Prawo amerykańskiego stanu dotyczące prywatności musi być przestrzegane także przez zagraniczne firmy, które przetwarzają dane osobowe jego rezydentów. W przeciwnym razie przedsiębiorcom grożą wielotysięczne kary oraz pozwy o odszkodowania.
ikona lupy />
DGP
Od 1 lipca 2020 r. kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) jest egzekwowalna przez Prokuratora Generalnego Kalifornii (organ nadzorczy w zakresie ochrony danych) w stosunku do przedsiębiorców z całego świata, a więc także z Polski. Prawnicy porównują tę regulację do unijnego RODO, gdyż ona także dotyczy ochrony danych osobowych w sieci, zawiera dotkliwe kary finansowe oraz muszą jej przestrzegać podmioty zagraniczne – o ile przetwarzają informacje o mieszkańcach regionu, w którym wspomniany akt prawny powstał.
– Wielu polskich przedsiębiorców może nie być świadomych konieczności przestrzegania CCPA. Tymczasem skutki jego naruszenia mogą być bardzo dotkliwe i poważnie nadszarpnąć budżety rodzimych firm – przestrzega dr Jacek Markowski, adwokat w Kancelarii Adwokackiej Jacek Markowski.

Kogo dotyczy regulacja

Jakie jednak konkretnie podmioty muszą przestrzegać CCPA? Przykładowo przedsiębiorstwa e-commerce czy właściciele portali internetowych umieszczających reklamowe pliki cookies na swoich stronach. Wystarczy, że witryny w ciągu jednego dnia odwiedzi zaledwie 137 rezydentów Kalifornii, aby CCPA zaczęło mieć zastosowanie. Innym kryterium jest np. fakt pobrania aplikacji mobilnej danego podmiotu przez co najmniej 50 tys. kalifornijskich konsumentów w trakcie jednego roku. Jeszcze innym – fakt kierowania reklam do mieszkańców amerykańskiego stanu przez np. domy mediowe czy agencje marketingowe. Pod uwagę brane są również kryteria dotyczące wielkości prowadzonej działalności gospodarczej. Przedsiębiorstwo będzie podlegać CCPA, jeśli przetwarza dane chociaż jednego rezydenta Kalifornii i jednocześnie spełni chociaż jeden z wymienionych wymogów: posiada roczny dochód przekraczający 25 mln dol.; otrzymuje, kupuje bądź udostępnia do celów komercyjnych dane osobowe; przetwarza dane co najmniej 50 tys. konsumentów w ramach gospodarstw domowych lub urządzeń (np. telefonów); co najmniej połowę rocznego dochodu uzyskuje ze sprzedaży danych osobowych.

Szeroka definicja danych osobowych

Co ważne, CCPA posiada szeroką definicję danych osobowych. Są nimi m.in.: identyfikator online, unikalny identyfikator personalny, adres protokołu internetowego (IP), nazwa konta, numer ubezpieczenia społecznego, numer prawa jazdy, numer paszportu lub inne podobne identyfikatory. Doktor Jacek Markowski tłumaczy, że wspomniany „unikalny identyfikator personalny” należy rozumieć jako każdy rodzaj identyfikatora umożliwiającego rozpoznawanie konkretnego konsumenta lub jego urządzenia albo też gospodarstwa domowego. Mowa zatem np. o różnego rodzaju plikach cookies, pixel tagach czy identyfikatorach reklam mobilnych.
Szerokim pojęciem jest także sam „rezydent Kalifornii”. Może to być bowiem osoba, która jest obywatelem Kalifornii, ale wyjeżdża na jakiś czas np. do Nowego Jorku. Albo osoba, która co prawda jest obywatelem np. Nowego Meksyku, ale przez dłuższy czas przebywa w Kalifornii.
– Ustalenie tożsamości rezydenta Kalifornii może być więc w praktyce szalenie trudne. Z tego też powodu niektóre platformy już wprowadzają konieczność wypełnienia oświadczenia przez internautę, czy jest on rezydentem Kalifornii, czy też np. mieszkańcem Unii Europejskiej – mówi dr Jacek Markowski.

Poważne konsekwencje

Zdaniem dr. Markowskiego szeroka dostępność usług prawnych oraz zapał Amerykanów, aby przystępować do różnego rodzaju pozwów zbiorowych czy starań o odszkodowania, może oznaczać, że CCPA nie powinno być lekceważone przez rodzime przedsiębiorstwa. Wystarczy sobie bowiem wyobrazić sytuację, gdzie kilkuset rezydentów Kalifornii (z prawie 40-milionowej populacji) składa skargę do Prokuratora Generalnego Kalifornii z żądaniem np. 200 dol. odszkodowania za incydent związany z ich danymi osobowymi. Gdzie incydent w rozumieniu CCPA nie oznacza jedynie np. wycieku danych osobowych, ale również niedostosowania polityki prywatności do wymagań kalifornijskiej ustawy lub podania w niej nieaktualnych informacji. „Rachunek” wystawiony zagranicznemu przedsiębiorcy może wówczas wynieść kilkadziesiąt bądź nawet kilkaset tysięcy dolarów.
A to dopiero początek. W listopadzie br. Kalifornijczycy rozpoczynają pracę nad aktem CPRA, którego szczegółowość może przyćmić nawet europejskie RODO. Co więcej, nad własnymi aktami prawnymi dotyczącymi prywatności pracują również legislatorzy w stanach Waszyngton, Nowy Jork oraz Illinois.