Защита конфиденциальности данных пользователей вышла на первый план. Этот пункт включают в тренды диджитал-маркетинга западные СМИ. Ведущие компании вроде Apple выпускают обновления, ужесточающие работу с пользовательскими данными (достаточно вспомнить необходимость согласия на отслеживание по IDFA). В своем блоге западная платформа Oracle свела в один материал главное, что стоит знать о правилах конфиденциальности в рамках GDPR, CCPA, LGPD. Делимся этой информацией с вами.
CCPA в Калифорнии
Закон Калифорнии о конфиденциальности потребителей (CCPA), вступивший в силу в прошлом году, защищает права потребителей, включает дополнительные меры защиты данных детей, а также правила по продаже личной информации.
GDPR в Европе и за ее пределами
Общий регламент по защите данных «заработал» в полную силу в 2018 году. Он ввел ограничения на цели сбора и обработки данных пользователей, объем, сроки хранения и другое.
Сбор и обработка данных, согласно GDPR, должны осуществляться по легальным причинам, куда входят прямое согласие, важность для жизни и здоровья, законные основания и другие. И компании должны объяснять, как будут использовать данные и зачем их собирают. Кроме того, нельзя использовать и собирать данные пользователей в целях, которые не указаны компанией. Ограничивается и объем сбора — только в рамках тех целей, о которых говорит компания. Пользователи имеют право запрашивать удаление или исправление неточных данных. Нельзя и хранить данные дольше, чем того предполагает цель компании. Безопасность данных стоит во главе.
LGPD в Бразилии
Закон, который вступил в силу в 2020 году, направлен на защиту информации и прав лиц, чьи данные собираются и обрабатываются в Бразилии. Он действует на компании, которые базируются в Бразилии, а также на тех, кто обрабатывает данные лиц, находящихся в этой стране.
Сравнение GDPR, CCPA и LGPD по нескольким параметрам
Чем отличаются эти своды правил и законы? Предлагаем сравнение по ключевым параметрам.
Территория действия
В этом пункте много сходства между GDPR и LGPD. Они имеют так называемое экстерриториальное действие. GDPR относится к любой стороне, которая собирает персональные данные субъекта ЕС, независимо от местоположения (то есть компания, которая находится в России, но собирает данные пользователей ЕС, попадает под действие этого закона). LGPD также распространяется на любую компанию, которая обрабатывает данные пользователей в Бразилии.
CCPA действует на компании, которые ведут бизнес в Калифорнии (то есть получают материальную выгоду) и собирают личные данные резидентов этого штата. Кроме того, попадающие под действие CCPA компании должны соответствовать хотя бы одному из нескольких критериев: годовой валовый доход не менее $25 млн; обработка личной информации 50 тыс. и более потребителей; получение 50% и больше прибыли путем продажи личной информации резидентов Калифорнии.
Что подразумевается под персональными данными
Согласно GDPR, под защиту попадают такие данные как имя, местоположение и адрес, поведенческие данные в Интернете и другое. Любая информация, по которой можно определить пользователя.
CCPA включает в персональные данные все идентификаторы пользователя — любая информация, которая позволяет определить физическое лицо. Также CCPA защищает данные для идентификации домохозяйства или устройства пользователя.
LGPD также определяет персональные данные как информацию, относящуюся к личности. Но подробностей в этом вопросе нет. И рассматривает любые поведенческие данные, которые могут идентифицировать пользователя, как «персональные данные».
Здесь есть некоторые различия. GDPR определяет персональные данные только на индивидуальном уровне, в то время как CCPA рассматривает также данные, относящиеся к домашним хозяйствам. Кроме того, CCPA не включает «общедоступные» данные.
LGPD, в основном, включает все типы данных, которые могут быть прямо или косвенно связаны с отдельным лицом или его домашним хозяйством.
Анонимные, неидентифицированные и/или агрегированные данные
CCPA позволяет компаниям сохранять, собирать и продавать анонимные, обобщенные и неидентифицированные данные без разглашения.
GDPR разрешает сохранять, собирать и продавать только анонимные данные без разглашения.
LGPD не имеет никаких формулировок, относящихся к этим типам данных.
Штрафные санкции
В отношении штрафов законы разнятся.
- Максимальный размер штрафа GDPR составляет 20 млн евро или 4% от глобального годового дохода.
- Максимальный штраф по LGPD составляет 2% от доходов компании и 50 млн бразильских реалов.
- Максимальный штраф по CCPA — $7500.
LGPD не определяет, как быстро компании должны сообщать о нарушениях. GDPR же дает на это 72 часа.
Дисклеймер: статья не является юридической консультацией, создана в информационных целях.
Источник: blogs.oracle.com
