Pomiń nawigację

19 lipca 2023

CPRA, czyli nowe prawo ochrony danych osobowych w Kalifornii

Udostępnij

Kalifornia, będąca pionierem w ochronie prywatności w Stanach Zjednoczonych, po raz kolejny uczyniła istotny krok na rzecz ochrony danych osobowych swoich rezydentów. W listopadzie 2020 roku został przyjęty California Privacy Rights Act (CPRA), który wprowadził szereg znaczących modyfikacji w już istniejącej ustawie California Consumer Privacy Act (CCPA). CPRA ma na celu silniejszą ochronę prywatności konsumentów, wprowadzając nowe zasady, prawa i wymogi adresowane do przedsiębiorców działających w stanie Kalifornia w kontekście postępowania z danymi osobowymi.

Uchwalenie CPRA stanowi reakcję na coraz bardziej dynamiczny rozwój nowych technologii, a przede wszystkim na wzrastające znaczenie danych osobowych w świecie cyfrowym. Wobec coraz częstszych incydentów naruszeń bezpieczeństwa danych – w szczególności w aspekcie zdigitalizowanym – za celowe uznano wprowadzenie nowych środków ochrony prywatności danych i większej kontroli nad procesami przetwarzania danych.

CPRA wprowadza kilka kluczowych zmian w stosunku do CCPA. Mają one wzmocnić prawa konsumentów i zwiększyć odpowiedzialność przedsiębiorców w zakresie ochrony danych. Nowe postanowienia obejmują m.in. rozszerzenie definicji danych osobowych na dane wrażliwe, wprowadzenie prawa do poprawiania danych oraz utworzenie niezależnego organu ds. ochrony prywatności.

W niniejszym artykule przyjrzymy się najważniejszym postanowieniom CPRA i ich wpływowi na biznes – również ten operujący na terytorium Unii Europejskiej. Zbadamy, w jaki sposób nowe przepisy zmieniają standardy ochrony danych osobowych, jakie wyzwania mogą stawiać przed przedsiębiorcami oraz na ile wzorują się na postanowieniach europejskiego Ogólnego Rozporządzenia o Ochronie Danych (RODO).

Czym jest CCPA i jakie wprowadziła najważniejsze postanowienia?

California Consumer Privacy Act (CCPA), czyli kalifornijska ustawa o ochronie danych osobowych, to akt prawny, który wszedł w życie 1 stycznia 2020 roku. CCPA wprowadziła dla konsumentów (rezydentów Kalifornii) szereg uprawnień, których celem jest zapewnienie większej przejrzystości w zakresie przetwarzania danych osobowych. Co ważne, status rezydenta Kalifornii ma wyłącznie osoba fizyczna (w przeciwieństwie do korporacji lub innego podmiotu gospodarczego), która mieszka w Kalifornii, nawet jeśli tymczasowo przebywa poza tym stanem.

Najważniejsze z uprawnień, jakie CCPA przyznała konsumentom to:

  • prawo do bycia poinformowanym – konsumenci mają prawo wiedzieć, jakie ich dane osobowe – w tym jakie kategorie danych osobowych – są gromadzone oraz jakie są cele ich gromadzenia; co ważne – gromadzenie poza wcześniej określonymi celami stanowi naruszenie ustawy;
  • prawo do rezygnacji ze sprzedaży lub udostępniania (opt-out) – jako że co do zasady przedsiębiorcy mogą sprzedawać dane osobowe konsumentów dla celów biznesowych (w sposób adekwatny i proporcjonalny do realizacji tych celów) dopóki konsument nie wyrazi sprzeciwu wobec sprzedaży ich danych osobowych; przedsiębiorcy muszą umożliwić łatwe i wyraźne żądanie rezygnacji ze sprzedaży ich danych, dostarczając na swoich stronach internetowych widoczną opcję „Do Not Sell My Personal Information”;
  • prawo żądania usunięcia danych ­– konsumenci mają prawo do żądania usunięcia zebranych od nich danych osobowych (z pewnymi wyjątkami);
  • prawo dostępu do danych osobowych – konsument może zażądać dostępu do swoich danych zgromadzonych przez przedsiębiorcę;
  • prawo do bycia niedyskryminowanym z uwagi na wykonywanie swoich praw na podstawie CCPA – przedsiębiorcy nie mogą stosować dyskryminacji konsumenckiej (m.in. nie mogą odmawiać dostępu do towarów lub usług, stosować różnych cen lub zapewniać różnego poziomu lub jakości obsługi w związku z korzystaniem przez konsumenta z praw związanych z prywatnością).

Poszerzenie uprawnień konsumentów podczas przetwarzania „zwykłych” danych osobowych

California Privacy Rights Act (CPRA) to ustawa o prywatności danych przyjęta w 2020 r. Weszła w życie 1 stycznia 2023 r., jednak ma zastosowanie do danych osobowych zebranych od 1 stycznia 2022 r. Nie tworzy ona nowego prawa, lecz wzmacnia ustawę CCPA, stanowiąc jej aktualizację. Uchwalenie CPRA spowodowało przyznanie szeregu nowych praw dla Kalifornijczyków oraz nowe obowiązki wobec przedsiębiorców. 

Przede wszystkim CPRA zmienia zakres podmiotów, które podlegają obowiązkom dotyczącym prywatności danych. Co ważne, CPRA nie ma zastosowania do wszystkich przedsiębiorców. Chodzi o przedsiębiorstwa nastawione na zysk, które zbierają dane osobowe konsumentów (lub zlecają innym zbieranie danych osobowych), prowadzą działalność w Kalifornii i spełniają jedną z poniższych przesłanek (różnice względem CCPA zaznaczone zostały pogrubieniem):

  • osiągają roczne przychody brutto przekraczające 25 milionów dolarów;
  • kupują, sprzedają lub udostępniają dane osobowe co najmniej 100 000 mieszkańców lub gospodarstw domowych Kalifornii; lub
  • uzyskują 50% lub więcej swoich rocznych przychodów ze sprzedaży lub udostępniania danych osobowych mieszkańców Kalifornii.

Ustawa ma również zastosowanie do niektórych podmiotów kontrolowanych przez te firmy, do niektórych wspólnych przedsięwzięć lub spółek osobowych składających się z tych podmiotów oraz do osób, które dobrowolnie zaświadczą, że podlegają ustawie. CPRA nie ma natomiast zasadniczo zastosowania do organizacji non-profit ani agencji rządowych.

CPRA rozszerza uprawnienia konsumentów w zakresie przetwarzania ich danych osobowych, wprowadzając bardziej restrykcyjne przepisy dotyczące gromadzenia, przechowywania i wykorzystywania danych osobowych przez przedsiębiorców.

Najważniejsze zmiany wprowadzone przez CPRA to:

  • wprowadzenie nowej kategorii danych osobowych, tzw. danych wrażliwych (ang. sensitive personal information) i w związku z tym nowych obowiązków w zakresie informowania konsumentów;
  • prawo konsumentów do poprawiania swoich danych osobowych przechowywanych przez przedsiębiorców, w tym możliwość aktualizacji i skorygowania nieprawidłowych informacji;
  • prawo konsumentów do ograniczenia wykorzystania danych wrażliwych;
  • rozszerzenie obowiązku informacyjnego także o okres retencji danych;
  • prawo dostępu do informacji o zautomatyzowanym podejmowaniu decyzji – konsumenci mają prawo zażądać informacji o zautomatyzowanych procesach decyzyjnych opartych na ich danych osobowych;
  • prawo rezygnacji ze zautomatyzowanego podejmowania decyzji (odmowy wykorzystywania danych osobowych i informacji umożliwiających identyfikację do zautomatyzowanego podejmowania decyzji, np. w profilowaniu na potrzeby ukierunkowanych reklam behawioralnych);
  • potrojenie maksymalnej grzywny za naruszenia dotyczące danych osobowych osób nieletnich w wieku poniżej 16 lat (do 7500 dolarów);
  • utworzenie organu nadzorczego w celu egzekwowania przepisów o ochronie prywatności – California Privacy Protection Agency (CPPA).

Wszystkie te zmiany mają silny wpływ przede wszystkim na sposób informowania konsumentów o możliwości dokonania przez nich rezygnacji ze sprzedaży lub udostępniania ich danych osobowych.

CPRA dodaje wymogi dotyczące sposobu, w jaki witryna przedsiębiorcy ma umożliwiać użytkownikom korzystanie z prawa do ograniczenia wykorzystania ich danych osobowych. I tak, zamiast dotychczasowego wymogu zapewnienia konsumentom opcji „Do Not Sell My Personal Information” musi pojawić się opcja „Do Not Sell Or Share My Personal Information”. Ponadto, aby sprostać wymogom dotyczącym danych wrażliwych, przedsiębiorcy muszą zawrzeć w swoich witrynach link zatytułowany „Limit The Use Of My Sensitive Personal Information”.

Dane osobowe wrażliwe w CPRA

Jak wspomniano, CPRA wprowadza nową kategorię danych osobowych – tak zwane wrażliwe dane osobowe. Należą do nich:

  • określone identyfikatory rządowe (takie jak numery ubezpieczenia społecznego);
  • loginy do konta, numer konta finansowego, karty debetowej lub kredytowej wraz z wymaganym kodem zabezpieczającym, hasłem lub poświadczeniami umożliwiającymi dostęp do konta;
  • dokładna geolokalizacja;
  • treść poczty e-maili i wiadomości tekstowych;
  • dane genetyczne;
  • informacje biometryczne przetwarzane w celu identyfikacji konsumenta;
  • informacje dotyczące zdrowia, życia seksualnego lub orientacji seksualnej konsumenta;
  • informacje o pochodzeniu rasowym lub etnicznym, przekonaniach religijnych lub filozoficznych lub przynależności do związków zawodowych.

Wrażliwe dane osobowe podlegają bardziej rygorystycznym wymogom dotyczącym ujawniania i ograniczenia celu. Nowa ustawa w szczególności stanowi, że środki bezpieczeństwa powinny być odpowiednie do rodzaju wykorzystywanych danych – a zatem dane wrażliwe wymagają szczególnej ochrony. Przede wszystkim dzięki regulacjom CPRA konsument zyskuje prawo ograniczenia wykorzystania wrażliwych danych osobowych (w ustawie mowa o wykorzystaniu, które jest niezbędne do wykonania usług lub dostarczenia towarów, których konsument może żądać) oraz ograniczenia ujawniania takich danych. Ma to odbicie m.in. w obowiązku zamieszczania w witrynach informacji o możliwości limitowania używania danych wrażliwych „Limit The Use Of My Sensitive Personal Information”.

Definicja kontrahenta i dostawcy usług w CPRA

CPRA precyzuje w swojej treści obowiązki nie tylko przedsiębiorców (ang. businesses), ale i w pewnym zakresie rozciąga je na dostawców usług (ang. service providers) oraz na kontrahentów (ang. contractors). Co to za podmioty?

Kontrahent to osoba, której przedsiębiorca udostępnia dane osobowe konsumenta w celach biznesowych, na podstawie pisemnej umowy. Umowa ta każdorazowo nakłada na kontrahenta szereg obowiązków, bowiem przekazane dane muszą być chronione na co najmniej tak wysokim poziomie, jak w przypadku korzystania z nich przez przedsiębiorcę.

Dostawca usług oznacza z kolei osobę, która przetwarza dane osobowe w imieniu przedsiębiorstwa i która otrzymuje od przedsiębiorstwa lub w jego imieniu dane osobowe konsumenta do celów biznesowych na podstawie pisemnej umowy. Podobnie jak w przypadku kontrahenta umowa ta zawiera szereg warunków, w jakich dane mogą być przetwarzane.

Kalifornijski organ nadzorczy – co oznacza jego powstanie?

CPRA przenosi obowiązki egzekwowania prawa spoczywające dotychczas na Biurze Prokuratora Generalnego na nową agencję rządową – California Privacy Protection Agency (CPPA).

Według europejskiej nomenklatury, CPPA to organ nadzorczy, którego rolą jest ochrona danych konsumentów z Kalifornii. Agencja jest zarządzana przez pięcioosobowy zarząd, który składa się z ekspertów w dziedzinie prywatności, technologii i praw konsumentów. Agencja wdraża i egzekwuje CCPA, a ponadto promuje świadomość społeczną na temat praw konsumentów w kontekście danych osobowych. Organowi temu przyznano uprawnienie do przyjmowania przepisów wspierających CCPA/CPRA, w tym zasad, które wdrażają prawa konsumentów i obowiązki przedsiębiorstw w celu wzmocnienia ochrony prywatności. Począwszy od 1 lipca 2023 r. CPPA ma także za zadanie egzekwować prawa ochrony danych poprzez administracyjne działania egzekucyjne. W szczególności agencja ta ma prawo badania naruszeń, egzekwowania ich zaniechań i nakładania kar.

W przypadku gdy CPPA ustali, że istnieje prawdopodobieństwo, iż doszło do naruszenia prawa, przeprowadzi rozprawę administracyjną, prowadzoną zgodnie z przepisami kalifornijskiej ustawy Administrative Procedure Act.

W przypadku stwierdzenia, że doszło do naruszenia, agencja CPPA jest uprawniona do nakazania sprawcom naruszenia:

  • zaprzestania i zaniechania; lub
  • zapłaty grzywny administracyjnej w wysokości do 2500 dolarów za naruszenie lub do 7500 dolarów za każde umyślne naruszenie i za każde naruszenie obejmujące dane osobowe nieletnich konsumentów.

Jeśli za naruszenie odpowiedzialny jest więcej niż jeden podmiot, ich odpowiedzialność jest solidarna. Przy ustalaniu wysokości każdej grzywny administracyjnej, agencja jest zobowiązana do "rozważenia współpracy w dobrej wierze" po stronie podmiotu odpowiedzialnego za naruszenie.

Decyzje agencji będą podlegać kontroli sądowej. W szczególności każda decyzja agencji CPPA mająca za przedmiot skargę lub grzywnę administracyjną, podlega kontroli sądowej w ramach powództwa wniesionego przez zainteresowanego adresata skargi lub grzywny administracyjnej i podlega tzw. standardowi nadużycia uznaniowości. Jest to specyficzny dla amerykańskiego prawa mechanizm kontroli orzeczeń sądów niższej instancji.

Jakie są najważniejsze podobieństwa, a jakie różnice kalifornijskiej ustawy względem RODO?

CPRA i RODO to dwa najbardziej kompleksowe akty prawne w zakresie ochrony danych osobowych na świecie. Trudno przy tym oprzeć się wrażeniu, że kalifornijska ustawa mocno wzoruje się na europejskim RODO, chociaż oczywiście występują pomiędzy nimi także różnice. Oba te akty łączy jednak ten sam cel – ochrona danych osobowych i praw przysługujących osobom fizycznym. Chociaż zakres podmiotowy i szczegóły tych regulacji mogą się różnić, istnieją pewne podobieństwa w zakresie podstawowych zasad, takich jak prawa konsumentów do dostępu, poprawiania i usuwania danych osobowych. RODO daje osobom fizycznym prawo dostępu do ich danych osobowych, prawo do usunięcia ich danych osobowych oraz prawo do sprzeciwu wobec przetwarzania danych osobowych. CPRA daje konsumentom prawo do informacji o tym, jakie dane osobowe są gromadzone na ich temat, do usunięcia ich danych osobowych oraz do rezygnacji ze sprzedaży ich danych osobowych.

Obydwa akty prawne mają bardzo podobną definicję danych osobowych. Spod tej definicji CPRA wprost wyłącza dane publicznie dostępne (z rejestrów federalnych, stanowych lub lokalnych rejestrów rządowych lub informacje, co do których przedsiębiorca ma uzasadnione podstawy, aby sądzić, że są zgodnie z prawem udostępniane ogółowi społeczeństwa przez konsumenta lub z szeroko rozpowszechnianych mediów). Takiego wyłączenia nie odnajdziemy w RODO w stosunku do danych z publicznych rejestrów KRS czy CEIDG. Inaczej też uregulowano kwestię podstaw do przetwarzania danych. Przetwarzanie danych na podstawie RODO opiera się na zasadzie legalizmu – podstawy prawne przetwarzania zostały wprost wymienione w rozporządzeniu. CPRA nie wprowadza w swej treści takich podstaw; w kalifornijskim systemie przedsiębiorca co do zasady ma prawo sprzedawać lub udostępniać dane konsumenta, lecz ten może się temu sprzeciwić poprzez „wypisanie się” (opt-out). Stąd też wynikają obowiązki kalifornijskich przedsiębiorców, aby umieszczać na stronach komunikaty „Do Not Sell Or Share My Personal Information” oraz „Limit The Use Of My Sensitive Personal Information” – z którymi w przypadku obowiązków wynikających z RODO nie mamy do czynienia.

