Триразова відповідність: Реальний виклик
Для транснаціональних компаній охорони здоров'я або технологічних компаній, що обслуговують клієнтів у ЄС, США та Каліфорнії — відповідність одному закону є недостатньою. Потрібна одночасна відповідність GDPR + HIPAA + CCPA.
Кожен фреймворк має різні вимоги, різні визначення PII і різні права суб'єктів даних. Але вони значною мірою перекриваються — розумна архітектура дозволяє задовольнити всі три.
Порівняння трьох фреймворків
| Аспект | GDPR | HIPAA | CCPA/CPRA |
|---|---|---|---|
| Юрисдикція | ЄС / резиденти ЄС | США / медична інформація | Каліфорнія |
| Визначення PII | Широке (будь-яка ідентифікуюча інформація) | 18 PHI ідентифікаторів | Широке + «sensitive personal information» |
| Правова підстава | 6 підстав (згода, законний інтерес тощо) | Згода або HIPAA дозволи | Opt-out (не opt-in) |
| Права суб'єктів | Доступ, виправлення, видалення, переносимість | Доступ та копія записів | Доступ, видалення, opt-out продажу |
| Анонімізація | Повна (не реідентифікована) | Safe Harbor (18 ідентифікаторів) | Агрегат / деідентифікація |
| Штрафи | До €20M або 4% обороту | $100-$50K/порушення | $100-$750 на споживача |
Стратегія: Супермножина вимог
Замість підтримки трьох окремих систем — побудуйте одну, що задовольняє найстрогішу вимогу в кожній категорії.
Крок 1: Визначте найстрогіші вимоги
Визначення PII: GDPR найширше. Використовуйте визначення GDPR — воно охоплює всі 18 PHI + CCPA-ідентифікатори.
Анонімізація: HIPAA Safe Harbor найбільш специфічний. Видалення 18 ідентифікаторів задовольняє і GDPR, і CCPA.
Права суб'єктів: GDPR найбільш вичерпний. Реалізуйте всі права GDPR — вони покривають HIPAA та CCPA.
Строки відповіді: HIPAA та CCPA — 30 днів, GDPR — 30 днів (з можливістю продовження до 90). Орієнтуйтесь на 30 днів.
Крок 2: Пресети анонімізації для кожного контексту
Пресет «Healthcare — Max Compliance» (GDPR + HIPAA + CCPA):
- Видалення всіх 18 HIPAA PHI ідентифікаторів
- Додатково: виявлення та анонімізація GDPR-специфічних ідентифікаторів (Codice Fiscale, NIF, CPR тощо)
- Узагальнення дат до року (Safe Harbor), геокодів до 3-значного ZIP
- Результат: відповідний всім трьом фреймворкам одночасно
Пресет «Financial Services — EU+CA» (GDPR + CCPA):
- IBAN, BIC, номери рахунків — повне маскування
- Адреси — узагальнення до міста/регіону
- Імена — псевдонімізація або видалення
- Право opt-out продажу даних (CCPA ст. 1798.120)
Пресет «Research — Safe Harbor» (HIPAA + GDPR ст. 89):
- Видалення 18 PHI
- К-анонімність k≥5 для залишкових квазі-ідентифікаторів
- Документація процесу деідентифікації
Крок 3: Реалізація єдиного механізму прав суб'єктів
Єдиний портал прав суб'єктів даних (DSR Portal):
- Запит на доступ — відповідає GDPR ст. 15, HIPAA 45 CFR 164.524, CCPA 1798.110
- Запит на видалення — відповідає GDPR ст. 17, CCPA 1798.105
- Портабельність — відповідає GDPR ст. 20
- Opt-out продажу — CCPA 1798.120
Одна кнопка, одна форма, один процес обробки — що задовольняє всі три закони.
Практичні складнощі
Conflicting consent models
GDPR: Деякі обробки потребують явної opt-in згоди. CCPA: Базова модель — opt-out (не opt-in). Але CPRA додає opt-in для sensitive personal information.
Рішення: Застосовуйте модель opt-in для всіх чутливих даних (задовольняє обидва), opt-out для нечутливих (CCPA-compliant, не суперечить GDPR).
Data retention conflicts
GDPR, HIPAA та CCPA мають різні строки зберігання. HIPAA медичні записи — мінімум 6 років. GDPR — лише необхідний час.
Рішення: Зберігайте мінімум, що вимагається найдовшим законом (HIPAA 6 років), але задокументуйте причину. Після закінчення строку — автоматичне видалення.
Cross-border data transfers
GDPR обмежує передачу даних за межі ЄС. HIPAA регулює передачу PHI між covered entities. CCPA не обмежує передачу всередині США.
Рішення: Data residency за замовчуванням у ЄС задовольняє всі три (GDPR + HIPAA BAA + CCPA).
Висновок
Триразова відповідність GDPR + HIPAA + CCPA реалістична при правильній архітектурі. Ключ: будуйте на найстрогіших вимогах кожного виміру, а не підтримуйте три паралельні системи.
Джерела: