SaaS-договоры · Меморандум

Соглашения об обработке данных по CCPA/CPRA для трансграничного SaaS

Я хочу изложить структуру DPA, которую теперь считаю минимально необходимой для любой трансграничной сделки по SaaS, затрагивающей жителей Калифорнии, и быть откровенным в отношении тех частей свода правил, которые продолжают формироваться.

CCPA в редакции CPRA приблизила калифорнийскую систему обработки данных по духу к GDPR в большей степени, чем юристы нередко признают. Агентство по защите конфиденциальности Калифорнии (CPPA) использовало свои нормотворческие полномочия и растущий массив правоприменительных рекомендаций для того, чтобы ещё сильнее сдвинуть концепцию в сторону формализма контролёр-процессор. Для трансграничных сделок по SaaS практический эффект состоит в том, что DPA, которое Вы подписываете с американским вендором для европейских клиентов, DPA с тем же вендором для калифорнийских клиентов и DPA с сингапурским или токийским аффилированным лицом для той же рабочей нагрузки сближаются к одному структурному скелету. Работа по составлению -- не в выборе того, какая концепция контролирует. Она -- в их наслоении.

Что CCPA/CPRA реально требует от договора с поставщиком услуг

Cal. Civ. Code раздел 1798.140(ag) определяет поставщика услуг, а раздел 1798.140(ah) -- подрядчика. Статус имеет значение, поскольку из него вытекают распределение ответственности, ограничения на использование в нижестоящих звеньях и право на аудит. Договорные требования изложены в разделе 1798.140(ag)(1)(A)-(E) и регуляторных актах CPPA, Cal. Code Regs. tit. 11, разделы 7050 и 7051. В минимальном варианте договор должен: (a) указывать, что персональные данные раскрываются только для ограниченных и конкретных целей; (b) обязывать поставщика услуг соблюдать применимые обязательства по CCPA и содействовать бизнесу в выполнении его обязательств по CCPA; (c) предоставлять бизнесу право принимать разумные и надлежащие меры для обеспечения использования поставщиком услуг персональных данных в соответствии с обязательствами бизнеса; (d) обязывать поставщика услуг уведомлять бизнес, если он определит, что более не может выполнять свои обязательства; и (e) предоставлять бизнесу право, после уведомления, принимать разумные и надлежащие меры для прекращения и устранения несанкционированного использования.

Регуляторные акты CPPA 2024 года добавили детали о том, что считается "разумными и надлежащими мерами", и прямо указали, что общий отчёт SOC 2 сам по себе не является достаточной заменой права на аудит. Аргумент, который юристы иногда выдвигают на переговорах, -- утверждение о том, что SOC 2 вендора удовлетворяет праву на аудит, -- не соответствует позиции регуляторов. Я ожидал бы, что каждый DPA включает либо ежегодное право на аудит за счёт бизнеса при разумном уведомлении, либо заменяющий механизм (текущая сторонняя оценка с охватом, достаточным для соответствующих операций обработки), который бизнес вправе получить по договору.

Наложение GDPR

Большинство американских SaaS-вендоров, с которыми я работаю, используют единый DPA, основанный на Стандартных договорных оговорках ЕС (SCC 2021 года), и добавляют приложение по CCPA. Структурное преимущество состоит в том, что требования статьи 28 GDPR строже требований раздела 1798.140 CCPA по большинству пунктов. Если у вендора выстроены механизмы GDPR, дополнение по CCPA по большей части сводится к уточнению определений. Тем не менее три пункта по-прежнему требуют явного составления применительно к Калифорнии.

Во-первых, определения продажи и передачи. CPRA разграничивает продажу персональных данных и их передачу для межконтекстной поведенческой рекламы. DPA требует явного заверения поставщика услуг об отсутствии продажи и передачи в отношении персональных данных, раскрытых в рамках соглашения, причём это заверение должно воспроизводить законодательные определения, а не пересказывать их разговорным языком. Во-вторых, чувствительные персональные данные. Раздел 1798.140(ae) определяет категорию, включающую некоторые данные, которые практика ЕС относит к особым категориям по статье 9 GDPR, и некоторые, которые туда не включаются. DPA требует флага для тех полей в наборе данных, которые являются чувствительными персональными данными по определению Калифорнии, даже если анализ GDPR говорит иное. В-третьих, обязательства по удалению и исправлению. Право на исправление по CCPA (добавленное CPRA) накладывает на поставщика услуг обязательство, которое прямо не соответствует праву на исправление по GDPR. DPA требует отдельного раздела, прямо предусматривающего обязательство по разделу 1798.106.

