Що таке CPRA?

Закон Каліфорнії про права на конфіденційність (CPRA) є розширенням та посиленням Закону Каліфорнії про захист прав споживачів (CCPA), що набув чинності 1 січня 2023 року. Основні результати та наслідки, що спостерігаються після впровадження CPRA, підсумовано нижче:

• Розширення прав споживачів:
  CPRA запроваджує чотири нові права споживачів:

  1. Право на виправлення неточної особистої інформації
  2. Право на обмеження використання та розкриття чутливої особистої інформації
  3. Право на відмову від технологій автоматизованого прийняття рішень
  4. Право на доступ до інформації про автоматизоване прийняття рішень
     Ці права наближають режим конфіденційності Каліфорнії до GDPR ЄС, посилюючи контроль фізичних осіб над своїми даними.

• Розширена сфера дії на регульовані підприємства:
  CPRA знижує поріг для підприємств, які підпадають під дію закону, шляхом:

  • Зниження річних мінімумів обробки даних споживачів
  • Включення підприємств, які отримують дохід від обміну (а не лише продажу) особистої інформації
  • Розширення визначення “бізнесу” для включення певних спільних підприємств та партнерств
    Це розширення збільшує кількість суб'єктів, які зобов'язані впроваджувати надійні засоби контролю за конфіденційністю.

• Посилена відповідальність за використання третіх сторін:
  Закон накладає нові договірні вимоги та зобов'язання щодо належної перевірки на підприємства, які передають особисті дані третім сторонам, постачальникам послуг та підрядникам. Підприємства повинні гарантувати, що ці сторони дотримуються еквівалентних заходів захисту конфіденційності, створюючи каскадний ефект відповідності.

• Категорія чутливої особистої інформації:
  Вводиться нова категорія “чутлива особиста інформація” (SPI), що включає такі дані, як номери соціального страхування, точне геолокаційне положення, дані про здоров'я та біометричні дані. Споживачі мають чіткі права на обмеження використання та розкриття SPI, що є значним кроком до більш детального контролю за конфіденційністю.

• Вимоги до згоди та прозорості, подібні до GDPR:
  CPRA вимагає чіткіших механізмів надання згоди, покращеної прозорості у повідомленнях про конфіденційність та підвищених зобов'язань щодо обробки чутливих даних. Ці вимоги відображають зближення стандартів каліфорнійського законодавства та принципів GDPR.

Загалом, CPRA змушує підприємства, що працюють у Каліфорнії, впроваджувати суворіші практики управління конфіденційністю, застосовувати посилені засоби контролю для споживачів та готуватися до посиленого регуляторного нагляду. Елементи закону, подібні до GDPR, свідчать про тенденцію до гармонізації американських та європейських рамок конфіденційності.