Polityka prywatności CCPA: co musisz wiedzieć

← Blog Podstawy RODO
9 min czytania
Zaktualizowano: 30 kwietnia 2026
WebLegal Team

California Consumer Privacy Act (CCPA), skodyfikowany w Cal. Civ. Code sections od 1798.100 do 1798.199.100, zasadniczo zmienił sposób, w jaki przedsiębiorstwa muszą traktować dane osobowe mieszkańców Kalifornii. W wersji zmienionej przez California Privacy Rights Act (CPRA) w 2023 roku, ustawa nakłada szczegółowe wymagania dotyczące polityki prywatności, które znacznie wykraczają poza to, do czego wiele firm jest przyzwyczajonych. Jeśli Twoja strona internetowa zbiera dane osobowe od konsumentów kalifornijskich, Twoja polityka prywatności musi spełniać szczegółowe standardy prawne, w przeciwnym razie grożą znaczące działania egzekucyjne. Ten przewodnik szczegółowo wyjaśnia, czego wymaga CCPA i jak dostosować politykę prywatności.

Kto musi przestrzegać CCPA

CCPA nie dotyczy każdego przedsiębiorstwa. Obejmuje podmioty nastawione na zysk, które prowadzą działalność w Kalifornii i spełniają co najmniej jeden z trzech progów ustanowionych w Cal. Civ. Code section 1798.140(d):

1. Roczny przychód brutto przekraczający 25 milionów dolarów. Ten próg dotyczy przychodów przedsiębiorstwa na całym świecie, nie tylko przychodów z działalności kalifornijskiej. Jeśli firma generuje ponad 25 milionów dolarów rocznie z dowolnego źródła, CCPA ma zastosowanie do przetwarzania danych kalifornijskich konsumentów.

2. Kupowanie, sprzedawanie lub udostępnianie danych osobowych 100 000 lub więcej konsumentów lub gospodarstw domowych. Ten próg został podniesiony z 50 000 do 100 000 na mocy poprawek CPRA. Ponieważ “dane osobowe” według CCPA obejmują adresy IP, identyfikatory urządzeń i historię przeglądania, wiele firm internetowych z umiarkowanym ruchem z Kalifornii może osiągnąć tę liczbę bez zdawania sobie z tego sprawy.

3. Uzyskiwanie 50% lub więcej rocznych przychodów ze sprzedaży lub udostępniania danych osobowych. Brokerzy danych i przedsiębiorstwa zależne od reklamy często należą do tej kategorii.

Nawet jeśli przedsiębiorstwo nie ma siedziby w Kalifornii, musi się stosować, jeśli spełnia którykolwiek z tych progów i zbiera dane osobowe od mieszkańców Kalifornii. Eksterytorialny zasięg CCPA oznacza, że firma e-commerce w Warszawie lub firma SaaS w Krakowie może podlegać kalifornijskiemu prawu prywatności.

Dla polskich firm podlegających również RODO istotne jest zrozumienie różnic między oboma ramami prawnymi. Urząd Ochrony Danych Osobowych (UODO) egzekwuje RODO w Polsce wraz z ustawą o ochronie danych osobowych, z wymaganiami które w kilku istotnych punktach różnią się od CCPA.

Co musi zawierać polityka prywatności CCPA

CCPA ustanawia szczegółowe wymagania informacyjne w Cal. Civ. Code sections 1798.100(a) i 1798.130(a). Polityka prywatności musi zawierać następujące elementy:

Kategorie zbieranych danych osobowych. Należy wymienić kategorie danych osobowych, które zostały zebrane w ciągu ostatnich 12 miesięcy. CCPA definiuje 12 kategorii w section 1798.140(v), w tym identyfikatory (imię, email, adres IP), informacje handlowe (historia zakupów), aktywność internetowa (historia przeglądania, historia wyszukiwania), dane geolokalizacyjne oraz informacje zawodowe lub związane z zatrudnieniem.

Cele zbierania. Dla każdej kategorii danych osobowych należy ujawnić cel biznesowy, w jakim zostały zebrane. Niejasne stwierdzenia jak “w celu poprawy naszych usług” są niewystarczające. Trzeba być konkretnym: “w celu przetwarzania zamówień i realizacji dostaw”, “w celu wyświetlania reklam ukierunkowanych na podstawie zachowań przeglądania”, “w celu wykrywania incydentów bezpieczeństwa”.

