Czy wdrożenie RODO nie wystarczy do efektywnej ochrony danych osobowych?
Wielu przedsiębiorców jest obecnie bardzo wrażliwych na kwestie ochrony danych osobowych. Wynika to przede wszystkim z głośnego wdrożenia Ogólnego Rozporządzenia o Ochronie Danych – zwane dalej „RODO” w 2018 roku, a także wysokich kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych. Zwłaszcza podmioty prowadzące działalność w sektorze e-commerce w znacznej większości są świadomi obowiązków w zakresie ochrony danych, aczkolwiek w tym zakresie zdarzają się wyjątki – istnieją bowiem podmioty na rynku, które np. nie mają wdrożonej aktualnej polityki prywatności czy mają źle skonstruowane klauzule informacyjne. W tym miejscu zachęcamy do zapoznania się z naszym Poradnikiem RODO, jeżeli ta kwestia budzi Państwa wątpliwości.
RODO jest to jednak rozporządzenie unijne, które obowiązuje bezpośrednio wszystkie państwa członkowskie. Nie będzie jednak miało zastosowania do państw, które nie są członkami UE. Nie każde państwo spoza wspólnoty podchodzi w sposób równie wymagający do ochrony danych. Szczególną uwagę w tym zakresie należy zwrócić na przepisy prawa amerykańskiego, gdzie prawodawca również przykłada szczególną wagę do ochrony danych, regulując jednak niektóre kwestie w sposób odmienny do UE.
Jeżeli przedsiębiorca decyduje się na transfer danych w swojej działalności poza Europejski Obszar Gospodarczy, musi wziąć pod uwagę kilka kwestii:
- Po pierwsze, musi zweryfikować, czy Komisja Europejska wydała decyzję o zapewnieniu przez państwo trzecie odpowiedniej ochrony danych osobowych. Gdy Komisja stwierdzi, że poziom ochrony jest odpowiedni, może przyjąć decyzję, zgodnie z którą transfery danych to tego państwa mogą odbywać się bez specjalnego zezwolenia. Obecnie takie decyzje wydane są w stosunku do Andory, Argentyny, Kanady, Wysp Owczych, Guernsey, Izraela, wyspy Man, Japonii, Jersey, Nowej Zelandii, Szwajcarii, Urugwaju oraz Wielkiej Brytanii. Warto zauważyć, że taka decyzja nie została wydana w stosunku do Ukrainy, zatem w kontaktach biznesowych z tymi firmami konieczne będzie zapewnienie przestrzegania danych w inny sposób (który opisujemy poniżej)
- Jeżeli nie wydano ww. decyzji, przedsiębiorca jest zobowiązany w inny sposób zapewnić przestrzeganie unijnych norm ochrony danych osobowych. W szczególności może odbywać się to przez zastosowanie reguł korporacyjnych, wprowadzenie do umowy standardowych klauzul ochrony danych przyjętych przez Komisję Europejską albo UODO czy też poddanie się procesowi certyfikacji potwierdzającej zgodność wykonywanych operacji na danych z RODO.
- W przypadku natomiast, gdy Komisja nie wydała decyzji, a administrator danych nie ma możliwości zapewnienia odpowiedniego stopnia zabezpieczeń opisanych powyżej, podmiot nadal ma możliwość przekazania danych do państwa trzeciego, jeżeli zostanie spełniony jeden z warunków wskazanych w art. 49 RODO.
Gdy nie zachodzi żadna z przesłanek opisanych powyżej, podmiot nadal może przekazać dane do państwa trzeciego, pod warunkiem, że przekazanie danych nie jest powtarzalne (czyli dokonuje się jednorazowo), dotyczy ograniczonego kręgu osób, a także jest niezbędne z uwagi na ważny prawnie uzasadniony interes. W takich przypadkach administrator danych musi we własnym zakresie dokonać oceny wszystkich okoliczności, w jakich odbywa się transfer danych osobowych, zapewnić odpowiednie środki zabezpieczeń i wypełnić obowiązki informacyjne.
Efekt dla przedsiębiorców prowadzących działalność transgraniczną jest w zasadzie jeden- prowadząc biznes, zwłaszcza z kontrahentami z USA, często muszą stosować nie tylko RODO, ale może się także okazać konieczne wdrożenie przepisów USA w kontekście ochrony danych (jeżeli wymagają tego amerykańscy kontrahenci od przedsiębiorcy polskiego. Jednym z takich aktów prawnych, którego wdrożenie jest czasem nie lada wyzwaniem, może być CCPA. Innymi instytucjami prawnymi, które mogą zapewnić ochronę danych są np. wyżej wspomniane standardowe klauzule umowne czy reguły korporacyjne.
