California Consumer Privacy Act (CCPA), skodyfikowany w Cal. Civ. Code sections od 1798.100 do 1798.199.100, zasadniczo zmienił sposób, w jaki przedsiębiorstwa muszą traktować dane osobowe mieszkańców Kalifornii. W wersji zmienionej przez California Privacy Rights Act (CPRA) w 2023 roku, ustawa nakłada szczegółowe wymagania dotyczące polityki prywatności, które znacznie wykraczają poza to, do czego wiele firm jest przyzwyczajonych. Jeśli Twoja strona internetowa zbiera dane osobowe od konsumentów kalifornijskich, Twoja polityka prywatności musi spełniać szczegółowe standardy prawne, w przeciwnym razie grożą znaczące działania egzekucyjne. Ten przewodnik szczegółowo wyjaśnia, czego wymaga CCPA i jak dostosować politykę prywatności.
Kto musi przestrzegać CCPA
CCPA nie dotyczy każdego przedsiębiorstwa. Obejmuje podmioty nastawione na zysk, które prowadzą działalność w Kalifornii i spełniają co najmniej jeden z trzech progów ustanowionych w Cal. Civ. Code section 1798.140(d):
1. Roczny przychód brutto przekraczający 25 milionów dolarów. Ten próg dotyczy przychodów przedsiębiorstwa na całym świecie, nie tylko przychodów z działalności kalifornijskiej. Jeśli firma generuje ponad 25 milionów dolarów rocznie z dowolnego źródła, CCPA ma zastosowanie do przetwarzania danych kalifornijskich konsumentów.
2. Kupowanie, sprzedawanie lub udostępnianie danych osobowych 100 000 lub więcej konsumentów lub gospodarstw domowych. Ten próg został podniesiony z 50 000 do 100 000 na mocy poprawek CPRA. Ponieważ “dane osobowe” według CCPA obejmują adresy IP, identyfikatory urządzeń i historię przeglądania, wiele firm internetowych z umiarkowanym ruchem z Kalifornii może osiągnąć tę liczbę bez zdawania sobie z tego sprawy.
3. Uzyskiwanie 50% lub więcej rocznych przychodów ze sprzedaży lub udostępniania danych osobowych. Brokerzy danych i przedsiębiorstwa zależne od reklamy często należą do tej kategorii.
Nawet jeśli przedsiębiorstwo nie ma siedziby w Kalifornii, musi się stosować, jeśli spełnia którykolwiek z tych progów i zbiera dane osobowe od mieszkańców Kalifornii. Eksterytorialny zasięg CCPA oznacza, że firma e-commerce w Warszawie lub firma SaaS w Krakowie może podlegać kalifornijskiemu prawu prywatności.
Dla polskich firm podlegających również RODO istotne jest zrozumienie różnic między oboma ramami prawnymi. Urząd Ochrony Danych Osobowych (UODO) egzekwuje RODO w Polsce wraz z ustawą o ochronie danych osobowych, z wymaganiami które w kilku istotnych punktach różnią się od CCPA.
Co musi zawierać polityka prywatności CCPA
CCPA ustanawia szczegółowe wymagania informacyjne w Cal. Civ. Code sections 1798.100(a) i 1798.130(a). Polityka prywatności musi zawierać następujące elementy:
Kategorie zbieranych danych osobowych. Należy wymienić kategorie danych osobowych, które zostały zebrane w ciągu ostatnich 12 miesięcy. CCPA definiuje 12 kategorii w section 1798.140(v), w tym identyfikatory (imię, email, adres IP), informacje handlowe (historia zakupów), aktywność internetowa (historia przeglądania, historia wyszukiwania), dane geolokalizacyjne oraz informacje zawodowe lub związane z zatrudnieniem.
Cele zbierania. Dla każdej kategorii danych osobowych należy ujawnić cel biznesowy, w jakim zostały zebrane. Niejasne stwierdzenia jak “w celu poprawy naszych usług” są niewystarczające. Trzeba być konkretnym: “w celu przetwarzania zamówień i realizacji dostaw”, “w celu wyświetlania reklam ukierunkowanych na podstawie zachowań przeglądania”, “w celu wykrywania incydentów bezpieczeństwa”.
Kategorie osób trzecich, którym udostępniane są informacje. Jeśli udostępniasz dane osobowe osobom trzecim, ujawnij kategorie odbiorców: sieci reklamowe, dostawcy analityki, przetwórcy płatności, usługi hostingu w chmurze. Zgodnie z poprawkami CPRA należy również ujawnić kategorie osób trzecich, którym informacje są sprzedawane lub udostępniane w celu reklamy behawioralnej między kontekstami.
Prawa konsumentów i sposób ich wykonywania. Polityka musi wyjaśniać prawa przysługujące konsumentom kalifornijskim na mocy CCPA: prawo do informacji, prawo do usunięcia, prawo do sprzeciwu wobec sprzedaży lub udostępniania danych osobowych, prawo do sprostowania niedokładnych informacji oraz prawo do ograniczenia wykorzystywania wrażliwych danych osobowych. Należy podać jasne instrukcje składania wniosków, w tym co najmniej dwa wyznaczone sposoby (bezpłatny numer telefonu i adres strony internetowej).
