Skip to main content
Visitor Analytics logoVisitor Analytics logo

1. února 2020 6 přečtených minut

Od dnešního dne, 1. ledna 2020, vstoupí v platnost kalifornský zákon o ochraně soukromí spotřebitelů (CCPA).

Spotřebitelé pod lupou – CCPA – Blog o analýze návštěvníků
Obrázek Gerda Altmanna z Pixabay

Když slavíme začátek nového roku, podíváme se blíže na nový kalifornský zákon na ochranu soukromí pro rok 2020, který bude mít dopad na způsob, jakým firmy nakládají s osobními údaji. Nazývá se kalifornský zákon na ochranu soukromí spotřebitelůnebo CCPAa má obyvatelům Kalifornie poskytnout větší kontrolu nad tím, jak jsou jejich osobní údaje uchovávány a zpracovávány. Ode dneška, 1. ledna 2020, je tento zákon o ochraně osobních údajů účinný.

Koho tato nová legislativa ovlivní? Jaké hlavní věci byste měli vědět o CCPA? Co můžete udělat pro to, abyste se jako majitel webu ujistili, že jej dodržujete?

Nový zákon se nutně dotkne většiny vlastníků a provozovatelů webových stránek, jako se to dříve stalo v případě evropského GDPR. V mnoha ohledech však CCPA není tak přísná jako GDPRa je explicitněji zaměřena na společnosti, které prodávají osobní údaje spotřebitelů.

Které webové stránky ovlivní zákon CCPA?

Za prvé, účinky zákona jsou omezeny na obyvatele Kalifornie. To však neznamená, že podniky mimo Kalifornii nebudou muset dodržovat zákon, pokud budou jednat se zákazníky z tohoto státu. Vzhledem k tomu, že obyvatelé Kalifornie mají přístup k jakékoli webové stránce, bez ohledu na to, odkud je provozována, v zásadě to znamená, že všichni vlastníci webových stránek v USA i v zahraničí by měli podniknout kroky k dosažení souladu se zákonem CCPA.

Už jsme to viděli u zákona GDPR v Evropě, který byl zaměřen na všechny společnosti nakládající s osobními údaji občanů EU. V době, kdy GDPR vstoupilo v platnost, majitelé webových stránek v USA a jinde buď splnili GDPR pro všechny své zákazníky, nebo se rozhodli jednoduše zablokovat přístup na své webové stránky, pokud byla návštěva prováděna z IP v Evropské unii.

Pokud provozujete webovou stránku v některém z dalších amerických států, můžete zde čelit podobné volbě. Pokud si můžete dovolit vynechat své zákazníky žijící v Kalifornii, existuje možnost blokování návštěv z kalifornských IP adres. Zákony o ochraně osobních údajů však budou pravděpodobně i v budoucnu na pořadu jednání zákonodárců. Není nepředvídatelné, že podobnou legislativu v budoucnu přijme více, ne-li všechny státy. Takže místo postupného blokování potenciálních zákazníků může být moudřejší vyhovět nyní, bez ohledu na to, kde se vaše firma nachází.

Za druhé, na rozdíl od GDPR jsou účinky zákona poněkud omezené. CCPA se bude týkat pouze následujících společností:

  • ty s hrubými příjmy alespoň 25 milionů dolarů
  • ti, kteří mají osobní údaje o alespoň 50 000 obyvatelích Kalifornie/domácnostech /zařízeních ročně
  • minimálně 50 % jejich ročních příjmůpochází z prodeje osobních údajů obyvatel Kalifornie

Pokud vaše webové stránky shromažďují osobní údaje, ale nespadají do žádné z výše uvedených kategorií, můžete podnikat jako obvykle. Tato upozornění jsou jasným znamením, že zákon nebyl navržen s ohledem na vlastníky malých podniků, ale že se zaměřuje spíše na korporace, které profitují z prodeje velkých souborů osobních údajů. Nezapomeňte si však zkontrolovat počet unikátních návštěvníků z Kalifornie, které máte na svém webu. Pokud toto číslo přesáhne 50 000 za rok, budete muset zvážit dodržování CCPA.

Co je považováno za osobní údaje podle CCPA?

