+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств США
    7 сентября 2022

    США

     

    ЗАКОНОДАТЕЛЬСТВО США В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно правовые акты и их материальное действие

    В США нет единого закона, который регулирует отношения, связанные с обработкой персональных данных. Законодательство страны состоит из нескольких федеральных законов, которые затрагивают вопросы обработки персональных данных в рамках отдельных отраслей, а также нескольких самостоятельных законов, принятых на уровне штатов.

    Регулирование на федеральном уровне

    Закон «О семейных и образовательных правах и неприкосновенности частной жизни» от 1974 года (The Family Educational Rights and Privacy Act (далее — FERPA) призван защитить неприкосновенность частной жизни учащихся. Закон разъясняет права студентов в отношении обработки их персональных данных образовательными учреждениями и третьими лицами.

    Закон «О защите частной жизни водителей» от 1994 года (The Drivers Privacy Protection Act (Далее — DPPA) регулирует порядок разглашения персональных данных, собранных автоинспекцией. Закон был принят для того, чтобы предотвратить практику продажи данных водительских удостоверений. DPPA ограничивает цели, в рамках которых могут обрабатываться водительские данные, среди которых: обработка для обеспечения безопасности, противодействия от угонов; использование в целях страховой деятельности; обработка для уведомления о буксируемых и конфискованных транспортных средствах и так далее.

    Закон «О подотчетности и порядке переноса данных медицинского страхования» от 1996 года (The Health Insurance Portability and Accountability Act (далее — HIPAA)), также известный как Закон «Кеннеди-Кассебаума», был принят, чтобы облегчить сохранение и передачу данных о медицинском страховании при смене работы, а также обеспечить конфиденциальность медицинских данных.

    Закон «О конфиденциальности видео» от 1998 года (The Video Privacy Protection Act (далее — VPPA)) запрещает разглашение сведений лиц, которые приобрели права на аудиовизуальные материалы. Отмечается, что закон был принят после случая разглашения информации о том, какие фильмы один из судей взял в прокат. Закон запретил поставщикам услуг проката видео раскрывать данные о своих клиентах и их предпочтениях. Исключением являются случаи, когда клиентами было предоставлено письменное согласие на раскрытие информации.

    Закон «Грэмма-Лича-Блайли» от 1999 года (The Gramm-Leach-Bliley Act (далее — GLBA)) известный, как Закон «О модернизации финансовых услуг». В соответствии с ним финансовые учреждения обязаны уважать частную жизнь своих клиентов, принимать меры по обеспечению безопасности и конфиденциальности персональных данных, их целостности и защите их от несанкционированного доступа.

    Закон «О конфиденциальности детей в интернете» от 2000 года (The Children Online Privacy Protection (далее — COPPA)) запрещает сбор информации о детях младше 13 лет в интернете, за исключением случаев, когда получено согласие родителей, позволяющее идентифицировать лицо, выразившее такое согласие.

    Регулирование на уровне штатов

    Закон «О защите прав потребителя» Калифорнии от 2018 года (The California Consumer Privacy Act (далее – CCPA)) предусматривает права потребителей в отношении контроля за оборотом их персональных данных и управлениями ими. Закон обязывает операторов настроить систему получения запросов от субъектов и оперативных ответов на них на безвозмездной основе; информировать субъектов персональных данных о порядке обработки их данных и имеющихся у них правах. Благодаря этому закону в США зародился тренд каждому штату принимать свой закон о персональных данных, как правило, похожий по содержанию на калифорнийский.

    Закон «О правах на частную жизнь» Калифорнии от 2020 года, вступит в силу в 2023 году, (The California Privacy Rights Act (далее —CPRA)) является продолжением первого калифорнийского закона. Закон дополнил CCPA положениями о праве на уточнение данных и праве на ограничение обработки чувствительных персональных данных. Кроме того, новый закон увеличил штрафы за незаконную обработку данных детей, а также ограничил период, в течение которого компания может хранить данные о потребителях, критериями необходимости и пропорциональности цели сбора.

