Порівняльна характеристика правового регулювання захисту персональних даних у США та Європі: ССРА

Размещено на http://www.allbest.ru/

ПОРІВНЯЛЬНА ХАРАКТЕРИСТИКА ПРАВОВОГО РЕГУЛЮВАННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У США ТА ЄВРОПІ: ССРА

Юлія Корнелюк

Національний університет “Львівська політехніка”, Інститут права, психології та інноваційної освіти, асистент кафедри теорії та філософії права

Юлія Серединська Національний університет “Львівська політехніка”, Інститут права, психології та інноваційної освіти, студентка

У статті проводяться аналіз та порівняльна характеристика правового регулювання захисту персональних даних у вигляді європейського та американського актів - General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) та California Consumer Privacy Act (CCPA).

Аналізується: збирання, обробка, а також продаж персональних даних за відповідними нормативно-правовими актами; сфера діяльності правових актів розрізняється за 3 традиційними критеріями: колом осіб, предметом регулювання та територією застосування.

Також порушується питання захисту персональних даних юридичними засобами при їх збиранні, обробці та продажі в інформаційних системах.

Досліджуються тенденції розвитку інституту захисту персональних даних в контексті США та Європи, а також сутність поняття та загальні засади розвитку персональних даних. Вивчено розвиток законодавства ЄС у сфері захисту персональних даних та основи його практичної реалізації. Подано пропозиції з імплементації законодавства України і ЄС. Здійснено ґрунтовний аналіз американських та європейських законодавчих основ та принципів захисту персональних даних, які становлять основу сучасної практики в цій сфері. Поставлено питання особливості підстав, за якими можна здійснювати законну обробку персональних даних суб'єкта відповідно до General Data Protection Regulation та California Consumer Privacy Act. Здійснено порівняння поняття суб'єкта даних, GDPR та CCPA GDPR встановлює шість таких підстав. Ключову позицію посідає згода суб'єкта даних на їх обробку. Окрему увагу приділено вивченню питання “чутливих даних” у General Data Protection Regulation. Під таким поняттям даних розуміється інформація, яка розкриває расову, етнічну або релігійну приналежність; релігійні чи філософські вірування; політичні погляди та переконання; опрацювання біометричних та генетичних даних задля єдиної ідентифікації фізичної особи, а також про її здоров'я, статеве життя чи сексуальну орієнтацію. На противагу цьому CCPA не встановлює жодних обмежень чи режимів збору та обробки відповідних категорій персональних даних.

Ключові слова: персональні дані, “privacy”, “чутливі дані”, CCPA, GDPR.

Yuliia Korneliuk

Lviv Polytechnic National University, Institute of Law, Psychology and Innovative Education, Assistant of the Department of Theory, History and Philosophy of Law

Yuliia Seredynska Lviv Polytechnic National University, Institute of Law, Psychology and Innovative Education, student

COMPARATIVE CHARACTERISTICS OF LEGAL REGULATION OF PERSONAL DATA PROTECTION IN THE US AND EUROPE: CCPA VS GDPR

The article analyzes and compares the legal regulation of personal data protection in the form of European and American acts - General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) and California Consumer Privacy Act (CCPA).

Сollection, processing, and sale of personal data in accordance with relevant legal acts; the scope of legal acts differs according to 3 traditional criteria: the number of persons, the subject of regulation and the territory of application are analyzed in the article.

It also raises the issue of protection of personal data by legal means during their collection, processing and sale in information systems.

Trends in the development of the Personal Data Protection Institute in the context of the US and Europe are explored, as well as the essence of the concept and general principles of personal data development. The development of EU legislation in the field of personal data protection and the basis of its practical implementation are studied. Proposals for the implementation of Ukrainian and EU legislation have been submitted. A thorough analysis of the US and European legal frameworks and principles of personal data protection, which form the basis of current practice in this field, has been carried out. The question is raised as to the peculiarities of the grounds on which the personal data of the subject can be lawfully processed in accordance with the General Data Protection Regulation and the California Consumer Privacy Act. A comparison of the concept of data subject, GDPR and CCPA GDPR establishes six such grounds. A key position is the consent of the data subject to process it. Particular attention is paid to the study of “sensitive data” in the General Data Protection Regulation. The term data refers to information that reveals race, ethnicity or religion; religious or philosophical beliefs; political views and beliefs; processing of biometric and genetic data for the sole identification of the individual, as well as their health, sexual life or sexual orientation. In contrast, the CCPA does not impose any restrictions or modes on the collection and processing of relevant categories of personal data.

Key words: personal data, privacy, sensitive data, CCPA, GDPR.

Постановка проблеми

Процес розвитку технологій та інформаційного поля тягне за собою розвиток правового регулювання захисту прав людини у цій сфері. У сучасному світі інтернет- простір є хорошим підґрунтям для шахрайства та інших протиправних діянь, які вчиняють для матеріального збагачення та інших цілей. Кібергігієна є ключовим фактором для збереження особи від таких протиправних діянь проти неї ж самої, проте більшість персональних даних вноситься добровільно через недостатню освіченість у правилах такого захисту. Тому потреба у встановленні інституту персональних даних є актуальною та необхідною у еру новітніх технологій.

Інститут захисту персональних даних є відносно молодим у світі та бере свої витоки у становленні конституційних прав та свобод громадянина, зокрема право на недоторканість приватного життя. Таке право особи є одним з основоположних принципів світових демократій та знайшло своє відображення у багатьох міжнародно-правових актах. Як юридична категорія воно зародилося у США [1, с. 98]. В англійській мові приватне життя особи позначають терміном “privacy” (від англ. “privacy” - право на недоторканність особистого та сімейного (приватного) життя й індивідуальних свобод), який не можна перекласти українською без втрати контексту. Сформована в США концепція “privacy” здійснила вагомий вплив на розвиток інституту прав і свобод людини.

Аналіз дослідження проблеми

Дослідженню характеристики правового регулювання захисту даних присвятили свої праці Городиський І., Погребна А., Мельник К., проте ця тематика є мало досліджена.

Метою статті є порівняльно-правовий аналіз положень актів європейського та американського законодавства у сфері захисту персональних даних.

Виклад основного матеріалу

Задля захисту права недоторканості приватного життя особи, законодавцями США та Європи було розроблено закони, які регулюють правовідносини у сфері збору, обробки та використання персональних даних. Ключовими нормативно-правовими актами є CCPA та GDPR.

General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) та California Consumer Privacy Act (CCPA) мають на меті гарантію захисту персональних даних осіб, які збирають або використовують підприємства, незалежно від того, яким способом була отримана ця інформація. GDPR, який набув чинності 25 травня 2018 року, є одним із найповніших законів про захист персональних даних на сьогоднішній день. Через відсутність у США комплексного федерального закону про конфіденційність, CCPA вважається однією з найважливіших подій законодавчого закріплення права особи на недоторканість приватного життя, тобто на “privacy”. Науковці та практики очікують глобальний вплив CCPA (як і GDPR) на розвиток інституту персональних даних та бізнесу у сфері його використання, враховуючи статус Каліфорнії як п'ятого за величиною економічного впливу на світ елементу (поступаючись лише США, Китаю, Японії та Німеччині). Сенат Каліфорнії прийняв закон, який має стати золотою серединою між правами людини та інтересами бізнесу. CCPA набрав чинності з 1 січня 2020 року, проте деякі аспекти активно застосовувались і раніше, до моменту офіційного набрання ним сили.

Однак, CCPA відрізняється від GDPR деякими істотними умовами, особливо тими, що стосуються сфери застосування та правил щодо підзвітності. Для аналізу цих законних актів та їх вимог, ми проведемо порівняння за декількома основними критеріями: сферою дії, поняттям терміну персональних даних, суб'єктами та відповідальністю за їх порушення.

Сфера діяльності будь-якого правового акту розрізняється за 3 традиційними критеріями: колом осіб, предметом регулювання та територією застосування. Якщо говорити про сферу застосування двох актів за колом осіб, то можна підкреслити, що вони стосуються захисту персональних даних фізичних осіб. Визначення поняття “фізичної особи” у кожному з актів не має відмінних особливостей, тому загострювати свою увагу щодо цього питання ми не будемо. Проте, якщо розглядати предметну та територіальну юрисдикції, то у них є своя ключова особливість, тому вважаємо необхідним зупинитись та детальніше розглянути кожну з таких відмінностей.

