GDPR для Калифорнии или CCPA

06.02.2019 Davydych Viktor , CISO
California Consumer Privacy Act принят 28 июня 2018 года и обязателен к выполнению с 1 января 2020 года. Можно ли говорить, что это первая ласточка в сфере защиты клиентских персональных данных в США.
Нельзя сказать, чтобы в США не было отдельных требований к обработке персональных данных, особенно в медицинской и финансовой сфере. Но данный закон позволит клиентам распоряжаться своими данными. Удалять, запрашивать информацию о их хранении и использовании, запрещать продажу.
Есть и отличия от GDPR. В первую очередь, это конечно география использования. Но и право для бизнеса установить другую цену товара или услуги или предоставлять товары услуги другого качества для клиентов желающих воспользоваться правами такого закона.
Также штраф за каждое умышленное нарушение составляет 7500 долларов США, что на первый взгляд значительно более гуманно чем 4% оборота у GDPR (при этом есть еще 30 дней на устранение). Хотя если предположить, что утекли данные о 1000 клиентов - значит ли это, что сумма штрафа будет 7,5 млн. долларов? На этот вопрос вероятно будет отвечать Генеральный прокурор штата Калифорния.
Сфера применения - для компаний Калифорнии с прибылью более 25 млн. долларов США, обработка данных более 50 000 клиентов (в том числе и устройств) или получают более 50% прибыли от продажи персональных данных. В целом весьма гуманно и значительно более ориентированно на бизнес чем GDPR. Посмотрим как будет развиваться данный закон и затронет ли он другие штаты США.
В одном можно быть уверенным, законодательного регулирования в сфере защиты персональных данных будет становиться в разных странах мира все больше. А это потребует от компаний быть готовыми выполнять данные требования и внедрять процессы защиты персональных данных.
Более детально с основной информацией по CCPA можно ознакомиться тут.
Если вам нужно содействие при построении процессов соответствия требованиям GDPR или PCI DSS напишите на почту.
Перейти к обсуждению