Вирджиния: требования к работе с персональными данными, подробный разбор VCDPA
Юридические услуги, правовые решения, подготовка договоров и документов от специалистов, прекрасно разбирающихся в специфике ИТ и Интернет бизнеса
юридические услуги, ИТ, Интернет, интеллектуальная собственность, контракты, договоры, международное право, правовая поддержка, Россия, Украина, Беларусь
22498
post-template-default,single,single-post,postid-22498,single-format-standard,qode-social-login-1.1.3,stockholm-core-2.3.3,select-theme-ver-9.4,ajax_fade,page_not_loaded,,qode_menu_,wpb-js-composer js-comp-ver-6.10.0,vc_responsive,elementor-default,elementor-kit-22422

Вирджиния: требования к работе с персональными данными, подробный разбор VCDPA

Вирджиния стала вторым американским штатом после Калифорнии, где начинает работать регулирование обработки персональных данных.

С 1 января 2023 году вступает в силу the Virginia Consumer Data Protection Act (VCDPA).

К сожалению, США идет по пути принятия законов о персональных данных на уровне каждого отдельного штата вместо общего федерального закона. Это в итоге приведет к зоопарку законов, каждый из которых в отдельности придется выполнять бизнесам, попадающим под их охват.

Кто вы: администратор и (или) обработчик персональных данных?

Ответ на этот вопрос важен для дальнейшего понимания и восприятия информации.

На компании, предоставляющие собственные продукты и услуги пользователям-физическим лицам (потребителям, consumers) (B2C модель) и клиентам-бизнесам (B2B модель), законы о персональных данных, включая VCDPA,  распространяются по-разному. Далее, где требуется, мы будем проводить соответствующую градацию.

B2C-компания всегда будет так называемым администратором персональных данных (data controller), то есть лицом, которое определяет цели и средства обработки персональных данных. 

B2B-компания чаще всего будет выступать в качестве обработчика персональных данных (data processor), то есть лицом, осуществляющим с персональными данными действия по их обработке сугубо на основании указаний (поручений) администратора. В B2B отношениях ваш клиент будет администратором, а вы – обработчиком персональных данных, поскольку сами данные и решение использовать функциональность вашего сервиса исходят от клиента. Иногда B2B-компания может выступать администратором персональных данных, когда сама начинает определять цели и направления использования персональных данных, полученных в рамках отношений с клиентом. Например, использует данные представителей (работников) клиента для рассылок или клиентскую информацию или события, содержащие персональные данные, для собственной аналитики. Также нередки случаи, когда компания предоставляет как B2C сервисы, так и B2B (например, API или white label своего B2C продукта). Тогда в отношениях с собственными пользователями-физическими лицами компания будет администратором персональных данных, а при обработке персональных данных пользователей своего бизнес-клиента – обработчиком. 

Безусловно, администратор может самостоятельно обрабатывать персональные данные, не привлекая обработчиков. В таком случае эти роли сливаются воедино в одном лице.

Под обработкой понимается выполнение любых операций (вручную или автоматически) с персональными данными, в частности, их сбор, использование, хранение, раскрытие, анализ, удаление или изменение.

Администратор персональных данных всегда будет нести всю полноту обязанностей и ответственности перед пользователями и государством, в том числе и за действия обработчика. Обработчик не вступает непосредственно в отношения с пользователями, чьи данные обрабатываются, несет ответственность перед администратором в рамках заключенного между ними договора и может нести определенную ответственность перед государством (как, скажем, в Вирджинии).

На кого распространяется VCDPA

Сразу развеем основное заблуждение, что закон штата Вирджинии – это проблема компаний, зарегистрированных в Вирджинии. Отнюдь нет. Все законы о персональных данных стремятся распространить себя на бизнесы вне зависимости от их географического местоположения.

В частности, VCDPA применяется к лицам, которые ведут бизнес в Вирджинии или производят продукты или услуги, предназначенные для резидентов Вирджинии, и при этом в течение календарного года собирают или обрабатывают персональные данные

  • не менее 100 000 пользователей; или
  • не менее 25 000 пользователей и получают более 50 процентов валового дохода от продажи персональных данных.

Следовательно, и для администраторов персональных данных (а ими, как мы установили, чаще всего будут B2C компании), и для обработчиков персональных данных (ими будут B2B компании) решающим будет совокупность двух факторов: 

  • предоставление (доступность) вашего продукта или сервиса на территории Вирджинии;
  • сбор и (или) обработка данных 100 000 и более пользователей (в сумме по всем продуктам) из Вирджинии в течение календарного года.

