GDPR против CCPA: все о Законе Калифорнии о конфиденциальности потребителей 2020 г. (и как он сочетается с GDPR)

GDPR, статья 4, CCPA 1798.140

Субъекты данных, определяемые как идентифицированные или идентифицируемые лица, к которым относятся персональные данные.

Потребители, определяемые как жители Калифорнии, которые:

• В Калифорнии с целью, отличной от временной или временной.
• Проживает в Калифорнии, но в настоящее время находится за пределами штата по временной или временной причине.

К потребителям относятся:

• Покупатели бытовых товаров и услуг.
• Сотрудники.
• Сделки между предприятиями.

Хотя ни GDPR, ни CCPA не применяются к юридическим лицам, оба применяются к физическим лицам, но с разницей в том, как они определяются. В CCPA четко указано, что он применяется к жителям Калифорнии, в то время как GDPR использует более расплывчатый термин «субъекты данных ЕС» без указания каких-либо требований к месту жительства или гражданству. CCPA также защищает данные, которые могут быть связаны с конкретным домохозяйством , а не только с отдельным лицом, как это делает GDPR.

GDPR, статья 3, CCPA 1798.140

Контроллеры данных и обработчики данных:

• Созданные в ЕС, которые обрабатывают персональные данные в контексте деятельности учреждения ЕС, независимо от того, происходит ли обработка данных в ЕС.
• Не созданы в ЕС, которые обрабатывают персональные данные субъектов данных ЕС в связи с предложением товаров или услуг в ЕС или мониторингом их поведения.

Любая коммерческая организация, ведущая бизнес в Калифорнии и отвечающая одному из следующих требований:

• Валовой доход превышает 25 миллионов долларов.
• Ежегодно покупает, получает, продает или передает личную информацию более чем 50 000 потребителей, домохозяйств или устройств в коммерческих целях.
• Получает 50 или более процентов своей годовой выручки от продажи личной информации потребителей.

Сфера применения GDPR широка: он распространяется на все организации, от предприятий до государственных учреждений и некоммерческого сектора. Тем временем CCPA ограничил свое применение коммерческими компаниями, которые отвечают очень четким требованиям.

Что касается географического положения, GDPR применяется к любой компании, которая обрабатывает данные субъектов данных ЕС, где бы они ни находились. В CCPA нет ясности по этому поводу: компании, подпадающие под его юрисдикцию, должны «вести бизнес в Калифорнии», но не уточняется, должна ли компания находиться в штате или соответствовать определенным пороговым значениям прибыли, чтобы квалифицироваться как таковая.

GDPR, статья 4, CCPA 1798.140

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому субъекту данных. GDPR запрещает обработку определенных специальных категорий персональных данных, если не применяется законное основание для обработки.

Личная информация, которая идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

GDPR применяется ко всем категориям персональных данных, в то время как CCPA применяется только к данным, на которые не распространяются существующие федеральные законы о конфиденциальности, такие как Закон Грэмма-Лича-Блайли (GLBA) или Закон о переносимости и подотчетности медицинской информации (HIPAA).

GDPR, статья 4, CCPA 1798.140

Псевдонимные данные считаются персональными данными. Анонимные данные не считаются персональными данными.

CCPA не ограничивает возможности бизнеса по сбору, использованию, хранению, продаже или раскрытию информации о потребителях, которая не идентифицирована или агрегирована. Тем не менее, CCPA устанавливает высокую планку для заявлений о том, что данные деидентифицированы или агрегированы. Псевдонимные данные могут квалифицироваться как личная информация в соответствии с CCPA, поскольку они по-прежнему могут быть связаны с конкретным потребителем или домохозяйством.

Определение «псевдонимизации» в GDPR и CCPA очень похоже в том смысле, что это обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к идентифицированному или идентифицируемому лицу без использования дополнительной информации, путем введение в действие технических и организационных мер, обеспечивающих отдельное хранение дополнительной информации, необходимой для идентификации.

