• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń. 

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

California Consumer Privacy Act czyli ochrona danych w Hollywood

Aktualizacja: mar 23


Kalifornia to mekka dla startupowców, która od kilkudziesięciu lat nieprzerwanie produkuje setki innowacyjnych biznesów. Jest tam sporo mądrych ludzi, którzy znają wartość danych osobowych w XXI wieku. Chyba dlatego to właśnie tam uchwaloną pierwszy akt prawny w USA, który szeroko odnosi się do kwestii związanych z bezpieczeństwem przetwarzanych danych osobowych i ochroną praw osób, których te dane dotyczą. Piszę „szeroko” i mam tu na myśli to, że California Consumer Privacy Act (CCPA) dotyczy generalnie każdego przedsiębiorstwa, które przetwarza dane w odpowiedniej ilości, a nie jakiejś określonej branży – bo takie regulacje USA widziało już wcześniej.


Czy California Consumer Privacy Act dotyczy jakoś polskich przedsiębiorców? Co np. z usługodawcami online, którzy świadczą usługi z terenu naszego kraju, ale mają klientów na całym świecie – a więc m.in. również w Kalifornii? Czy powinni się jakoś przejmować tymi przepisami? Dziś postaram się odpowiedzieć na te wszystkie pytania, ale zacznijmy od początku.


Co to jest California Consumer Privacy Act i czemu obowiązuje akurat w Kalifornii?


Mały wstęp "prawoznawczy": W Stanach Zjednoczonych mamy 2 porządki prawne – prawo federalne, obowiązujące na terenie całego kraju, uchwalane przez Kongres, oraz prawo stanowe, obowiązujące lokalnie w poszczególnych stanach, uchwalane przez organy lokalne. Trochę tak jak u nas prawo krajowe i prawo miejscowe, np. uchwalane przez gminy, tylko że w USA zakres kompetencji, które są w zasięgu poszczególnych stanów jest szerszy niż samorządów u nas. Właśnie w Kalifornii wpadli na to aby uregulować przetwarzanie danych dotyczących osób fizycznych. Częściowo (zapewne) inspirowali się naszym unijnym RODO, a częściowo stwierdzili, że ta regulacja będzie przydatna w miejscu, gdzie gospodarka w dużej mierze opiera się właśnie o elektroniczne przetwarzanie danych.


Od kiedy obowiązuje CCPA – od 1 stycznia 2020 r.


Kogo ma chronić CCPA?


W wielkim skrócie – CCPA chroni dwie kategorie osób:

1) Mieszkańców Kalifornii (nawet jeśli przebywają czasowo poza Kalifornią)

2) Osoby spoza Kalifornii, przebywające przez dłuższy czas w tym stanie.


Z naszej, unijnej perspektywy zakres jest więc dość wąski. Nawet jeśli firma z Kalifornii przetwarza dane osobowe jakiegoś człowieka, a nie jest on mieszkańcem Kalifornii, to nie dotyczą go uprawnienia wynikające z tych przepisów. Regulacja ta jest więc inna niż w RODO, z którego wynika, że podmiot działający na terenie UE po prostu musi się podporządkować, niezależnie od tego czy dane dotyczą obywateli UE czy kogoś zupełnie innego.


Kto musi przestrzegać CCPA?


CCPA dotyczy przedsiębiorców, którzy spełniają co najmniej jeden z trzech warunków:

1) Ma przychód na poziomie co najmniej 25 milionów dolarów,

2) Przyjmuje, kupuje albo sprzedaje dane osobowe co najmniej 50.000 osób, gospodarstw domowych lub danych dot. urządzeń (czyli zamiast 50.000 osób wystarczy 50.000 urządzeń),

3) Uzyskuje co najmniej 50% przychodu ze sprzedaży danych osobowych.


Dodatkowo, taki podmiot musi decydować o celu i sposobach przetwarzania (czyli być administratorem danych – tak, ściągnęli to z RODO) i prowadzić biznes w Kalifornii. Trzeba tutaj wskazać, że „prowadzenie biznesu w Kalifornii” to nie tylko bycie zarejestrowanym w Kalifornii ale także kierowanie tam swojej oferty, posiadanie przedstawicielstw handlowych, prowadzenie działań marketingowych, które są skierowane do mieszkańców tego stanu itp.


Czy polski przedsiębiorca powinien dostosować się do tych regulacji?


