CC BY
15
BicHiiK Нацiонального унiверситету "Львiвcька полггехшка". Серiя: "Юридичш науки" № 3 (27), 2020
УДК 340.12
Юлiя Корнелюк
Нацюнальний унiверситет "Львiвська полггехшка", 1нститут права, психологи та шновацшно! освгги, асистент кафедри теорп та фшософп права
yu.korneliuk@i.ua ORCID ID : https://orcid.org/0000-0001-7569-1684
Юлiя Серединська Нацiональний ушверситет "Львiвська полггехшка", 1нститут права, психологи та шновацшно! освiти,
студентка
Yuliia.Seredynska.PV.2017@lpnu.ua
ПОР1ВНЯЛЬНА ХАРАКТЕРИСТИКА ПРАВОВОГО РЕГУЛЮВАННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У США ТА СВРОШ: CCPA VS GDPR
http://doi.org/10.23939/law2020.27.072 © Корнелюк Ю., Серединська Ю., 2020
У статт проводяться аналп та порiвняльна характеристика правового регулю-вання захисту персональних даних у виглядi европейського та американського актiв -General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) та California Consumer Privacy Act (CCPA).
Аналiзуетьcя: збирання, обробка, а також продаж персональних даних за вщпо-вщними нормативно-правовими актами; сфера дiяльноcтi правових акпв розрiзняетьcя за 3 традицшними критерiями: колом оciб, предметом регулювання та територiею застосування.
Також порушуеться питання захисту персональних даних юридичними засобами при ix збираннi, обробщ та продажi в 1нформац1йних системах.
Доcлiджуютьcя тенденщ! розвитку iнcтитуту захисту персональних даних в контекст США та Свропи, а також сутшсть поняття та загальнi засади розвитку персональних даних. Вивчено розвиток законодавства СС у cферi захисту персональних даних та основи його практично"! реашзащь Подано пропозищ! з iмплементащl законодавства Укра!"ни i СС. Здiйcнено грунтовний аналп американських та европейських законодавчих основ та принцишв захисту персональних даних, як становлять основу сучасно!" практики в цш сфер1. Поставлено питання особливост пiдcтав, за якими можна здшснювати законну обробку персональних даних суб'екта вщповщно до General Data Protection Regulation та California Consumer Privacy Act. Здшснено порiвняння поняття суб'екта даних, GDPR та CCPA GDPR встановлюе шкть таких пщстав. Ключову позищю поciдае згода суб'екта даних на Ух обробку. Окрему увагу придшено вивченню питання "чутливих даних" у General Data Protection Regulation. Пщ таким поняттям даних розумiетьcя шформащя, яка розкривае расову, етшчну або релiгiйну приналежнicть; релiгiйнi чи ф1лософськ1 вiрування; полiтичнi погляди та переконання; опрацювання бiометричниx та генетичних даних задля едино"! iдентифiкацi"! фiзично"!
особи, а також про н здоров'я, статеве життя чи сексуальну орiентащю. На противагу
цьому CCPA не встановлюе жодних обмежень чи режимнв збору та обробки вщповщних
категорш персональних даних.
Ключовi слова: персональш дан1, "privacy", "чутливi даш", CCPA, GDPR.
Постановка проблеми. Процес розвитку технологш та iнформацiйного поля тягне за собою розвиток правового регулювання захисту прав людини у цш сферг У сучасному свт штернет-простiр е хорошим шдгрунтям для шахрайства та iнших протиправних дiянь, якi вчиняють для матерiального збагачення та iнших цiлей. Юбергшена е ключовим фактором для збереження особи вщ таких протиправних дiянь проти не! ж само!, проте бшьшють персональних даних вноситься добровшьно через недостатню освiченiсть у правилах такого захисту. Тому потреба у встановленш шституту персональних даних е актуальною та необхщною у еру новггшх технологiй.