Inny jest także zakres obowiązywania obu aktów prawa, ale nie tylko w kontekście terytorialnym. RODO ma zastosowanie do wszystkich podmiotów przetwarzających dane w związku z działalnością na terenie UE, niezależnie od tego, czy fakt przetwarzania odbywa się w Unii. Z kolei CPRA ma zastosowanie wyłącznie do podmiotów, które prowadzą działalność w Kalifornii lub przetwarzają dane osobowe mieszkańców Kalifornii. Choć ustawa określa, że swym działaniem obejmuje tylko przedsiębiorstwa, które „prowadzą działalność gospodarczą” w Kalifornii, należy uznać, że będą do nich zaliczone także te podmioty, które np. zbierają dane osobowe Kalifornijczyków poprzez stronę internetową.

W kontekście podmiotowym CPRA wprowadza cztery kategorie:

  • konsumenta (consumer) – można go porównać do osoby, której dane dotyczą na gruncie RODO;
  • przedsiębiorcę (business) – w uproszczeniu ktoś na kształt administratora danych z RODO;
  • kontrahenta (contractor);
  • dostawcę usług (service provider).

Dwie ostatnie kategorie w pewnym sensie stanowią jednostki maja cechy zbliżone do podmiotu przetwarzającego znanego z RODO.

Jakie są konsekwencje wprowadzenia CPRA wobec unijnych przedsiębiorców?

Choć przepisy CPRA dotyczą przede wszystkim mieszkańców i przedsiębiorców z Kalifornii, mają one skutki globalne i mogą mieć również zastosowanie do unijnych przedsiębiorców. Wynika to z faktu, że regulacje CCPA/CPRA obowiązują przedsiębiorców, którzy gromadzą i przetwarzają dane osobowe mieszkańców Kalifornii, niezależnie od tego, gdzie znajduje się ich przedsiębiorstwo – o ile spełnia ono jedną z już wspomnianych przesłanek.

Gdyby zatem okazało się, że przedsiębiorca z siedzibą w UE, który prowadzi biznes np. w branży gamedev, udostępnia lub gromadzi dane osobowe mieszkańców Kalifornii (co najmniej 100 000 z nich), to będzie podlegał przepisom CCPA/CPRA. Taki podmiot powinien zatem zapewnić zgodność przetwarzania tych danych z kalifornijską ustawą. Aby tego skutecznie dokonać, powinien przeprowadzić kompleksową inwentaryzację i mapowanie przetwarzanych danych, zaktualizować polityki prywatności, procesy i mechanizmy obsługi żądań konsumentów (osób, których dane dotyczą) i zapewnić środki do korzystania z tych praw. Nie zapominajmy, że konsumentom z Kalifornii należy zapewnić prawo do rezygnacji z ukierunkowanych reklam, sprzedaży lub udostępniania ich danych osobowych. W praktyce odbywa się to poprzez dodanie do witryny formularza – okienka z przełącznikiem umożliwiającym „wypisanie się” z konkretnych procesów przetwarzania (selling, sharing, targeted advertising).

Ewa Krzemień – adwokat i właścicielka kancelarii EK LEGAL oraz serwisu GAMEDEVLAWYER.PL; specjalizuje się w prawie własności intelektualnej, w prawie gospodarczym oraz karnym gospodarczym

Katarzyna Kwasek – adwokat w kancelarii EK LEGAL oraz autorka postów w serwisie GAMEDEVLAWYER.PL; specjalizuje się w obsłudze prawnej biznesu kreatywnego, prawie własności intelektualnej i ochrony danych osobowych


Źródła:

https://www.caprivacy.org/cpra-text/

https://oag.ca.gov/privacy/ccpa

https://secureprivacy.ai/blog/key-differences-between-gdpr-and-cpra

https://securiti.ai/cpra-vs-ccpa/

https://iapp.org/news/a/top-10-operational-impacts-of-the-cpra-part-1-the-california-privacy-protection-agency/

 

Zobacz więcej podobnych artykułów