К обработчикам персональных данных VCDPA будет также применяться если на вашего бизнес-клиента распространяется VCDPA: он будет обязан иметь с вами договор, соответствующий требованиям VCDPA и накладывающий определенные обязанности на вас как обработчика, даже если вы не попадает под VCDPA по указанным выше критериям. Чаще всего ваш бизнес-клиент будет ожидать от вас предоставление такого договора (обычно он представляет собой отдельное data processing agreement, охватывающее требования основных мировых законов: EU GDPR, UK GDPR, CPRA и, теперь, VCDPA) или включение соответствующих условий в основной договор.

Что понимается под персональными данными в Вирджинии

По сути, VCDPA опирается на определение персональных данных из GDPR. К ним относится любая информация, которая связана или может быть обоснованно связана с физическим лицом, которое может быть точно идентифицировано, как прямо, так и косвенно. При этом персональные данные не включают обезличенные данные или общедоступную информацию (publicly available information). Последнее исключение – это чисто американская фишка, где оборот так называемой общедоступной информации является нормальной бизнес-практикой, на которую не посягнули законы о персональных данных, как это случилось в Европе.

К общедоступной информации VCDPA относит (i) ту, которая на законных основаниях стала доступной через федеральные, государственные или местные органы власти, или (ii) информацию, в отношении которой есть разумные основания полагать, что она на законных основаниях стала доступной для широкой публики через средства массовой информации широкого охвата в результате действий самого индивида или лицf, которому он раскрыл информацию, не ограничив раскрытие информации определенной аудиторией.

VCDPA также не распространяется на данные, обрабатываемые или собранные в ходе трудоустройства, а также во время действия трудового или гражданско-правового договора с индивидом – работником, контрактором или представителем компании в той степени, в которой данные о лице собираются или обрабатываются в контексте выполнения им таких функций. То есть на данные о вашем работнике или работнике вашего клиента либо контрагента, собираемые и используемые в рамках его функциональных обязанностей,  VCDPA не распространяется.

Основания для обработки

VCDPA не ограничивает администратора персональных данных заранее предписанным набором оснований, как это делает GDPR.

Чтобы собирать и использовать персональные данные в соответствии с VCDPA администратору персональных данных нужно:

  1. Раскрыть пользователю цели обработки его персональных данных, при этом такие цели должны быть адекватными, релевантными и разумно необходимыми (это оценочный критерий, который вам придется применять к вашей конкретной ситуации: продукту, его функциям, типам пользователей, категориям собираемых данных и направлениям их использования); и
  2. Не обрабатывать персональные данные в целях, не раскрытых пользователю.

Если вы хотите собирать персональные данные для целей, не являющихся разумно необходимыми, вам потребуется согласие пользователя. Оно же потребуется для сбора и использования чувствительных данных, к которым вирджинский закон относит:

  • персональные данные, раскрывающие расовое или этническое происхождение, религиозные убеждения, медицинский диагноз, сексуальную ориентацию, гражданство или иммиграционный статус;
  • генетические или биометрические данных (закон дает определение таких данных) при их обработке с целью идентификации физического лица;
  • персональные данные, полученные от ребенка (лицо до 13 лет, в отношении которого администратор знает или должен знать его возраст);
  • точные данные геолокации (информация, полученная с помощью технологий, включая координаты широты и долготы на уровне глобальной системы позиционирования или через другие механизмы, которые напрямую идентифицируют конкретное местоположение физического лица с точностью в радиусе 1750 футов (533.4 метра)).

Согласие на обработку персональных данных должно быть выражено четким, конкретным, информированным, недвусмысленным и утвердительным (активным и позитивным) действием пользователя. В целом нужно забыть о том, что согласие можно получить просто разместив на сайте privacy policy. Это так не работает. Пользователь должен собственным активным и позитивным действием (то есть, скажем, отметить чекбокс (а не убрать заранее отмеченный)) согласиться именно с обработкой персональных данных (то есть такой чекбокс должен соответствовать явно видной надписи типа “я соглашаюсь с обработкой моих персональных данных для целей, определенных в privacy policy”).

Типичные виды персональных данных, собираемых мобильным или веб приложением, сервисом, сайтом

С принятием GDPR и аналогичных законов в иных юрисдикциях знание о том, какую информацию относить к персональным данным стало мейнстримом. Но не грех будет привести основные примеры из нашей индустрии. К персональным данным, в том числе по VCDPA будут относиться:

  • фамилия и имя;
  • дата рождения;
  • почтовый адрес;
  • адрес электронной почты;
  • идентификатор учетной записи в мессенджере;
  • номер телефона;
  • чувствительные данные (см. выше, что VCDPA к ним относит);
  • платежные реквизиты;
  • идентификатор учетной записи (логин);
  • идентификатор устройства (например, IMEI);
  • рекламный идентификатор (Google Advertising ID, IDFA);
  • точное местоположение (геолокационные данные);
  • TCP/IP адрес;
  • история поиска или посещения страниц;
  • данные о поведении человека, результаты профайлинга.

