Loading…
GDPR и CCPA/CPRA — две наиболее упоминаемые в мире нормативные базы в сфере конфиденциальности. На первый взгляд они похожи, но резко расходятся в экстерриториальном охвате, законном основании для обработки, архитектуре opt-in против opt-out, сроках уведомления о нарушениях и тяжести штрафов. Это руководство даёт точное параллельное сравнение, к которому обратится любая команда по конфиденциальности.
| Параметр | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| Правовой акт | Регламент (ЕС) 2016/679 | Гражданский кодекс Калифорнии § 1798.100 и далее (CCPA, с изменениями, внесёнными CPRA, 2020) |
| Дата вступления в силу | 25 мая 2018 г. | CCPA: 1 янв. 2020 г.; усиление CPRA: 1 янв. 2023 г. |
| Территориальная сфера действия | Любое лицо, обрабатывающее персональные данные физических лиц в ЕС (ст. 3 — экстерриториально) | Коммерческие предприятия, ведущие деятельность в Калифорнии и достигающие пороговых значений (§1798.140(d)) |
| Порог применимости Любой из триггеров | Любой контролёр/обработчик — без нижнего предела по выручке/объёму | 25 млн долл. выручки ИЛИ 100 тыс.+ потребителей/домохозяйств Калифорнии ИЛИ 50%+ выручки от продажи/передачи ПИ |
| Модель согласия | Opt-in для большинства видов обработки (ст. 6) | Opt-out от продажи или передачи; opt-in для несовершеннолетних до 16 лет |
| Требуется законное основание | Да — одно из шести (ст. 6) или условие особой категории (ст. 9) | Формальное законное основание отсутствует; «деловая цель» + уведомление при сборе |
| Чувствительные данные | Данные особой категории (ст. 9) требуют явного согласия + мер защиты | Чувствительная ПИ (CPRA §1798.140(ae)) — право на ограничение, а не абсолютный запрет |
| Уведомление о нарушении | 72 часа надзорному органу (ст. 33); затронутым субъектам данных без неоправданной задержки при высоком риске | Конкретный срок не установлен; «в кратчайшие возможные сроки» согласно Гражданскому кодексу Калифорнии §1798.82 |
| Максимальный штраф | 20 млн евро или 4% мирового годового оборота, в зависимости от того, что больше (ст. 83(5)) | 2500 долл. за неумышленное / 7500 долл. за умышленное нарушение или нарушение, связанное с несовершеннолетними (за запись) |
| Регулятор | 27 DPA государств-членов ЕС + EDPB (механизм «одного окна») | Калифорнийское агентство по защите конфиденциальности (CPPA) + Генеральный прокурор Калифорнии |
| Требование о DPO | Обязателен в установленных случаях (ст. 37) | Не обязателен; требование об оценке рисков для SDF |
| Местный представитель | Представитель ЕС по статье 27 требуется для контролёров/обработчиков, не входящих в ЕС | Не требуется; физическое присутствие не обязательно |
| Срок ответа на DSAR | 1 месяц + продление на 2 месяца для сложных запросов (ст. 12(3)) | 45 дней, с возможностью продления ещё на 45 (§1798.130) |
| Трансграничная передача | Ограничена — требуются SCC/BCR/адекватность (Глава V) | Явных ограничений нет; договорные меры защиты согласно отраслевому законодательству |
| Частное право на иск | Да — ст. 79 (ограниченное) + ст. 82 о возмещении ущерба | Только при нарушениях данных согласно §1798.150 |
| Данные детей | Возраст согласия по умолчанию до 16 лет (государства-члены могут снизить до 13) | Opt-in на продажу/передачу для лиц до 16 лет; для лиц до 13 лет требуется родитель |
| Право на удаление | Право на удаление (ст. 17) с исключениями | Право на удаление (§1798.105) с исключениями |
| Право на получение информации/доступ | Ст. 15 — подтверждение + копия | §1798.110 + §1798.115 — раскрытие категорий и конкретной ПИ |
| Право на отказ | Возражение против обработки на основании законных интересов или прямого маркетинга (ст. 21) | Opt-out от продажи или передачи ПИ (§1798.120); GPC должен соблюдаться |
| Право на переносимость | Ст. 20 — структурированный, широко используемый, машиночитаемый формат | Право на получение в переносимом формате (§1798.100(d)) |
Да, если вы ориентируетесь как на физических лиц в ЕС, так и на потребителей в Калифорнии. У них есть пересекающиеся ключевые требования (уведомление, доступ, удаление), но они расходятся в вопросах согласия, сроков уведомления о нарушениях и территориальности. Единый сопоставленный набор средств контроля работает для обоих.
По существу — да. GDPR требует законного основания для каждой операции обработки, предписывает уведомление о нарушении в течение 72 часов, ограничивает трансграничные передачи и предусматривает неограниченные штрафы на основе выручки. CCPA/CPRA в большей степени ориентирован на opt-out и предусматривает штрафы за каждое нарушение, а не от оборота — но урегулирование Meta на сумму 1,2 млрд долл. показывает, что совокупный размер ответственности может сравниться с GDPR.
Нет. Статья 3 GDPR применяется экстерриториально. Если вы предлагаете товары или услуги людям в ЕС или отслеживаете их поведение, вы подпадаете под действие закона и обязаны назначить Представителя ЕС по статье 27.
Формального эквивалента нет. CCPA не требует назначения местного представителя. Однако чувствительные финансовые или медицинские данные могут подпадать под параллельные федеральные режимы (HIPAA, GLBA) с их собственными требованиями к контактным пунктам.
GDPR: 72 часа ведущему надзорному органу. CCPA: «в кратчайшие возможные сроки» без фиксированного срока — хотя адвокаты истцов в коллективных исках по §1798.150 утверждают, что любой срок более нескольких дней является неразумным.
Да — и должен. Постройте единый конвейер проверяемых потребительских запросов, сопоставьте результаты как с раскрытиями по статье 15 GDPR, так и по §1798.110 CCPA. Просто соблюдайте более короткий срок (1 месяц для резидентов ЕС, 45 дней для резидентов Калифорнии).
Сопоставьте средства контроля один раз, соответствуйте дважды. RegulatoryBridge предоставляет вам единый конвейер DSAR, единого DPO, единый план реагирования на нарушения — охватывающий обе системы.