Kategorie osób trzecich, którym udostępniane są informacje. Jeśli udostępniasz dane osobowe osobom trzecim, ujawnij kategorie odbiorców: sieci reklamowe, dostawcy analityki, przetwórcy płatności, usługi hostingu w chmurze. Zgodnie z poprawkami CPRA należy również ujawnić kategorie osób trzecich, którym informacje są sprzedawane lub udostępniane w celu reklamy behawioralnej między kontekstami.

Prawa konsumentów i sposób ich wykonywania. Polityka musi wyjaśniać prawa przysługujące konsumentom kalifornijskim na mocy CCPA: prawo do informacji, prawo do usunięcia, prawo do sprzeciwu wobec sprzedaży lub udostępniania danych osobowych, prawo do sprostowania niedokładnych informacji oraz prawo do ograniczenia wykorzystywania wrażliwych danych osobowych. Należy podać jasne instrukcje składania wniosków, w tym co najmniej dwa wyznaczone sposoby (bezpłatny numer telefonu i adres strony internetowej).

Okresy przechowywania. CPRA dodał wymóg ujawnienia okresu przechowywania dla każdej kategorii danych osobowych lub kryteriów stosowanych do określania okresów przechowywania.

Link “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”. Jeśli przedsiębiorstwo sprzedaje lub udostępnia dane osobowe, musi umieścić na stronie głównej wyraźnie oznaczony link zatytułowany “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”. Ten mechanizm opt-out musi być funkcjonalny i łatwy w użyciu. Zgodnie z CPRA obejmuje to reklamę behawioralną między kontekstami, a nie tylko tradycyjną sprzedaż danych. Darmowy baner cookies może zapewnić tę funkcjonalność opt-out wraz z zarządzaniem zgodą RODO.

Powiadomienie o zachęcie finansowej. Jeśli oferujesz zachęty finansowe (rabaty, programy lojalnościowe) w zamian za zbieranie, sprzedaż lub przechowywanie danych osobowych, polityka prywatności musi opisywać istotne warunki programu zachęt i wyjaśniać, jak konsumenci mogą się zapisać lub wycofać.

Zgodność z §7025 (Global Privacy Control). Zgodnie z rozporządzeniem wykonawczym CCPA obowiązującym od stycznia 2026 r. polityka prywatności musi ujawniać, w jaki sposób strona honoruje sygnał Global Privacy Control przesyłany przez przeglądarkę jako ważne żądanie opt-out. Zobacz dedykowaną sekcję poniżej z modelowym brzmieniem.

Ujawnianie zgodności z GPC w polityce prywatności

Zgodnie z sekcją 7025 rozporządzenia wykonawczego CCPA każde przedsiębiorstwo podlegające CCPA MUSI automatycznie honorować sygnały Global Privacy Control (GPC) na poziomie przeglądarki jako żądania opt-out od sprzedaży lub udostępniania. Jest to techniczny obowiązek zgodności: gdy przeglądarka odwiedzającego przesyła sygnał GPC, strona musi traktować ten sygnał jako ważne żądanie konsumenta o rezygnację ze sprzedaży lub udostępniania jego danych osobowych, bez wymagania jakiegokolwiek dodatkowego działania użytkownika. Sama polityka prywatności musi ujawniać tę implementację techniczną — milczenie w tej sprawie nie jest akceptowalne.

Dlaczego ujawnianie ma znaczenie samodzielnie. CPPA i prokurator generalny Kalifornii wyjaśnili, że honorowanie GPC i ujawnianie, że jest honorowane, to dwa odrębne obowiązki. Przedsiębiorstwo, które technicznie poprawnie przetwarza sygnały GPC, ale nie wspomina o tym w polityce prywatności, może zostać ukarane za niewystarczające informowanie konsumenta. Z drugiej strony przedsiębiorstwo, które deklaruje zgodność z GPC w swojej polityce, ale technicznie nie honoruje sygnału, jest narażone na roszczenia z tytułu praktyk wprowadzających w błąd zarówno na mocy CCPA, jak i kalifornijskiej ustawy o nieuczciwej konkurencji.

Modelowy zapis. Możesz zaadaptować poniższe dwa akapity jako punkt wyjścia:

Nasza strona honoruje sygnał Global Privacy Control (GPC) jako ważne żądanie opt-out na mocy California Consumer Privacy Act, zgodnie z sekcją 7025 rozporządzenia wykonawczego CCPA. Gdy Twoja przeglądarka przesyła sygnał GPC, automatycznie traktujemy go jako żądanie rezygnacji ze sprzedaży i udostępniania Twoich danych osobowych, w tym do celów reklamy behawioralnej między kontekstami. Nie musisz składać żadnych dodatkowych wniosków, klikać w żaden link ani wypełniać żadnego formularza — sam sygnał GPC wystarczy.