Розглядаючи питання предметної юрисдикції, варто зазначити, що ОБРЯ поширює свою діяльність на правові відносини, пов'язані із захистом і обробкою персональних даних, зокрема - на обробку, яка здійснюється повністю або частково із застосуванням автоматизованих чи неавтоматизованих засобів. Також варто зазначити деталізацію і щодо переліку відносин, на які дія ОБРЯ не поширюється (наприклад щодо діяльності, яка виходить за межі дії права ЄС тощо).

Порівняно з такою сферою дії, ССРА встановлює більш широку предметну юрисдикцію, вказуючи, що дія акту поширюється на правові відносини щодо збору, обробки та продажу персональної інформації осіб, включаючи розкриття такої інформації з метою досягнення бізнес- цілей [2].

Якщо аналізувати норми цих актів щодо предмету територіальної дії, то варто зазначити, що ОБРЯ чітко визначає межі своєї територіальної юрисдикції, вказуючи, що його дія поширюється на:

- опрацювання персональних даних контролером або оператором, що зареєстрований на території ЄС;

- опрацювання персональних даних контролером або оператором, які зареєстровані поза територією ЄС, проте які обробляють дані осіб, що перебувають в ЄС.

Дія ССРА поширюється на компанії, які ведуть свою бізнес-діяльність у штаті Каліфорнія та з річним доходом понад 25 мільйонів доларів США; або тих компаній, які обробляють персональні дані більше ніж 50 000 споживачів, домогосподарств або пристроїв; а також компанії, які отримують більше половини річного доходу від продажу персональної інформації. Закон також застосовується до суб'єктів, що контролюються згаданим бізнесом або мають спільний брендинг. Окрім того, компанії, які розташовані поза межами штату, також, за наявності певних умов, можуть бути визнаними такими, що ведуть у ньому свою бізнес-діяльність у межах штату. Однак, якщо компанія збирає та продає персональні дані осіб поза межами юрисдикції штату, то ССРА не має влади над такою компанією.

Згідно з ч. 1 ст. 4 ОБРЯ персональними даними є будь-яка інформація, що стосується фізичної особи (''суб'єкт даних”), яка ідентифікована або може бути конкретно ідентифікована. Ідентифікована фізична особа - це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема, посилаючись на такий ідентифікатор, як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або на декілька факторів, характерних для фізичних осіб: фізіологічну, генетичну, ментальну, економічну, культурну чи соціальну ідентичність цієї фізичної особи [3].

Якщо розібрати цю статтю, то можна побачити, що такий акт використовує широке означення термінів та їх тлумачення, наприклад: “будь-яка інформація, що стосується особи” (до прикладу, найменування компанії, у якій використовується ПІБ особи, буде інформацією, що стосується особи, проте така інформація не буде виступати відомостями про особу); додатково роз'яснює, коли можливо вважати особу такою, що можна ідентифікувати.

Разом з тим, категорія персональних даних за ССРА охоплює ще більше коло інформації ніж ОБРЯ. Так, у п. 1 ч. О ст. 1798.140 вказується, що персональними даними є інформація, яка ідентифікує, стосується, описує, асоціюється або може бути розумно пов'язана, прямо чи опосередковано, з особою [5]. Також, згідно з цією ж частиною, персональна інформація поділяється на різні види: біометрична інформація, комерційна інформація, яка включає у себе записи про особисте майно, продукти чи послуги, які були придбані, отримані чи розглянуті особою, або історія чи тенденція придбання або споживання певних товарів особою; інформація, отримана в інтернеті або за допомогою інших електронних мереж, яка включає в себе історію пошуку, переглянуті особою веб-сайти, реклами та додатки тощо. Таким чином, ССРА значно розширює коло понять інформації, що віднесена до персональних даних.

Проте, ОБРЯ піднімає питання щодо “чутливих даних”. Під таким поняттям даних розуміється інформація, яка розкриває расову, етнічну або релігійну приналежність; релігійні чи філософські вірування; політичні погляди та переконання; опрацювання біометричних та генетичних даних задля єдиної ідентифікації фізичної особи, а також про її здоров'я, статеве життя чи сексуальну орієнтацію. На противагу цьому ССРА не встановлює жодних обмежень чи режимів збору та обробки відповідних категорій персональних даних.

