CCPA и GDPR: сходства и различия, которые вы должны знать

Опубликовано: 1 Апреля, 2023
CCPA и GDPR: сходства и различия, которые вы должны знать

Калифорнийский закон о конфиденциальности потребителей (CCPA) — это последний закон о конфиденциальности, второй после Общего регламента по защите данных (GDPR), который оказывает широкое влияние на конфиденциальность личной информации людей. 25 мая 2018 года GDPR ЕС заменил Директиву ЕС о защите данных от 1995 года, изменив методы обработки и защиты личной информации предприятиями. CCPA предоставляет право на неприкосновенность частной жизни жителям Калифорнии. Он вступил в силу 1 января 2020 года.

Несмотря на то, что между этими двумя правилами существует много общего, выделяются и некоторые различия. Полезно знать, где находятся эти отклонения, чтобы определить, как они могут повлиять на бизнес. Соблюдение одного может облегчить выполнение другого. Однако так может быть не всегда.

Значительное внимание к конфиденциальности данных

Изображение 9938
Pixabay

В настоящее время защита данных доминирует в организациях, побуждая их соблюдать юридические обязательства, а также поддерживать доверие и бизнес ценных клиентов и клиентов.

Люди лучше, чем когда-либо, осознают ценность своих данных, важность защиты данных и своих прав на безопасность данных и конфиденциальность. Это подчеркивается постоянно растущими масштабными утечками личной информации, происходящими периодически по всему миру и затрагивающими миллионы людей. Это растущее осознание влияет на изменения. Люди хотят конфиденциальности и нуждаются в возможности контролировать свою информацию.

Страны и их законодатели слушают и теперь реагируют. Это видно из недавних реформ регулирования, касающихся безопасности данных и конфиденциальности. CCPA, как и GDPR, демонстрирует это и обеспечивает конфиденциальность и контроль над своими данными, в которых они нуждаются и желают. Потребители и субъекты данных приветствуют это, но это может вызывать некоторую озабоченность у бизнеса. Никогда еще не уделялось такого внимания конфиденциальности данных, безопасности данных и надлежащему обращению и обработке информации о людях, как в настоящее время, и кажется, что все это происходит одновременно. Поэтому полезно быть в курсе изменений, чтобы понимать, как каждое правило может повлиять на работу вашего бизнеса.

Права, предоставляемые CCPA и GDPR

CCPA гарантирует жителям Калифорнии следующие права:

  1. Право знать, какая личная информация о них собирается.
  2. Право знать, продается или раскрывается ли личная информация и кому.
  3. Право не разрешать продажу личной информации.
  4. Право на доступ к своей личной информации.
  5. Право на равные услуги и цены, даже если они реализуют свои права на неприкосновенность частной жизни.

GDPR гарантирует следующие права субъектам данных ЕС:

  1. Право на получение информации.
  2. Право доступа.
  3. Право на исправление.
  4. Право на стирание.
  5. Право на ограничение обработки.
  6. Право на переносимость данных.
  7. Право на возражение.
  8. Права в отношении автоматизированного принятия решений и профилирования.

Различия и сходства CCPA и GDPR с первого взгляда

Изображение 10020
Шаттерсток

  1. Информационные права

При рассмотрении вышеуказанных прав заметно совпадение, но при более внимательном изучении различия становятся более очевидными. Оба правила дают людям определенные права, когда их данные обрабатываются контроллером/обработчиком (GDPR) или коммерческой организацией (CCPA). Некоторые из них похожи, некоторые могут частично совпадать или различаться, а некоторые существуют в одном регламенте, а не в другом. Оба имеют особые требования, касающиеся того, как права озвучиваются, доставляются и поддерживаются. Давайте посмотрим поближе.

И CCPA, и GDPR в той или иной форме предоставляют следующие права:

  • Право на получение информации: одинаково для обоих, но при информировании лиц о целях обработки данных требуется разная информация, и способ доставки, используемый для уведомления лиц, также может различаться.
  • Право на доступ к информации / право на раскрытие информации: одинаково для обоих, но способы реализации права различаются. GDPR предоставляет более широкие возможности доступа к информации по сравнению с CCPA, который разрешает раскрытие информации только в письменной форме.
  • Право на переносимость данных: одинаково для обоих. Оба требуют предоставления информации в удобном для использования формате. GDPR идет еще дальше. Это позволяет запросить от субъекта данных для контроллера передать данные другому контроллеру данных по их выбору.
  • Право на удаление: одинаково для обоих, но CCPA допускает исключения, тогда как GDPR настаивает на том, чтобы все данные, которые не являются необходимыми, должны быть безопасно удалены, и когда субъект данных запрашивает удаление своих данных, если выполняются условия.
  • Недискриминация: как и CCPA, так и GDPR запрещают дискриминацию в отношении лиц, реализующих свои права на неприкосновенность частной жизни.
  • Ответы на запросы: одинаковые для обоих, но разные временные рамки.