Jeśli chcesz sprawdzić, czy Twoja przeglądarka wysyła sygnał GPC, możesz zainstalować rozszerzenie przeglądarki ukierunkowane na prywatność lub użyć przeglądarki, która natywnie obsługuje GPC. Honorowanie GPC stanowi uzupełnienie — i nie zastępuje — naszego linku “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”, który pozostaje dostępny dla konsumentów preferujących składanie ręcznego żądania opt-out lub których przeglądarki nie przesyłają sygnału GPC.

Umieść to ujawnienie w wyraźnie zidentyfikowanej podsekcji polityki prywatności, zazwyczaj w pobliżu sekcji “Nie sprzedawaj ani nie udostępniaj” lub “Twoje prawa dotyczące prywatności w Kalifornii”. Ujawnienie musi pozostać dokładne: jeśli zmienisz logikę obsługi GPC, zaktualizuj politykę.

Ujawnianie technologii zautomatyzowanego podejmowania decyzji (ADMT)

Rozporządzenie wykonawcze CCPA obowiązujące od stycznia 2026 r. wprowadziło również obowiązki ujawniania i opt-out wokół Automated Decision-Making Technology (ADMT). Jeśli Twoja firma używa ADMT do podejmowania znaczących decyzji dotyczących konsumentów — na przykład zautomatyzowanej oceny zdolności kredytowej, filtrów rekrutacyjnych, monitorowania pracowników, ubezpieczeń lub istotnych decyzji edukacyjnych lub mieszkaniowych — polityka prywatności musi ujawniać to wykorzystanie, opisywać używaną logikę i wyjaśniać prawo konsumenta do rezygnacji z poddania się ADMT (z ograniczonymi wyjątkami dla wykrywania oszustw i bezpieczeństwa).

Dla większości stron skierowanych do szerokiej publiczności, które nie wykonują znaczącego zautomatyzowanego podejmowania decyzji, ta sekcja może być krótka: krótki akapit potwierdzający, że firma nie używa ADMT do podejmowania decyzji o skutkach prawnych lub podobnie istotnych dla konsumentów. Dla firm, które używają ADMT, wymagane jest bardziej szczegółowe ujawnienie, w tym prawo dostępu do informacji o logice i prawo opt-out. Zobacz naszą pełną analizę siedmiu zmian CCPA 2026 w celu uzyskania pełnych wymagań technicznych.

Dla operatorów w podwójnej jurysdykcji nasze porównanie CCPA vs RODO wyjaśnia, jak nowe obowiązki GPC i ADMT są zgodne — i różnią się — z odpowiednimi koncepcjami RODO (artykuł 22 dotyczący zautomatyzowanego podejmowania decyzji, artykuł 21 dotyczący prawa do sprzeciwu).

Wrażliwe dane osobowe na mocy CPRA

CPRA wprowadził pojęcie “wrażliwych danych osobowych”, obejmujące numery ubezpieczenia społecznego, dane logowania do kont finansowych, dokładną geolokalizację, pochodzenie rasowe lub etniczne, przekonania religijne, treść poczty lub wiadomości tekstowych, dane genetyczne, informacje biometryczne, informacje zdrowotne i orientację seksualną.

Jeśli przedsiębiorstwo zbiera wrażliwe dane osobowe, polityka prywatności musi to ujawnić i zapewnić konsumentom prawo do ograniczenia ich wykorzystywania do celów niezbędnych do świadczenia żądanych towarów lub usług. Należy również umieścić osobny link na stronie głównej: “Ogranicz wykorzystanie moich wrażliwych danych osobowych”.

Ta wzmocniona ochrona wrażliwych kategorii danych odzwierciedla podobne przepisy RODO (Artykuł 9) — egzekwowane w Polsce przez UODO — co odzwierciedla globalny trend ku surowszemu traktowaniu danych osobowych wysokiego ryzyka.

