Правовий режим захисту біометричних персональних даних California Consumer Privacy Act

Размещено на http://www.allbest.ru/

Правовий режим захисту біометричних персональних даних California Consumer Privacy Act

Бойко А.М., аспірантка

Інститут права Київського національного університету імені Тараса Шевченка

Статтю присвячено дослідженню питання захисту персональних даних у контексті правового режиму захисту біометричних персональних даних California Consumer Privacy Act. У статті аналізується California Consumer Privacy Act, який урегульовує питання захисту персональних даних, зокрема біометричних персональних даних. У статті досліджуються характерні ознаки California Consumer Privacy Act та суміжних нормативно-правових актів США, які врегульовують відповідну сферу відносин, що стосуються захисту персональних даних загалом та захисту біометричних персональних даних зокрема. У статті визначено ряд переваг та недоліків у контексті законодавчого закріплення California Consumer Privacy Act захисту персональних даних, зокрема захисту біометричних персональних даних. У науковій статті міститься поетапний аналіз California Consumer Privacy Act з метою дослідити істотні характеристики врегулювання захисту персональних даних у Каліфорнії та інформація про необхідність створення сприятливих умов для компаній, що займаються господарською діяльністю у сфері інформації в Україні. Статтею запропоновано зміни для українських нормативно-правових актів у відповідній сфері, що вдосконалять законодавче регулювання захисту персональних даних загалом та захисту біометричних персональних даних зокрема. Стаття слугує прикладом реформування інформаційної сфери шляхом удосконалення захисту персональних даних та біометричних персональних даних з метою захисту та надання можливості легального здійснення господарської діяльності для компаній, які здійснюють господарську діяльність у відповідній сфері.

Ключові слова: захист персональних даних, захист біометричних персональних даних, біометричні персональні дані, персональні дані, законодавче закріплення захисту біометричних персональних даних у California Consumer Privacy Act, законодавче регулювання біометричних персональних даних, захист біометричних персональних даних у California Consumer Privacy Act, California Consumer Privacy Act.

LEGAL REGIME OF BIOMETRIC PERSONAL DATA PROTECTION CALIFORNIA CONSUMER PRIVACY ACT

The article is devoted to the study of personal data protection in the context of the legal regime of protection of biometric personal data California Consumer Privacy Act. The article analyzes the California Consumer Privacy Act, which regulates the protection of personal data, including biometric personal data. The article examines the characteristics of the California Consumer Privacy Act and related US regulations, which regulate the relevant area of relations relating to the protection of personal data in general and the protection of biometric personal data in particular. The article identifies a number of advantages and disadvantages in the context of the California Consumer Privacy Act, in particular the protection of biometric personal data. The research paper provides a step-by-step analysis of the California Consumer Privacy Act to investigate the essential characteristics of the personal data protection regulation in California. The article contains information on the need to create favorable conditions for companies engaged in economic activities in the field of information in Ukraine. The article proposes changes for Ukrainian regulations in the relevant field, which will improve the legislative regulation of personal data protection in general and the protection of biometric personal data in particular. The article serves as an example of reforming the information and telecommunications sector by improving the protection of personal data and biometric personal data in order to protect and enable the legal conduct of business for companies engaged in business activities in this area.

Key words: protection of personal data, protection of biometric personal data, biometric personal data, personal data, legal protection of biometric personal data in the California Consumer Privacy Act, legal regulation of biometric personal data, protection of biometric personal data in the California Consumer Privacy Act, California Consumer Privacy Act.

Постановка проблеми

Правовий режим захисту біометричних персональних даних у контексті дослідження California Consumer Privacy Act (далі - CCPA) характеризується тим, що Сполучені Штати не мають уніфікованого законодавства про конфіденційність на федеральному рівні, в результаті чого прослідковується наявність великої кількості законодавчих актів про конфіденційність, включаючи закони та положення, на федеральному рівні, на рівні штатів та місцевому рівнях. Аналіз законодавства Сполучених Штатів Америки в контексті захисту персональних даних є дуже актуальним з огляду на постійний розвиток відповідних відносин у світі.

Стан наукового дослідження

Питанню міжнародного законодавчого регулювання захисту персональних даних у своїх наукових роботах присвятили такі науковці:

І.Арістова, А. Баранов, О. Іоффе, О. Заярний, І. Кушнір, М. Кравчук, Л. Красицька, О. Підопригора, А. Мельник, А. Пазюк, А. Попов, М. Різак, Р. Стефанчук, О. Татаров та інші науковці в галузі права.