Okresy przechowywania. CPRA dodał wymóg ujawnienia okresu przechowywania dla każdej kategorii danych osobowych lub kryteriów stosowanych do określania okresów przechowywania.
Link “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”. Jeśli przedsiębiorstwo sprzedaje lub udostępnia dane osobowe, musi umieścić na stronie głównej wyraźnie oznaczony link zatytułowany “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”. Ten mechanizm opt-out musi być funkcjonalny i łatwy w użyciu. Zgodnie z CPRA obejmuje to reklamę behawioralną między kontekstami, a nie tylko tradycyjną sprzedaż danych. Darmowy baner cookies może zapewnić tę funkcjonalność opt-out wraz z zarządzaniem zgodą RODO.
Powiadomienie o zachęcie finansowej. Jeśli oferujesz zachęty finansowe (rabaty, programy lojalnościowe) w zamian za zbieranie, sprzedaż lub przechowywanie danych osobowych, polityka prywatności musi opisywać istotne warunki programu zachęt i wyjaśniać, jak konsumenci mogą się zapisać lub wycofać.
Wrażliwe dane osobowe na mocy CPRA
CPRA wprowadził pojęcie “wrażliwych danych osobowych”, obejmujące numery ubezpieczenia społecznego, dane logowania do kont finansowych, dokładną geolokalizację, pochodzenie rasowe lub etniczne, przekonania religijne, treść poczty lub wiadomości tekstowych, dane genetyczne, informacje biometryczne, informacje zdrowotne i orientację seksualną.
Jeśli przedsiębiorstwo zbiera wrażliwe dane osobowe, polityka prywatności musi to ujawnić i zapewnić konsumentom prawo do ograniczenia ich wykorzystywania do celów niezbędnych do świadczenia żądanych towarów lub usług. Należy również umieścić osobny link na stronie głównej: “Ogranicz wykorzystanie moich wrażliwych danych osobowych”.
Ta wzmocniona ochrona wrażliwych kategorii danych odzwierciedla podobne przepisy RODO (Artykuł 9) — egzekwowane w Polsce przez UODO — co odzwierciedla globalny trend ku surowszemu traktowaniu danych osobowych wysokiego ryzyka.
Najczęstsze błędy w zakresie zgodności
Wiele przedsiębiorstw nie przestrzega CCPA nie z powodu celowego zaniedbania, ale z powodu niezrozumienia wymagań ustawy. Oto najczęstsze błędy:
Stosowanie polityki prywatności wyłącznie na potrzeby RODO. Chociaż RODO i CCPA pokrywają się w niektórych obszarach, polityka prywatności zaprojektowana wyłącznie na potrzeby zgodności z RODO nie spełni wymagań CCPA. CCPA ma własne specyficzne kategorie informacyjne, własne ramy praw konsumentów i własne mechanizmy opt-out, które znacząco różnią się od prawa europejskiego. Dla polskich firm przyzwyczajonych do wymagań UODO i ustawy o ochronie danych osobowych, kluczowe jest dodanie elementów specyficznych dla CCPA.
Brak corocznej aktualizacji. Cal. Civ. Code section 1798.130(a)(5) wymaga od przedsiębiorstw aktualizacji polityki prywatności co najmniej raz na 12 miesięcy. Data ostatniej aktualizacji musi być wyraźnie widoczna. Wiele firm tworzy politykę raz i nigdy jej nie weryfikuje, pozostawiając ją nieaktualną w miarę ewolucji praktyk dotyczących danych.
Niekompletne informacje o kategoriach. Wymienienie “danych osobowych” jako jednej kategorii nie jest wystarczające. CCPA wymaga szczegółowego ujawnienia w ramach 12 wymienionych kategorii. Przeanalizuj rzeczywiste przepływy danych, w tym narzędzia analityczne, piksele reklamowe, integracje CRM i przetwórców płatności, aby upewnić się, że każda kategoria jest uwzględniona.
Brak funkcjonalnego mechanizmu opt-out. Link “Nie sprzedawaj” prowadzący do zepsutego formularza, niemonitorowanego adresu email lub ogólnej strony kontaktowej stanowi naruszenie. Opt-out musi działać, a wnioski muszą być przetwarzane w ciągu 15 dni roboczych.
Pomijanie dostawców usług i wykonawców. CCPA rozróżnia “dostawców usług” (którzy przetwarzają dane w imieniu klienta na podstawie umowy) i “osoby trzecie” (które otrzymują dane do własnych celów). Polityka prywatności musi dokładnie charakteryzować te relacje, a umowy muszą zawierać klauzule przetwarzania danych zgodne z CCPA. W Polsce rozróżnienie to jest analogiczne do rozróżnienia RODO między administratorami a podmiotami przetwarzającymi (artykuły 26 i 28).