    Закон «О приватности» Нью-Йорка от 2021 года (The New York Privacy Act (далее — NYPA)) частично похож на CCPA. Он призван предоставить потребителям возможность знать, как корпорации обрабатывают их данные, кому данные передаются, какие права и корреспондирующие обязанности есть у операторов и субъектов и так далее.

    Закон «О защите данных потребителей» Вирджинии от 2021 года (The Virginia Consumer Data Protection Act (далее — VCDPA) вступит в силу в 2023 году. Закон составлен по образу и подобию калифорнийских актов и направлен на обеспечение субъектам возможностей контроля над своими данными.

    Закон «О приватности» Колорадо» от 2021 года (The Colorado Privacy Act (далее – CPA)) закон принят в продолжение тренда о принятии каждым штатом своего закона о защите персональных данных и по содержанию не является новаторским.

    Территориальное и материальное действие законодательства о персональных данных

    HIPPA

    Закон применяется исключительно на территории США, так как не содержит каких-либо указаний на экстерриториальное применение.

    GLBA

    Закон не содержит положений о территориальной применимости. В нем говорится о применении к обработкам данных, которые осуществляются финансовыми учреждениями, брокерами, дилерами, инвестиционными консультантами.

    COPPA

    Применяется к контролерам независимо от их территориального расположения, если они обрабатывают персональные данные детей-резидентов США младше 13 лет.

    Критерии, по которым определяется направленность деятельности сервиса на ребенка:

    • обращается к детям;
    • использует визуальный и аудиальный контент, который ориентирован на детей;
    • использует мультипликацию или анимированных персонажей;
    • в рекламе используются дети;
    • в рекламе используются дети звезд.

    Какие технологии подпадают под действие COPPA:

    • мобильные приложения;
    • игровые платформы;
    • плагины;
    • рекламные сети;
    • сервисы с трекингом геолокации;
    • устройства для передачи голосовой связи через интернет;
    • игрушки и устройства, подключающиеся к интернету.

    NYPA

    Закон применяется к юридическим лицам, которые осуществляют свой бизнес в Нью-Йорке или создают продукты или сервисы, которые нацелены на резидентов Нью-Йорка при условии одного из следующих условий:

    1. Наличие годовой выручки в размере 25 млн долларов или более;
    2. Контроль или обработка данных 100 тыс. потребителей и более;
    3. Контроль или обработка данных 500 тыс. и более физических лиц по всей стране и 10 тыс. и более потребителей;
    4. Более половины выручки возникает в результате продажи персональных данных, а также оператор осуществляет контроль или обработку 25 тыс. и более потребителей.

    В случае если операторы выходят за указанные критерии применения закона, то требования законодательства Нью-Йорка к ним не применяются. Соответственно, потенциально у операторов есть возможность не соблюдать требования закона, если, к примеру, объем обрабатываемых данных не будет выходить за пределы 500 тыс. человек.

    Кроме того, закон содержит множество исключений, при которых он не подлежит применению, к примеру:

    • персональные данные обрабатываются для целей оформления трудовых отношений и выполнения иных обязательств, связанных с трудовым законодательством, а не целей продаж;
    • персональные данные обрабатываются в соответствии с Федеральным законом об образовательных правах семьи и правах на частную жизнь, либо в соответствии с Федеральным законом о защите частной жизни водителей, а также иных законов.

    VCDPA

    Закон применяется к лицам, которые осуществляют бизнес в Вирджинии или производят товары и оказывают услуги для резидентов Вирджинии при условии, что в ходе деятельности обрабатываются данные более 100 тыс. резидентов Вирджинии, либо более 25 тыс. резидентов Вирджинии в сочетании с тем, что более 50% дохода поступает от продажи персональных данных.