Существует в соответствии с CCPA, а не GDPR:

  • Право на отказ от продажи личной информации: GDPR не включает это конкретное право, но субъекты данных могут отозвать согласие на обработку и запретить обработку своих данных в маркетинговых целях. Кроме того, контролеры должны соблюдать принципы GDPR, такие как добросовестная обработка, и должны иметь законное основание для обработки данных. Следует отметить, что в GDPR используется подход согласия, а не отказа.

Не существует в соответствии с CCPA и существует в соответствии с GDPR:

  • Право на исправление (разрешено GDPR, не предусмотрено CCPA).
  • Право на ограничение обработки (разрешено GDPR, CCPA имеет право на отказ только для продажи личной информации).
  • Право возражать против обработки (разрешено GDPR, CCPA имеет право отказа только для продажи личной информации).
  • Права в отношении автоматизированного принятия решений и профилирования (разрешены GDPR, не предусмотрены CCPA).

  1. На кого влияют правила

CCPA требует, чтобы только коммерческая организация, работающая в Калифорнии, собирала информацию о потребителях от жителей Калифорнии и соответствовала одному из конкретных критериев CCPA в отношении дохода и размера. Эти критерии включают: валовой доход компании составляет более 25 миллионов долларов США, она ежегодно обрабатывает личную информацию, относящуюся к более чем 50 тысячам потребителей, или получает половину или более своей годовой выручки от продажи личной информации потребителей.

GDPR не фокусируется на размере или доходе бизнеса, но распространяется на всех контролеров и обработчиков данных, которые обрабатывают персональные данные субъектов данных из ЕС, независимо от того, происходит ли обработка в ЕС или за его пределами. GDPR распространяется на все предприятия и все виды бизнеса. Если организация обрабатывает личную информацию из ЕС, она должна соответствовать требованиям.

Еще одно заметное отличие состоит в том, что GDPR распространяется и на некоммерческие предприятия или благотворительные организации. В отличие от этого, CCPA имеет отношение только к коммерческим предприятиям, которые соответствуют определенным критериям относительно дохода и размера.

GDPR требует, чтобы предприятия регистрировались или уведомляли органы по защите данных, если они обрабатывают личную информацию субъектов данных. Однако CCPA не требует регистрации бизнеса в органах власти.

GDPR CCPA
Коммерческие или некоммерческие организации Только коммерческие организации
Независимо от дохода от размера Соблюдайте критерии дохода и размера
Персональные данные любого субъекта данных ЕС Данные только жителей Калифорнии
Зарегистрируйтесь в органе Нет требований к регистрации

Таким образом, GDPR имеет гораздо более широкий охват, чем CCPA.

  1. Кого защищают правила

CCPA защищает потребителей, которых называют жителями Калифорнии. Они могут быть покупателями товаров и услуг для дома, наемными работниками или бизнес-транзакциями. GDPR защищает субъекты данных, определяемые как идентифицированные или идентифицируемые лица, к которым относятся персональные данные. И CCPA, и GDPR сосредоточены на информации, которая может идентифицировать человека, и оба имеют потенциал глобального охвата, поэтому законы могут затрагивать предприятия за пределами конкретной юрисдикции, в которой действует закон.

  1. Информация защищена

CCPA защищает любую личную информацию, которая идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. Исключения применяются, например, к общедоступной информации (данные, которые уже легально доступны общественности) и личной информации, уже регулируемой другим законодательством (например, информация о здоровье, регулируемая HIPPA).

GDPR защищает любую личную информацию, относящуюся к идентифицированному или идентифицируемому субъекту данных. GDPR имеет строгие правила обработки данных особой категории, и если они не соблюдаются, обработка этой информации вообще не допускается. GDPR применяется ко всей личной информации, не относящейся к делу, если она уже соответствует отраслевым требованиям, будь то финансовые, медицинские, страховые и т. д. (в отличие от CCPA). Таким образом, в этом отношении GDPR имеет более широкий охват и влияние на сектор и компанию.

Подобная информация защищена (данные, которые могут идентифицировать человека); однако CCPA включает информацию (о домашнем хозяйстве и устройстве), на которую не распространяется действие GDPR. Это означает, что CCPA также защищает информацию, полученную с помощью технологий и аналитики (например, истории просмотров и поиска), которые связаны на уровне устройства или домохозяйства.