Виклад основного матеріалу

Велику кількість законодавчих актів у США на федеральному рівні становлять такі нормативно-правові акти, як Закон про Портативність та Підзвітність Медичного Страхування [1], Закон про Захист Конфіденційності в Інтернеті для Дітей [2], Закон Грем-Ліч-Блайл [3] та Закон про Захист Конфіденційності Водіїв [4], а на рівні штатів - такі нормативно-правові акти, як закон США про повідомлення про порушення, підписаний 28 червня 2018 року, тощо. Зокрема, компанії Facebook й Alphabet та інші відомі компанії підтримували відповідні зміни до цього закону, і такі зміни було внесено від 11 жовтня 2019 року Г. Ньюсумом як головою штату, а набув чинності нормативно-правовий акт 1 січня 2020 року. Вищезазначений законодавчий акт став першим комплексним законом про захист персональних даних у США [5]. california consumer privacy act персональний захист

Відповідний нормативно-правовий акт (CCPA) наразі є ефективним інструментом використання, оброблення та обігу персональних даних, зокрема біометричних персональних даних, адже на практиці часто використовується бізнес-індустрією. Компанії, які збирають особисту інформацію про резидентів, надають широкі права на конфіденційність споживачів, а також чітко врегульовують зобов'язання для бізнесу. Набувши чинності, CCPA доповнив й інші закони про захист персональних даних у Каліфорнії, зокрема закон про Конфіденційність Електронних Комунікацій, який від 2015 року врегульовує процедуру і спосіб використання персональних даних правоохоронними органами, та закон про Захист конфіденційності в Інтернеті від 2003 року [6].

CCPA має схожі положення із Загальним регламентом захисту даних, що розповсюджено використовується найбільше країнами Європейського Союзу, однак відмінність полягає в застосуванні ССРА саме до організацій, що ведуть бізнес у Каліфорнії, та до жителів Каліфорнії [7].

Унікальність та організаційність CCPA полягає в наявності чітких алгоритмів процесів, пов'язаних як з персональними даними, так і з біометричними персональними даними. Чіткість визначень понять також є сильною стороною ССРА, адже персональні дані ССРА наводяться як будь-яка особиста інформація. Тобто фактично мається на увазі абсолютно вся особиста інформація про особу, а отже, і зобов'язання бізнесу нести відповідальність за всю особисту інформацію особи, яку вона ввірила організації.

ССРА передбачає можливість продажу персональних даних, що дає можливість особі продати свої дані, а організації купити їх, тож поняття «продаж», «продавати» охоплює розуміння продавати, здавати в оренду, звільняти, розкривати, поширювати, робити доступними, передавати або іншим чином поширювати усно, письмово або електронними чи іншими засобами персональну інформацію споживача, однією компанією іншій компанії або третьою стороною, в обмін на грошову чи іншу цінність. Наведене визначення включає досить широкий спектр дій як однієї, так і другої та третьої сторони, а розкриття інформації постачальникам послуг виключається із визначення продажу [5].

Деякі визначення та поняття в CCPA схожі з аналогічними в інших законах. Наприклад, «споживач» відповідає концепції «суб'єкта даних» за GDPR; «бізнес» аналогічний «контролеру», а «постачальник послуг» аналогічний «процесору». Терміни «обробка», «псевдонімізація», «третя сторона» та «збір» також мають значення, подібні до визначень GDPR. Однією з особливостей CCPA є таке визначення, як «розроблення висновків» (to «infer»), що означає розроблення даних про споживача (наприклад, уподобання, тенденції, характеристики поведінки тощо) з даних, зібраних від споживача або отриманих із загальнодоступних джерел. Дані щодо таких висновків - це дані, створені бізнесом, що у свою чергу розширює сферу захисту CCPA.

ССРА закріплює також принципи захисту персональних даних, зокрема, основними вважаються принцип прав споживачів як суб'єктів даних (право на доступ до персональних даних, видалення даних, відмова від продажу персональних даних), принцип підзвітності, принцип прозорості та принцип контролю [6].

Зважаючи на унікальність англійського права, нормативно-правовий акт ССРА має ознаку можливості використання іншого нормативно-правового акта. Зокрема, у випадку, якщо положення ССРА суперечитимуть положенням іншого законодавчого акту й останній міститиме положення, які захищають власника персональних даних більше, застосовуватимуться положення такого нормативно-правового акта навіть тоді, коли вони прямо суперечать ССРА [7].

CCPA також має й іншу унікальність, адже врегульовує процеси з даними, які отримані в будь-якому вигляді, електронному чи не електронному, наприклад, зібрані з мережі Інтернет або ж отримані інакшим, не електронним способом.