GDPR, статья 13, CCPA 1798.100

Контроллеры данных должны предоставлять подробную информацию о своих действиях по сбору и обработке персональных данных. Уведомление должно содержать конкретную информацию в зависимости от того, собираются ли данные непосредственно от субъекта данных или от третьей стороны.

Предприятия должны информировать потребителей о:

• Собранные категории личной информации.
• Цели предполагаемого использования для каждой категории.

И GDPR, и CCPA требуют от организаций раскрывать информацию о том, что они делают с собираемыми персональными данными. Однако CCPA требует от компаний раскрывать данные о продажах и действиях, связанных с обработкой данных, за последние 12 месяцев, в то время как GDPR не устанавливает таких ограничений.

Статья 24 GDPR, CCPA 1798.150

GDPR требует, чтобы контроллеры данных и обработчики данных принимали соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску.

CCPA напрямую не устанавливает требований к безопасности данных. Тем не менее, он устанавливает право на иск в отношении определенных утечек данных, которые являются результатом нарушения обязанности бизнеса по внедрению и поддержанию разумных методов и процедур безопасности, соответствующих риску, вытекающему из действующего законодательства штата Калифорния.

• Собранные категории личной информации.
• Цели предполагаемого использования для каждой категории.

В значительной степени аналогичен установленному законом подходу, хотя разумные меры безопасности могут в некоторой степени различаться в зависимости от обстоятельств организации и интерпретации регулирующих органов.

Статья 12 GDPR – Статья 21, CCPA 1798.120

Расширенные права человека :

• получить доступ к их информации;
• исправить неточности;
• удалить информацию;
• предотвратить прямой маркетинг;
• предотвратить автоматизированное принятие решений и профилирование;
• переносимость данных.

Расширенные права человека :

• получить доступ к их информации;
• исправить неточности;
• удалить информацию;
• предотвратить прямой маркетинг;
• предотвратить автоматизированное принятие решений и профилирование;
• переносимость данных.

В то время как GDPR требует, чтобы организации получали предварительное согласие от субъектов данных на обработку данных и доступ третьих лиц к их данным, CCPA позволяет субъектам данных отказаться от продажи своих данных и требует, чтобы предприятия имели видимую ссылку вверху. их домашней страницы для этой цели.

И GDPR, и CCPA предлагают право на переносимость данных, а именно на предоставление потребителям их личных данных в широко используемом машиночитаемом формате, который затем может быть передан другому лицу.

GDPR делает еще один шаг в этом направлении, обязывая организации передавать информацию о субъекте данных другому контроллеру данных по запросу.

Согласно CCPA, предприятия обязаны предоставлять потребителям информацию только в электронном виде в удобном для использования формате.

В то время как право GDPR на стирание имеет несколько заметных исключений, таких как данные, необходимые для осуществления права на свободу выражения мнений, или данные, необходимые для соблюдения законодательства ЕС или государств-членов ЕС, CCPA расширяет эти исключения, включая не только свободу слова и информацию. необходимы для контрактов, но, что особенно важно, также и для внутреннего использования, совместимого с контекстом, в котором потребитель предоставил данные.

GDPR, статья 8, CCPA 1798.120

Возраст согласия по умолчанию, установленный GDPR, составляет 16 лет, хотя законодательство отдельных государств-членов может понизить этот возраст не менее чем до 13 лет.

Лицо, несущее родительскую ответственность, должно дать согласие на детей, не достигших возраста согласия. Дети должны получить соответствующее возрасту уведомление о конфиденциальности.

К персональным данным детей предъявляются повышенные требования безопасности.

CCPA запрещает продажу личной информации потребителя младше 16 лет без его согласия.

Дети в возрасте от 13 до 16 лет могут дать согласие напрямую. Детям до 13 лет требуется согласие родителей.

GDPR уделяет особое внимание защите детей и содержит конкретные положения по защите персональных данных детей при их обработке для предоставления услуг информационного общества.

CCPA устанавливает специальное правило для детей в отношении «продажи» личной информации, однако это правило не ограничивается услугами информационного общества.