У Каліфорнії запрацював новий інструмент, який дозволяє мешканцям штату швидко вимагати видалення своїх персональних даних у брокерів даних. Це суттєво спрощує процес контролю за обігом особистої інформації.
Про це розповідає ProIT
Закон Delete Act та платформа DROP
До цього часу жителі Каліфорнії мали право вимагати від компаній припинити збір та продаж їхніх даних ще з 2020 року, однак процедура була складною та вимагала звернення до кожної компанії окремо. Прийнятий у 2023 році закон Delete Act передбачав створення єдиної системи, яка дозволяє направити одну вимогу про видалення більше ніж 500 зареєстрованим брокерам даних.
Тепер така можливість стала реальною завдяки запуску платформи Delete Requests and Opt-Out Platform (DROP). Кожен житель штату після підтвердження своєї резидентності може подати запит на видалення, який буде автоматично відправлений усім діючим і майбутнім зареєстрованим брокерам даних Каліфорнії.
Особливості та обмеження нового інструменту
Варто зазначити, що видалення даних не відбуватиметься миттєво. Обробка запитів брокерами розпочнеться у серпні 2026 року, після чого у них буде 90 днів для виконання вимог та звітування про це. Якщо дані не будуть видалені, користувачі зможуть надати додаткову інформацію для допомоги в ідентифікації своїх записів.
Законом передбачено, що компанії можуть зберігати дані, зібрані безпосередньо від користувачів (first-party data). Проте брокери, які купують або продають інформацію, у тому числі соціальні номери, історію переглядів, електронні адреси чи телефонні номери, повинні видалити такі дані за вимогою.
Деякі категорії інформації, наприклад, реєстрація транспортних засобів чи дані виборців із публічних реєстрів, не підлягають видаленню. Інші типи персональних відомостей, такі як медична інформація, регулюються окремими законами, зокрема HIPAA.
Каліфорнійське агентство із захисту приватності зазначає, що новий інструмент не лише надає громадянам більше контролю над власними даними, а й може зменшити кількість «небажаних повідомлень, дзвінків чи електронних листів», а також знизити ризик крадіжки особистості, шахрайства, зловживань штучним інтелектом чи витоку особистої інформації.
Штраф за невиконання брокерами вимог щодо реєстрації або видалення запитуваних даних становить 200 доларів на день, а також додаткові витрати на примусове виконання вимоги.