Защита конфиденциальности данных пользователей вышла на первый план. Этот пункт включают в тренды диджитал-маркетинга западные СМИ. Ведущие компании вроде Apple выпускают обновления, ужесточающие работу с пользовательскими данными (достаточно вспомнить необходимость согласия на отслеживание по IDFA). В своем блоге западная платформа Oracle свела в один материал главное, что стоит знать о правилах конфиденциальности в рамках GDPR, CCPA, LGPD. Делимся этой информацией с вами. 

CCPA в Калифорнии

Закон Калифорнии о конфиденциальности потребителей (CCPA), вступивший в силу в прошлом году, защищает права потребителей, включает дополнительные меры защиты данных детей, а также правила по продаже личной информации.

GDPR в Европе и за ее пределами

Общий регламент по защите данных «заработал» в полную силу в 2018 году. Он ввел ограничения на цели сбора и обработки данных пользователей, объем, сроки хранения и другое.

Сбор и обработка данных, согласно GDPR, должны осуществляться по легальным причинам, куда входят прямое согласие, важность для жизни и здоровья, законные основания и другие. И компании должны объяснять, как будут использовать данные и зачем их собирают. Кроме того, нельзя использовать и собирать данные пользователей в целях, которые не указаны компанией. Ограничивается и объем сбора — только в рамках тех целей, о которых говорит компания. Пользователи имеют право запрашивать удаление или исправление неточных данных. Нельзя и хранить данные дольше, чем того предполагает цель компании. Безопасность данных стоит во главе.

LGPD в Бразилии

Закон, который вступил в силу в 2020 году, направлен на защиту информации и прав лиц, чьи данные собираются и обрабатываются в Бразилии. Он действует на компании, которые базируются в Бразилии, а также на тех, кто обрабатывает данные лиц, находящихся в этой стране. 

Сравнение GDPR, CCPA и LGPD по нескольким параметрам

Чем отличаются эти своды правил и законы? Предлагаем сравнение по ключевым параметрам.

Территория действия 

В этом пункте много сходства между GDPR и LGPD. Они имеют так называемое экстерриториальное действие. GDPR относится к любой стороне, которая собирает персональные данные субъекта ЕС, независимо от местоположения (то есть компания, которая находится в России, но собирает данные пользователей ЕС, попадает под действие этого закона). LGPD также распространяется на любую компанию, которая обрабатывает данные пользователей в Бразилии. 

CCPA действует на компании, которые ведут бизнес в Калифорнии (то есть получают материальную выгоду) и собирают личные данные резидентов этого штата. Кроме того, попадающие под действие CCPA компании должны соответствовать хотя бы одному из нескольких критериев: годовой валовый доход не менее $25 млн; обработка личной информации 50 тыс. и более потребителей; получение 50% и больше прибыли путем продажи личной информации резидентов Калифорнии.

Что подразумевается под персональными данными

Согласно GDPR, под защиту попадают такие данные как имя, местоположение и адрес, поведенческие данные в Интернете и другое. Любая информация, по которой можно определить пользователя.

CCPA включает в персональные данные все идентификаторы пользователя — любая информация, которая позволяет определить физическое лицо. Также CCPA защищает данные для идентификации домохозяйства или устройства пользователя. 

LGPD также определяет персональные данные как информацию, относящуюся к личности. Но подробностей в этом вопросе нет. И рассматривает любые поведенческие данные, которые могут идентифицировать пользователя, как «персональные данные».

Здесь есть некоторые различия. GDPR определяет персональные данные только на индивидуальном уровне, в то время как CCPA рассматривает также данные, относящиеся к домашним хозяйствам. Кроме того, CCPA не включает «общедоступные» данные.

LGPD, в основном, включает все типы данных, которые могут быть прямо или косвенно связаны с отдельным лицом или его домашним хозяйством.  

Анонимные, неидентифицированные и/или агрегированные данные

CCPA позволяет компаниям сохранять, собирать и продавать анонимные, обобщенные и неидентифицированные данные без разглашения.

GDPR разрешает сохранять, собирать и продавать только анонимные данные без разглашения.

LGPD не имеет никаких формулировок, относящихся к этим типам данных.

Штрафные санкции 

В отношении штрафов законы разнятся. 

  • Максимальный размер штрафа GDPR составляет 20 млн евро или 4% от глобального годового дохода. 
  • Максимальный штраф по LGPD составляет 2% от доходов компании и 50 млн бразильских реалов. 
  • Максимальный штраф по CCPA — $7500.

LGPD не определяет, как быстро компании должны сообщать о нарушениях. GDPR же дает на это 72 часа. 

Дисклеймер: статья не является юридической консультацией, создана в информационных целях.

Источник: blogs.oracle.com