Ta strona używa cookie. Korzystając z niej wyrażasz zgodę na ich używanie, zgodnie z aktualnymi ustawieniami przeglądarki.
Akceptuję

Loading...


Szukaj Menu
A A A wysoki kontrast: A A

Portal Promocji Eksportu



Ochrona danych osobowych w Kalifornii

Wyślij Drukuj Pobierz dodał: Magdalena Zwolińska | 2020-10-14 14:56:53
kalifornia, ochrona danych osobowych, ccpa

Czy wiecie, że mogą Was obowiązywać przepisy dotyczące ochrony danych osobowych w stanie Kalifornia, tzw. California Consumer Privacy Act (CCPA)? Z tego artykułu, w całości dostępnego na stronie PARP, dowiecie się m. in., jakie kroki w związku z tym podjąć.

fragment artykułu pochodzącego z portalu Polskiej Agencji Rozwoju Przedsiębiorczości

 

W ciągu ostatnich kilku lat europejscy przedsiębiorcy musieli bardzo dobrze zaznajomić się z przepisami RODO [1], bez których trudno obecnie wyobrazić sobie prowadzenie profesjonalnej działalności. Okazuje się jednak, że dla niektórych podmiotów nie jest to jedyny akt z zakresu ochrony danych osobowych, którego przepisów należy przestrzegać. 1 stycznia 2020 r. weszły w życie przepisy California Consumer Privacy Act (CCPA), czyli kalifornijskiej ustawy o ochronie danych osobowych [2]. Choć na pierwszy rzut oka mogłoby się wydawać, że zasięg tej ustawy jest znacząco ograniczony – zarówno podmiotowo, jak i terytorialnie – i stąd nie obejmuje ona swoim zakresem działalności polskich przedsiębiorców, to wniosek ten nie jest do końca zasadny. Polscy przedsiębiorcy, w tym także ci z sektora MŚP, mogą podlegać reżimowi CCPA, a szczególnie wyeksponowani na jej działanie są przedsiębiorcy prowadzący biznes online.

Jest to o tyle istotne, że kalifornijska ustawa nakłada na przedsiębiorców nowe obowiązki, w tym przede wszystkim informacyjne względem podmiotów danych, których realizacja wymaga pewnej aktywności ze strony przedsiębiorców, tj. podjęcia przez nich działań mających na celu zapewnienie zgodności prowadzonego biznesu z nowymi przepisami. Innymi słowy, podobnie jak na gruncie RODO, przedsiębiorcy nie mogą pozostać bierni wobec nowej regulacji i kierować się jedynie dewizą „nie szkodzić” – przeciwnie, muszą wykazywać się własną inicjatywą. Dodatkowo realizacja ww. obowiązków jest niezależna od realizacji obowiązków wynikających z RODO, w związku z czym przedsiębiorcy są zobowiązani działać dwutorowo.

Warto zatem już teraz zadać sobie pytanie: czy prowadzony biznes jest objęty zakresem CCPA? A jeżeli odpowiedź na to pytanie jest twierdząca: jak skutecznie wdrożyć CCPA? Szczególnie biorąc pod uwagę fakt, że tzw. „okres bezpieczny”, w trakcie którego ewentualne naruszenia CCPA nie mogły być egzekwowane, zakończył się 1 lipca br. [3]

Działalność objęta zakresem CCPA

CCPA obejmuje swoim zakresem działalność przedsiębiorców (businesses) oraz w pewnym stopniu także dostawców usług (service providers), która uwzględnia przetwarzanie danych osobowych konsumentów (consumers) – przy czym te wszystkie pojęcia mają w obrębie ustawy swoje autonomiczne znaczenia; zostanie to wyjaśnione w dalszej części artykułu. Oczywiste powinno być zatem, że wyłącznie taka działalność polskich przedsiębiorców, która spełnia definicyjne przesłanki warunkujące zastosowanie CCPA, będzie podlegać ustanowionym w niej zasadom.

Konsumentem, czyli na gruncie CCPA podmiotem danych, któremu przysługują określone prawa względem swoich danych osobowych, jest możliwa do zidentyfikowania osoba fizyczna będącą rezydentem Kalifornii. Zasady rezydencji wynikają z California Code of Regulations [4]. I tak rezydentem tego stanu jest osoba przebywająca na jego terytorium z przyczyn innych niż przejściowe lub mająca w tym stanie miejsce zamieszkania, a będącą poza jego granicami z przyczyn przejściowych [5]. Wszystkie pozostałe osoby, w stosunku do których powyższe stwierdzenia są nieprawdziwe, nie mają statusu rezydenta i stąd również nie są konsumentami w rozumieniu CCPA.

