RODO A CCPA: O NOWEJ KALIFORNIJSKIEJ USTAWIE CCPA

Ochrona danych osobowych bez wątpienia stanowi obowiązkowy element biznesu – szczególnie prowadzonego w środowisku online, zaczynając już od etapu jego projektowania. Obecnie, aktem który kompleksowo wyznacza model i ramy ochrony jest przede wszystkim RODO. Od 1 stycznia 2020 roku dla przedsiębiorców, w szczególności działających międzynarodowo, istotnym może się również okazać California Consumer Privacy Act (CCPA). Kiedy wymaganym będzie stosowanie CCPA i czy przyjęty w niej system ochrony danych osobowych znacząco różni się od ustanowionego w RODO?

Zakres zastosowania CCPA

CCPA wprowadza przepisy dotyczące ochrony danych osobowych konsumentów, czyli osób fizycznych będących rezydentami Kalifornii, tj. (1) przebywających w Kalifornii z przyczyn innych niż przejściowe lub (2) mających miejsce zamieszkania w Kalifornii a będących poza granicami Kalifornii z przyczyn przejściowych.

Zobowiązanymi do wdrożenia i stosowania przepisów CCPA w stosunku do danych osobowych konsumentów są przedsiębiorcy. Spełnienie przesłanek ww. definicji będzie miało kluczowe znaczenie dla oceny, czy zachodzi konieczność uwzględniania kalifornijskiej ustawy. Zgodnie z sec. 1798.140. (c) CCPA, przedsiębiorca to podmiot, który:

– działa zarobkowo,

– przetwarza dane osobowe lub na rzecz którego przetwarzane są dane osobowe,

– określa cele i sposoby przetwarzania danych osobowych,

– prowadzi działalność w Kalifornii (does business in California),

– spełnia co najmniej jeden z poniższych warunków:

  1. jego roczne przychody brutto przekraczają 25 milionów dolarów,
  2. samodzielnie lub łącznie, rocznie kupuje, otrzymuje, sprzedaje lub udostępnia do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń,
  3. czerpie 50% lub więcej swoich rocznych przychodów brutto ze sprzedaży danych osobowych.

Co istotne, na tę chwilę nie jest do końca jasnym, jak będzie interpretowana przesłanka prowadzenia działalności w Kalifornii – czy wyłącznie jako prowadzenie działalności w Kalifornii przez podmioty zarejestrowane w obrębie tego stanu (interpretacja wąska), czy również jako prowadzenie działalności przez podmioty poza-stanowe (interpretacja szeroka). Wydaje się, że obecnie w wypowiedziach dominuje drugi scenariusz, jako ten, który w pełniejszy sposób realizuje cel w postaci ochrony praw podmiotów danych, a to oznacza, że europejscy przedsiębiorcy powinni przeanalizować CCPA pod kątem jej ewentualnego uwzględnienia w swoim biznesie.

CCPA znajdzie także zastosowanie do dostawców usług, czyli podmiotów przetwarzających dane osobowe konsumentów na rzecz przedsiębiorców. Będą oni zobowiązani do przetwarzania danych w zgodzie z instrukcjami przedsiębiorców, w oparciu o pisemną umowę, co stanowi rozwiązanie zbliżone do obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych z RODO. CCPA nie przewiduje jednak obowiązkowych elementów, czy choćby kwestii, które taka umowa powinna regulować.

Definicja danych osobowych

Dane osobowe zostały zdefiniowane w CCPA w sposób dość szeroki – nie tylko jako informacje, które faktycznie umożliwiają zidentyfikowanie konkretnej osoby fizycznej, lecz także jako informacje, które potencjalnie dają taką możliwość (ujmując to w sposób racjonalny). W tym zakresie, regulacja ta jest bardzo zbliżona do RODO, co oznacza, że definicją danych osobowych mogą być w danym stanie faktycznym objęte np. dane gromadzone za pomocą technologii cookies identyfikatory elektroniczne, numery IP.