CCPA – co to jest i jakie regulacje zawiera
California Consumer Privacy Act (CCPA) jest to kalifornijska ustawa o ochronie danych osobowych. Ten akt prawny reguluje przede wszystkim kwestię ochrony praw konsumentów będących obywatelami Kalifornii. Istotne jest, że kalifornijscy przedsiębiorcy podlegający bezpośrednio pod CCPA często także wymagają od swoich kontrahentów wdrożenia określonych procedur, aby wszystkie podmioty mające dostęp do danych osobowych konsumentów z Kalifornii spełniały określone wymagania w kontekście ochrony danych.
Istotne jest również, że, CCPA znajduje zastosowanie wyłącznie do przedsiębiorcy, który spełnia łącznie następujące warunki:
- działa zarobkowo,
- zbiera dane osobowe konsumentów lub takie dane są zbierane w jego imieniu i na jego rzecz,
- określa cele i sposoby przetwarzania danych,
- prowadzi działalność w Kalifornii,
- spełnia przynajmniej jedną z poniższych przesłanek:
- osiąga roczne przychody przekraczające 25 milionów dolarów brutto,
- samodzielnie lub łącznie, rocznie kupuje, otrzymuje, sprzedaje lub udostępnia do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń,
- uzyskuje co najmniej 50% rocznych przychodów brutto ze sprzedaży danych osobowych.
Na gruncie praktycznym należy wskazać, że przesłanka prowadzenia działalności w Kalifornii co do zasady jest interpretowana szeroko. Oznacza to, że za takiego przedsiębiorcę będzie uważana nie tylko firma faktycznie zarejestrowana w tym stanie, ale także firma, która faktycznie prowadzi tam działalność, ale jest zarejestrowana w innym stanie lub nawet innym kraju. Tak szerokie interpretowanie tej przesłanki może mieć znaczący wpływ na przedsiębiorców prowadzących działalność online, zwłaszcza na sklepy internetowe, podmioty z branży IT czy firmy marketingowe.
Regulacja CCPA w kontekście definicji danych osobowych jest zbliżona do RODO. W praktyce oznacza to, że dane osobowe zostały zdefiniowane nie tylko jako informacje, które faktycznie umożliwiają zidentyfikowanie konkretnej osoby fizycznej, ale również jako informacje, które potencjalnie dają taką możliwość. Podobieństwo do regulacji z RODO oznacza w praktyce, że tę definicję mogą spełniać np. dane gromadzone za pomocą technologii cookies, czy numery IP.
Różnice pomiędzy RODO a CCPA
Powyżej zasygnalizowaliśmy już, że RODO i CCPA mają ze sobą wiele wspólnego. Dotyczy to przede wszystkim nomenklatury, szczegółowych zasad przetwarzania danych oraz środków, które powinien wdrożyć przedsiębiorca.
Nie są to jednak tożsame akty prawne. Przede wszystkim różnice wynikają z ogólnych założeń systemu prawa polskiego (tzw. system prawa pozytywnego), a także prawa USA (tzw. common law). RODO kieruje się zasadą legalizmu, a przetwarzanie danych osobowych musi się odbywać na określonych w rozporządzeniu podstawach. CCPA kieruje się natomiast zasadą proporcjonalności i adekwatności danych osobowych, co w praktyce oznacza bardziej elastyczne podejście do tematu ochrony danych, zwłaszcza w kontekście podstawy przetwarzania.
To jednak niejedyne różnice pomiędzy CCPA a RODO. Do innych, mniej doniosłych można zaliczyć m.in. brak szczególnego wyróżnienia tzw. danych wrażliwych, czy przyjęcie modelu „opt out” zamiast przyjętego w RODO modelu „opt in”.
Jakie działania trzeba wdrożyć, żeby prowadzić działalność zgodnie z CCPA?
Wiadomo już, że CCPA różni się w wielu aspektach od RODO, oraz że w wielu przypadkach zwłaszcza sklepy internetowe i przedsiębiorcy prowadzący działalność w branży IT mogą zostać zobowiązani do wdrożenia tego aktu prawnego, zwłaszcza aby móc prowadzić kontakty handlowe z konsumentami z Kalifornii.
Jak zatem wdrożyć CCPA w swoim przedsiębiorstwie? Ta kwestia pod kątem praktycznym oczywiście zależy od konkretnego stanu faktycznego oraz specyfiki przedsiębiorstwa, które wdraża ten akt prawny. Poniżej jednak przedstawiamy pewne praktyczne wskazówki dot. tego, jak wdrożyć CCPA w firmie:
- aktualizacja polityki prywatności, która powinna w sposób jasny, zrozumiały i jednoznaczny opisywać prawa konsumentów oraz sposób, w jaki te osoby mogą swoje prawa realizować;
- wprowadzenie skutecznych metod zgłaszania żądań realizacji praw, zapewniając przy tym odpowiednie kanały komunikacji. Chodzi tutaj przede wszystkim o przypadki dostępu do danych.
