Skip to main content

1 lutego 2020 r. 6 minut przeczytania

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) obowiązuje od dziś, 1 stycznia 2020 r.

Świętując początek nowego roku, przyglądamy się bliżej nowej kalifornijskiej ustawie o ochronie prywatności na 2020 r., która będzie miała wpływ na sposób, w jaki firmy przetwarzają dane osobowe. Nazywana kalifornijską ustawą o ochronie prywatności konsumentówlub CCPA, ma zapewnić mieszkańcom Kalifornii większą kontrolę nad sposobem przechowywania i przetwarzania ich danych osobowych. Od dzisiaj, 1 stycznia 2020r., obowiązuje ta ustawa o ochronie prywatności.

Na kogo wpłynie to nowe prawodawstwo? Jakie są najważniejsze rzeczy, które należy wiedzieć o CCPA? Co możesz zrobić, aby jako właściciel strony internetowej upewnić się, że jej przestrzegasz?

Nowe prawo z pewnością wpłynie na większość właścicieli i operatorów stron internetowych, tak jak miało to miejsce wcześniej w przypadku europejskiego RODO. Jednak pod wieloma względami ustawa CCPA nie jest tak rygorystyczna jak RODOi jest wyraźniej skierowana do firm sprzedających dane osobowe konsumentów.

Na jakie witryny wpłynie CCPA?

Przede wszystkim skutki prawa ograniczają się do mieszkańców Kalifornii. Nie oznacza to jednak, że firmy spoza Kalifornii nie będą musiały przestrzegać prawa, jeśli mają do czynienia z klientami z tego stanu. Ponieważ mieszkańcy Kalifornii mogą uzyskać dostęp do dowolnej strony internetowej, niezależnie od tego, skąd jest ona obsługiwana, oznacza to w zasadzie, że wszyscy właściciele stron internetowych, w USA i za granicą, powinni podjąć kroki w celu zapewnienia zgodności z CCPA.

Widzieliśmy to już wcześniej w prawie RODO w Europie, które było skierowane do wszystkich firm zajmujących się danymi osobowymi obywateli UE. W momencie wejścia w życie RODO właściciele stron internetowych w Stanach Zjednoczonych i innych krajach albo przestrzegali RODO dla wszystkich swoich klientów, albo postanowili po prostu zablokować dostęp do swoich stron internetowych, jeśli wizyta odbywała się z adresu IP w Unii Europejskiej.

Jeśli prowadzisz witrynę internetową w innym amerykańskim stanie, możesz mieć do czynienia z podobnym wyborem tutaj. Jeśli możesz pozwolić sobie na pominięcie klientów mieszkających w Kalifornii, istnieje możliwość zablokowania wizyt z kalifornijskich adresów IP. Jednak przepisy dotyczące prywatności danych prawdopodobnie również znajdą się w porządku obrad ustawodawców w przyszłości. Nie jest nieprzewidywalne, że w przyszłości więcej, jeśli nie wszystkie państwa, przyjmie podobne przepisy. Dlatego zamiast stopniowo blokować potencjalnych klientów, rozsądniej jest zastosować się do nich już teraz, niezależnie od tego, gdzie znajduje się Twoja firma.

Po drugie, w przeciwieństwie do RODO skutki prawa są nieco ograniczone. CCPA będzie dotyczyć tylko następujących firm:

  • osoby o przychodach brutto co najmniej 25 mln USD
  • tych, którzy mają dane osobowe co najmniej 50 000 mieszkańców Kalifornii/gospodarstw domowych /urządzeń rocznie
  • co najmniej 50% ich rocznych przychodówpochodzi ze sprzedaży danych osobowych Kalifornijczyków

Jeśli Twoja witryna zbiera dane osobowe, ale nie należy do żadnej z powyższych kategorii, możesz normalnie prowadzić działalność. Te zastrzeżenia są wyraźnym znakiem, że prawo nie zostało zaprojektowane z myślą o właścicielach małych firm, ale raczej jest skierowane do korporacji, które czerpią zyski ze sprzedaży dużych zestawów danych osobowych. Pamiętaj jednak, aby sprawdzić liczbę unikalnych użytkowników z Kalifornii, których masz w swojej witrynie. Jeśli liczba ta przekroczy 50 000 w ciągu roku, będziesz musiał wziąć pod uwagę zgodność z CCPA.

Co uważa się za dane osobowe w ramach CCPA?