1нститут захисту персональних даних е вщносно молодим у свт та бере сво! витоки у становленш конституцiйних прав та свобод громадянина, зокрема право на недоторканють приватного життя. Таке право особи е одним з основоположних принцитв свггових демократш та знайшло свое вiдображення у багатьох мiжнародноправових актах. Як юридична категорiя воно зародилося у США [1, с. 98]. В англшськш мовi приватне життя особи позначають термшом "privacy" (вiд англ. "privacy" - право на недоторканнють особистого та шмейного (приватного) життя й шдивщуальних свобод), який не можна перекласти укра!нською без втрати контексту. Сформована в США концепщя "privacy" здшснила вагомий вплив на розвиток шституту прав i свобод людини.
Аналiз дослiдження проблеми. Дослiдженню характеристики правового регулювання захисту даних присвятили сво! пращ Городиський I., Погребна А., Мельник К., проте ця тематика е мало дослщжена.
Метою статт е порiвняльно-правовий аналiз положень акпв европейського та амери-канського законодавства у сферi захисту персональних даних.
Виклад основного матерiалу. Задля захисту права недоторканосп приватного життя особи, законодавцями США та Свропи було розроблено закони, як регулюють правовщносини у сферi збору, обробки та використання персональних даних. Ключовими нормативно-правовими актами е CCPA та GDPR.
General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) та California Consumer Privacy Act (CCPA) мають на мет гарантда захисту персональних даних ошб, як збирають або використовують тдприемства, незалежно вщ того, яким способом була отримана ця шформащя. GDPR, який набув чинносп 25 травня 2018 року, е одним iз найповнiших закошв про захист персональних даних на сьогодшшнш день. Через вщсутнють у США комплексного федерального закону про конфщенцшнють, CCPA вважаеться одшею з найважливiших подiй законодавчого закршлення права особи на недоторканiсть приватного життя, тобто на "privacy". Науковщ та практики очшують глобальний вплив CCPA (як i GDPR) на розвиток шституту персональних даних та бiз-несу у сферi його використання, враховуючи статус Калiфорнi! як п'ятого за величиною еконо-мiчного впливу на свiт елементу (поступаючись лише США, Китаю, Японп та Шмеччиш). Сенат Калiфорнi! прийняв закон, який мае стати золотою серединою мiж правами людини та штересами бiзнесу. CCPA набрав чинностi з 1 шчня 2020 року, проте деяю аспекти активно застосовувались i ранiше, до моменту офiцiйного набрання ним сили.
Однак, CCPA в^^зняеться вщ GDPR деякими iстотними умовами, особливо тими, що стосуються сфери застосування та правил щодо пщзвггносп. Для аналiзу цих законних акпв та !х
вимог, ми проведемо порiвняння за декшькома основними критерiями: сферою ди, поняттям термшу персональних даних, суб'ектами та вщповщальнютю за !х порушення.
Сфера дiяльностi будь-якого правового акту розрiзняeться за 3 традицшними критерiями: колом ошб, предметом регулювання та територieю застосування. Якщо говорити про сферу застосування двох акпв за колом ошб, то можна пiдкреслити, що вони стосуються захисту персональних даних фiзичних осiб. Визначення поняття '^зично! особи" у кожному з акпв не мае вщмшних особливостей, тому загострювати свою увагу щодо цього питання ми не будемо. Проте, якщо розглядати предметну та територiальну юрисдикци, то у них е своя ключова особливють, тому вважаемо необхщним зупинитись та детальнiше розглянути кожну з таких вщмшностей.
Розглядаючи питання предметно! юрисдикци, варто зазначити, що ОБРЯ поширюе свою дiяльнiсть на правовi вiдносини, пов'язанi iз захистом i обробкою персональних даних, зокрема - на обробку, яка здшснюеться повнютю або частково iз застосуванням автоматизованих чи неавто-матизованих засобiв. Також варто зазначити деталiзацiю i щодо перелiку вiдносин, на як дiя ОБРЯ не поширюеться (наприклад щодо дiяльностi, яка виходить за межi дi! права СС тощо).