Z kolei przedsiębiorcą, czyli podmiotem zobowiązanym do wdrożenia i monitorowania zgodności swoich działań z CCPA, jest podmiot, który prowadzi działalność zarobkową na terenie Kalifornii i w ramach tej działalności, w określonych przez siebie sposobach i celach, przetwarza dane osobowe (ewentualnie dane są przetwarzane na jego rzecz). Porównując do przepisów RODO, przedsiębiorca odgrywa zatem rolę zbliżoną do administratora danych. Dodatkowo konieczne jest jednak, aby taki podmiot realizował co najmniej jeden z następujących wymogów:

1) osiągał roczne przychody brutto powyżej 25 milionów dolarów;

2) samodzielnie lub łącznie, rocznie przetwarzał do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń;

3) pozyskiwał 50% lub więcej rocznych przychodów brutto ze sprzedaży danych osobowych.

W powyższym kontekście dla polskich przedsiębiorców kluczowe znaczenie ma przesłanka prowadzenia działalności w Kalifornii. Na tę chwilę nie ma stanowczych wytycznych co do tego, jak należy ją interpretować – czy wąsko, jedynie jako działalność podmiotów zarejestrowanych w obrębie tego stanu, czy raczej szeroko, z uwzględnieniem podmiotów pozastanowych podejmujących działania (także online) adresowane do rezydentów Kalifornii. W prywatnych analizach wskazuje się jednak, że znacznie bardziej prawdopodobna jest interpretacja szeroka [6], m.in. z uwagi na postulat wysokiej i skutecznej ochrony podmiotów danych. Co istotne, takie podejście można już także zaobserwować w praktyce podmiotów europejskich. Stąd uzasadnione wydaje się przyjęcie tego kierunku interpretacji również przez polskie podmioty, w szczególności jeżeli dany biznes obejmuje na przykład:

  • działalność sklepów internetowych sprzedających produkty za granicę;
  • działalność podmiotów z branży reklamy online, w tym reklamy targetowanej;
  • działalność dostawców usług, w tym z branży IT;
  • inna działalność online wymagająca dostępu do danych osób z USA, w tym Kalifornii.

Ostatnim ze zidentyfikowanych w CCPA podmiotów jest dostawca usług, czyli podmiot, który przetwarza dane osobowe konsumentów na rzecz przedsiębiorcy – w zgodzie z jego poleceniami oraz instrukcjami. Porównując do przepisów RODO, dostawca usług pełni zatem rolę zbliżoną do podmiotu przetwarzającego. Podstawą przetwarzania danych przez dostawcę usług może być wyłącznie pisemna umowa zawarta z przedsiębiorcą. Oprócz wskazanego powyżej obowiązku stosowania się do poleceń i instrukcji przedsiębiorcy, CCPA bezpośrednio nie nakłada na dostawcę usług żadnych innych obowiązków. Trzeba mieć jednak świadomość, że mogą one wynikać w sposób pośredni z obowiązków nałożonych na przedsiębiorcę.

(...)

 

Adrianna Żyrek

aplikantka radcowska, Kancelarii Radców Prawnych Barta & Kaliński, specjalistka z zakresu ochrony danych osobowych oraz prawa nowych technologii.

 

Zainteresował Cię powyższy fragment? Cały artykuł dostępny jest bezpłatnie na stronie Polskiej Agencji Rozwoju Przedsiębiorczości. Zachęcamy do lektury!

 


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej jako: RODO). Tekst rozporządzenia dostępny pod linkiem https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679.

[2] Zob. California Consumer Privacy Act [Civil Code 1798.110–1798.199]. Tekst ustawy dostępny pod linkiem https://oag.ca.gov/privacy/ccpa.

[3] Zob. komunikat Rzecznika Generalnego Departamentu Sprawiedliwości stanu Kalifornia dostępny pod linkiem https://oag.ca.gov/privacy/ccpa.

[4] Zob. California Code of Regulations, Section 17014. Tekst ustawy dostępny pod linkiem https://oal.ca.gov/publications/ccr/.

[5] Zob. Section 1798.140. (g) CCPA.

[6] Zob. analizę OneTrust DataGuidanece oraz Future of Privacy Forum, s. 9, dostępną pod linkiem https://fpf.org/2019/12/18/comparing-privacy-laws-gdpr-v-ccpa/





Wybrane
oferty polskich przedsiębiorstw

Sprawdź stronę naszej agencji SEO BrandRise
link: ...
Pozycjonowanie Toruń - skuteczna Agencja SEO BrandRise document.title = "Pozycjonowanie Toruń 🦄 ...
Polska - Toruń 2020-09-11 Dodał: Konrad Dejewski Doradztwo/consulting/edukacja, IT/ICT Zobacz ofertę

Obsługa informatyczna i marketingowa stron internetowych

Zajmujemy się pełną obsługą informatyczną i marketingową nad stronami małych i średnich firm. Wdr...
Polska - Sokola 2020-07-15 Dodał: Łukasz Tomaszczyk Doradztwo/consulting/edukacja, IT/ICT, Pozostałe branże Zobacz ofertę

Odzyskanie praw ochronnych do znaku towarowego w China

Odzyskiwanie znaku towarowego zarejestrowanego w Chinach przez podmiot trzeci.
Polska - STRASZYN 2020-06-14 Dodał: Michał Bielewicz Doradztwo/consulting/edukacja, Handel, IT/ICT, Sektor kreatywny, Turystyka, sport i rekreacja Zobacz ofertę

Zobacz więcej ofert