Nie ma dużej różnicy w stosunku do tego, o czym już wcześniej rozmawialiśmy w tematach związanych z RODO, ponieważ dane osobowe są prawie takie same: imiona i nazwiska, adresy e-mail, lokalizacja, dane biometryczneitp. Prawo definiuje to jako każdą informację, która „identyfikuje, odnosi się, opisuje, może być powiązana z konkretnym konsumentem lub gospodarstwem domowym lub może być powiązana, bezpośrednio lub pośrednio, z konkretnym konsumentem lub gospodarstwem domowym”. Należy pamiętać, że informacje dostępne publicznie, a także informacje pozbawione elementów identyfikującychlub zbiorcze informacje o konsumentachnie są uważane za dane osobowe zgodnie z ustawą CCPA.

Co muszę zrobić, aby zachować zgodność z CCPA?

Nadal możesz zbierać, a nawet sprzedawać dane osobowe, ale musisz ułatwić użytkownikom rezygnację z tego procesu. Prawo wyraźnie mówi, że jeśli firma sprzedaje dane osobowe użytkowników, musi umieścić na ich stronie głównej wyraźny link zatytułowany „Nie sprzedawaj moich danych osobowych”. Ponadto nielegalne jest oferowanie różnych usług lub funkcji w oparciu o wybór zgody lub rezygnacji. Wszyscy klienci muszą nadal korzystać z tych samych usług.

Podobnie jak w przypadku RODO, musisz przyznać klientom prawo dostępu do danych, usunięcia ich danych osobowychoraz żądania ujawnienia wszystkich kategorii gromadzonych i sprzedawanych danych osobowych(jeśli tak jest). Odbędzie się to corocznie. Na żądanie musisz podać dane osobowe z ostatnich 12 miesięcy poprzedzających żądanie. Ponadto klient może składać takie roszczenia maksymalnie dwa razy w roku.

Upewnij się również, że w swojej polityce prywatności uwzględniłeś:

  • wszystkie kategorie informacji, które zbierasz i przetwarzasz
  • do czego służą te kategorie informacji
  • jak zbierane są informacje
  • jaka jest procedura żądania dostępu, zmiany, przeniesienia lub usunięcia swoich danych osobowych?
  • w jaki sposób weryfikowana jest tożsamość osoby składającej wniosek
  • jeśli dane osobowe są sprzedawane, należy to opisać tutaj
  • jak zrezygnować ze sprzedaży swoich danych?

Czy zgodność z RODO automatycznie oznacza, że jesteś również zgodny z CCPA?

Niekoniecznie, ale istnieje duże prawdopodobieństwo, że jeśli podjąłeś kroki w celu zapewnienia zgodności z RODO, jesteś również zgodny z CCPA. Wszystkie powyższe warunki znajdują się również w RODO, z wyjątkiem wyraźnych zasad sprzedaży danych osobowych.

Jakie jest ryzyko nieprzestrzegania CCPA?

Głównym ryzykiem, na jakie narażeni są właściciele witryn internetowych, jest naruszenie bezpieczeństwa danych. Zgodnie z prawem firma odpowiada za zapobieganie nieuprawnionemu dostępowi i kradzieży danych konsumentów. W takim przypadku każdy użytkownik, którego dane zostały ujawnione, ma prawo złożyć wniosek o naprawienie szkody w wysokości od 100 USD do 750 USD. Duże naruszenie danych, w którym skradziono dane tysięcy użytkowników, może potencjalnie doprowadzić firmę do bankructwa. Pomnóż 1000 x 750 $, a otrzymasz szacunkowy wpływ.

Jednak przed wszczęciem jakiegokolwiek postępowania cywilnego firmy mają 30 dni na „naprawienie zauważonego naruszenia”, jeśli jest to możliwe.

Narzędzia analityczne Zgodność z CCPA

Ponieważ dane zdeidentyfikowane, a także dane zagregowane, nie podlegają zasadom CCPA, większość narzędzi analitycznych prawdopodobnie jest z nimi domyślnie zgodna. Należy jednak zapoznać się z umową dotyczącą przetwarzania danych i polityką prywatności takich stron trzecich, aby upewnić się, że posiadasz wszystkie informacje na temat wykorzystania danych osobowych. W ramach starań o zachowanie zgodności z RODO, usługa Visitor Analytics stała się również zgodna z CCPA. Nasza firma nie zajmuje się sprzedażą ani udostępnianiem danych innym osobom. Gromadzone przez nas dane nie mogą być powiązane z tożsamością żadnej osoby, gospodarstwa domowego ani urządzenia.

Jeśli potrzebujesz więcej szczegółów na temat nowego prawa dotyczącego prywatności, możesz przeczytać pełny tekst 1.81.5. Kalifornijska ustawa o ochronie prywatności konsumentówznajduje się tutaj. Jeśli chcesz dowiedzieć się więcej o tym, jak Visitor Analytics przestrzega przepisów dotyczących prywatności, zapoznaj się z naszą Polityką prywatnościi Umową o przetwarzanie danych.