4 września 2020

CCPA, czyli ochrona danych osobowych w Kalifornii

Udostępnij

W ciągu ostatnich kilku lat europejscy przedsiębiorcy musieli bardzo dobrze zaznajomić się z przepisami RODO[1], bez których trudno obecnie wyobrazić sobie prowadzenie profesjonalnej działalności. Okazuje się jednak, że dla niektórych podmiotów nie jest to jedyny akt z zakresu ochrony danych osobowych, którego przepisów należy przestrzegać. 1 stycznia 2020 r. weszły w życie przepisy California Consumer Privacy Act (CCPA), czyli kalifornijskiej ustawy o ochronie danych osobowych[2]. Choć na pierwszy rzut oka mogłoby się wydawać, że zasięg tej ustawy jest znacząco ograniczony – zarówno podmiotowo, jak i terytorialnie – i stąd nie obejmuje ona swoim zakresem działalności polskich przedsiębiorców, to wniosek ten nie jest do końca zasadny. Polscy przedsiębiorcy, w tym także ci z sektora MŚP, mogą podlegać reżimowi CCPA, a szczególnie wyeksponowani na jej działanie są przedsiębiorcy prowadzący biznes online.

Jest to o tyle istotne, że kalifornijska ustawa nakłada na przedsiębiorców nowe obowiązki, w tym przede wszystkim informacyjne względem podmiotów danych, których realizacja wymaga pewnej aktywności ze strony przedsiębiorców, tj. podjęcia przez nich działań mających na celu zapewnienie zgodności prowadzonego biznesu z nowymi przepisami. Innymi słowy, podobnie jak na gruncie RODO, przedsiębiorcy nie mogą pozostać bierni wobec nowej regulacji i kierować się jedynie dewizą „nie szkodzić” – przeciwnie, muszą wykazywać się własną inicjatywą. Dodatkowo realizacja ww. obowiązków jest niezależna od realizacji obowiązków wynikających z RODO, w związku z czym przedsiębiorcy są zobowiązani działać dwutorowo.

Warto zatem już teraz zadać sobie pytanie: czy prowadzony biznes jest objęty zakresem CCPA? A jeżeli odpowiedź na to pytanie jest twierdząca: jak skutecznie wdrożyć CCPA? Szczególnie biorąc pod uwagę fakt, że tzw. „okres bezpieczny”, w trakcie którego ewentualne naruszenia CCPA nie mogły być egzekwowane, zakończył się 1 lipca br.[3]

Działalność objęta zakresem CCPA

CCPA obejmuje swoim zakresem działalność przedsiębiorców (businesses) oraz w pewnym stopniu także dostawców usług (service providers), która uwzględnia przetwarzanie danych osobowych konsumentów (consumers) – przy czym te wszystkie pojęcia mają w obrębie ustawy swoje autonomiczne znaczenia; zostanie to wyjaśnione w dalszej części artykułu. Oczywiste powinno być zatem, że wyłącznie taka działalność polskich przedsiębiorców, która spełnia definicyjne przesłanki warunkujące zastosowanie CCPA, będzie podlegać ustanowionym w niej zasadom.

Konsumentem, czyli na gruncie CCPA podmiotem danych, któremu przysługują określone prawa względem swoich danych osobowych, jest możliwa do zidentyfikowania osoba fizyczna będącą rezydentem Kalifornii. Zasady rezydencji wynikają z California Code of Regulations[4]. I tak rezydentem tego stanu jest osoba przebywająca na jego terytorium z przyczyn innych niż przejściowe lub mająca w tym stanie miejsce zamieszkania, a będącą poza jego granicami z przyczyn przejściowych[5]. Wszystkie pozostałe osoby, w stosunku do których powyższe stwierdzenia są nieprawdziwe, nie mają statusu rezydenta i stąd również nie są konsumentami w rozumieniu CCPA.