Подчеркнем, что это только примеры. VCDPA не дает ни закрытого, ни примерного перечня того, что может относиться к персональным данным (кроме чувствительных персональных данных).

Что требует закон от администратора

Как отмечалось, администратор персональных данных  обременен основными обязанностями, вытекающими из VCDPA.

1. Выполнять запросы пользователей, направленных на реализацию предоставленных им прав. Вирджинский пользователь вправе:

  • Получить подтверждение, что вы обрабатываете персональные данные данного пользователя, и получить доступ к таким персональным данным;
  • Исправить неточности в своих персональных данных;
  • Потребовать удалить персональные данные о данном пользователе;
  • Получить копию персональных данных, которые пользователь ранее предоставил вам, в формате, который позволяет беспрепятственно перенести данные в другой сервис или приложение;
  • Запретить вам обработку персональных данных для целей (i) таргетированной рекламы (трактуется как реклама, демонстрируемая на основании анализа исторической активности пользователя на несвязанных с вами сайтах или приложениях), (ii) продажи персональных данных (VCDPA узко определяет “продажу” как обмен персональных данных на встречное денежное удовлетворение и обозначает ряд существенных исключений) или (iii) профайлинг для принятия решений, связанных с предоставлением или отказом в финансовых и кредитных услугах, жилье, страховании, обучении, трудоустройстве, медицинских услугах.

Запрос пользователя должен быть верифицированным, то есть вы, используя разумные способы, убедились, что это именно тот пользователь, чьи персональные данные выступают предметом запроса.

Запрос пользователя (назовем его даже требованием) на реализацию своего права не является абсолютным. Вирджинский закон это предусматривает в непрямой форме, но мы можем сделать вывод, что вы можете отказать пользователю в удовлетворении его запроса, в частности, на удаление данных или на запрет их обработки, если вы, как администратор персональных данных:

  • Предоставляете продукт или услугу данному пользователю и, в частности, между вами есть договор, стороной которого является пользователь (то есть пользователь не может требовать удаления его данных, если они нужны для исполнения действующего договора с вами – он сперва должен его расторгнуть), или вы находитесь на стадии заключения договора по инициативе пользователя;
  • Обязаны хранить определенные персональные данные во исполнение законодательства;
  • Обязаны хранить определенные персональные данные по требованию суда или государственных органов;
  • Добросовестно полагаете, что существует нарушение законодательства и определенные персональные данные потребуются для сотрудничества с правоохранительными органами;
  • Полагаете, что определенные персональные данные потребуются для подготовки, рассмотрения и защиты исков или иных правовых требований;
  • Полагаете, что определенные персональные данные потребуются для предотвращения, обнаружения, защиты или реагирования на инциденты безопасности, хищение личных данных, мошенничество, домогательства, злонамеренные или вводящие в заблуждение действия или любую незаконную деятельность; а также для сохранения целостности или безопасность систем;
  • Участвуете в общественных или рецензируемых научных или статистических исследованиях в публичных интересах.

2.  Определить основания для сбора и использования персональных данных как рассмотрено выше и не выходить за их пределы.

3. Установить, внедрить и поддерживать разумные административные, технические и физические практики обеспечения безопасности данных для защиты конфиденциальности, целостности и доступности персональных данных. Такие практики обеспечения безопасности данных должны соответствовать объему и характеру обрабатываемых персональных данных. VCDPA никак не конкретизирует данное требование.

4. Не дискриминировать пользователя в связи с тем, что он направил запрос, реализующий его права по VCDPA. При этом если персональные данные необходимы для предоставления продукта, сервиса или, скажем, участия в программе лояльности, то отказ в них пользователю не будет являться дискриминацией.

5. Предложить один или несколько безопасных и надежных способов, с помощью которых пользователи могут подать запрос на осуществление своих прав. Это должны быть обычно применяемые для коммуникации с пользователем средства, характерные для вашего продукта или услуги. Например, через сообщения в личном кабинете, тикет в системе поддержки пользователей, емэйл или телефонный звонок в поддержку.