Порівнюючи поняття суб'єкта даних, ОБРЯ та ССРА також мають певні відмінності щодо його визначення. ОБРЯ зазначає, що суб'єктом даних є фізична особа, яку ідентифіковано чи можна ідентифікувати. ССРА тлумачить суб'єкта даних (споживача) як ідентифіковану фізичну особу, зокрема за будь-яким унікальним ідентифікатором, яка є резидентом штату Каліфорнія. Як бачимо, ССРА не відносить до суб'єктів даних осіб, які можуть бути ідентифіковані, на відміну від ОБРЯ. В розрізі поняття персональних даних за ССРА теоретично можлива ситуація, коли компанія буде вважатися такою, що збирає персональні дані особи, проте не пов'язана із суб'єктом даних (наприклад, у ситуації продажу інформації тощо) [2].

Цікавим питанням є особливість підстав, за якими можна здійснювати законну обробку персональних даних суб'єкта. ОБРЯ встановлює шість таких підстав. Ключову позицію посідає згода суб'єкта даних на обробку його персональних даних. До інших підстав відносяться необхідність захисту життєво важливих інтересів суб'єкта, необхідність виконання договору з суб'єктом тощо.

Проте, якщо говорити про погляд ССРА на це питання, то він є кардинально іншим. Зокрема, акт встановлює презумпцію правомірності обробки персональних даних осіб компанією. Тобто, це означає, що не існує сформованого переліку підстав, на основі яких можна законно здійснювати обробку персональних даних, таким чином встановлюючи, що збір і обробка персональних даних є законною та може здійснюватися компаніями. ССРА встановлює право особи направити компанії вимоги щодо заборони продажу її персональних даних для захисту прав та інтересів таких суб'єктів даних. Якщо компанія, яка здійснювала збір та обробку таких даних, отримає вимогу, щодо заборони продажу персональних даних особи, вона змушена видалити такі дані (за заявою особи) та не матиме права надалі продавати ці дані.

Найцікавішою для дослідження є санкції, які передбачають два акти. Якщо говорити про природу таких штрафів, то можна дійти висновку, що за ОБРЯ вони є адміністративними (тобто накладаються контролюючим органом), а відповідно до ССРА - цивільними (такі штрафи можуть бути накладені лише у судовому порядку). Чітке розмежування штрафів можна спостерігати у ОБРЯ:

- 2 % загального річного обороту або 10 млн євро, залежно від того, що вище - за порушення положень щодо обробки даних неповнолітніх осіб, обов'язків контролера та оператора тощо;

- 4 % загального річного обороту або 20 млн євро, залежно від того, що вище - за порушення положень щодо принципів обробки даних, прав суб'єктів даних, передачу даних в треті країни тощо [2, 3].

ССРА встановлює наступні різновиди штрафів:

- 2500 доларів за кожне порушення положень акту;

- 7500 доларів США за кожне умисне порушення акту [2, 4].

Також сам акт не встановлює максимального ліміту розмірів санкцій.

Висновки

персональний правовий законодавство захист

Провівши аналіз та порівняння положень ОБРЯ та ССРА, можна зрозуміти, що такі акти приймались з різною метою, тому і містять значні відмінності.

Метою прийняття ОБРЯ було регулювання питання обробки персональних даних як загальноєвропейського законодавчого акту з обов'язковою силою. Тому порівняно з ССРА, він є більш продуманий та універсальним. Європейський законодавчий акт - ОБРЯ - регулює максимально можливе коло відносин захисту персональних даних.

Натомість американський аналог - ССРА - показує, що основною метою для його прийняття є врегулювання відносин щодо продажу персональних даних. Акт звертає увагу на право суб'єкта заборонити продаж своїх персональних даних; право на отримання згоди на продаж даних тощо, в той час як ОБРЯ не містить таких положень щодо продажу персональних даних.

Список використаних джерел

1. Мельник К. С. Іноземний та вітчизняний досвід становлення інституту захисту персональних даних. Інформаційна безпека людини, суспільства, держави. 2013. № 2 (12). С. 97-103/

2. Comparing Privacy Laws GDPR v. CCPA.

3. General Data Protection Regulation.

4. California Consumer Privacy Act

References

1. Melnyk K. S. Inozemnyj ta vitchyznyanyj dosvid stanovlennya instytutu zaxystu personalnyx danyx. [Information security of man, society, state]. 2013. No. 2 (12). P. 97-103.

2. Comparing Privacy Laws GDPR v. CCPA

3. General Data Protection Regulation

Размещено на Allbest.ru