Sprawa jest prosta: poziom, od którego należy stosować CCPA jest bardzo wysoki – oczywiście Wam wszystkim życzę przetwarzania danych 50.000 klientów albo 25 milionów dolarów przychodu w ciągu roku, ale póki nie macie tego ani tego, nie musicie się martwić CCPA.


Nawet jeśli osiągniecie ten pułap to aby uznać, że musicie dostosować się do CCPA powinniście prowadzić działalność w Kalifornii – mieć tam oddział, handlowców, kierować reklamy (np. przez social media) skierowane do ludzi z Kalifornii itp. Jeżeli tego nie robicie – CCPA Was nie dotyczy.


W praktyce więc niewiele podmiotów z Polski musi się w ogóle dostosowywać do CCPA, przynajmniej na razie.


Co wynika z CCPA?


Podobnie jak w RODO, danymi osobowymi są informacje o zidentyfikowanej osobie fizycznej (zidentyfikowanym Kalifornijczyku) – nie tylko więc chodzi tu o same dane identyfikacyjne, ale także inne informacje o osobie, które można powiązać z konkretnym człowiekiem.


CCPA nie wskazuje na istnienie jakichkolwiek podstaw prawnych związanych z przetwarzaniem danych – pod tym względem kalifornijski akt jest więc bardziej liberalny od RODO i po prostu uznaje, że przedsiębiorcy mogą przetwarzać dane osobowe w związku z prowadzeniem swoich biznesów.


Z CCPA wynika, że, każda osoba, której dane dotyczą, ma prawo do tego aby:

1) uzyskać informację jakie jej dane osobowe są zbierane, wykorzystywane, przekazywane innym podmiotom, sprzedawane, zarówno pod kątem kategorii danych jak i szczegółowych informacji, które te dane zawierają,

2) zażądać usunięcia danych, które są przetwarzane przez przedsiębiorcę i podmioty świadczące na rzecz tego przedsiębiorcy usługi – przy czym przedsiębiorca ma cały szereg przesłanek aby odmówić spełnieniu takiego żądania – np. gdy przetwarzanie danych jest niezbędne do wykonania zawartej umowy, w celu realizacji prawa do wolności wypowiedzi, spełnienia obowiązków nałożonych przepisami prawa itp.,

3) sprzeciwić się sprzedaży swoich danych osobowych,

4) nie być dyskryminowana w zakresie ceny lub usługi w sytuacji gdy osoba żąda realizacji jej praw związanych z przetwarzaniem danych -czyli żądanie nie może wywierać negatywnych konsekwencji.


Skoro konsumenci mają prawa, to przedsiębiorcy mają obowiązki. Dlatego też przedsiębiorca, który jest zobowiązany do przestrzegania CCPA musi:

1) poinformować osobę, której dane dotyczą o tym, że przetwarza jej dane – najpóźniej w momencie zbierania,

2) stworzyć procedury dotyczące odpowiadania na wnioski osób dotyczące cofnięcia zgód na sprzedaż danych, wnioski dotyczące informacji o przetwarzaniu lub żądania usunięcia danych,

3) odpowiadać na żądania osób, których dane dotyczą w zakresie informacji o przetwarzaniu danych lub ich usuwaniu,

4) umożliwić osobom skorzystanie z ewentualnych klauzul „opt-out” czyli zakończyć przetwarzanie na żądanie osoby (coś w stylu naszego prawa do sprzeciwu)

5) publikować informacje (w tym finansowe) dotyczące sprzedaży przetwarzanych danych,

6) przechowywać informacje o zrealizowanych wnioskach przez 24 miesiące.


CCPA czy RODO?


Generalnie rzecz biorąc, CCPA jest aktem znacznie prostszym niż RODO – nie ma tu żadnych analiz ryzyka, Inspektorów Ochrony Danych, a nawet przesłanek przetwarzania czy też rozróżnienia na dane zwykłe lub dane szczególnej kategorii. Regulacja znajdzie przy tym ograniczone stosowanie – częściowo z uwagi na wysoką barierę dotyczącą stosowania (tylko duże przedsiębiorstwa albo takie, które przetwarzają dużo danych) i ograniczony zasięg terytorialny.


CCPA zdecydowanie jest łaskawe dla biznesu i nie nakłada na przedsiębiorców zbyt wielu obowiązków – niemniej jednak jest istotne bo jest pierwszym takim aktem w USA, który ma szanse wyznaczyć dalsze standardy w tym zakresie.