Механизмы трансграничной передачи

Если вендор обрабатывает данные за пределами США, важны два момента. Для субъектов данных из ЕС, обрабатываемых через американскую сделку, Рамочное соглашение ЕС-США о конфиденциальности данных (EU-US Data Privacy Framework) обеспечивает одно из оснований передачи, если обе стороны самосертифицированы и соответствующий кластер рамочного соглашения применим к рабочей нагрузке. Если вендор не сертифицирован, следует опираться на SCC 2021 года с Приложением для Великобритании, если данные Великобритании входят в сферу применения. Для азиатских юрисдикций (Сингапур, Япония, Корея, Индия) анализ более индивидуален. PDPA Сингапура и APPI Японии оба имеют нормы о трансграничной передаче данных, которые внешне похожи на GDPR, но в части правоприменения читаются совершенно иначе. Я бы не исходил из того, что SCC выполняют необходимую функцию.

Роль CCPA здесь касается преимущественно нижестоящего потока. Если данные жителя Калифорнии направляются от бизнеса к американскому вендору, а затем от американского вендора к субобработчику в Сингапуре, договор с субобработчиком должен содержать те же средства защиты, что и основной DPA. Регуляторные акты CPPA, раздел 7051, прямо устанавливают требование о распространении защиты. Шаг в составлении: включить приложение с субобработчиками с указанием наименований, страны обработки, цели и требования об уведомлении за тридцать дней при изменениях.

Сигналы правоприменения CPPA

Укажу на неопределённость. CPPA активна с 2024 года, однако её правоприменительный реестр пока невелик. Первая волна административных действий была сосредоточена на: (a) нарушениях уведомления для потребителей; (b) несоблюдении сигналов об отказе (в частности, Global Privacy Control); и (c) договорах с поставщиками услуг, в которых отсутствует формулировка раздела 1798.140(ag)(1). Наиболее цитируемым прецедентом остаётся урегулирование с Sephora при прежних полномочиях генерального прокурора (2022), которое предшествует нормотворчеству CPPA. Правоприменительная кривая с 2025 года задаст тон, и юристам следует отслеживать рекомендации CPPA, а не полагаться на то, что работало в 2023 году.

Следствие для составления договоров: исходите из того, что CPPA читает договор буквально. Если элементы раздела 1798.140(ag)(1) присутствуют, но носят общий характер, рассчитывайте, что при аудите регулятор потребует доказательств операционных контролей за каждым обязательством. Поставщики услуг, у которых есть DPA, но нет задокументированного руководства по уведомлению о нарушениях, нет задокументированного перечня субобработчиков и нет задокументированного ответа на аудит, не получат хорошего дня. В каждый DPA я включаю краткое приложение о соответствии, обязывающее поставщика услуг поддерживать эти артефакты и предоставлять их по запросу.

Граница, которую я провожу по гарантиям

Одна ловушка на стороне вендора. Вендоры нередко добавляют заверение о соответствии всем применимым законам о конфиденциальности. Заказчикам не следует принимать это как замену конкретным положениям CCPA. Общая гарантия соответствия требованиям сложна в исполнении, легко дезавуируется и ограничивается лимитами ответственности по соглашению. Конкретные обязательства по CCPA, GDPR и другим режимам должны быть в самом DPA, с собственным триггером уведомления о нарушении и собственным исключением из лимита, если правовые риски заказчика это требуют. Для большинства корпоративных сделок я добиваюсь для заказчика суперлимита по конфиденциальности не менее трёх-пяти годовых сборов с сохранением ответственности при умышленном нарушении.

Ничто из этого не является экзотикой. Экзотично -- и именно это я продолжаю видеть -- договоры, составленные в 2020 году с однопараграфным приложением по CCPA, которое не обновлялось с учётом CPRA, регуляторных актов 2024 года или правил трансграничной передачи. Если юрист принял портфель DPA, предшествующих нынешнему своду правил, очистка стоит усилий.

Сергей Токмаков, эсквайр, CA Bar #279869. Данный меморандум представляет собой профессиональный юридический комментарий к правовым вопросам и не является юридической консультацией. Ознакомление с ним не создаёт отношений между адвокатом и клиентом. Результаты прошлых дел зависят от конкретных обстоятельств и действий противоположной стороны; ничто в данном документе не является прогнозом результата.