    Закон не применяется к деятельности государственных, некоммерческих организаций, высших учебных заведений, а также в отдельных случаях финансовых учреждений, подпадающих под закон Грэмма-Лича-Блили.

    CPA

    Закон применяется к контролерам, которые ведут бизнес в Колорадо или производят товары/ оказывают услуги, направленные на резидентов Колорадо, а также при наличии одного из следующих условий:

    1. Контроль или обработка персональных данных как минимум 100 тыс. потребителей в течение календарного года;
    2. Получение дохода от продажи персональных данных либо получение скидок в связи с продажей персональных данных, а также контроль или обработка данных как минимум 25 тыс. потребителей.

    Основные понятия

    FERPA

    Образовательные записи

    Записи, файлы, документы и другие материалы, которые обрабатываются учебным заведением и третьими лицами и содержат информацию, напрямую относящуюся к студенту. Не имеет значения форма таких записей. Это могут быть как документы, так и электронные данные, в том числе переписка на электронной почте.

    К образовательным записям не относятся:

    • личные заметки на бумаге или в электронном виде отдельного сотрудника университета, которые используются им в качестве вспомогательного средства при работе и никому не раскрываются;
    • оценки и рецензируемые работы до того, как они будут собраны преподавателем;
    • данные о лице, которое окончило университет, если такие данные не относятся к периоду, когда лицо еще было студентом учебного заведения и т.д.

    HIPPA

    Содержит понятие данных о здоровье, к которым относятся: данные о прошлом, настоящем или будущем физическом здоровье человека, о пройденном лечении, а также платежи за прошлые, текущие или будущие медицинские услуги.

    Кроме того, в законе разъясняется такое понятие, как индивидуально идентифицирующие медицинские данные, к которым относятся: имя, адрес, дата рождения и номер социального страхования.

    Закон в том числе содержит определение понятия «защищенные данные о здоровье» (Protected health information) – индивидуально идентифицирующая медицинская информация, которая хранится или передается застрахованным лицом или его деловым партнером.

    DPPA

    Персональные данные – информация о физическом лице, полученная в связи с регистрацией транспортного средства. К персональным данным в контексте данного закона относятся: фотографии, номер социального страхования, идентификационный номер водителя, имя, адрес, номер телефона, а также медицинская информация об инвалидности, за исключением информации о дорожно-транспортных происшествиях, нарушениях правил вождения.

    Наряду с персональными данными выделяется особая категория строго запрещенных к распространению персональных данных, которая соотносится с понятием персональных данных как частное и общее.

    Строго запрещенные к распространению персональные данные

    Это данные, обработка которых допускается при условии получения явного согласия. К таким данным относятся: фотография или изображение физического лица, номер социального страхования, медицинская информация или информация об инвалидности.

    Повторение некоторых персональных данных в двух указанных определениях является следствием того, что понятие «персональные данные» определено при помощи перечисления видов персональных данных, а не описания их признаков.

    GLBA

    Непубличные персональные данные

    Необщедоступная персонально идентифицируемая финансовая информация, которую потребитель предоставляет финансовому учреждению для осуществления транзакции или оказания услуги либо иным образом предоставляется финансовому учреждению для предоставления клиенту финансового продукта или услуги.

    Примеры непубличной персональной информации:

    1. Доход физического лица, номер социального страхования, семейное положение, сумма сбережений и инвестиций, история платежей, баланс кредита или депозита, покупки по кредитной или дебетовой карте, номера счетов и потребительские отчеты.
    2. Тот факт, что лицо имеет счет в определенном финансовом учреждении.
    3. Список, описание или группировка клиентов, составленные с использованием комбинации непубличной личной информации и общедоступной информации.
    4. Любая информация, полученная финансовым учреждением в рамках отношений с клиентами или собранная с помощью файлов cookies.