Порiвняно з такою сферою ди, ССРА встановлюе бiльш широку предметну юрисдикщю, вказуючи, що дiя акту поширюеться на правовi вiдносини щодо збору, обробки та продажу персонально! шформаци ошб, включаючи розкриття тако! iнформацi! з метою досягнення бiзнес-цiлей [2].
Якщо аналiзувати норми цих актiв щодо предмету територiально! дi!, то варто зазначити, що ОБРЯ чiтко визначае межi свое! територiально! юрисдикцi!, вказуючи, що його дiя поширюеться на:
- опрацювання персональних даних контролером або оператором, що зареестрований на територи СС;
- опрацювання персональних даних контролером або оператором, як зареестроваш поза територiею СС, проте яю обробляють даш осiб, що перебувають в СС.
Дiя ССРА поширюеться на компани, якi ведуть свою бiзнес-дiяльнiсть у штат Калiфорнiя та з рiчним доходом понад 25 мiльйонiв доларiв США; або тих компанiй, як обробляють персональнi данi бiльше шж 50 000 споживачiв, домогосподарств або пристро!в; а також компанi!, як отримують бiльше половини рiчного доходу вщ продажу персонально! iнформацi!. Закон також застосовуеться до суб'екпв, що контролюються згаданим бiзнесом або мають спшьний брендинг. Окрiм того, компанп, як розташованi поза межами штату, також, за наявносп певних умов, можуть бути визнаними такими, що ведуть у ньому свою бiзнес-дiяльнiсть у межах штату. Однак, якщо компашя збирае та продае персональш даш ошб поза межами юрисдикци штату, то ССРА не мае влади над такою компашею.
Зпдно з ч. 1 ст. 4 ОБРЯ персональними даними е будь-яка шформащя, що стосуеться фiзично! особи ("суб'ект даних"), яка щентифшована або може бути конкретно щентифшована. Iдентифiкована фiзична особа - це особа, яку можна щентифшувати прямо чи опосередковано, зокрема, посилаючись на такий щентифшатор, як iм'я, iдентифiкацiйний номер, даш про мюцезнаходження, онлайн-iдентифiкатор або на декшька факторiв, характерних для фiзичних осiб: фiзiологiчну, генетичну, ментальну, економiчну, культурну чи соцiальну iдентичнiсть ще! фiзично! особи [3].
Якщо розiбрати цю статтю, то можна побачити, що такий акт використовуе широке означення термшв та !х тлумачення, наприклад: "будь-яка шформащя, що стосуеться особи" (до прикладу, найменування компанп, у якш використовуеться П1Б особи, буде шформащею, що стосуеться особи, проте така шформащя не буде виступати ведомостями про особу); додатково роз'яснюе, коли можливо вважати особу такою, що можна щентифшувати.
Разом з тим, категорiя персональних даних за ССРА охоплюе ще бшьше коло шформаци шж ОБРЯ. Так, у п. 1 ч. О ст. 1798.140 вказуеться, що персональними даними е шформащя, яка щенти-фшуе, стосуеться, описуе, асощюеться або може бути розумно пов'язана, прямо чи опосередковано,
з особою [5]. Також, зпдно з щею ж частиною, персональна шформащя подшяеться на рiзнi види: бюметрична iнформацiя, комерцiйна iнформацiя, яка включае у себе записи про особисте майно, продукти чи послуги, яю були придбаш, отриманi чи розглянуп особою, або iсторiя чи тенденщя придбання або споживання певних товарiв особою; iнформацiя, отримана в штернеп або за допомогою шших електронних мереж, яка включае в себе юторда пошуку, переглянутi особою веб-сайти, реклами та додатки тощо. Таким чином, ССРА значно розширюе коло понять шформаци, що вiднесена до персональних даних.