Trzeba jednak zauważyć, że spod ww. definicji wyłączono niektóre kategorie danych. Na szczególną uwagę zasługują tu informacje dostępne publicznie, czyli dane udostępnione legalnie z federalnych, stanowych lub lokalnych rejestrów rządowych. RODO nie przewiduje analogicznych wyłączeń spod definicji danych osobowych – dane z rejestrów publicznych (takich jak KRS, CEIDG) stanowią dane osobowe w rozumieniu RODO, a zatem ich ewentualne komercyjne przetwarzanie wymaga spełnienia obowiązków wynikających z RODO.

W tym kontekście warto również wskazać, że spod zastosowania CCPA wyłączone zostały także dane medyczne, w zakresie w jakim zastosowanie do nich znajdzie Confidentiality of Medical Information Act. Ponadto, CCPA nie wyróżnia ani nie przewiduje żadnych szczególnych regulacji dotyczących ochrony tzw. „danych wrażliwych” (w rozumieniu RODO).

Kluczowa różnica pomiędzy CCPA a RODO

CCPA nie przyjęła typowej dla ustawodawstwa unijnego zasady legalizmu, zgodnie z którą przetwarzanie danych osobowych w zgodzie z prawem jest możliwe na jednej z enumeratywnie określonych podstaw prawnych, po uprzednim jej adekwatnym wskazaniu. Zamiast tego przyjęto model, w którym przedsiębiorca może przetwarzać dane osobowe podmiotów danych, dla celów biznesowych, w sposób adekwatny i proporcjonalny do realizacji tych celów, aż do czasu, gdy podmiot danych skorzysta z prawa do sprzeciwu (w przypadku sprzedaży danych; model opt-out) albo z prawa do usunięcia danych.

Od powyższej zasady są pewne wyjątki. Nie dotyczy ona sprzedaży danych dzieci, czyli osób poniżej 16 roku życia, w których przypadku wymagana jest odpowiednia zgoda (model opt-in). Ponadto, zgoda jest także wymagana w przypadku, gdy z przetwarzaniem danych osobowych wiąże się uzyskiwanie przez konsumentów korzyści finansowych.

Opisany model ochrony danych osobowych wydaje się być bardziej elastyczny niż ten znany z RODO, z uwagi na brak obowiązku doboru i wskazywania jednej z dostępnych podstaw prawnych przetwarzania danych osobowych.

Warto jednak zwrócić uwagę, że brak takiego obowiązku na gruncie CCPA nie oznacza pełnej dowolności w przetwarzaniu danych osobowych – konieczne jest bowiem przeprowadzenie testu „adekwatności i proporcjonalności”, który na gruncie RODO przewidziany jest w odniesieniu do przesłanki prawnie uzasadnionego interesu. Nie można tu zatem mówić o zupełnej dowolności przedsiębiorców.

Rozwiązanie to bazuje więc na zupełnie innej koncepcji ochrony danych osobowych niż znana w prawodawstwie europejskim i przypuszczalnie – analogicznie jak w przypadku koncepcji „fair use” obowiązującej w prawie autorskim w systemach państw common law – to orzecznictwo wykształtuje granice „adekwatności i proporcjonalności” przetwarzania danych osobowych.

Można dyskutować czy powyższe rozwiązanie jest rozwiązaniem rozsądnym lub „lepszym” niż formalizm znany z RODO. Z praktyki stosowania europejskiego rozporządzenia wynika, że „dopasowanie” odpowiedniej podstawy prawnej, jednej z sześciu tam przewidzianych, do konkretnych stanów faktycznych, może nastręczać trudności, w szczególności ze względu na znaczącą liczbę przepisów szczególnych. Ocena w tym zakresie będzie natomiast możliwa dopiero na etapie obserwacji praktyki stosowania CCPA, która pokaże jakie sytuacje są uznawane za adekwatne i proporcjonalne i, co istotne, ewentualnie jakie nadużycia generuje wybór takiego modelu ochrony.

Trzeba mieć na uwadze, że podejście kalifornijskie stwarza bowiem pewne ryzyka dla konsumentów, których dane mogą być przetwarzane z dużo większą swobodą niż w przypadku RODO, który w tej płaszczyźnie zapewnia (przynajmniej od strony formalnej) silniejszą ochronę.