    COPPA

    Персональные данные

    Собранные в Интернете и идентифицирующие человека сведения, к которым, в частности, относятся: имя и фамилия; адрес проживания или иной физический адрес, содержащий название улицы и города; адрес электронной почты; номер телефона; номер социального страхования; любой другой идентификатор, который, по мнению Комиссии, позволяет установить физический или онлайн-контакт с конкретным физическим лицом; информация о ребенке или родителях этого ребенка, которую веб-сайт собирает онлайн от ребенка и объединяет с иными идентификаторами.

    CCPA

    Персональные данные

    Информация, которая идентифицирует, относится, описывает, обоснованно может ассоциироваться или может отсылать напрямую или косвенно к конкретному потребителю или семье/домохозяйству (household).

    К персональным данным относятся:

    • имя, псевдоним, почтовый адрес, паспортные данные, онлайн-идентификатор, адрес интернет-протокола, электронная почта, имя учетной записи, номер социального страхования, номер водительских прав, номер паспорта и другие подробные идентификаторы;
    • коммерческая информация, включающая записи персональных данных;
    • биометрия;
    • сведения об активности в интернете: история поисковых запросов и взаимодействия с сайтами;
    • геолокация;
    • звуковая, электронная, визуальная, тепловая, обонятельная или аналогичная информация;
    • данные о трудоустройстве и иные профессиональные данные;
    • данные об образовании, которые не публично доступны;
    • выводы, сделанные из любой информации, указанной выше, для создания профиля о потребителе, отражающего предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, отношение, интеллект, способности и склонности потребителя.

    Персональными данными не являются:

    • публично доступные данные, если такие данные оказались в общественном доступе в результате законных действий;
    • деидентифицированные или агрегированные (статистические) данные.

    Закон предусматривает понятие «вероятные идентификаторы», то есть такие сведения, которые могут способствовать идентификации субъекта с определенной вероятностью.

    CPRA

    Биометрические персональные данные

    Физиологические, биологические или поведенческие характеристики лица, включая сведения о ДНК, которые используются или предназначены для использования отдельно или в сочетании друг с другом или с другими идентифицирующими данными для идентификации лица.

    Биометрические персональные данные включают следующие данные:

    • изображение радужной оболочки или сетчатки глаз;
    • отпечатки пальцев;
    • лицо;
    • руки, ладони;
    • рисунки вен;
    • голос;
    • шаблоны нажатия на клавиши;
    • модель походки;
    • данные о сне, здоровье и физических нагрузках.

    К чувствительным данным относятся:

    • номер социального страхования потребителя, водительских прав, удостоверение личности штата или номер паспорта;
    • логин учетной записи пользователя, номер финансового счета, номер дебетовой или кредитной карты в сочетании с любым кодом безопасности или доступа, паролем или учетными данными, которые позволяют получить доступ к учетной записи;
    • точная геолокация потребителя;
    • расовое или этническое происхождение, религиозные и философские убеждения, членство в профсоюзе;
    • содержание писем на почте, электронной почте, текстовых сообщений, если только компания не является предполагаемым получателем сообщений;
    • генетические данные;
    • биометрические данные, обрабатываемые с целью идентификации потребителей;
    • собранные и проанализированные данные о здоровье потребителя;
    • собранные и проанализированные данные о сексуальной жизни и ориентации потребителя.

    NYPA

    Биометрические персональные данные

    Любые персональные данные, полученные в результате обработки с помощью специальных технических средств биологических, физических, психологических характеристик, включая отпечатки пальцев, голос, радужную оболочку, сетчатку, лицо, ДНК и походку.

    VCDPA

    К чувствительным данным относятся:

    • данные о расовой, этнической принадлежности, религиозных взглядах, физическом здоровье, сексуальной ориентации, гражданстве и статусе иммигранта;
    • генетические и биометрические данные;
    • данные о ребенке;
    • точная геолокация.

    Персональные данные несовершеннолетних

    Регулирование США довольно требовательно в отношении обработки персональных данных детей. Как отмечалось в первом разделе, существует федеральный закон «О конфиденциальности детей в интернете» (COPPA), который направлен на защиту прав детей от незаконной обработки их данных.