6. Предоставить пользователю доступное, четкое и содержательное уведомление (на практике оформляется в виде опубликованной privacy policy или privacy notice, с которой каждый пользователь явно и активным действием соглашается до начала сбора персональных данных). Такое уведомление должно содержать как минимум:

  • Категории обрабатываемых персональных данных;
  • Цель обработки персональных данных;
  • Указание на то, как пользователи могут реализовать свои права, включая установленные вами способы направления запросов на реализацию прав пользователей, а также информацию о том, как пользователь может обжаловать решение администратора персональных данных в отношении его запроса;
  • Категории персональных данных, которые администратор передает третьим лицам (при этом к третьим лицам VCDPA не относит обработчиков персональных данных и аффилированных лиц администратора);
  • Категории третьих лиц, которым администратор передает персональные данные.

Примечательно, что закон не требует раскрытия информации о том, какие категории персональных данных данных передаются привлекаемым обработчикам, и о самих обработчиках.

7. Если вы продает персональные данные третьим лицам или обрабатывает персональные данные в целях таргетированной рекламы, вы должны четко и на видимом месте сообщать об этом пользователям и указать на то, как пользователь может воспользоваться своим правом отказаться от такой обработки.

8. Если вы:

  • Обрабатываете персональные данные в целях таргетированной рекламы;
  • Продаете персональные данные;
  • Обрабатываете персональные данные в целях профайлинга, когда это представляет риск (i) несправедливого обращения или несопоставимо незаконных последствий для пользователей, (ii) финансового, физического или репутационного ущерба для пользователей, (iii) грубого физического или иного вмешательства в частные и личные дела пользователей, или (iv) причинения иного существенного ущерба пользователям;
  • Обрабатываете персональные данные независимо от цели, если это представляет повышенный риск (закон не объясняет нам, что считать “повышенным риском”) причинения вреда пользователям; или
  • Обрабатываете чувствительные данные;

вы должны провести и задокументировать оценку защиты данных (data protection assessment) для каждого в отдельности из указанных видов обработки персональных данных, применяемых вами. Как мы видим, две позиции из данного списка являются оценочными. Практика покажет, в каком направлении будет реализовываться эта абстрактная задумка вирджинского законодателя.

Что требует закон от обработчика

Как мы отмечали, если ваш продукт или сервис предназначен для использования бизнес-клиентами, и в ходе использования его функциональности либо в рамках поддержки клиента обрабатываются персональные данные, доступные вам, то вы будете являться обработчиком персональных данных, а ваш клиент – их администратором. Если, будучи обработчиком персональных данных, вы или ваш клиент попадаете под действие VCDPA, у вас возникают специфические обязанности.

1. Соблюдать конфиденциальность в отношении обрабатываемых персональных данных.

2. По указанию администратора удалить или вернуть все обрабатываемые персональные данные администратору по окончанию предоставления продукта или услуг, если только сохранение персональных данных не требуется от обработчика законодательством.

3. По обоснованному запросу администратора предоставить ему всю имеющуюся у обработчика информацию, необходимую для демонстрации соблюдения обработчиком его обязательств по VCDPA.

4. Допускать проведение со стороны администратора персональных данных и сотрудничать с ним при проведении оценки политики обработчика и технических и организационных мер обработчика, принятых во исполнение им своих обязанностей по VCDPA. Как более удобная альтернатива, к которой рекомендуется прибегать: обработчик самостоятельно может привлекать квалифицированного и независимого аудитора или сертифицирующую организацию для проведения указанной оценки на предмет соответствия общепринятым стандартам безопасности данных. В таком случае обработчик должен предоставить отчет о такой оценке администратору по его запросу.

5. Требовать от своих субподрядчиков (субобработчиков), которым обработчик передает персональные данные на субобработку, выполнения таких же обязанностей, которые накладывает на обработчика VCDPA, и иметь с ними договоры, предусматривающие такие обязанности субобработчика. Обращаем внимание, что к субподрядчикам относятся и ваши контракторы – индивидуальные предприниматели или физические лица – нештатные сотрудники, которых вы привлекаете по гражданско-правовому договору, независимо от их местонахождения

6. Содействовать администратору в выполнении его обязанностей, вытекающих из VCDPA, а именно:

  • Насколько это возможно исходя из характера обработки и информации, доступной обработчику, содействовать ответам администратора на запросы его пользователей, направленных на реализацию их прав по VCDPA;
  • Принимая во внимание характер обработки и информацию, доступную обработчику, помогать администратору в выполнении его обязательств в отношении безопасности обработки персональных данных.
  • Предоставлять необходимую информацию для целей проведения администратором  собственной оценки защиты данных (data protection assessment).

7. Между администратором персональных данных и обработчиком должен быть заключен договор, который регулирует процедуры обработки данных. Существенными условиями такого договора являются: 

  • четко изложенные инструкции по обработке данных,
  • характер и цель обработки,
  • тип данных, подлежащих обработке,
  • продолжительность обработки, 
  • права и обязанности обеих сторон, в том числе все обязанности обработчика, указанные выше в пунктах 1-5.