Prawa podmiotów danych

Katalog praw podmiotów danych został uregulowany w CCPA w sposób bardzo zbliżony do RODO. Obejmuje: prawo do żądania usunięcia danych, prawo do bycia poinformowanym, prawo do sprzeciwu (right to opt-out), prawo dostępu do danych, prawo do bycia niedyskryminowanym z uwagi na wykonywanie swoich praw. Co w tym kontekście warto wiedzieć?

Prawo do sprzeciwu, jak zostało zasygnalizowane, dotyczy jedynie przypadków sprzedaży danych osobowych. W zakresie innych form przetwarzania danych osobowych właściwym będzie prawo do żądania usunięcia danych.

Co więcej, o ile RODO przewiduje samodzielne prawo do przenoszenia danych, tak w CCPA jest ono częścią prawa dostępu do danych, w tym podlega tożsamym ograniczeniom. Między innymi, dotyczy jedynie danych osobowych zebranych w przeciągu ostatnich 12 miesięcy licząc od dnia zgłoszenia żądania. Z kolei CCPA wyraźnie wyróżnia prawo do bycia niedyskryminowanym z uwagi na wykonywanie swoich praw, które nie zostało w taki sposób wskazane w RODO. Nie ma jednak raczej wątpliwości co do tego, że i na gruncie ww. rozporządzenia wskazana zasada (prawo) obowiązuje.

Warto również wskazać, że podobnie jak w RODO, konsumenci powinni zostać poinformowani przez przedsiębiorcę (obowiązek informacyjny), przed lub najpóźniej w momencie zbierania danych osobowych, jakie kategorie tych danych będą/są przez niego zbierane oraz w jakich celach będą one przetwarzane. Przy tym, przedsiębiorca nie jest uprawniony do zbierania „dodatkowych” kategorii danych, tj. takich o których nie poinformował konsumenta, jak również nie jest uprawniony do wykorzystywania zebranych danych w celach innych, niż te wynikające z pierwotnego powiadomienia (czynności te są możliwe dopiero po dostarczeniu konsumentom nowej lub zaktualizowanej informacji w tym zakresie).

Podsumowanie

CCPA może się okazać następnym, obok RODO, ważnym aktem regulującym zasady ochrony danych osobowych, koniecznym do uwzględniania przez europejskich przedsiębiorców. Zakładając, że przepisy kalifornijskiej ustawy „dosięgną” prowadzony biznes, prawdopodobnie niezbędną okaże się aktualizacja polityk prywatności, w tym w szczególności weryfikacja kategorii podmiotów, których dane podlegają przetwarzaniu, a także katalogu i opisu praw przysługujących tym podmiotom. CCPA nie powinno jednak w sposób diametralny wpłynąć na dotychczasowo prowadzoną, w zgodzie z RODO, działalność, jako że regulacje te są do siebie zbliżone, a co więcej RODO jest znacznie szerszą regulacją niż CCPA. Zatem ci przedsiębiorcy, którzy dostosowali swoją działalność do RODO, nie powinni napotkać praktycznych trudności w uwzględnieniu CCPA w swojej działalności.

W kontekście USA, choć CCPA dotyczy jedynie danych osobowych rezydentów jednego stanu – Kalifornii, z doniesień prasowych wynika, że także inne stany rozważają wprowadzenie podobnych regulacji (np. Waszyngton, Nowy Jork), a nawet toczą się dyskusje na temat uchwalenia prawa federalnego w tym zakresie.

W ujęciu generalnym, wprowadzenie CCPA to ważny i zarazem pozytywny sygnał – już nie tylko członkowie UE, ale także inne państwa, w tym USA, zaczynają „rozmawiać” o ochronie danych osobowych i zaczynają dostrzegać potrzebę uregulowania tej sfery.


Czytaj również:

Jak łatwo stworzyć witrynę eCommerce? [Darmowa e-książka]

Jak wstawić favicons w WordPress?

Tutorial: tworzenie e-sklepu na Magento



Katarzyna Pawłowska

W branży IT od 8 lat. Fan nowych technologii webowych, web designu oraz rozwiązań użytecznych i funkcjonalnych. W praktyce: marketer, DJ, blogerka. W wolnym czasie wspiera inicjatywy propagujące wiedzę z dziedziny SMM i rozwija swoją miłość do crossfitu.