    COPPA

    Требования к лицам, обрабатывающим данные детей:

    1. На сайте или в приложении должна быть опубликована политика конфиденциальности с разъяснением прав родителей по контролю за обработкой данных их детей. Кроме того, в ней должно быть описано, как родителям выразить согласие на обработку данных их детей и как запретить передачу данных третьим лицам.
    2. До начала обработки данных детей контролер обязан получить согласие их родителей, а также проинформировать их о том, какие данные планируется обрабатывать, на каких условиях, где можно ознакомиться с политикой, и ином.
    3. Согласие родителей должно иметь особенную форму. В дополнение к согласию личность родителей необходимо идентифицировать с помощью подписи на согласии, это делается при помощи банковской карты, номера телефона, особенного ответа на вопрос или фотографии.

    CPRA

    Калифорнийский закон по общему правилу предусматривает запрет на продажу персональных данных несовершеннолетних до 16 лет. Исключение составляют случаи, когда несовершеннолетний в возрастном диапазоне от 13 до 16 лет сам выразил согласие на такую продажу, либо родители несовершеннолетнего в возрасте до 13 лет согласились на продажу данных.

    VDCPA

    Данные о ребенке при условии, что контролер мог определить, что это ребенок, являются чувствительными (специальными).

    Оператор и обработчик

    В законодательстве США отсутствует единообразие в использовании терминов, обозначающих оператора и обработчика. В одних законах используется понятие «оператор», в других «контролер», в-третьих, понятие «бизнес-оператор». В разделе ниже при определении этих участников будут использоваться термины, который используются в текстах законов.

    COPPA

    Оператор:

    • лицо, которое управляет веб-сайтом или онлайн-сервисом и обрабатывает персональные данные пользователей;
    • лицо, от имени которого такая обработка осуществляется или от имени которого предлагаются товары и услуги на таком веб-сайте, при условии, что веб-сайт используется в коммерческих целях, связанных с торговлей между несколькими штатами или с одним и более иностранным государством.

    Некоммерческая организация не считается оператором.

    CCPA и CPRA

    Вместо оператора и процессора используются понятия: «бизнес-оператор» и «провайдер сервиса». Кроме того, определяется еще один вид субъекта – контрактор, то есть лицо, которому предприятие предоставляет личную информацию потребителя в коммерческих целях в соответствии с письменным контрактом с предприятием.

    Закон накладывает на бизнес-оператора такие общие обязанности, как информирование субъекта об условиях обработки при помощи размещения документов на видном месте и в доступной форме, обработка данных строго в рамках целей сбора, коммуникация с субъектом в ответ на запросы об исправлении, удалении, доступе к данным и так далее.

    NYPA

    В данном законе оператор и обработчик называются контролером и процессором.

    Кроме того, законом предусмотрен такой субъект, как брокер данных (data broker), под которым понимается лицо, ведущее бизнес посредством сбора и продажи персональных данных потребителей, с которыми у него нет прямых договорных отношений, контролеру или третьему лицу.

    Под продажей данных понимаются раскрытие, передача, приобретение, распространение, лицензирование, предоставление доступа, обработка, предоставление разрешения на обработку или иные формы обмена данными за денежное или иное вознаграждение.

    VCDPA

    В законе штата Вирджиния аналогично закону Нью-Йорка оператор и обработчик именуются контролером и процессором. Отношения между с ними оформляются на основании соглашения о поручении.

    Закон обязывает контролеров:

    • минимизировать объем обрабатываемых данных, то есть обрабатывать только те данные, которые адекватны, относимы и необходимы для целей раскрытия данных;
    • обеспечивать безопасность данных, принимать адекватные меры;
    • проводить оценку рисков обработки данных, включая обработку для целей рекламы, продажи данных, профайлинга, а также обработки чувствительных данных;
    • заключать соглашения с процессорами, обязывающие обеспечивать надлежащий уровень безопасности данных.