Ответственность за нарушения VCDPA

Надо отдать должное вирджинскому законодателю: он предусмотрел весьма разумный подход к ответственности за нарушения рассматриваемого закона (в отличие от безумного регулирования в ЕС).

Во-первых, право подавать гражданские иски о нарушении VCDPA имеет только прокурор штата. Само физическое лицо не имеет прямых рычагов воздействия. Оно не может обратиться в суд и (или) требовать возмещения убытков или компенсации. Также в рамках VCDPA невозможны коллективные иски (class actions).

Во-вторых, закон не предусматривает уголовных санкций.

В-третьих, и это, на наш взгляд, самая адекватная и прогрессивная норма, – прежде чем подать иск, прокурор обязан уведомить лицо, которое он подозревает в нарушении, указав на нарушение. Если нарушение будет исправлено в течение 30 дней, процесс не будет возбужден.

В-четвертых, размер штрафа составляет сумму до US$7,500 за каждое нарушение VCDPA и назначается судом. Также, офис прокурора может запросить суд взыскать расходы на расследование и подготовку дела, а так на представление интересов в суде.

Основные шаги по выполнению требований для администраторов

1. Определяем, распространяется ли на вас VCDPA, или как скоро он может начать распространяться (например, по достижении 100 000 вирджинских пользователей).

2. Анализируем:

  • какие категории персональных данных собираем и используем,
  • для каких целей используем ту или иную категорию персональных данных,
  • нет ли среди них чувствительных,
  • каким категориям лиц предоставляем доступ к персональным данным,
  • каким обработчикам передаем какие категории персональных данных для обработки,
  • не занимаемся ли продажей персональных данных, профайлингом для целей, указанных в VCDPA или таргетированием рекламы, не попадающей под исключения, предусмотренные в законе.

3. Если оказывается, что собираем персональные данные, требующие согласия пользователя (к примеру, чувствительные данные), разрабатываем и внедряем механизм получения согласия.

4. Приводим privacy policy в соответствие с требованиями VCDPA.

5. Предлагаем один или несколько доступных каналов коммуникации с пользователями, по которым они могут направлять запросы на реализацию своих прав по VCDPA (сообщения в личном кабинете, тикеты в системе саппорта, емэйлы, телефонные звонки).

6. Проверяем, требуется ли дополнительное усиление систем безопасности, чтобы соответствовать требованию VCDPA в этом плане.

7. Определяем, требуется ли проводить оценку безопасности данных.

8. Проверяем содержание договоров с привлекаемыми обработчиками персональных данных и приводим их в соответствие с требованиями VCDPA к таким договорам.

Основные шаги по выполнению требований для обработчиков

1. Определяем, распространяется ли на вас VCDPA. Например, вы обрабатываете персональные данные 100 000 и более вирджинских пользователей или ваш бизнес-клиент попадает под VCDPA. Понятно, что когда у вас много клиентов, то проще и, на самом деле целесообразней, сразу презюмировать, что вам нужно следовать VCDPA как обработчику.

2. Проверяем (или готовим “с нуля”) договор, который вы предлагаете к заключению вашим бизнес-клиентам на предмет соответствия VCDPA. Логичнее всего (и исторически так повелось “благодаря” GDPR) все положения, касающиеся обработки персональных данных вашим B2B-продуктом или сервисом, выносить в отдельное соглашение – data processing agreement / addendum. Для обработчиков персональных данных, работающих на глобальном рынке, такое соглашение одновременно вбирает в себя требования всех основных мировых законов о персональных данных. В него же добавляем и вирджинские особенности.

3. Устанавливаем режим защиты конфиденциальной информации в отношении обрабатываемых персональных данных, в том числе проверяем наличие соглашений о неразглашении с работниками и подрядчиками, имеющими доступ к персональным данным.

4. Если привлекаем субобработчиков (то есть любых лиц, не являющихся вашими штатными работниками) к обработке клиентских персональных данных, заключаем с ними договоры, включающие требуемые VCDPA положения для договоров между администраторами и обработчиками.

5. Внедряем политику обработки персональных данных, а также технические и организационные меры, достаточные для исполнение обязанностей обработчика по VCDPA. Дополнительно имеет в смысл в целом провести оценку (сертификацию) своих систем и, соответственно, требуемых политик и мер на предмет соответствия одному или нескольким общепринятым стандартам безопасности данных, поскольку все чаще это является обязательным требованием со стороны бизнес-клиентов.