CCPA GDPR
Включает информацию о домохозяйстве и устройстве Не включает это
Делает исключения для предприятий, уже регулируемых другими отраслевыми нормами. Не допускает этого, каждый бизнес должен соблюдать
Не включает это Применяются критерии данных специальной категории

  1. Обеспечена безопасность

GDPR более прямо указывает на необходимость соответствующих технических и организационных мер для защиты личной информации и снижения рисков безопасности, тогда как CCPA напрямую не устанавливает требований к безопасности данных. Тем не менее, CCPA допускает принятие мер в случае утечки информации в результате неадекватных мер безопасности на предприятиях.

GDPR предъявляет существенные требования к безопасности данных и включает в себя как конфиденциальность данных, так и правила безопасности, в то время как CCAP фокусируется в первую очередь на конфиденциальности потребителей.

GDPR требует, чтобы предприятия назначали сотрудника по защите данных при определенных обстоятельствах; однако в CCPA нет этого требования.

GDPR требует широкого спектра документации, политик, процессов, записей и обучения, чтобы продемонстрировать ответственность за безопасную обработку данных и доказать соответствие GDPR. CCPA не имеет такого обширного требования. Это требует некоторой подготовки и минимальной документации по сравнению с GDPR.

  1. Международная передача данных

GDPR запрещает и ограничивает международную передачу персональных данных за пределы ЕС. Передача данных разрешена только при соблюдении определенных обстоятельств, одобренных Европейской комиссией. Например, если существует достаточная безопасность, используется утвержденный механизм передачи (например, BCR) или существует исключение в соответствии с правилами. Однако CCPA не ограничивает международную передачу данных.

  1. Штрафы и уведомления о нарушениях

Структура и подход к штрафам CCPA и GDPR различаются. Штрафы GDPR связаны с доходом бизнеса (4 процента годового мирового оборота или 20 миллионов евро, в зависимости от того, что больше). GDPR предусматривает штрафы за несоблюдение требований и утечку данных.

Штрафы CCPA оцениваются и применяются в зависимости от нарушения. Гражданские штрафы могут составлять от 2500 до 7500 долларов за нарушение. Штрафы применяются только в случае нарушения, поэтому, в отличие от GDPR, несоблюдение CCPA не влечет за собой финансового штрафа, если только нарушение не произошло.

Хотя генеральный прокурор Калифорнии обеспечивает соблюдение CCPA, законодательство предоставляет «частное право на иск», согласно которому при определенных обстоятельствах потребители могут подать в суд на возмещение понесенных законом убытков, если они смогут доказать, что бизнес нарушил закон. Выплаты в связи с этим составляют от 100 до 750 долларов за инцидент с потребителем. Таким образом, потребители могут подать в суд на бизнес за нарушение.

Важно отметить, что CCPA предоставляет рабочее время (30 дней) для устранения нарушений, когда это возможно.

Хотя оба имеют существенные штрафы, каждый подход отличается. GDPR носит более превентивный характер, поскольку компания может получить выговор за несоблюдение или ненадлежащее обращение с данными. Напротив, CCPA является реактивным, поскольку штрафы могут применяться только после того, как нарушение произошло и о нем было сообщено.

GDPR требует, чтобы контролеры сообщали властям об утечке в течение 72 часов, если утечка данных представляет риск для субъектов данных. CCPA требует, чтобы бизнес сообщал о нарушении потребителям без необоснованной задержки, а регулирующие органы должны быть проинформированы только тогда, когда более 500 жителей уведомлены о нарушении.

GDPR CCPA
Превентивный подход Реактивный подход
Штраф может быть применен только за несоблюдение Для применения штрафа должно произойти нарушение
Штраф на основе годового мирового оборота (4 процента или 20 миллионов евро) Штрафы, применяемые за каждое нарушение (2500–7500 долларов США)
Позволяет субъекту данных подать в суд на возмещение нематериального или материального ущерба, причиненного в результате нарушения Потребитель может подать в суд на бизнес за нарушение (100-750 долларов США)
Уведомление о нарушении в течение 72 часов Срок не указан, но требуется без необоснованной задержки

Хотя они во многом похожи, они не одинаковы

Поскольку многие компании все еще адаптируются к изменениям GDPR, некоторых может немного беспокоить CCPA. Тем не менее, вероятно, хорошо, что CCPA занял второе место после GDPR, поскольку GDPR является более строгим из двух. Детали, описанные здесь, ни в коем случае не являются исчерпывающим описанием всех различий, а скорее средством демонстрации того, насколько схожи или различны правила при ближайшем рассмотрении. Так что не принимайте их за одно и то же. Можно с уверенностью сказать, что если вам удалось внедрить технические и организационные методы для соблюдения GDPR за последние 18 месяцев или около того, добиться соответствия CCPA будет легче по сравнению с ним. Тем не менее, хорошее понимание различий может помочь понять, где необходимы корректировки для обеспечения соответствия CCPA.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023