    CPA

    В законе Колорадо аналогично используются понятия «контролер» и «процессор», а регулирование прав и обязанностей данных участников схоже с другими законами штатов и не имеет своей уникальной специфики.

    Права субъекта персональных данных

    CCPA, CPRA и VCPDA

    В соответствии с указанными законами субъекты персональных данных имеют практически идентичные права, а именно право на:

    • право на доступ к данным;
    • право требовать удаления данных;
    • право отзывать согласие в формате opt-out на продажу данных и другие передачи;
    • право на перенос данных;
    • право не быть подвергнутым дискриминации при реализации своих прав на персональные данные.

    Помимо указанного в соответствии с CPRA и VCPDA субъект вправе требовать исправления, уточнения обрабатываемых данных.

    Требования к согласию:

    • свобода выражения;
    • конкретность (на конкретную цель);
    • информированность;
    • недвусмысленность.

    В соответствии с законами субъектам должна быть предоставлена возможность отозвать согласие посредством opt-out. При этом согласно CPPA система opt-out должна применяться в отношении обработки данных для продажи. Согласно CPRA для продажи и третированной рекламы. А в соответствии с VCDPA в том числе еще и в отношении профайлинга.

    NYPA

    Субъект персональных данных имеет право на:

    • ознакомление с политикой;
    • доступ к данным;
    • перенос данных;
    • уточнение данных;
    • удаление данных.

    Помимо стандартного перечня прав у субъекта имеется право на выражение согласия в форме opt-in. Закон также предусматривает право на отзыв согласие в форме opt-out.

    CPA

    Субъект персональных данных имеет право на:

    • доступ к данным;
    • уточнение данных;
    • удаление данных;
    • отзыв согласия в форме opt-out в отношении обработки в целях маркетинга, продажи данных, профилирования (причем закон требует предусмотреть универсальную кнопку opt-out сразу на все три цели).
    • обжалование бездействия контроллера. Закон обязывает создать простую и доступную форму для подачи жалобы контролеру на его бездействие. В случае если контролер отклонит такую жалобу, он обязан проинформировать субъекта о его праве обратиться к прокурору.

    Срок ответа контролера на запросы субъекта составляет 45 дней.

    Требования к согласию

    FERPA

    Закон «О семейных образовательных правах и неприкосновенности частной жизни» устанавливает порядок обработки персональных данных учащихся и наделяет последних полномочиями контроля над своими данными. К примеру, учащийся вправе требовать исправить неточную или вводящую в заблуждение информацию. Если образовательное учреждение откажет студенту в реализации его прав, последний может потребовать назначения слушаний. Слушания проводятся любым лицом, в том числе должностным лицом университета, которое не имеет прямой заинтересованности в деле.

    Для обработки персональных данных учащегося учебным заведением не требуется согласие. Однако раскрытие данных допустимо только при условии получения письменного согласия. В таком согласии указывается: какие данные могут быть раскрыты; цель раскрытия; лица, которым данные могут быть раскрыты.

    Раскрытие не требует согласия, если данные раскрываются:

    • самому студенту;
    • должностным лицам образовательного учреждения;
    • аккредитующим организациям;
    • родителям учащегося, находящегося на иждивении;
    • в чрезвычайной ситуации, когда существует угроза здоровью и безопасности и т.д.

    Данные могут раскрываться родителям по их просьбе, если имеется письменное согласие учащегося или родитель предоставит доказательства того, что учащийся находится на иждивении.

    COPPA

    Закон предусматривает особый вид согласия «поддающееся проверке согласие родителей» (verifiable consent). Под согласием понимаются любые разумные усилия (с учетом доступных технологий) уведомления родителя ребенка о методах сбора, использования и раскрытия личных данных ребенка, а также получения согласия родителя на такую обработку до того, как данные ребенка будут собраны.