Z kolei przedsiębiorcą, czyli podmiotem zobowiązanym do wdrożenia i monitorowania zgodności swoich działań z CCPA, jest podmiot, który prowadzi działalność zarobkową na terenie Kalifornii i w ramach tej działalności, w określonych przez siebie sposobach i celach, przetwarza dane osobowe (ewentualnie dane są przetwarzane na jego rzecz). Porównując do przepisów RODO, przedsiębiorca odgrywa zatem rolę zbliżoną do administratora danych. Dodatkowo konieczne jest jednak, aby taki podmiot realizował co najmniej jeden z następujących wymogów:

1) osiągał roczne przychody brutto powyżej 25 milionów dolarów;

2) samodzielnie lub łącznie, rocznie przetwarzał do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń;

3) pozyskiwał 50% lub więcej rocznych przychodów brutto ze sprzedaży danych osobowych.

W powyższym kontekście dla polskich przedsiębiorców kluczowe znaczenie ma przesłanka prowadzenia działalności w Kalifornii. Na tę chwilę nie ma stanowczych wytycznych co do tego, jak należy ją interpretować – czy wąsko, jedynie jako działalność podmiotów zarejestrowanych w obrębie tego stanu, czy raczej szeroko, z uwzględnieniem podmiotów pozastanowych podejmujących działania (także online) adresowane do rezydentów Kalifornii. W prywatnych analizach wskazuje się jednak, że znacznie bardziej prawdopodobna jest interpretacja szeroka[6], m.in. z uwagi na postulat wysokiej i skutecznej ochrony podmiotów danych. Co istotne, takie podejście można już także zaobserwować w praktyce podmiotów europejskich. Stąd uzasadnione wydaje się przyjęcie tego kierunku interpretacji również przez polskie podmioty, w szczególności jeżeli dany biznes obejmuje na przykład:

  • działalność sklepów internetowych sprzedających produkty za granicę;
  • działalność podmiotów z branży reklamy online, w tym reklamy targetowanej;
  • działalność dostawców usług, w tym z branży IT;
  • inna działalność online wymagająca dostępu do danych osób z USA, w tym Kalifornii.

Ostatnim ze zidentyfikowanych w CCPA podmiotów jest dostawca usług, czyli podmiot, który przetwarza dane osobowe konsumentów na rzecz przedsiębiorcy – w zgodzie z jego poleceniami oraz instrukcjami. Porównując do przepisów RODO, dostawca usług pełni zatem rolę zbliżoną do podmiotu przetwarzającego. Podstawą przetwarzania danych przez dostawcę usług może być wyłącznie pisemna umowa zawarta z przedsiębiorcą. Oprócz wskazanego powyżej obowiązku stosowania się do poleceń i instrukcji przedsiębiorcy, CCPA bezpośrednio nie nakłada na dostawcę usług żadnych innych obowiązków. Trzeba mieć jednak świadomość, że mogą one wynikać w sposób pośredni z obowiązków nałożonych na przedsiębiorcę.

 Widok na most Golden Gate w San Francisco

Katalog danych osobowych

Dane osobowe w CCPA zostały określone jako informacje, które bezpośrednio umożliwiają zidentyfikowanie konkretnego konsumenta albo przynajmniej dają taką możliwość w sposób pośredni, a ich przykładowy katalog jest wskazany w samej ustawie. Biorąc pod uwagę działalność online polskich przedsiębiorców, szczególną uwagę warto zwrócić na takie dane jak:

  • identyfikatory, czyli np. adres e-mail, nazwa konta, numer IP, pliki cookies;
  • dane geolokalizacyjne;
  • dane handlowe, w tym te dotyczące historii zakupu produktów lub usług przez konsumentów.

Powyższa definicja nie obejmuje jednak danych zanonimizowanych, jak również danych zagregowanych, czyli takich które odnoszą się do grupy lub kategorii konsumentów i nie zawierają atrybutów pozwalających na rozpoznanie jej poszczególnych jednostek. Spod zakresu definicji są wyłączone ponadto pewne kategorie informacji, w tym na przykład informacje dostępne publicznie, tj. udostępnione legalnie z federalnych, stanowych lub lokalnych rejestrów rządowych czy też dane medyczne w zakresie w jakim zastosowanie do nich znajduje Confidentiality of Medical Information Act. Co ważne – ustawa ta nie dotyczy w szczególności danych biometrycznych, które są danymi osobowymi na gruncie CCPA.

