August 11, 2025
4 min read
Чим відрізняються GDPR та CCPA?
| Аспект | GDPR (Загальний регламент про захист даних) | CCPA (Каліфорнійський закон про захист прав споживачів) |
|---|---|---|
| Географічна сфера застосування | Резиденти ЄС (незалежно від місцезнаходження компанії) | Резиденти Каліфорнії (незалежно від місцезнаходження компанії) |
| Правова основа | Вимагає правової основи для обробки даних | Не вимагає правової основи для збору даних |
| Застосовність для бізнесу | Усі компанії, що відповідають правовій основі | Компанії з річним доходом >$25 млн або за іншими критеріями |
| Права споживачів | Доступ, виправлення, видалення, обмеження, заперечення, перенесення | Доступ, видалення, відмова від продажу, недискримінація |
| Чутливі дані | Конкретні: включає генетичні/біометричні дані | Загальні: “особиста інформація” як загальний термін |
| Штрафи/Правозастосування | До €20 мільйонів або 4% світового обороту | До $7,500 за порушення, можливі цивільні позови |
| Дані дітей | Згода батьків для осіб молодше 16 років | Згода батьків для осіб молодше 13 років |
| Продаж даних | Немає прямого положення про “продаж”, але охоплює передачу | Право відмовитися від продажу особистої інформації |
GDPR та CCPA є двома значними нормативними базами у законодавстві про конфіденційність даних, але вони кардинально відрізняються за сферою застосування, вимогами та правозастосуванням. Ці відмінності формують стратегії дотримання вимог для компаній, що працюють на міжнародному рівні або в межах Сполучених Штатів.
GDPR вимагає, щоб компанії мали чітку правову основу перед обробкою будь-яких персональних даних резидентів ЄС. Регламент визначає шість законних підстав для обробки, таких як згода, необхідність виконання договору або законні інтереси. На противагу, CCPA не вимагає правової основи перед збором або обробкою особистої інформації. Це створює вищий поріг для дотримання вимог GDPR, особливо для організацій, що працюють із чутливими категоріями даних.
CCPA застосовується лише до певних компаній: тих, у кого річний валовий дохід перевищує $25 мільйонів, тих, хто купує/продає особисту інформацію 50 000 або більше споживачів/домогосподарств/пристроїв, або тих, хто отримує щонайменше 50% річного доходу від продажу особистої інформації споживачів. GDPR застосовується до будь-якої організації (незалежно від розміру), яка обробляє персональні дані резидентів ЄС, якщо вона відповідає вимогам щодо правової основи.
Права споживачів згідно з обома законами є надійними, але відрізняються за акцентами. GDPR надає фізичним особам права, що включають доступ, виправлення, видалення (“право бути забутим”), обмеження обробки, перенесення даних та заперечення проти обробки. CCPA надає права, такі як знати, яка інформація збирається та продається, видалення (з винятками), відмова від продажу особистої інформації та захист від дискримінації при здійсненні цих прав. Як зазначено в CCPA:
“Компанія не може дискримінувати споживача через те, що споживач скористався будь-яким зі своїх прав згідно з цим розділом.”
Що стосується чутливих даних, GDPR є більш конкретним. Він визначає та регулює спеціальні категорії, такі як “генетичні дані”, “біометричні дані” та “дані про здоров'я”. Обробка цих типів даних вимагає явної згоди або іншої конкретної правової основи. CCPA використовує ширший термін — “особиста інформація” — який охоплює широкий спектр ідентифікаторів, але не виділяє генетичні чи біометричні дані з такою ж чіткістю.
Правозастосування та штрафи суттєво відрізняються. Порушення GDPR можуть призвести до штрафів у розмірі до €20 мільйонів або 4% світового обороту (залежно від того, що більше). Нещодавні правозастосовчі дії свідчать про те, що регулятори готові накладати значні штрафи за серйозні порушення. Хоча встановлені законом штрафи CCPA є нижчими (до $7,500 за умисне порушення), він унікальним чином дозволяє споживачам подавати цивільні позови щодо певних порушень, що потенційно може призвести до значних мирових угод або витрат на колективні позови.
Дані дітей отримують додатковий захист в обох законах, але з різними віковими порогами: GDPR зазвичай вимагає згоди батьків на обробку даних осіб молодше 16 років (держави-члени можуть знизити цей вік до 13), тоді як CCPA вимагає згоди батьків на “продаж” даних дітей молодше 13 років.
Ключовою відмінністю є поняття “продажу” в CCPA, яке дає споживачам право вимагати від компаній не продавати їхню особисту інформацію. GDPR не використовує цю термінологію, але регулює всі форми обміну та передачі даних між організаціями.
Підсумовуючи, хоча існують подібності, такі як акцент на прозорості та правах особистості, GDPR загалом є ширшим у застосуванні та суворішим у вимогах, особливо щодо правової основи та захисту чутливих даних. CCPA, хоч і вужчий за сферою застосування та застосовністю, вводить унікальні поняття, такі як право відмовитися від продажу даних та захист від дискримінації при здійсненні прав на конфіденційність. Організації, що підпадають під дію обох законів, повинні ретельно аналізувати свої зобов'язання щодо дотримання вимог, визнаючи, що виконання вимог одного закону не гарантує дотримання іншого. Оскільки правила конфіденційності продовжують розвиватися, розуміння цих основних відмінностей є вирішальним для управління ризиками та розбудови довіри споживачів.