    По общему правилу операторы должны собирать именно такое согласие, но есть исключения. В частности, такое согласие не требуется, если:

    1. Собранные о ребенке контактные данные используются только для непосредственного одноразового ответа на конкретный запрос ребенка и такие данные, при этом не используются для повторного контакта с ребенком и не сохраняются оператором в доступной для извлечения форме.
    2. Необходимо запросить имя или контактную информацию родителя или ребенка, которые используются с единственной целью получения согласия родителей или предоставления уведомления об обработке, если такая информация не сохраняется оператором в доступной для извлечения форме и если верифицированное согласие родителя не удалось получить в разумный срок.
    3. Контактная информация, полученная от ребенка в режиме онлайн для ответа на запрос более одного раза при условии, что такие данные не используются для контакта с ребенком за пределами сути запроса.
    4. Имя ребенка и интернет-контакты обрабатываются в объеме необходимом для защиты безопасности ребенка на конкретном сайте.
    5. Сбор, использование и распространение такой информации необходимы для: защиты безопасности и целостности сайта; исполнения требований закона о предоставлении информации правоохранительным органам и тд.

    NYPA

    Основания для обработки персональных данных:

    • согласие;
    • требование закона;
    • исполнение договора;
    • защита жизни и безопасности потребителя;
    • предотвращение незаконных деяний;

    Требования к согласию:

    • свобода выражения;
    • конкретность (под конкретное согласие);
    • информированность;
    • однозначность.

    В рамках отдельной статьи контролеры обязаны предоставлять субъектам возможность выразить согласие в opt-in форме.

    Законный интерес (предусмотрено ли такое основание обработки)

    Законный интерес не предусмотрен законодательством в качестве основания для обработки персональных данных.

    Локализация (есть ли положения, какие требования, какая ответственность за нарушения)

    Локализация не предусмотрена законодательством США.

    Ответственность за нарушения в сфере персональных данных, есть ли оборотные штрафы

    DPPA

    Закон устанавливает ответственность для государства и должностных лиц за невыполнение требований. Так, государственное учреждение может быть оштрафовано генеральным прокурором в размере не более 5 тыс. долларов за каждый день существенного несоблюдения требований.

    GLBA

    Для финансовых учреждений штраф может составлять до 100 тыс. долларов за одно нарушение. Для физических лиц штраф может быть равен 10 тыс. долларов за каждое нарушение. Кроме того, для физических лиц предусмотрена уголовная ответственность в виде лишения свободы на срок до 5 лет.

    HIPPA

    Размеры штрафов варьируются от 100 долларов до 50 тыс. долларов за нарушение. Размер максимального объема штрафов за год составляет 1,5 млн долларов.

    COPPA: размеры штрафов могут существенно различаться от случая к случаю. К примеру, владельцев сайта Xanga.ru оштрафовали на 1 000 долларов в 2006 году, а в 2019 YouTube был оштрафован на 170 млн долларов.

    CPPA

    Ответственность за нарушение закона может составлять от 2500 до 7500 долларов за одно нарушение.

    CPRA

    Закон предусматривает ответственность в размере до 2500 долларов за нарушение правил обработки. Однако в случае, если нарушение было совершено намерено, либо нарушение связано с данными лиц, не достигших 16 лет, ответственность может достигать 7500 долларов.

    NYPE: максимально возможная ответственность составляет 15 тыс. долларов.

    VCDPA: за нарушение правил обработки персональных данных генеральный прокурор вправе требовать судебного запрета, а также наложения штрафа в размере до 7500 долларов за каждое нарушение. В случае большого количества нарушений сумма штрафа может быть значительной.

    CPA: за нарушение в сфере обработки персональных данных применяются штрафы, предусмотренные законом «О защите прав потребителей» Колорадо. По этому закону контролер может быть оштрафован на сумму до 20 тыс. долларов.