Co ciekawe, istotną różnicą w stosunku do RODO jest brak wyróżnienia w kalifornijskiej ustawie szczególnych kategorii danych osobowych (tzw. danych wrażliwych), które miałyby podlegać odmiennym – wyższym standardom w zakresie ich przetwarzania oraz ochrony.

Przetwarzanie danych osobowych

Pojęcie przetwarzania danych osobowych występuje w CCPA jedynie w sekcji definicji[7], gdzie zostało określone jako każda zautomatyzowana bądź niezautomatyzowana operacja na danych. W pozostałym zakresie ustawa posługuje się raczej sformułowaniami „zbieranie danych osobowych” lub „sprzedaż danych osobowych”.

Zbieranie danych osobowych to de facto każdy rodzaj aktywności, w ramach której przedsiębiorca pozyskuje dane osobowe czy to bezpośrednio od konsumentów, czy też w sposób pośredni, w tym np. poprzez ich kupowanie, otrzymywanie czy uzyskiwanie do nich dostępu. Jest to zatem podstawowy sposób przetwarzania danych osobowych. 

Natomiast swego rodzaju specjalnym sposobem przetwarzania danych osobowych, poddanym pewnym dalej idącym wymogom oraz obowiązkom, jest sprzedaż danych osobowych. Sprzedaż została zdefiniowana w CCPA w sposób szeroki – właściwie jako każda czynność udostępnienia danych przez przedsiębiorcę, w tym np. ujawnianie, rozpowszechnianie, komunikowanie danych – ustnie, na piśmie lub drogą elektroniczną – w zamian za wynagrodzenie pieniężne lub, bliżej nieokreślone, inne cenne świadczenie[8]. Co istotne, zasadniczo czynność ta zastrzeżona jest dla administratorów danych (businesses).

Choć nie ma jeszcze ugruntowanej praktyki w tym zakresie, wskazuje się, że pojęcie sprzedaży danych należy rozumieć zgodnie z dotychczasowym orzecznictwem sądów kalifornijskich, wypracowanym na bazie innych aktów prawnych[9]. I tak w celu ustalenia, czy w konkretnej sytuacji dochodzi do sprzedaży danych osobowych przez przedsiębiorców konieczne jest określenie, co było przedmiotem negocjacji stron i co skłoniło strony, czyli co stanowiło zachętę do dokonania transakcji handlowej, której przedmiotem są dane – czy było to wynagrodzenie pieniężne lub inne, podobne, cenne świadczenie[10].

O ile zidentyfikowanie w praktyce pierwszej sytuacji, w której dane są udostępniane w zamian za wynagrodzenie pieniężne, nie powinno raczej przysparzać większych trudności, o tyle biorąc pod uwagę, że aktualnie nie do końca wiadomo, jak precyzyjnie należy rozumieć pojęcie „innego cennego świadczenia”, tutaj problem może się już pojawić. W przyszłości zapewne pojawią się odpowiednie wytyczne rynkowe w tym zakresie, co zresztą zasygnalizowano już w samym tekście CCPA, a do tego czasu rozsądne wydaje się przyjąć, że: „wszystkie umowy, na podstawie których dochodzi do wymiany danych osobowych, a podmiot przekazujący dane otrzymuje jakąkolwiek korzyść, do której nie jest prawnie upoważniony w przypadku braku takiej umowy, zostaną uznane za «sprzedaż» na podstawie CCPA[11]”.

Z dokonywaniem sprzedaży danych są związane dodatkowe obowiązki przedsiębiorcy względem podmiotów danych, w tym obowiązek informacyjny oraz obowiązek utworzenia funkcjonalności (podstrony) o nazwie „Do Not Sell My Personal Information” umożliwiającej konsumentom realizację prawa do sprzeciwu. Z uwagi na fakt, że ten rodzaj przetwarzania danych występuje bardzo często w branży reklamy targetowanej, jej przedstawiciele powinni zwrócić tutaj szczególną uwagę, w tym ocenić, czy muszą realizować wskazane dodatkowe obowiązki.

