Co jako przedsiębiorca prowadzący działalność gospodarczą na terenie Unii Europejskiej musisz wiedzieć o CCPA? Czy kalifornijskie prawo ma wpływ również na Ciebie? Czy jeśli Twoja organizacja zapewnia zgodność z RODO, można automatycznie uznać, że zgodność z CCPA również jest zapewniona? Poniżej najważniejsze informacje o CCPA w pigułce.

Co musisz wiedzieć o CCPA?

Minął już przeszło rok, od kiedy weszła w życie kalifornijska ustawa o ochronie danych osobowych, czyli California Consumer Privacy Act (CCPA), obowiązująca od 1 stycznia 2020 roku. CCPA to pierwsza amerykańska ustawa kompleksowo regulująca ochronę prywatności, a u jej źródeł leży przede wszystkim fakt, że Kalifornia jako stan pełni rolę światowego lidera w obszarze nowych technologii, gdzie tym bardziej aktualna staje się potrzeba zapewnienia jednostce prawa do ochrony prywatności, choćby w świetle afery Cambridge Analytica.

Mimo że CCPA to prawo stanowe, nie federalne, mówi się, że CCPA przeciera szlaki pod kątem ochrony danych osobowych w całych Stanach Zjednoczonych i siłą rzeczy będzie stosowane przez dużą część podmiotów działających na terenie USA.

Co chroni CCPA? Dane osobowe i definicja konsumenta

Zgodnie z RODO, danymi osobowymi są wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast na gruncie CCPA ochronie podlegają informacje, które bezpośrednio lub pośrednio odnoszą się do konkretnego konsumenta lub gospodarstwa domowego lub mogą być z nimi powiązane. CCPA nie reguluje natomiast przetwarzania tzw. informacji zagregowanych, czyli odnoszących się do grupy lub kategorii konsumentów, których nie można w uzasadniony sposób połączyć z żadnym konkretnym konsumentem lub gospodarstwem domowym, w tym za pośrednictwem urządzenia. Przedsiębiorstwa nie muszą również stosować się do CCPA, jeśli przetwarzają informacje zawarte w publicznych rejestrach, w tym w ogólnodostępnych federalnych czy stanowych rejestrach rządowych, oraz dane medyczne (tu zastosowanie ma inny akt prawny – Confidentiality of Medical Information Act).

CCPA chroni konsumentów, przez których rozumie możliwe do zidentyfikowania osoby fizyczne będące rezydentami Kalifornii. Z kolei rezydent zdefiniowany jest jako (1) każda osoba fizyczna przebywająca w stanie w celach innych niż tymczasowe lub przejściowe oraz (2) każda osoba fizyczna zamieszkała w stanie, która przebywa poza stanem na czas określony lub cel przejściowy. Wszystkie inne osoby nie są rezydentami, a więc ich prawa nie są chronione na gruncie kalifornijskiej ustawy.

Do kogo ma zastosowanie CCPA? Przedsiębiorcy i dostawcy usług

CCPA obejmuje swoim zakresem działalność przedsiębiorców (businesses) oraz w pewnym stopniu również dostawców usług (service providers). Dla uproszczenia można traktować te dwa rodzaje podmiotów analogicznie do europejskich administratorów i procesorów, gdzie „przedsiębiorca” podobnie jak administrator jest odpowiedzialny za sam proces przetwarzania, decydując o jego celach i środkach, a „dostawca usług” związany jest instrukcjami przedsiębiorcy i dokonuje przetwarzania na jego wyraźne polecenie.

Funkcja IOD.
To się dobrze przekazuje

Zewnętrzny zespół ekspertów to sprawdzony, szybki i ekonomiczny sposób na nowoczesną ochronę danych.
ZAMÓW OFERTĘ
Jedyną kwestią wartą odnotowania, jeśli chodzi o dostawców usług jest to, że CCPA praktycznie nie nakłada na nich żadnych obowiązków – mają oni po prostu wykorzystywać dane wyłącznie w celu prowadzenia działalności, którą obsługują. Dostawca usług może przetwarzać dane wyłącznie w oparciu o pisemną umowę zawartą z przedsiębiorcą, przy czym CCPA w żaden sposób nie reguluje, co w takiej umowie miałoby się znaleźć.

Co ważne, CCPA znajduje zastosowanie wyłącznie do przedsiębiorcy, który spełnia łącznie następujące warunki:

  1. działa zarobkowo,
  2. zbiera dane osobowe konsumentów lub takie dane są zbierane w jego imieniu i na jego rzecz,
  3. określa cele i sposoby przetwarzania danych,
  4. prowadzi biznes w Kalifornii,
  5. spełnia choćby jedną z poniższych przesłanek:
    • osiąga roczne przychody przekraczające 25 milionów dolarów brutto,
    • samodzielnie lub łącznie, rocznie kupuje, otrzymuje, sprzedaje lub udostępnia do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń,
    • pozyskuje co najmniej 50% rocznych przychodów brutto ze sprzedaży danych osobowych.

Kto konkretnie może podlegać przepisom CCPA?

Wbrew pozorom, nietrudno spełnić powyższe przesłanki, przez co stosunkowo wielu, nawet polskich przedsiębiorców może podlegać reżimowi kalifornijskiej ustawy, przy czym szczególnie „narażeni” są tu przedsiębiorcy prowadzący biznes online, przykładowo tacy, którzy:

  1. prowadzą sklep internetowy i sprzedają produkty za granicę,
  2. działają w branży IT, tworząc oprogramowanie, w którym docelowo mają znaleźć się dane rezydentów Kalifornii,
  3. zajmują się e-marketingiem i reklamą online, w tym reklamą targetowaną.

