Z dniem 01 stycznia br. w życie weszła kalifornijska ustawa o ochronie prywatności konsumentów, ang. California Consumer Privacy Act (‘CCPA’), będąca pierwszą amerykańską ustawą regulującą ochronę prywatności w kompleksowy sposób. W preambule do CCPA podkreślono m.in. fundamentalny charakter prawa do prywatności, konieczność zapewnienia jednostce kontroli nad tym prawem, rolę Kalifornii jako światowego lidera w obszarze nowych technologii oraz potrzebę zapobiegania nadużyciom podobnym do tych, jakich dopuściła się Cambridge Analytica.
Jaki wpływ ma nowe prawo na podmioty działające na terenie Kalifornii i poza nią? Czy zgodność z RODO można uznać za wystarczającą, aby zapewnić przestrzeganie CCPA? Jakie są różnice między tymi przepisami?
Zakres i podstawowe definicje CCPA
Jeśli chodzi o zakres ochrony CCPA, obejmuje ona konsumentów zdefiniowanych jako osoby fizyczne będące rezydentami stanu Kalifornia i dotyczy relacji na linii konsument-przedsiębiorca. Status prawny rezydenta Kalifornii przysługuje każdej osobie przebywającej na terenie tego stanu, dla celów innych niż tymczasowe lub tranzytowe, ale też osobom mającym stałe miejsce zamieszkania w Kalifornii lecz przebywającym poza nią w celach tymczasowych lub tranzytowych.
CCPA podlegają przedsiębiorcy, zbierający lub mający zamiar zbierać dane osobowe rezydentów Kalifornii, i spełniający jednocześnie jedno z następujących kryteriów:
– ich dochód brutto jest większy niż 25 mln USD;
– w ciągu roku kupują, sprzedają, otrzymują lub udostępniają dane osobowe dotyczące ponad 50.000 konsumentów, gospodarstw domowych (households) lub urządzeń (devices) – w celach komercyjnych;
– minimum 50% ich rocznego dochodu pochodzi ze sprzedaży danych osobowych konsumentów.
Jednocześnie warto zwrócić uwagę, że ustawa nie wymaga aby przedsiębiorca miał swoją siedzibę na terenie stanu Kalifornia, tak więc CCPA będzie obowiązywała poza terytorium tego stanu jak również poza obszarem Stanów Zjednoczonych, o ile spełnione są powyższe kryteria.
W pewnym zakresie CCPA reguluje kwestię korzystania przez przedsiębiorców z dostawców usług (service providers). Są to podmioty przetwarzające dane osobowe w oparciu o pisemną umowę z przedsiębiorcą i wyłącznie w celu wykonania tej umowy – z punktu widzenia konstrukcji prawnej mamy więc do czynienia z czymś na kształt powierzenia przetwarzania. Dostawcom usług nie wolno przechowywać danych dłużej niż jest to koniecznie do realizacji umowy z przedsiębiorcą, używać ich w celach innych niż te związane ze świadczeniem usług będących przedmiotem kontraktu z przedsiębiorcą ani też podejmować niezależnych decyzji w zakresie udostępniania danych innym podmiotom, w tym – zakazana jest sprzedaż danych osobowych. Jednocześnie warto zwrócić uwagę, że dostawcy usług nie podlegają CCPA w sposób bezpośredni – kalifornijska ustawa nakłada obowiązek zawarcia umowy z odpowiednimi postanowieniami wyłącznie na przedsiębiorców. Brak też szczegółowego katalogu postanowień umownych znanego z art. 28 ust. 3 RODO.
W CCPA znajdziemy też pewne obowiązki odnoszące się do tzw. podmiotów trzecich (third parties), zdefiniowanych jako podmioty inne niż przedsiębiorcy i dostawcy usług, które nie zbierają danych bezpośrednio od konsumentów. Na podmioty te nałożono m.in. obowiązek informacyjny wobec konsumentów.
Dane osobowe (personal information) chronione przez ustawę to wszelkie informacje, które są lub potencjalnie mogą – w sposób bezpośredni lub pośredni – dotyczyć rezydenta Kalifornii lub jego gospodarstwa domowego. CCPA zawiera długą listę przykładów danych osobowych, jednocześnie wyłączając m.in. informacje dostępne w publicznych rejestrach oraz dane objęte ochroną innych, stanowych i federalnych, aktów prawnych.
Ważne miejsce w CCPA zajmuje też definicja sprzedaży (sell) danych osobowych, ustawa przewiduje bowiem wiele dodatkowych obowiązków jeśli przetwarzanie danych osobowych ma na celu osiągnięcie wynagrodzenia pieniężnego lub podobnej korzyści.
Najważniejsze obowiązki i prawa na gruncie CCPA
Na przedsiębiorców objętych CCPA został nałożony obowiązek informacyjny polegający na poinformowaniu konsumentów – najpóźniej w chwili zbierania ich danych osobowych – o kategoriach tych danych; rodzajach podmiotów trzecich, którym udostępniane są dane osobowe; źródłach danych; komercyjnym celu dla którego przedsiębiorca przetwarza dane; prawach przysługujących konsumentom oraz w jaki sposób konsument może się sprzeciwić sprzedaży jego/jej danych osobowych (do-not-sell).
Konsumentom przysługuje szerokie prawo dostępu do danych osobowych obejmujące m.in. prawo otrzymania informacji o kategoriach danych osobowych konsumenta zebranych przez przedsiębiorcę, kopię tych danych oraz kategorie podmiotów, którym dane są udostępniane i kategorie podmiotów, którym dane zostały sprzedane. Zakres informacji objęty prawem dostępu jest ograniczony czasowo, obejmuje okres 12 miesięcy przed dniem złożenia wniosku. Prawo dostępu zostało połączone z prawem do przenoszenia danych osobowych – konsument składający wniosek w formie elektronicznej ma prawo otrzymać kopię swoich danych w powszechnie używanym formacie, który pozwoli konsumentowi na łatwe ich przeniesienie.