- Utworzenie funkcjonalność (np. podstrony) „Do Not Sell My Personal Information” oraz spełnienie w tym zakresie obowiązków informacyjnych. Dotyczy to jednak zwłaszcza sytuacji, w których w toku działalności następuje sprzedaż danych osobowych.
- Zapewnienie kontroli procesu przetwarzania danych i stosowanie odpowiednich środków, w tym technicznych oraz organizacyjnych, których celem jest zabezpieczenie tego procesu;
- prowadzenie szeroko rozumianych działań w zakresie compliance, przez co rozumie się przede wszystkim monitorowanie najnowszych zmian w prawie, stanowisk oraz wytycznych upoważnionych organów, a także analizę bieżącego orzecznictwa oraz głosów doktryny.
Unieważnienie „Privacy Shield”- jaki ma wpływ na transfer danych do USA?
W kontekście ochrony danych osobowych i transferu danych do USA należy wspomnieć o jeszcze jednym ważnym wydarzeniu ostatnich lat, mianowicie o wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 r. w sprawie Schrems II. Dotychczas dane osobowe były przekazywane do USA na dwóch wynikających z RODO podstawach: tarczy prywatności (tzw. Privacy Shield) oraz standardowych klauzulach umownych. Skutkiem omawianego wyroku jest stwierdzenie nieważności Tarczy Prywatności. Szczegółowo tę kwestię omawiamy w tekście: Wyrok TSUE w sprawie Schrems II
Przenosząc to na omawiany temat, należy stwierdzić, że powyższe znacznie skomplikowało przekazywanie danych osobowych do USA. W kontekście opisywanej powyżej regulacji CCPA, unieważnienie Privacy Shield może być dodatkowym bodźcem do dostosowania przedsiębiorstwa do przepisów prawa stosowanego w USA.
Warto w tym miejscu pokrótce wyjaśnić, czym są i jak w praktyce stosować standardowe klauzule umowne (standard contract clauses, SCC). Standardowe klauzule umowne są modelowym mechanizmem przekazywania danych, zaprojektowanym przez Komisję Europejską i opublikowanym w odpowiedniej decyzji wykonawczej. SCC zostały sporządzone przede wszystkim w celu ułatwienia administratorom i podmiotom przetwarzającym legalne przekazywanie danych do krajów trzecich. W praktyce te klauzule stosuje się poprzez wdrożenie w umowie, w treści odpowiadającej ww. decyzji wykonawczej. Co do zasady treści klauzul nie można zmieniać, aczkolwiek Komisja przewidziała w tym zakresie kilka wyjątków.
Podsumowanie
Prowadzenie działalności z kontrahentami z USA, zwłaszcza którzy podlegają pod prawo kalifornijskie może wiązać się m.in. z obowiązkiem dostosowania działalności do wymogów CCPA, czyli kalifornijskiej ustawy o ochronie danych osobowych. Początkowo konieczność wdrożenia w swoim przedsiębiorstwie może wydawać się przedsiębiorcom zbędna, aczkolwiek wdrożenie CCPA w firmie może wynikać z uzasadnionych wymogów wielu kontrahentów, zwłaszcza z branży IT. Po dokładniejszej analizie zazwyczaj okazuje się, że większość prac jest już wykonana w związku z podobieństwami między RODO a CCPA. Aby jednak być CCPA-compliant, warto podjąć dodatkowe czynności, najczęściej przy wsparciu wyspecjalizowanej kancelarii.
Kamila Wasilewska
Pytania i odpowiedzi
To, co łączy RODO i CCPA to wysokie kary za naruszenia. Zgodnie z CCPA prokurator stanowy Kalifornii może nałożyć na przedsiębiorcę karę, która może wynosić do 7500 dolarów. Kara może zostać znacznie zwiększona przy większej liczbie naruszeń (przepisy w tym przypadku nie przewidują kary maksymalnej). Dodatkowo, podmioty, których dane naruszone mogą dochodzić odszkodowania indywidualnego w wysokości do 750 dolarów za incydent.
CCPA to regulacja prawa kalifornijskiego, zatem nie będzie miała bezpośredniego zastosowania w Polsce. W praktyce może jednak mieć istotny wpływ i wymagać wdrożenia w polskich przedsiębiorstwach. Wynika to z faktu, że podmioty podlegające prawu kalifornijskiemu często wymagają od swoich kontrahentów przestrzegania CCPA. W efekcie polski przedsiębiorca będzie musiał stosować ww. akt prawny.
Przede wszystkim można zacząć od audytu RODO. Tak jak sygnalizowaliśmy w tekście, w pewnych kwestiach RODO i CCPA są do siebie podobne (mają jednak kilka różnic). Pełne wdrożenie RODO jednak nie gwarantuje poprawnego wdrożenia CCPA – warto w tym zakresie dokonać dodatkowych zmian w wewnątrzfirmowych dokumentach.
Zaufali nam: