть готовым предоставить данные по первому требованию пользователя.