Co do samej kwestii legalności przetwarzania danych osobowych, w realiach CCPA – całkowicie odmiennie niż w RODO – konieczne jest jedynie, aby przedsiębiorca przetwarzał dane w swoich celach biznesowych, w sposób adekwatny i proporcjonalny do realizacji tych celów. Przy zachowaniu ww. kryteriów przedsiębiorca może przetwarzać dane zasadniczo aż do momentu ewentualnego skorzystania przez konsumenta z prawa do usunięcia danych lub, w przypadku sprzedaży danych, z prawa do sprzeciwu wobec ich dalszego przetwarzania. W porównaniu do dobrze już znanej zasady legalizmu wynikającej z RODO zaprezentowane tu podejście można określić jako bardziej elastyczne, a jednocześnie nie dowolne. Przedsiębiorca zawsze bowiem musi przeprowadzać test adekwatności i proporcjonalności przetwarzania.

Na zdjęciu widoczna jest kartka z napisem: RODO

Prawa podmiotów danych

CCPA gwarantuje podmiotom danych następujące prawa:

  • prawo do bycia poinformowanym,
  • prawo do sprzeciwu (tzw. opt-out),
  • prawo do żądania usunięcia danych,
  • prawo dostępu do danych oraz
  • prawo do bycia niedyskryminowanym z uwagi na wykonywanie swoich praw.

Choć katalog ten jest zbliżony do określonego w RODO, dostrzegalne są pewne subtelne różnice.

Prawo do bycia poinformowanym stanowi podstawowe prawo konsumentów do uzyskania od przedsiębiorcy informacji, najpóźniej w momencie zbierania danych osobowych, a optymalnie przed rozpoczęciem tego procesu, o rodzajach zbieranych danych oraz celach, w jakich będą one przetwarzane. Przetwarzanie przez przedsiębiorcę jakichkolwiek innych rodzajów danych lub w sposób wykraczający poza wcześniej określone cele, będzie stanowiło naruszenie CCPA.

Prawo do sprzeciwu oraz prawo do żądania usunięcia danych to innymi słowy wezwanie przedsiębiorcy do zaprzestania przetwarzania danych osobowych konsumentów – przy czym pierwsze z nich znajduje zastosowanie w przypadku sprzedaży danych osobowych, a drugie jest właściwe w zakresie innych form przetwarzania.

Prawo dostępu do danych obejmuje zarówno możliwość uzyskania przez konsumentów, na ich żądanie, konkretnych informacji m.in. co do kategorii, źródeł oraz celów przetwarzania danych osobowych, jak i również prawo do przenoszenia danych osobowych – na gruncie RODO samodzielnie wyodrębnione. Prawo to jest ograniczone w CCPA do danych zebranych w przeciągu ostatnich 12 miesięcy, licząc od dnia zgłoszenia żądania.

Prawo do bycia niedyskryminowanym z uwagi na wykonywanie swoich praw może natomiast zostać scharakteryzowane jako zakaz różnicowania przez przedsiębiorcę pozycji konsumentów, którzy skorzystali ze swoich praw względem innych konsumentów, np. poprzez odmawianie im dostępu do produktów lub usług, ustalanie odmiennych cen za te produkty lub usługi bądź też różnicowanie ich ilości lub jakości. Takie prawo nie zostało jednoznacznie wyróżnione w RODO, jednakże jest ono odczytywane w procesie wykładni tego rozporządzenia[12].

Z powyższymi prawami przyznanymi na rzecz podmiotów danych są związane jednocześnie obowiązki przedsiębiorców. Dla ich prawidłowej realizacji kluczowa jest transparentność działań przedsiębiorcy, a w szczególności to, aby treści kierowane przez niego do podmiotów danych były czytelne i zrozumiałe, a także aby efektywnie realizował on żądania konsumentów. W tym kontekście warto wskazać na istotną, pomocniczą rolę wizualnej prezentacji treści w procesie komunikacji z konsumentem, a także wykorzystywanie funkcjonalnych formularzy zgłoszeniowych, które z jednej strony ułatwiają konsumentom zgłaszanie żądań dotyczących realizacji swoich praw, a z drugiej strony umożliwiają przedsiębiorcom ich sprawną weryfikację.

Jak skutecznie wdrożyć CCPA w swoim biznesie?