Przedsiębiorcy mają obowiązek umożliwić konsumentom składanie wniosków o dostęp poprzez co najmniej dwa kanały komunikacji, w tym – jako minimum: dostępny bez dodatkowych opłat numer telefonu oraz jeśli przedsiębiorca podsiada stronę internetową, w formie elektronicznej. Przedsiębiorca ma 45 dni na odpowiedź, ale jeśli jest to konieczne żeby spełnić żądanie konsumenta, może przedłużyć ten okres o kolejne 45 dni. Konsument może natomiast składać wniosek o dostęp tylko 2 razy w ciągu roku. Przedsiębiorca, który nie zebrał żadnych danych osobowych od konsumenta składającego wniosek, ma prawo pozostawić taki wniosek bez żadnej odpowiedzi.
CCPA przyznaje konsumentom prawo do usunięcia ich danych osobowych na zasadach bardzo podobnych do tych określonych w RODO, z tym że przedsiębiorca ma prawo odmówić usunięcia danych o ile ich dalsze przetwarzanie jest koniecznie w celu wykonania umowy pomiędzy konsumentem a przedsiębiorcą ale też m.in. – jeśli jest to konieczne w celu wykrycia incydentów bezpieczeństwa oraz ochrony przeciw oszustwom lub innym bezprawnym aktom; jak również dla celów ‘wewnętrznego użytku’ przedsiębiorcy, o ile nie pozostaje to w sprzeczności z celem dla którego dane były zebrane.
Konsument ma też prawo żądać, aby przedsiębiorca zaniechał sprzedaży dotyczących go danych osobowych – jest to więc dość wąskie prawo sprzeciwu obejmujące nie tyle samo przetwarzanie danych osobowych, lecz raczej cel tego przetwarzania, jakim jest sprzedaż danych. Przedsiębiorca ma obowiązek udostępnić odpowiedni link na swojej stronie internetowej, umożliwiając konsumentom łatwe złożenie wniosku do-not-sell online.
Konsumentom przysługuje też prawo równego traktowania – zakazane jest podejmowanie przez przedsiębiorców działań dyskryminujących (takich jak stosowanie wyższych cen za usługi czy towary, dostarczenie towarów lub usług o gorszej jakości czy odmowa wykonania transakcji itd.) wobec osób, które skorzystały z przysługujących im na gruncie CCPA praw.
RODO a CCPA
RODO i CCPA znacząco różnią się pod względem zakresu ochrony – o ile RODO dotyczy szerokiego kręgu podmiotów danych w relacjach między nimi a administratorami danych i podmiotami przetwarzającymi dane, bez względu na to, czy przetwarzanie danych osobowych ma miejsce w ramach prowadzonej przez te podmioty działalności gospodarczej, to CCPA będzie miało zastosowanie w relacji konsument-przedsiębiorca, przy czym nie wszyscy przedsiębiorcy będą nią objęci ze względu na określone w ustawie kryteria.
Jedną z kolejnych istotnych różnic między CCPA a RODO jest brak katalogu przesłanek legalności przetwarzania danych, przedsiębiorca nią objęty ma bowiem prawo przetwarzać dane osobowe konsumentów dla celów związanych z prowadzoną działalnością gospodarczą, o ile przetwarzanie odbywa się w sposób adekwatny i proporcjonalny w stosunku do tych celów – nie ma jednak obowiązku wykazywać istnienia konkretnej podstawy przetwarzania danych osobowych, takiej jak uzasadniony interes, obowiązek prawny, zgoda etc.
W CCPA nie znajdziemy osobnej kategorii danych osobowych wrażliwych – jako przykład ‘zwykłych’ danych osobowych podane są w ustawie dane biometryczne. Sama definicja danych osobowych jest jednak dość szeroka i przypomina swym zakresem tą przyjętą na gruncie europejskim.
CCPA nie przewiduje powstania dedykowanego organu na kształt unijnych organów nadzorczych – organem wykonawczym jest prokurator stanowy Kalifornii, który może nałożyć na przedsiębiorcę karę finansową o wysokości maks. 7.500 USD za pojedyncze naruszenie. W przypadkach naruszenia przez przedsiębiorcę bezpieczeństwa danych osobowych, konsumenci będą mogli podjąć środki prawne przeciwko niemu, w tym żądać odszkodowania. CCPA określiła wartość odszkodowania indywidualnego na poziomie 100-750 USD za pojedynczy incydent.
CCPA – przełom
CCPA to pierwsza w historii Stanów Zjednoczonych próba kompleksowej regulacji sfery ochrony danych osobowych i odejścia od utrwalonego w USA sektorowego podejścia do prywatności. Śladami Kalifornii podążają zresztą kolejne stany – nad projektem swoich ustaw pracują obecnie m.in. legislatury stanów Nowy Jork oraz Waszyngton. W CCPA przyjęto rozwiązania zaczerpnięte z regulacji europejskich, i pomimo swojego ‘komercyjnego’ charakteru, nie ma wątpliwości że ustawa znacznie podnosi standard ochrony prywatności w tej części świata poprzez wprowadzenie szeregu praw dla podmiotów danych oraz wielu nowych obowiązków dla przedsiębiorców, którzy te dane przetwarzają. O ile wejście w życie CCPA miało miejsce 1 stycznia, to jej pełna egzekwowalność nastąpi dopiero z dniem 1 lipca 2020. Przedsiębiorcy nią objęci – z Doliny Krzemowej i nie tylko – mają więc już tylko kilka miesięcy na jej wdrożenie.