Není velký rozdíl od toho, co jsme již probírali v tématech souvisejících s GDPR dříve, protože dotčené osobní údaje jsou v podstatě stejné: jména, e-mailové adresy, umístění, biometrické údajeatd. Zákon to definuje jako jakékoli informace, které „identifikují, se týká, popisuje, může být spojován s konkrétním spotřebitelem nebo domácností nebo by s ním mohl být přímo či nepřímo spojen“. Vezměte prosím na vědomí, že veřejně dostupné informace, stejně jako neidentifikovanénebo souhrnné informace o spotřebitelinejsou podle zákona CCPA považovány za osobní údaje.

Co musím udělat, abych byl v souladu se zákonem CCPA?

Stále můžete shromažďovat a dokonce prodávat osobní údaje, ale musíte uživatelům usnadnit odhlášení z tohoto procesu. Zákon výslovně říká, že pokud firma prodává osobní údaje uživatelů, musí na své domovské stránce uvést jasný odkaz s názvem „Neprodávejte mé osobní údaje“. Je také nezákonné nabízet různé služby nebo funkce založené na volbě přihlášení nebo odhlášení. Všichni zákazníci musí stále využívat stejné služby.

Podobně jako v případě GDPR musíte zákazníkům udělit právo na přístup k údajům, na vymazání jejich osobních údajůa požadovat zveřejnění všech kategorií osobních údajů, které shromažďujeme a prodáváme (pokud tomu tak je). To se bude provádět na roční bázi. Na požádání musíte poskytnout osobní údaje za posledních 12 měsíců předcházejících žádosti. Zákazník také může takové reklamace uplatnit maximálně dvakrát ročně.

Také se prosím ujistěte, že jste do svých zásad ochrany osobních údajů zahrnuli následující:

  • všechny kategorie informací, které shromažďujete a zpracováváte
  • k čemu tyto kategorie informací slouží
  • jak se informace shromažďují
  • jaký je postup při žádosti o přístup k osobním údajům, jejich změnu, přesun nebo výmaz
  • jak se ověřuje totožnost osoby, která žádost podává
  • pokud se prodávají osobní údaje, musí to být popsáno zde
  • jak se odhlásit z prodeje jejich dat

Znamená soulad s GDPR automaticky, že jste také v souladu se zákonem CCPA?

Ne nutně, ale je pravděpodobné, že pokud jste podnikli kroky k dosažení souladu s GDPR, jste také v souladu se zákonem CCPA. Všechny výše uvedené podmínky naleznete také v GDPR, s výjimkou explicitních pravidel pro prodej osobních údajů.

Jaká jsou rizika nedodržení CCPA?

Hlavním rizikem, kterému majitelé webových stránek čelí, je narušení dat. Podle zákona je společnost odpovědná za zabránění neoprávněnému přístupu a krádeži dat spotřebitelů. Pokud k tomu dojde, každý uživatel, jehož data unikla, má právo požádat o náhradu škody ve výši mezi 100 a 750 USD. Velké narušení dat, kdy jsou odcizena data tisíců uživatelů, může potenciálně vést k úpadku společnosti. Vynásobte 1000 x 750 $ a získáte odhad dopadu.

Než však dojde k jakékoli občanskoprávní žalobě, mají společnosti 30 dní na to, aby „vyléčily zjištěné porušení“, pokud je to možné.

Soulad se zákonem CCPA s nástroji Analytics

Vzhledem k tomu, že deidentifikovaná data, stejně jako souhrnná data, nespadají pod pravidla CCPA, většina analytických nástrojů pravděpodobně standardně vyhovuje. Měli byste si však přečíst smlouvu o zpracování údajů a zásady ochrany osobních údajů všech takových třetích stran, abyste se ujistili, že máte všechny informace o použití osobních údajů. V rámci úsilí o soulad s GDPR se služba Visitor Analytics stala také v souladu se zákonem CCPA. Naše společnost se nezabývá prodejem ani sdílením dat s ostatními. Údaje, které shromažďujeme, nelze propojit s identitou žádného jednotlivce, domácnosti nebo zařízení.

Pokud potřebujete více podrobností o novém zákonu o ochraně osobních údajů, můžete si přečíst úplné znění 1.81.5. Kalifornský zákon o ochraně osobních údajů spotřebitelůzde. Chcete-li se dozvědět více o tom, jak Návštěvník Analytics splňuje zákony o ochraně osobních údajů, přečtěte si naše Zásady ochrany osobních údajůa Smlouvu o zpracování dat.