Jeżeli w wyniku analizy swojego biznesu pod kątem CCPA przedsiębiorca dojdzie do wniosku, że prowadzona przez niego działalność jest objęta zakresem tej ustawy, powinien on podjąć w szczególności następujące kroki:

  • zaktualizować swoją politykę prywatności – tak aby w sposób jasny, precyzyjny i zrozumiały opisywała, jakie prawa przysługują podmiotom danych oraz w jaki sposób podmioty danych mogą te prawa realizować[13];
  • wprowadzić skuteczne metody zgłaszania żądań realizacji swoich praw przez podmioty danych, co prawdopodobnie już robił ze względu na przepisy RODO, zapewniając przy tym odpowiednie kanały komunikacji – przede wszystkim w przypadku żądań z zakresu prawa dostępu do danych zasadniczo przedsiębiorca powinien udostępnić konsumentom dwa kanały komunikacji, w tym co najmniej bezpłatną linię telefoniczną[14];
  • jeżeli w ramach danej działalności dochodzi do sprzedaży danych osobowych – utworzyć funkcjonalność (podstronę) o nazwie „Do Not Sell My Personal Information” oraz dodatkowo poinformować konsumentów o fakcie sprzedaży ich danych osobowych, w tym o kategoriach danych sprzedanych w przeciągu ostatnich 12 miesięcy[15];
  • kontrolować proces przetwarzania danych oraz stosować odpowiednie środki, w tym techniczne oraz organizacyjne, mające na celu zabezpieczenie tego procesu;
  • prowadzić szeroko rozumiane działania compliance, w tym m.in. monitorować stanowiska, wytyczne lub decyzje odpowiednich organów, regularnie, czyli nie rzadziej niż co 12 miesięcy, aktualizować swoją politykę prywatności, a także na bieżąco śledzić zmiany w prawie.

Podsumowanie

W zakresie, w jakim CCPA znajduje zastosowanie do działalności polskich przedsiębiorców, jest to kolejny element konieczny do uwzględnienia w firmowej procedurze dotyczącej ochrony danych osobowych. W tym kontekście nowe prawo oznacza zatem dla przedsiębiorców nowe obowiązki, których prawidłowa realizacja wymaga od nich aktywnej postawy oraz transparentności swoich działań, przede wszystkim w procesie komunikacji z konsumentami. 

Adrianna Żyrek

aplikantka radcowska, Kancelarii Radców Prawnych Barta & Kaliński, specjalistka z zakresu ochrony danych osobowych oraz prawa nowych technologii.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej jako: RODO). Tekst rozporządzenia dostępny pod linkiem https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679.

[2] Zob. California Consumer Privacy Act [Civil Code 1798.110–1798.199]. Tekst ustawy dostępny pod linkiem https://oag.ca.gov/privacy/ccpa.

[3] Zob. komunikat Rzecznika Generalnego Departamentu Sprawiedliwości stanu Kalifornia dostępny pod linkiem https://oag.ca.gov/privacy/ccpa.

[4] Zob. California Code of Regulations, Section 17014. Tekst ustawy dostępny pod linkiem https://oal.ca.gov/publications/ccr/.

[5] Zob. Section 1798.140. (g) CCPA.

[6] Zob. analizę OneTrust DataGuidanece oraz Future of Privacy Forum, s. 9, dostępną pod linkiem https://fpf.org/2019/12/18/comparing-privacy-laws-gdpr-v-ccpa/

[7] Zob. Section 1798.140. (q) CCPA.

[8] Zob. Section 1798.140. (t) CCPA.

[9] Por. https://iapp.org/news/a/sale-under-the-ccpa-may-not-be-as-scary-as-you-think/.

[10] Por. https://iapp.org/news/a/sale-under-the-ccpa-may-not-be-as-scary-as-you-think/.

[11] Zob. https://iapp.org/news/a/what-does-valuable-consideration-mean-under-the-ccpa/ [tłumaczenie własne].

[12] Zob. motyw 39 oraz 71-73 RODO.

[13] Zob. Section 1798.130. (a) (5) CCPA.

[14] Zob. Section 1798.130. (a) (1) CCPA. Jeżeli jednak przedsiębiorca prowadzi działalność wyłącznie online i pozostaje w bezpośrednim kontakcie z konsumentem, którego dane przetwarza, jest on uprawniony do udostępnienia tylko jednego punktu kontaktowego, w postaci dedykowanego adresu e-mail.

[15] Zob. Section 1798.135. CCPA.