Сравнение соответствия требованиям CCPA и GDPR

Общий регламент по защите персональных данных — это закон Европейского союза (ЕС), который вступил в силу в апреле 2016 г. Регламент предназначен для улучшения защиты персональных данных и повышения организационной ответственности за нарушения безопасности данных в целях защиты резидентов Европейского союза. GDPR предусматривает штрафы в размере до 4 % от мировой выручки или 20 миллионов евро (в зависимости от того, что больше). Организация, которая обрабатывает или контролирует персональные данные резидентов ЕС, подпадает под действие этого регламента, независимо от своего местонахождения.

Примечательные требования GDPR к безопасности данных
Некоторые ключевые положения GDPR требуют от организаций соблюдения изложенного далее.

• Обработка персональных данных таким образом, чтобы обеспечить их безопасность, «включая защиту от несанкционированной или незаконной обработки» (статья 5).
• Внедрять технические и организационные меры по обеспечению безопасности данных, соответствующие уровню риска, включая «псевдонимизацию и шифрование персональных данных» (статья 32).
• Сообщать «без неоправданной задержки» о нарушениях персональных данных субъектам таких нарушений, «когда нарушение может привести к высокому риску для прав и свобод этих лиц» (статья 34).
• Защищать от «несанкционированного раскрытия или доступа к персональным данным» (статья 32).

Дополнительная информация о GDPR

• Что такое GDPR? — веб-страница Entrust с полным списком глав и статей GDPR.
• GDPR.EU — официальный веб-сайт Европейского союза с полным руководством по соответствию требованиям.
• Обзор GDPR — веб-страница Entrust с общим обзором GDPR.

Статья 6 (Законность обработки) определяет «шифрование или псевдонимизацию» как «надлежащие механизмы защиты» для защиты персональных данных субъектов.

Статья 32 (Безопасность обработки) гласит, что «обработчик должен реализовать надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, в частности, при необходимости:

(a) псевдонимизацию и шифрование персональных данных».

Статья 34 (Уведомление субъекта данных о нарушении безопасности персональных данных) позволяет организациям, пострадавшим от нарушения безопасности данных, не выполнять требование об уведомлении, если они использовали шифрование, чтобы «принять такие меры, которые делают невозможным чтение персональных данных любым лицом, которое не имеет прав на доступ к ним».

Закон Калифорнии о защите персональных данных потребителей (CCPA) вступил в силу в начале 2020 г. Он был разработан, чтобы предоставить резидентам Калифорнии больше контроля над тем, какие персональные данные собираются и как эти данные используются.

Компании, признанные виновными в нарушении CCPA, обязаны уплатить штраф в размере 7500 долл. США за каждое преднамеренное нарушение. Непреднамеренные нарушения менее обременительны, но все же обходятся дорого: 2500 долл. США за каждое нарушение. Однако гражданское судопроизводство потенциально может оказать негативное воздействие на организации, не соблюдающие требования. Для каждого потребителя, затронутого несоблюдением CCPA, организациям грозит гражданский ущерб в размере до 750 долл. США на одного потребителя.

Дополнительная информация о CCPA

• Гражданский кодекс с CCPA — официальный кодекс на веб-сайте информации о законодательстве штата Калифорния.
• Обзор CCPA — веб-страница Entrust с общим обзором CCPA.

Раздел 1798.150 CCPA гласит: «Любой потребитель, чья незашифрованная и неотредактированная личная информация, как определено в подпункте (A) параграфа (1) подраздела (d) статьи 1798.81.5, подверглась несанкционированному доступу и эксфильтрации, краже или раскрытию в результате нарушения предприятием обязанности внедрять и поддерживать разумные правила и методы обеспечения безопасности личной информации, соответствующие ее характеру, может подать гражданский иск».

Кроме того, в законах, связанных с CCPA, предусмотрена защита ключей шифрования. Примечательно, что законопроект Ассамблеи 1130, который был внесен для обновления закона Калифорнии об уведомлении о нарушении, требует уведомления людей, чьи данные раскрыты, за исключением случаев, если эти данные зашифрованы и ключи шифрования не получены вместе с данными.

В чем состоит сходство между GDPR и CCPA?
GDPR и CCPA предназначены для защиты конфиденциальности и прав на данные лиц, проживающих в регионах, на которые распространяется действие этих нормативных актов. Оба нормативных акта применяются к организациям, которые осуществляют деятельность с резидентами, проживающими в регионах, на которые распространяется действие этих нормативных актов, независимо от того, находятся ли эти организации в таких регионах.

CCPA и GDPR предоставляют физическим лицам определенные права в отношении их персональных данных и требуют прозрачности от организаций, которые хранят и обрабатывают эти данные.

CCPA и GDPR:

• требуют от компаний раскрывать, какую личную информацию они собрали об этих лицах;
• требуют от организаций раскрывать информацию о том, что они делают с персональными данными;
• требуют от организаций, хранящих персональные данные, удалять эти данные по запросу лица, к которому они относятся;
• требуют от организаций принимать меры кибербезопасности для защиты персональных данных физических лиц;
• предусматривают штрафы за несоблюдение требований.

В чем состоят различия между GDPR и CCPA?

• GDPR требует, чтобы перед обработкой данных о резидентах компании обеспечили правовую основу. CCPA этого не требует.
• GDPR применяется ко всем компаниям, которые выполняют требование к правовой основе, упомянутое выше. CCPA распространяется только на компании с годовым валовым доходом более 25 млн долл. США.
• Согласно CCPA физическое лицо может препятствовать тому, чтобы компании продавали его личные данные, и организации не могут дискриминировать этих лиц.
• GDPR определяет дополнительные условия для компаний, обрабатывающих информацию, связанную со здоровьем, потому что GDPR является более четким и включает в себя такие термины, как «генетические данные» и «биометрические данные». В CCPA используется общий сводный термин.
• В целом штрафы за несоблюдение GDPR, скорее всего, будут выше, чем штрафы за несоблюдение CCPA. Тем не менее CCPA открывает путь для гражданского судопроизводства, которое может оказаться для организации-нарушителя таким же дорогостоящим.