Najczęstsze błędy w zakresie zgodności

Wiele przedsiębiorstw nie przestrzega CCPA nie z powodu celowego zaniedbania, ale z powodu niezrozumienia wymagań ustawy. Oto najczęstsze błędy:

Stosowanie polityki prywatności wyłącznie na potrzeby RODO. Chociaż RODO i CCPA pokrywają się w niektórych obszarach, polityka prywatności zaprojektowana wyłącznie na potrzeby zgodności z RODO nie spełni wymagań CCPA. CCPA ma własne specyficzne kategorie informacyjne, własne ramy praw konsumentów i własne mechanizmy opt-out, które znacząco różnią się od prawa europejskiego. Dla polskich firm przyzwyczajonych do wymagań UODO i ustawy o ochronie danych osobowych, kluczowe jest dodanie elementów specyficznych dla CCPA.

Brak corocznej aktualizacji. Cal. Civ. Code section 1798.130(a)(5) wymaga od przedsiębiorstw aktualizacji polityki prywatności co najmniej raz na 12 miesięcy. Data ostatniej aktualizacji musi być wyraźnie widoczna. Wiele firm tworzy politykę raz i nigdy jej nie weryfikuje, pozostawiając ją nieaktualną w miarę ewolucji praktyk dotyczących danych.

Niekompletne informacje o kategoriach. Wymienienie “danych osobowych” jako jednej kategorii nie jest wystarczające. CCPA wymaga szczegółowego ujawnienia w ramach 12 wymienionych kategorii. Przeanalizuj rzeczywiste przepływy danych, w tym narzędzia analityczne, piksele reklamowe, integracje CRM i przetwórców płatności, aby upewnić się, że każda kategoria jest uwzględniona.

Brak funkcjonalnego mechanizmu opt-out. Link “Nie sprzedawaj” prowadzący do zepsutego formularza, niemonitorowanego adresu email lub ogólnej strony kontaktowej stanowi naruszenie. Opt-out musi działać, a wnioski muszą być przetwarzane w ciągu 15 dni roboczych.

Pomijanie dostawców usług i wykonawców. CCPA rozróżnia “dostawców usług” (którzy przetwarzają dane w imieniu klienta na podstawie umowy) i “osoby trzecie” (które otrzymują dane do własnych celów). Polityka prywatności musi dokładnie charakteryzować te relacje, a umowy muszą zawierać klauzule przetwarzania danych zgodne z CCPA. W Polsce rozróżnienie to jest analogiczne do rozróżnienia RODO między administratorami a podmiotami przetwarzającymi (artykuły 26 i 28).

Egzekwowanie i kary CCPA

Biuro prokuratora generalnego Kalifornii aktywnie egzekwuje CCPA od lipca 2020 roku. Na mocy Cal. Civ. Code section 1798.155 kary obejmują:

  • Do 2 500 $ za nieumyślne naruszenie. Ponieważ każdy rekord konsumenta może stanowić osobne naruszenie, kary kumulują się szybko. Naruszenie danych dotyczące 10 000 kalifornijskich konsumentów mogłoby teoretycznie skutkować 25 milionami dolarów kar.
  • Do 7 500 $ za umyślne naruszenie. Świadome naruszenia CCPA lub naruszenia dotyczące danych osobowych nieletnich poniżej 16 roku życia wiążą się z wyższą karą.
  • Prawo do powództwa prywatnego w przypadku naruszenia danych. Na mocy section 1798.150 konsumenci mogą bezpośrednio pozywać przedsiębiorstwa za naruszenia danych wynikające z niewdrożenia rozsądnych środków bezpieczeństwa. Odszkodowanie ustawowe wynosi od 100 $ do 750 $ za konsumenta za incydent lub odszkodowanie za rzeczywiste szkody, w zależności od tego, która kwota jest wyższa.

California Privacy Protection Agency (CPPA), ustanowiona przez CPRA, dzieli teraz uprawnienia egzekucyjne z prokuratorem generalnym i aktywnie wydaje regulacje oraz prowadzi dochodzenia. Więcej szczegółów o ryzykach egzekwowania znajdziesz w naszym artykule o karach CCPA i naszym porównaniu CCPA vs RODO.

Cztery podejścia do zgodności polityki prywatności z CCPA

Zatrudnienie prawnika specjalizującego się w ochronie prywatności

Koszt: od 3 000 do 8 000 $ za kompleksową politykę prywatności CCPA i infrastrukturę opt-out. Czas: od 2 do 6 tygodni.