    Значимые особенности регулирования

    1. Законодательство состоит из множества различных отраслевых законов, а также самостоятельных законов некоторых штатов. Многочисленность актов регулирования усложняет приведение процессов обработки, осуществляемых в разных штатах, в соответствие с требованиями законов. Операторы вынуждены знать правила различных территорий и применять индивидуальные меры защиты данных.
    2. Законы некоторых штатов имеют нетипичные критерии применимости к деятельности компании, в частности, учитывается процент доходов, вырученный с продажи данных. Более подробное описано в разделе «О территориальной применимости».
    3. По-особенному регулируется обработка данных в маркетинговых целях в Законе «О защите данных потребителей» Вирджинии. В случае отзыва субъектом согласия посредством системы opt-out контролер обязан прекратить обработку в целях рекламы только тех данных, которые получены от иных лиц. При этом обработка данных, собранных самостоятельно, прекращению не подлежит. Аналогично можно не прекращать обработку сведений о поисковых запросах, посещениях веб-сайтов или онлайн-приложений, обрабатываемых для цели таргетированной рекламы, даже после отзыва согласия в форме opt-out. Однако указанные исключения применимы и разрешают продолжать обработку только тогда, когда целью обработки является оценка эффективности маркетинговой деятельности, но не контакт с субъектами.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    В большинстве штатов субъекты персональных данных вправе обратиться за защитой своих прав к генеральному прокурору или окружному прокурору.

    Интересным представляется то, что контролеру предоставляется возможность исправить нарушение в течение определенного срока, чтобы избежать ответственности. К примеру в соответствии с Законом «О приватности» Колорадо контролеру дается 60 дней, а в Вирджинии и Калифорнии 30 дней. Такая возможность устранения нарушения является временной мерой и действует до 2025 года. С 1 января 2025 года у контролеров не будет возможность исправить нарушение и тем самым избежать ответственности.

    Некоторые законы предполагают обращение субъектов в специально уполномоченный орган. К примеру, в соответствии с Законом «О семейных и образовательных правах на неприкосновенность частной жизни» субъекту надлежит обратиться в Управление по семейной политике департамента образования. В то же время для защиты прав в соответствии с Законом «О переносимости и подотчетности медицинского страхования» следует обращаться в Офис по гражданским правам.

     Надзорный орган в сфере персональных данных, его полномочия

    На федеральном уровне вопросами защиты персональных данных занимается Федеральная торговая комиссия. Однако полномочиями по контролю за отдельными законами могут наделяться и иные органы.

    HIPAA

    Надзор за исполнением закона осуществляет Офис по гражданским правам (Office for Civil Rights). Генеральные прокуроры штатов в том числе имеют полномочия обеспечивать соблюдение закона.

    CPRA

    Для контроля за исполнением закона учрежден отдельный надзорный орган – Калифорнийское агентство по защите частной жизни (California Privacy Protection Agency (CPPA). Он занимается расследованиями о нарушениях в сфере приватности, привлечением к ответственности, разъяснением регулирования в рамках гайдлайнов.

    GLBA

    Закон наделяет целый ряд органов полномочиями принимать подзаконные акты в сфере приватности:

    1. Бюро финансовой защиты потребителей (CFPB);
    2. Комиссию по ценным бумагам и биржам (SEC);
    3. Комиссию по торговле товарными фьючерсами (CFTC);
    4. Федеральную торговую комиссию (FTC);
    5. Федеральные банковские учреждения;
    6. Органы государственного страхового надзора.

    VCDPA: надзор за исполнением закона осуществляется Генеральным прокурором Вирджинии. Денежные средства, собранные в результате действия Генерального прокурора, должны направляться в Фонд защиты прав потребителя.

    CPA: надзор за соблюдением закона осуществляет не только генеральный прокурор, но и окружные прокуроры штата. Для сравнения в других штатах этими вопросами занимается только генеральный прокурор.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению В.А. Ширманова на законодательство Соединённых Штатов Америки

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.