Przykłady można by mnożyć, natomiast w dużym skrócie można założyć, że przedsiębiorca będzie podlegać pod CCPA przy wykonywaniu działalności online, która w jakiś sposób będzie wiązać się z dostępem do danych osób z Kalifornii.

Jakie obowiązki nakłada CCPA na przedsiębiorców? Czy wystarczy, że organizacja wdrożyła RODO?

CCPA, podobnie jak RODO, nakłada na przedsiębiorców wiele nowych obowiązków, w tym zwłaszcza informacyjnych, względem konsumentów, a także związanych z umożliwieniem konsumentom realizacji przysługujących im praw, w tym prawa dostępu, prawa do usunięcia danych, prawa żądania zaniechania sprzedaży danych osobowych czy prawa do równego traktowania – realizacja tych obowiązków jest natomiast niezależna od realizacji obowiązków wynikających z RODO, dlatego oba reżimy prawne należy traktować jako równoległe, a nie uzupełniające się.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W europejskim prawie ochrony danych osobowych obowiązuje zasada, że dane osobowe można przetwarzać wyłącznie, gdy organizacja dysponuje odpowiednią podstawą prawną przetwarzania (z katalogu z art. 6 ust. 1 lub 9 ust. 2 RODO). Amerykańskie prawo patrzy jednak na ten problem odwrotnie: przedsiębiorcy mogą przetwarzać dane osobowe, o ile nie jest to zakazane.

CCPA określa jedynie, aby przedsiębiorca przetwarzał dane w swoich celach biznesowych, w sposób adekwatny i proporcjonalny do realizacji tych celów. Jeśli przedsiębiorca zachowa powyższe kryteria, wówczas może (co do zasady) przetwarzać dane tak długo, jak długo konsument nie zdecyduje się skorzystać z przysługujących mu praw usunięcia danych lub, w przypadku sprzedaży danych, z prawa do sprzeciwu wobec ich dalszego przetwarzania.

Jakie działania należy podjąć, aby stać się CCPA-compliant?

Wiemy już, że samo wdrożenie RODO w organizacji nie wystarczy, aby spełnić wymogi amerykańskiej ustawy. Nie oznacza to jednak, że zgodność z RODO nie jest przydatna przy wykazaniu spełniania wymogów CCPA, a z pewnością można pokusić się o wniosek, że w zapewnieniu zgodności z CCPA pomaga. Natomiast jeśli przedsiębiorca uzna, że do jego działalności ma zastosowanie kalifornijska ustawa, rekomendujemy, aby w pierwszej kolejności podjąć następujące działania:

  1. zaktualizować politykę prywatności, która powinna być powtarzana nie rzadziej niż raz na 12 miesięcy, w tym w szczególności pod kątem jasnego i łatwego w odbiorze opisu praw przysługujących konsumentom i sposobom , w jakich można żądać ich realizacji;
  2. zapewnić  skuteczną realizację praw konsumentów (tu z pewnością pomocna okaże się dobrze funkcjonująca procedura realizacji praw na gruncie RODO) za pośrednictwem odpowiednich kanałów komunikacji, przede wszystkim w przypadku żądań z zakresu prawa dostępu do danych przedsiębiorca zasadniczo powinien udostępnić konsumentom dwa kanały komunikacji, w tym co najmniej bezpłatną linię telefoniczną;
  3. konsument ma prawo żądać, aby przedsiębiorca zaniechał sprzedaży dotyczących go danych osobowych, w związku z czym przedsiębiorca ma obowiązek nie tylko udostępnić funkcjonalność (stworzyć podstronę, udostępnić odpowiedni link na swojej stronie internetowej) umożliwiającą konsumentom łatwe złożenie wniosku „Do Not Sell My Personal Information”, ale również poinformować konsumentów o fakcie sprzedaży ich danych osobowych, w tym o kategoriach danych sprzedanych w ciągu ostatniego roku;
  4. sprawować kontrolę nad czynnościami związanymi z przetwarzaniem danych poprzez stosowanie odpowiednich środków, w tym technicznych i organizacyjnych, które mają zapewnić danym odpowiedni poziom bezpieczeństwa;
  5. prowadzić szeroko rozumiane działania compliance, w tym m.in. śledzić zmiany w prawie i monitorować stanowiska, wytyczne lub decyzje odpowiednich organów.

RODO a CCPA

O ile oba reżimy prawne wykazują podobieństwo, choćby w odniesieniu do ich analogicznej terminologii czy przez nadanie podmiotom danych podobnych praw, to jednak CCPA różni się od RODO pod pewnymi istotnymi względami, w szczególności w przedmiocie zakresu stosowania, wymogu posiadania podstawy prawnej dla każdej operacji przetwarzania danych osobowych czy zakresu danych, które są objęte ochroną.

Z pewnością tym, co łączy kalifornijski i europejski system ochrony danych jest widmo kar pieniężnych, które grożą za niestosowanie się do obowiązujących wymogów. W RODO mamy administracyjną karę pieniężną maksymalnie do 20 milionów euro lub 4% rocznego światowego obrotu, zaś zgodnie z CCPA prokurator stanowy Kalifornii może nałożyć na przedsiębiorcę karę cywilną, która w zależności od zaistniałego naruszenia może wynosić do 7500 dolarów. Co ciekawe, CCPA nie przewiduje maksymalnej kwoty przy większej liczbie naruszeń, a dodatkowo – w przypadkach naruszenia przez przedsiębiorcę bezpieczeństwa danych osobowych – konsumenci będą mogli podjąć środki prawne przeciwko niemu, w tym żądać odszkodowania. CCPA określiła wartość odszkodowania indywidualnego na poziomie 100-750 dolarów za pojedynczy incydent.