Проте, ОБРЯ пiднiмае питання щодо "чутливих даних". Пiд таким поняттям даних розу-мiеться iнформацiя, яка розкривае расову, етшчну або релiгiйну приналежнють; релiгiйнi чи фшо-софськi вiрування; полiтичнi погляди та переконання; опрацювання бiометричних та генетичних даних задля едино! щентифшацп фiзичноi особи, а також про и здоров'я, статеве життя чи сек-суальну орiентацiю. На противагу цьому ССРА не встановлюе жодних обмежень чи режимiв збору та обробки вiдповiдних категорш персональних даних.
Порiвнюючи поняття суб'екта даних, ОБРЯ та ССРА також мають певнi вiдмiнностi щодо його визначення. ОБРЯ зазначае, що суб'ектом даних е фiзична особа, яку щентифшовано чи можна iдентифiкувати. ССРА тлумачить суб'екта даних (споживача) як щентифшовану фiзичну особу, зокрема за будь-яким ушкальним iдентифiкатором, яка е резидентом штату Калiфорнiя. Як бачимо, ССРА не вщносить до суб'екпв даних осiб, якi можуть бути щентифшоваш, на вiдмiну вiд ОБРЯ. В розрiзi поняття персональних даних за ССРА теоретично можлива ситуащя, коли компашя буде вважатися такою, що збирае персональш данi особи, проте не пов'язана iз суб'ектом даних (наприклад, у ситуацп продажу шформаци тощо) [2].
Цшавим питанням е особливiсть пiдстав, за якими можна здшснювати законну обробку персональних даних суб'екта. ОБРЯ встановлюе шють таких пiдстав. Ключову позищю посiдае згода суб'екта даних на обробку його персональних даних. До шших тдстав вщносяться необхщ-нють захисту життево важливих iнтересiв суб'екта, необхщнють виконання договору з суб'ектом тощо.
Проте, якщо говорити про погляд ССРА на це питання, то вш е кардинально шшим. Зокрема, акт встановлюе презумпщю правомiрностi обробки персональних даних ошб компанiею. Тобто, це означае, що не юнуе сформованого перелшу пiдстав, на основi яких можна законно здiйснювати обробку персональних даних, таким чином встановлюючи, що збiр i обробка персональних даних е законною та може здшснюватися компашями. ССРА встановлюе право особи направити компанп вимоги щодо заборони продажу 1! персональних даних для захисту прав та штерешв таких суб'екпв даних. Якщо компашя, яка здшснювала збiр та обробку таких даних, отримае вимогу, щодо заборони продажу персональних даних особи, вона змушена видалити таю даш (за заявою особи) та не матиме права надалi продавати щ даш.
Найщкавшою для дослщження е санкцй, якi передбачають два акти. Якщо говорити про природу таких штрафiв, то можна дiйти висновку, що за ОБРЯ вони е адмшютративними (тобто накладаються контролюючим органом), а вщповщно до ССРА - цившьними (так1 штрафи можуть бути накладеш лише у судовому порядку). Чгтке розмежування штрафiв можна спостертати у ОБРЯ:
- 2 % загального рiчного обороту або 10 млн евро, залежно вщ того, що вище - за пору-шення положень щодо обробки даних неповнолгтшх осiб, обов'язкiв контролера та оператора тощо;
- 4 % загального рiчного обороту або 20 млн евро, залежно вщ того, що вище - за порушення положень щодо принцишв обробки даних, прав суб'екпв даних, передачу даних в трет кра!ни тощо [2, 3].
ССРА встановлюе наступш рiзновиди штрафiв:
- 2500 доларiв за кожне порушення положень акту;
- 7500 доларiв США за кожне умисне порушення акту [2, 4].
Також сам акт не встановлюе максимального лiмiту розмiрiв санкцш.
Висновки. Провiвши аналiз та порiвняння положень ОБРЯ та ССРА, можна зрозумiти, що таю акти приймались з рiзною метою, тому i мiстять значш вiдмiнностi.
Метою прийняття ОБРЯ було регулювання питання обробки персональних даних як загаль-ноевропейського законодавчого акту з обов'язковою силою. Тому порiвняно з ССРА, вш е бшьш продуманий та унiверсальним. Свропейський законодавчий акт - ОБРЯ - регулюе максимально можливе коло вщносин захисту персональних даних.
Натомють? американський аналог - ССРА - показуе, що основною метою для його прийняття е врегулювання вщносин щодо продажу персональних даних. Акт звертае увагу на право суб'екта заборонити продаж сво!х персональних даних; право на отримання згоди на продаж даних тощо, в той час як ОБРЯ не мютить таких положень щодо продажу персональних даних.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Мельник К. С. 1ноземний та вичизняний досвщ становления шституту захисту персональних даних. 1нформацтна безпека людини, суспшьства, держави. 2013. № 2 (12). С. 97-103/ 2. Comparing Privacy Laws GDPR v. CCPA. URL: https://ipf.org/wp-content/uploads/2019/12/Comparing PrivacyLaws_GDPR_CCPA.pdf.; 3. General Data Protection Regulation. URL: https://gdpr-info.eu/. 4. California Consumer Privacy Act/ URL: https ://ccpa-info.com/.
REFERENCES
1. Melnyk K. S. Inozemnyj ta vitchyznyanyj dosvid stanovlennya instytutu zaxystu personalnyx danyx. [Information security of man, society, state]. 2013. No. 2 (12). P. 97-103. 2. Comparing Privacy Laws GDPR v. CCPA URL: https://fpf.org/wp-content/uploads/2019/12/ ComparingPrivacyLaws_GDPR_CCPA.pdf/ 3. General Data Protection Regulation URL: https://gdpr-info.eu/. 4. California Consumer Privacy Act URL: https://ccpa-info.com/.
Дата надходження: 26.06.2020р.
Yuliia Korneliuk
Lviv Polytechnic National University, Institute of Law, Psychology and Innovative Education, Assistant of the Department of Theory, History and Philosophy of Law
Yuliia Seredynska Lviv Polytechnic National University, Institute of Law, Psychology and Innovative Education,
student
COMPARATIVE CHARACTERISTICS OF LEGAL REGULATION OF PERSONAL DATA PROTECTION IN THE US AND EUROPE: CCPA VS GDPR
The article analyzes and compares the legal regulation of personal data protection in the form of European and American acts - General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR) and California Consumer Privacy Act (CCPA).
Сollection, processing, and sale of personal data in accordance with relevant legal acts; the scope of legal acts differs according to 3 traditional criteria: the number of persons, the subject of regulation and the territory of application are analyzed in the article.
It also raises the issue of protection of personal data by legal means during their collection, processing and sale in information systems.
Trends in the development of the Personal Data Protection Institute in the context of the US and Europe are explored, as well as the essence of the concept and general principles of personal data development. The development of EU legislation in the field of personal data protection and the basis of its practical implementation are studied. Proposals for the implementation of Ukrainian and EU legislation have been submitted. A thorough analysis of the US and European legal frameworks and
principles of personal data protection, which form the basis of current practice in this field, has been carried out. The question is raised as to the peculiarities of the grounds on which the personal data of the subject can be lawfully processed in accordance with the General Data Protection Regulation and the California Consumer Privacy Act. A comparison of the concept of data subject, GDPR and CCPA GDPR establishes six such grounds. A key position is the consent of the data subject to process it. Particular attention is paid to the study of "sensitive data" in the General Data Protection Regulation. The term data refers to information that reveals race, ethnicity or religion; religious or philosophical beliefs; political views and beliefs; processing of biometric and genetic data for the sole identification of the individual, as well as their health, sexual life or sexual orientation. In contrast, the CCPA does not impose any restrictions or modes on the collection and processing of relevant categories of personal data.
Key words: personal data, privacy, sensitive data, CCPA, GDPR.