CCPA прив'язаний територіально до Каліфорнії, тобто розповсюджується на компанії, що зареєстровані та ведуть свою діяльність у Каліфорнії, та на осіб, які проживають у Каліфорнії. Компанії, які підпадають під поняття «бізнес» у розумінні CCPA, повинні мати річний валовий оборот не менше ніж 25 мільйонів доларів США, працювати з інформацією понад 50 000 резидентів та отримувати більше 50% від річного обороту за продаж даних [5].

Варто наголосити, що в Україні наявна практика продажу даних, зокрема, великі мережі магазинів продають дані, які особа лишає в анкеті користувача персональної накопичувальної картки магазину, після чого інші компанії рекламують свої послуги з використанням придбаних даних особам, що колись лишили свої номери телефонів, тощо. Дані продаються і в інакші способи, адже у світлі цифрової трансформації країни виникають нові потреби врегулювання питання обігу персональних даних, однак в Україні відсутній механізм законного регулювання подібних процесів. На наше переконання, Україна має запозичити відповідний механізм та імплементувати в національне законодавство подібні норми.

Відповідний суб'єкт господарювання в розумінні закону CCPA має статус «постачальника послуг», що дає можливість обробляти дані відповідно до цивільно-правової угоди, укладеної між сторонами, однак без можливості повторного продажу або повторної передачі даних. Також варто наголосити, що у рамках ССРА транскордонні передачі та передачі даних зі штату не врегульовуються [5].

Законом ССРА врегульовується та розкривається питання процесу отримання згоди на використання персональних даних, зокрема, споживач має право не надати право на продаж своїх персональних даних, а лише в рамках продажу - отримання вигоди за свої персональні дані. Практично відповідна відмова від продажу даних є помітною на сторінці особи, наприклад, позначкою «не продавати дані» тощо.

CCPA передбачає відповідальність за порушення прав на захист персональних даних та гарантує право на позов (тобто можливість споживачів подавати позов до бізнесу). Відповідне застосовується у випадку, якщо персональні дані, які не були зашифровані або відредаговані, зазнали несанкціонованого доступу, витоку, крадіжки або розголошення внаслідок порушення бізнесом свого обов'язку впроваджувати та підтримувати обґрунтовані заходи безпеки [5].

Висновки

California Consumer Privacy Act є ефективним інструментом використання, обробки та обігу персональних даних, зокрема біометричних персональних даних. Відповідний нормативно-правовий акт покликаний більше врегулювати відносини захисту персональних даних не між особою та штатом, а між особою - володільцем персональних даних та підприємством, установою, організацією, адже відповідне на практиці часто використовується бізнес-індустрією. Компанії, які збирають особисту інформацію про резидентів, надають широкі права на конфіденційність споживачів, а також California Consumer Privacy Act чітко врегульовує зобов'язання для бізнесу. Україні не вистачає подібної практики врегулювання відносин між бізнесом та людиною в контексті господарської діяльності в інформаційній сфері, адже сьогодні в Україні компанії недобросовісно використовують персональні дані власних клієнтів та продають клієнтські бази з персональними даними своїх клієнтів. Тож, ураховуючи вищезазначене, маємо на меті запропонувати імплементацію подібних норм в українське законодавство.

ЛІТЕРАТУРА

1. Закон про портативність та підзвітність медичного страхування. Фінансова енциклопедія. URL: https://ua.nesrakonk.ru/hipaa/

2. Online Privacy Protection Act. Вікіпедія - вільна енциклопедія. URL: https://ru.wikipedia.org/wiki/Children%E2%80%99s_Online_ Privacy_Protection_Act

3. Закон США про фінансову модернізацію. Вікіпедія - вільна енциклопедія. URL: https://ru.wikipedia.org/wiki/

4. Як персональні дані стали розмінною монетою політичних сил на виборах. URL: https://cedem.org.ua/analytics/personalni-dani-vybory/

5. Аналіз законодавства про захист персональних даних. Офіційний веб-портад Мінцифри. URL: https://ecpl.com.ua/wp-content/ uploads/2020/09/UKR_09142020_CEP_Finalnyy-zvit.pdf

6. Політика конфіденційності. Вікіпедія - вільна енциклопедія. URL: https://uk.wikiqube.net/wiki/Privacy_policy

7. Загальний регламент захисту даних. Вікіпедія - вільна енциклопедія. URL: https://ru.wikipedia.org/wiki

Размещено на Allbest.ru