Ochrona danych osobowych we współpracy z kontrahentami spoza UE – na co zwrócić szczególną uwagę?

California Consumer Privacy Act (CCPA) jest to kalifornijska ustawa o ochronie danych osobowych. Ten akt prawny reguluje przede wszystkim kwestię ochrony praw konsumentów będących obywatelami Kalifornii. Istotne jest, że kalifornijscy przedsiębiorcy podlegający bezpośrednio pod CCPA często także wymagają od swoich kontrahentów wdrożenia określonych procedur, aby wszystkie podmioty mające dostęp do danych osobowych konsumentów z Kalifornii spełniały określone wymagania w kontekście ochrony danych.

Istotne jest również, że, CCPA znajduje zastosowanie wyłącznie do przedsiębiorcy, który spełnia łącznie następujące warunki:

• działa zarobkowo,
• zbiera dane osobowe konsumentów lub takie dane są zbierane w jego imieniu i na jego rzecz,
• określa cele i sposoby przetwarzania danych,
• prowadzi działalność w Kalifornii,
• spełnia przynajmniej jedną z poniższych przesłanek:
• osiąga roczne przychody przekraczające 25 milionów dolarów brutto,
• samodzielnie lub łącznie, rocznie kupuje, otrzymuje, sprzedaje lub udostępnia do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń,
• uzyskuje co najmniej 50% rocznych przychodów brutto ze sprzedaży danych osobowych.

Na gruncie praktycznym należy wskazać, że przesłanka prowadzenia działalności w Kalifornii co do zasady jest interpretowana szeroko. Oznacza to, że za takiego przedsiębiorcę będzie uważana nie tylko firma faktycznie zarejestrowana w tym stanie, ale także firma, która faktycznie prowadzi tam działalność, ale jest zarejestrowana w innym stanie lub nawet innym kraju. Tak szerokie interpretowanie tej przesłanki może mieć znaczący wpływ na przedsiębiorców prowadzących działalność online, zwłaszcza na sklepy internetowe, podmioty z branży IT czy firmy marketingowe.

Regulacja CCPA w kontekście definicji danych osobowych jest zbliżona do RODO. W praktyce oznacza to, że ​​ dane osobowe zostały zdefiniowane nie tylko jako informacje, które faktycznie umożliwiają zidentyfikowanie konkretnej osoby fizycznej, ale również jako informacje, które potencjalnie dają taką możliwość. Podobieństwo do regulacji z RODO oznacza w praktyce, że tę definicję mogą spełniać np. dane gromadzone za pomocą technologii cookies, czy numery IP.

Różnice pomiędzy RODO a CCPA

Powyżej zasygnalizowaliśmy już, że RODO i CCPA mają ze sobą wiele wspólnego. Dotyczy to przede wszystkim nomenklatury, szczegółowych zasad przetwarzania danych oraz środków, które powinien wdrożyć przedsiębiorca.

Nie są to jednak tożsame akty prawne. Przede wszystkim różnice wynikają z ogólnych założeń systemu prawa polskiego (tzw. system prawa pozytywnego), a także prawa USA (tzw. common law). RODO kieruje się zasadą legalizmu, a przetwarzanie danych osobowych musi się odbywać na określonych w rozporządzeniu podstawach. CCPA kieruje się natomiast zasadą proporcjonalności i adekwatności danych osobowych, co w praktyce oznacza bardziej elastyczne podejście do tematu ochrony danych, zwłaszcza w kontekście podstawy przetwarzania.

To jednak niejedyne różnice pomiędzy CCPA a RODO. Do innych, mniej doniosłych można zaliczyć m.in. brak szczególnego wyróżnienia tzw. danych wrażliwych, czy przyjęcie modelu „opt out” zamiast przyjętego w RODO modelu „opt in”.

Jakie działania trzeba wdrożyć, żeby prowadzić działalność zgodnie z CCPA?

Wiadomo już, że CCPA różni się w wielu aspektach od RODO, oraz że w wielu przypadkach zwłaszcza sklepy internetowe i przedsiębiorcy prowadzący działalność w branży IT mogą zostać zobowiązani do wdrożenia tego aktu prawnego, zwłaszcza aby móc prowadzić kontakty handlowe z konsumentami z Kalifornii.

Jak zatem wdrożyć CCPA w swoim przedsiębiorstwie? Ta kwestia pod kątem praktycznym oczywiście zależy od konkretnego stanu faktycznego oraz specyfiki przedsiębiorstwa, które wdraża ten akt prawny. Poniżej jednak przedstawiamy pewne praktyczne wskazówki dot. tego, jak wdrożyć CCPA w firmie:

1. aktualizacja polityki prywatności, która powinna w sposób jasny, zrozumiały i jednoznaczny opisywać prawa konsumentów oraz sposób, w jaki te osoby mogą swoje prawa realizować;
2. wprowadzenie skutecznych metod zgłaszania żądań realizacji praw, zapewniając przy tym odpowiednie kanały komunikacji. Chodzi tutaj przede wszystkim o przypadki dostępu do danych.
3. Utworzenie funkcjonalność (np. podstrony) „Do Not Sell My Personal Information” oraz spełnienie w tym zakresie obowiązków informacyjnych. Dotyczy to jednak zwłaszcza sytuacji, w których w toku działalności następuje sprzedaż danych osobowych.
4. Zapewnienie kontroli procesu przetwarzania danych i stosowanie odpowiednich środków, w tym technicznych oraz organizacyjnych, których celem jest zabezpieczenie tego procesu;
5. prowadzenie szeroko rozumianych działań w zakresie compliance, przez co rozumie się przede wszystkim monitorowanie najnowszych zmian w prawie, stanowisk oraz wytycznych upoważnionych organów, a także analizę bieżącego orzecznictwa oraz głosów doktryny.

Prowadzenie działalności z kontrahentami z USA, zwłaszcza którzy podlegają pod prawo kalifornijskie może wiązać się m.in. z obowiązkiem dostosowania działalności do wymogów CCPA, czyli kalifornijskiej ustawy o ochronie danych osobowych. Początkowo konieczność wdrożenia w swoim przedsiębiorstwie może wydawać się przedsiębiorcom zbędna, aczkolwiek wdrożenie CCPA w firmie może wynikać z uzasadnionych wymogów wielu kontrahentów, zwłaszcza z branży IT. Po dokładniejszej analizie zazwyczaj okazuje się, że większość prac jest już wykonana w związku z podobieństwami między RODO a CCPA. Aby jednak być CCPA-compliant, warto podjąć dodatkowe czynności, najczęściej przy wsparciu wyspecjalizowanej kancelarii.

Kamila Wasilewska