Закрытый форум для участников · 🇺🇸 English
ФорумКонфиденциальность → Тема

CCPA для малого бизнеса: нужно ли соответствовать?

Начал GennadiyShop · 25 янв 2026 · 7 ответов
GennadiyShop
25 янв 2026, 10:20

У меня небольшой интернет-магазин одежды, зарегистрирован в Калифорнии. Годовой оборот около $1.5M, команда 8 человек. Продаю по всей территории США.

Получил письмо от клиента с запросом на удаление его персональных данных, ссылаясь на CCPA. Я честно не знаю, подпадает ли мой бизнес под этот закон.

Нужна помощь: обязан ли я соответствовать CCPA/CPRA? Если да, что конкретно нужно делать?

TatyanaEcom
25 янв 2026, 12:45

Gennadiy, CCPA (теперь обновленный до CPRA -- California Privacy Rights Act) применяется к бизнесу, если он соответствует хотя бы ОДНОМУ из критериев:

  • Годовой доход более $25 миллионов
  • Покупка, продажа или "шеринг" персональных данных 100,000+ потребителей или домохозяйств в год
  • 50% или более дохода от продажи/шеринга персональных данных

С оборотом $1.5M вы, скорее всего, не подпадаете под первый критерий. Но нужно проверить второй -- сколько уникальных пользователей у вашего сайта?

GennadiyShop
25 янв 2026, 14:00

Tatyana, у меня примерно 50,000 уникальных посетителей в месяц. Но я использую Google Analytics, Facebook Pixel и несколько рекламных трекеров. Считается ли это "шерингом" данных?

DataPrivacy_LevЮрист
25 янв 2026, 17:30

Gennadiy, это ключевой вопрос. Под CPRA термин "sharing" включает передачу персональных данных третьим сторонам для cross-context behavioral advertising. Google Analytics и Facebook Pixel -- это как раз такой случай.

Давайте посчитаем: 50,000 уникальных посетителей в месяц = до 600,000 в год. Если вы передаете данные этих пользователей через пиксели и трекеры -- вы вполне можете превышать порог 100,000 потребителей.

Важно: "потребитель" по CPRA -- это резидент Калифорнии. Если только часть ваших посетителей из Калифорнии -- считаются только они. Но с 600K общих посетителей, вероятно, калифорнийцев будет больше 100K.

Мой вывод: скорее всего, CPRA к вам применяется. И даже если формально не применяется -- соответствие CPRA является хорошей практикой и защищает от рисков.

Это общая информация, не юридическая консультация. Рекомендую провести аудит данных с privacy-адвокатом.
YuliyaStartup
26 янв 2026, 09:10

Мы в похожей ситуации -- SaaS для малого бизнеса, тоже думали, что CCPA нас не касается. Оказалось, что касается из-за трекеров. Вот что мы сделали:

  1. Privacy Policy: обновили, добавив все требования CPRA (категории данных, цели сбора, права потребителей)
  2. "Do Not Sell or Share My Personal Information": добавили ссылку в footer сайта
  3. Cookie banner: установили consent management platform (мы используем OneTrust, но есть бесплатные альтернативы типа CookieYes)
  4. Процесс обработки запросов: создали email и веб-форму для запросов на удаление/доступ к данным
  5. Data mapping: составили карту всех персональных данных -- где хранятся, кому передаются

Весь процесс занял около месяца. Адвокат обошелся в $3,000 за аудит и помощь с документами.

RomanDeveloper
26 янв 2026, 13:40

С технической стороны добавлю: реализация "Do Not Sell/Share" для трекеров -- это по сути Global Privacy Control (GPC). Браузеры отправляют сигнал Sec-GPC: 1, и ваш сайт должен его уважать.

Практически это означает:

  • Не загружать Facebook Pixel, Google Ads и прочие рекламные трекеры для пользователей с GPC
  • Google Analytics можно оставить (если настроен без рекламных функций), но лучше перейти на cookieless аналитику
  • Использовать consent management tool, который автоматически блокирует скрипты

Для Shopify (если вы на нем) есть встроенные инструменты для CCPA compliance. Для кастомных сайтов -- CookieYes или Termly.

DataPrivacy_LevЮрист
27 янв 2026, 10:15

Хорошие практические советы от всех. Добавлю про штрафы, чтобы была полная картина:

Enforcement: CPRA enforcement осуществляет California Privacy Protection Agency (CPPA). Штрафы:

  • До $2,500 за каждое непредумышленное нарушение
  • До $7,500 за каждое умышленное нарушение или нарушение в отношении данных несовершеннолетних

"Каждое нарушение" может означать каждый потребитель, чьи права были нарушены. При 100K+ потребителей суммы могут быть астрономическими.

Также потребители имеют право подавать частные иски (private right of action) в случае утечки данных из-за недостаточной безопасности. Компенсация $100-$750 на потребителя или фактический ущерб.

GennadiyShop
27 янв 2026, 15:00

Всем огромное спасибо! Теперь понимаю, что CPRA, скорее всего, к нам применяется, и игнорировать это нельзя.

План действий:

  1. Ответить клиенту на запрос удаления данных (в течение 45 дней по закону)
  2. Нанять privacy-адвоката для аудита
  3. Установить cookie consent banner
  4. Обновить Privacy Policy
  5. Добавить ссылку "Do Not Sell or Share" на сайт
  6. Создать процесс обработки запросов потребителей

Yuliya, спасибо за конкретные цифры по стоимости -- $3K за аудит вполне приемлемо. Буду искать адвоката.