Новый закон штата Калифорнии во многом похож на Нормы общей защиты данных ЕС («General Data Protection Regulation»), вступившие в силу с 25 мая 2018 г. Однако калифорнийское законодательство идет дальше и позволяет потребителям отказаться от обмена данными, не вынуждая их прекращать использование онлайн-сервисов и социальных сетей.
Новый закон вступает в силу 1 января 2020 г. и распространяется на крупные компании, (1) которые имеют более 25 млн долл. США годового валового дохода; (2) покупают, получают, продают или передают для коммерческих целей персональные данные 50,000 или более потребителей или (3) получают 50 и более процентов выручки от продажи персональных данных.
Требования к раскрытию информации. До момента сбора персональных данных организации должны проинформировать потребителей о цели сбора или продажи персональных данных, категории персональных данных, а также о третьих лицах, которым будут переданы персональные данные. Кроме того, закон устанавливает обязанность перечислять права потребителей и категории персональных данных, которые бизнес продал за предыдущие 12 месяцев. В случае получения запроса потребителя, компания должна незамедлительно принять меры по обеспечению бесплатного раскрытия и предоставления потребителю запрашиваемых им своих персональных данных. Организации должны предлагать потребителям два или более способов подачи запросов на предоставление информации в соответствии с предписанными положениями о раскрытии информации, включая, как минимум, бесплатный номер телефона и адрес веб-сайта. Запрашиваемая информация должна быть предоставлена в течение 45 дней с момента получения запроса от потребителя.
Право отказаться от сбора персональных данных. Потребители будут иметь право запретить компаниям продавать персональные данные третьим лицам. Для реализации пользователями права на подобный отказ компании должны размещать свою политику конфиденциальности, а также прикреплять ссылку под названием «Не продавать мои персональные данные». Перейдя по ней, пользователь сможет ознакомиться с простым механизмом, который будет обязывать организацию прекратить продавать персональные данные пользователя.
Право на забвение. Физические лица будут иметь возможность потребовать от перечисленных в законе организаций удалить свои персональные данные. Однако закон содержит некоторые исключения, в том числе: информация, необходимая для завершения транзакций; обнаружения нарушений безопасности; защита от незаконной деятельности; информация для обеспечения внутреннего использования, которое разумно согласуется с ожиданиями потребителя, основанными на отношениях потребителя с бизнесом.
Расширенное определение понятия «персональные данные». В соответствии с положениями нового законодательства персональные данные теперь включает в себя не только традиционные формы персональных данных, но и IP-адреса, геолокацию и «уникальные идентификаторы», такие как идентификаторы устройств, идентификаторы cookies и информацию о деятельности в Интернете, включая историю просмотров и историю поиска. К персональной информации также относятся выводы, сделанные на основе вышеупомянутой информации, используемые «для создания профиля потребителя, отражающего его предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, установки, интеллект, способности и склонности».
Основания для рассмотрения частного иска. Калифорнийский закон значительно ограничивает основания для рассмотрения частного иска, предоставляя Генеральному прокурору штата исключительные полномочия по обеспечению соблюдения закона, за исключением случаев нарушения законодательства о защите персональный данных, когда Генеральный прокурор отказывается возбуждать дело в течение 30 дней с момента получения уведомления о намерении потребителя подать иск. Даже в тех случаях, когда потребителю разрешено предъявить иск к компании, он должен предоставить ей письменное уведомление за 30 дней до предъявления иска и дать возможность исправить замеченное нарушение в течение этого периода времени. Аналогичным образом организациям будет предоставлено 30 дней на то, чтобы устранить любые нарушения после получения уведомления о несоблюдении законодательства о защите персональных данных от Генерального прокурора штата.
Убытки. Закон о защите персональных данных также предусматривает возникновение убытков в случаях нарушения законодательства в размере до 750 долл. США на потребителя. В ходе судебного разбирательства, возбужденного Генеральным прокурором, субъектам, умышленно нарушивших закон, может грозить наказание в размере до 7500 долл. США.