Prawnik specjalizujący się w kalifornijskim prawie prywatności przeprowadzi szczegółowe mapowanie danych, przeanalizuje umowy z dostawcami i przygotuje politykę dostosowaną do konkretnych praktyk dotyczących danych. Jest to zalecane dla firm ze złożonymi przepływami danych, dużymi wolumenami danych lub działalnością w wielu stanach USA z własnymi przepisami o prywatności. Dla polskich firm idealny jest prawnik biegły zarówno w RODO, jak i CCPA.

Użycie generycznego narzędzia AI

Pozorny koszt: 0 $. Rzeczywisty koszt: potencjalnie znaczący w zakresie ryzyka egzekwowania.

Generyczne chatboty AI mogą tworzyć tekst przypominający politykę prywatności, ale często pomijają wymagania specyficzne dla CCPA: 12 ustawowych kategorii, wymóg linku opt-out, informacje o wrażliwych danych osobowych i wymaganą częstotliwość aktualizacji. Polityka, która wygląda na zgodną, ale nie zawiera obowiązkowych elementów, tworzy fałszywe poczucie bezpieczeństwa.

Skopiowanie darmowego szablonu

Koszt: 0 $. Ryzyko: wysokie.

Darmowe szablony CCPA dostępne w internecie są zazwyczaj generyczne, nieaktualne (wiele jest sprzed poprawek CPRA) i niedostosowane do konkretnej firmy. Rzadko zawierają odpowiednie mechanizmy opt-out lub informacje o dostawcach usług. Użycie szablonu bez znaczącej personalizacji prawdopodobnie nie spełni wymagań CCPA.

Użycie specjalistycznego generatora dokumentów prawnych

Koszt: 19,90 € do 49,90 € (≈ 16 do 54 USD). Czas: poniżej 10 minut.

Specjalistyczny generator dokumentów prawnych zadaje konkretne pytania o działalność gospodarczą, praktyki zbierania danych i relacje z osobami trzecimi, a następnie tworzy politykę prywatności spełniającą wymagania CCPA. To podejście zapewnia najlepszą równowagę między rygorem zgodności, dostępnością i opłacalnością dla większości firm internetowych.

Podsumowanie

CCPA nakłada szczegółowe i konkretne wymagania na polityki prywatności, które wykraczają poza ogólne dobre praktyki. Jeśli przedsiębiorstwo spełnia którykolwiek z trzech progów stosowalności, polityka prywatności musi wymieniać kategorie zbieranych danych osobowych, wyjaśniać cele, ujawniać udostępnianie osobom trzecim, opisywać prawa konsumentów i sposób ich wykonywania oraz zapewniać funkcjonalne mechanizmy opt-out.

Zacznij od bezpłatnego skanu zgodności, aby ocenić swoją obecną sytuację. Dla polskich firm podlegających RODO poprzez UODO, CCPA dodaje dodatkową warstwę konkretnych obowiązków. Przy aktywnym egzekwowaniu przez CPPA i karach kumulujących się za każde naruszenie, koszt niezgodności znacznie przewyższa koszt dostosowania polityki prywatności. Niezależnie od tego, czy zatrudnisz specjalistę prawnego do złożonych sytuacji, czy skorzystasz ze specjalistycznego generatora do prostych potrzeb zgodności, ważny krok to działanie teraz. Każdy dzień bez polityki prywatności zgodnej z CCPA to dzień niepotrzebnej ekspozycji prawnej.

RODO a Strona Internetowa: Przewodnik 2026 - Podstawy RODO

RODO a Strona Internetowa: Przewodnik 2026

⏱ 8 min czytania
Podstawy RODO Zgodność

RODO a strona internetowa: 10 obowiązków właściciela strony www w 2026. Polityka prywatności, baner cookies, prawa użytkowników. Kary do 20M€.

Ler artigo →
RODO E-commerce 2026: 7 Błędów UODO - Podstawy RODO

RODO E-commerce 2026: 7 Błędów UODO

⏱ 9 min czytania
Podstawy RODO E-commerce

7 najczęstszych błędów RODO w sklepach internetowych, które wywołują kontrolę UODO w 2026 (cookies, transfery USA, podmioty przetwarzające).

Ler artigo →
Strona Firmowa a RODO: Czy Jesteś Zgodny? - Podstawy RODO

Strona Firmowa a RODO: Czy Jesteś Zgodny?

⏱ 9 min czytania
Podstawy RODO Multi

83% stron firmowych narusza RODO. Sprawdź politykę prywatności, cookies i formularze kontaktowe w 10 minut i uniknij kar do 20 milionów euro.

Ler artigo →