Egzekwowanie i kary CCPA
Biuro prokuratora generalnego Kalifornii aktywnie egzekwuje CCPA od lipca 2020 roku. Na mocy Cal. Civ. Code section 1798.155 kary obejmują:
- Do 2 500 $ za nieumyślne naruszenie. Ponieważ każdy rekord konsumenta może stanowić osobne naruszenie, kary kumulują się szybko. Naruszenie danych dotyczące 10 000 kalifornijskich konsumentów mogłoby teoretycznie skutkować 25 milionami dolarów kar.
- Do 7 500 $ za umyślne naruszenie. Świadome naruszenia CCPA lub naruszenia dotyczące danych osobowych nieletnich poniżej 16 roku życia wiążą się z wyższą karą.
- Prawo do powództwa prywatnego w przypadku naruszenia danych. Na mocy section 1798.150 konsumenci mogą bezpośrednio pozywać przedsiębiorstwa za naruszenia danych wynikające z niewdrożenia rozsądnych środków bezpieczeństwa. Odszkodowanie ustawowe wynosi od 100 $ do 750 $ za konsumenta za incydent lub odszkodowanie za rzeczywiste szkody, w zależności od tego, która kwota jest wyższa.
California Privacy Protection Agency (CPPA), ustanowiona przez CPRA, dzieli teraz uprawnienia egzekucyjne z prokuratorem generalnym i aktywnie wydaje regulacje oraz prowadzi dochodzenia. Więcej szczegółów o ryzykach egzekwowania znajdziesz w naszym artykule o karach CCPA i naszym porównaniu CCPA vs RODO.
Cztery podejścia do zgodności polityki prywatności z CCPA
Zatrudnienie prawnika specjalizującego się w ochronie prywatności
Koszt: od 3 000 do 8 000 $ za kompleksową politykę prywatności CCPA i infrastrukturę opt-out. Czas: od 2 do 6 tygodni.
Prawnik specjalizujący się w kalifornijskim prawie prywatności przeprowadzi szczegółowe mapowanie danych, przeanalizuje umowy z dostawcami i przygotuje politykę dostosowaną do konkretnych praktyk dotyczących danych. Jest to zalecane dla firm ze złożonymi przepływami danych, dużymi wolumenami danych lub działalnością w wielu stanach USA z własnymi przepisami o prywatności. Dla polskich firm idealny jest prawnik biegły zarówno w RODO, jak i CCPA.
Użycie generycznego narzędzia AI
Pozorny koszt: 0 $. Rzeczywisty koszt: potencjalnie znaczący w zakresie ryzyka egzekwowania.
Generyczne chatboty AI mogą tworzyć tekst przypominający politykę prywatności, ale często pomijają wymagania specyficzne dla CCPA: 12 ustawowych kategorii, wymóg linku opt-out, informacje o wrażliwych danych osobowych i wymaganą częstotliwość aktualizacji. Polityka, która wygląda na zgodną, ale nie zawiera obowiązkowych elementów, tworzy fałszywe poczucie bezpieczeństwa.
Skopiowanie darmowego szablonu
Koszt: 0 $. Ryzyko: wysokie.
Darmowe szablony CCPA dostępne w internecie są zazwyczaj generyczne, nieaktualne (wiele jest sprzed poprawek CPRA) i niedostosowane do konkretnej firmy. Rzadko zawierają odpowiednie mechanizmy opt-out lub informacje o dostawcach usług. Użycie szablonu bez znaczącej personalizacji prawdopodobnie nie spełni wymagań CCPA.
Użycie specjalistycznego generatora dokumentów prawnych
Koszt: 14,90 € do 49,90 €. Czas: poniżej 10 minut.
Specjalistyczny generator dokumentów prawnych zadaje konkretne pytania o działalność gospodarczą, praktyki zbierania danych i relacje z osobami trzecimi, a następnie tworzy politykę prywatności spełniającą wymagania CCPA. To podejście zapewnia najlepszą równowagę między rygorem zgodności, dostępnością i opłacalnością dla większości firm internetowych.
Podsumowanie
CCPA nakłada szczegółowe i konkretne wymagania na polityki prywatności, które wykraczają poza ogólne dobre praktyki. Jeśli przedsiębiorstwo spełnia którykolwiek z trzech progów stosowalności, polityka prywatności musi wymieniać kategorie zbieranych danych osobowych, wyjaśniać cele, ujawniać udostępnianie osobom trzecim, opisywać prawa konsumentów i sposób ich wykonywania oraz zapewniać funkcjonalne mechanizmy opt-out.
Zacznij od bezpłatnego skanu zgodności, aby ocenić swoją obecną sytuację. Dla polskich firm podlegających RODO poprzez UODO, CCPA dodaje dodatkową warstwę konkretnych obowiązków. Przy aktywnym egzekwowaniu przez CPPA i karach kumulujących się za każde naruszenie, koszt niezgodności znacznie przewyższa koszt dostosowania polityki prywatności. Niezależnie od tego, czy zatrudnisz specjalistę prawnego do złożonych sytuacji, czy skorzystasz ze specjalistycznego generatora do prostych potrzeb zgodności, ważny krok to działanie teraz. Każdy dzień bez polityki prywatności zgodnej z CCPA to dzień niepotrzebnej ekspozycji prawnej.