Jeśli Twoja strona internetowa obsługuje użytkowników zarówno w Unii Europejskiej, jak i w Kalifornii, prawdopodobnie podlegasz dwóm z najbardziej wpływowych regulacji dotyczących prywatności na świecie: ogólnemu rozporządzeniu o ochronie danych (RODO) i California Consumer Privacy Act (CCPA), zmienionemu przez California Privacy Rights Act (CPRA). Chociaż oba akty prawne mają na celu ochronę danych osobowych, zasadniczo różnią się w podejściu, zakresie i egzekwowaniu. Zrozumienie tych różnic nie jest opcjonalne — jest kluczowe dla budowy strategii zgodności, która spełnia wymagania obu ram prawnych bez zbędnej duplikacji lub luk. Ten artykuł oferuje szczególną perspektywę dla polskich firm, gdzie UODO egzekwuje RODO.
Podstawy filozoficzne: opt-in vs opt-out
Najbardziej fundamentalna różnica między RODO a CCPA tkwi w ich domyślnym modelu zgody.
RODO opiera się na zasadzie opt-in. Zgodnie z artykułem 6 RODO przetwarzanie danych osobowych wymaga podstawy prawnej przed jakimkolwiek zbieraniem danych. Dla wielu rodzajów przetwarzania — w szczególności marketingu, profilowania i analityki — wyraźna zgoda musi być uzyskana od osoby, której dane dotyczą, przed zbieraniem danych. Oznacza to, że gdy europejski użytkownik odwiedza Twoją stronę po raz pierwszy, nie możesz ustawiać nieistotnych plików cookie, uruchamiać pikseli śledzących ani zbierać danych behawioralnych, dopóki użytkownik nie wyrazi wyraźnej zgody. W Polsce UODO wydał szczegółowe wytyczne dotyczące cookies i zgody.
CCPA opiera się na zasadzie opt-out. Przedsiębiorstwa mogą zbierać i wykorzystywać dane osobowe bez uzyskania uprzedniej zgody (z pewnymi wyjątkami dla nieletnich poniżej 16 roku życia). Zamiast tego CCPA daje konsumentom prawo do sprzeciwienia się sprzedaży lub udostępnianiu ich danych osobowych po fakcie. Przedsiębiorstwo musi udostępnić link “Nie sprzedawaj ani nie udostępniaj moich danych osobowych”, ale może przetwarzać dane domyślnie, dopóki konsument nie skorzysta z tego prawa.
Ta różnica ma głębokie implikacje praktyczne. Strona zgodna z RODO, która blokuje wszelkie śledzenie do momentu uzyskania zgody, spełni również mniej restrykcyjne wymagania CCPA. Ale strona zgodna z CCPA, która domyślnie śledzi użytkowników i polega na opt-out, naruszy RODO, jeśli obsługuje użytkowników europejskich bez uprzedniej zgody.
Zakres i stosowalność
Kto jest chroniony
RODO: Każda “osoba, której dane dotyczą” przebywająca w Unii Europejskiej, niezależnie od narodowości czy miejsca zamieszkania. Amerykański turysta przeglądający stronę internetową podczas wizyty w Warszawie jest chroniony przez RODO podczas tej wizyty. Rozporządzenie chroni osoby fizyczne, nie przedsiębiorstwa.
CCPA: Kalifornijscy “konsumenci”, zdefiniowani jako osoby fizyczne będące rezydentami Kalifornii. Ochrona podąża za miejscem zamieszkania osoby, a nie jej fizyczną lokalizacją. Rezydent Kalifornii przeglądający stronę internetową podczas wakacji w Tokio nadal jest chroniony przez CCPA.
Które przedsiębiorstwa muszą się stosować
RODO: Każda organizacja, gdziekolwiek na świecie, która przetwarza dane osobowe osób w UE, pod warunkiem że oferuje towary lub usługi rezydentom UE lub monitoruje ich zachowanie (artykuł 3). Nie ma progu przychodowego ani minimalnego wolumenu danych. Jednoosobowy blog zbierający adresy email od odwiedzających z UE musi się stosować. UODO potwierdził to podejście w licznych decyzjach.
CCPA: Przedsiębiorstwa nastawione na zysk prowadzące działalność w Kalifornii i spełniające co najmniej jeden z trzech progów: roczny przychód brutto powyżej 25 milionów dolarów; kupowanie, sprzedawanie lub udostępnianie danych osobowych 100 000 lub więcej konsumentów lub gospodarstw domowych; lub uzyskiwanie 50% lub więcej rocznych przychodów ze sprzedaży lub udostępniania danych osobowych. Organizacje non-profit i podmioty rządowe są zwolnione.
Definicja danych osobowych
RODO: “Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (artykuł 4 ust. 1). Obejmuje to imiona, adresy email, adresy IP, identyfikatory plików cookie, dane lokalizacyjne, identyfikatory online, a nawet dane pseudonimizowane, jeśli możliwa jest ponowna identyfikacja.
CCPA: “Dane osobowe” są definiowane szerzej pod pewnymi względami, obejmując informacje, które “identyfikują, dotyczą, opisują, mogą być racjonalnie powiązane z, lub mogą być racjonalnie powiązane, bezpośrednio lub pośrednio, z konkretnym konsumentem lub gospodarstwem domowym”. Dodanie “gospodarstwa domowego” rozszerza ochronę poza jednostkę. Jednak informacje publicznie dostępne są wyraźnie wyłączone z definicji CCPA, podczas gdy RODO nie wprowadza takiego wyłączenia.
Prawa konsumentów/osób, których dane dotyczą
Oba akty prawne przyznają osobom prawa dotyczące ich danych osobowych, ale szczegóły różnią się:
| Prawo | RODO | CCPA/CPRA |
|---|---|---|
| Prawo dostępu/wiedzy | Artykuł 15: prawo do uzyskania potwierdzenia i kopii wszystkich danych osobowych | Sekcja 1798.100: prawo do wiedzy o kategoriach i konkretnych elementach zebranych w ostatnich 12 miesiącach |
| Prawo do usunięcia | Artykuł 17: prawo do usunięcia (“prawo do bycia zapomnianym”) z szerokimi wyjątkami | Sekcja 1798.105: prawo do usunięcia z określonymi wyjątkami |
| Prawo do przenoszenia | Artykuł 20: prawo do otrzymania danych w formacie odczytywalnym maszynowo | Brak odpowiednika w CCPA |
| Prawo do sprostowania | Artykuł 16: prawo do sprostowania | Sekcja 1798.106 (dodana przez CPRA): prawo do poprawienia niedokładnych informacji |
| Prawo do sprzeciwu wobec sprzedaży | Nie ma bezpośredniego zastosowania (model oparty na zgodzie) | Sekcja 1798.120: prawo do sprzeciwu wobec sprzedaży i udostępniania |
| Prawo do ograniczenia danych wrażliwych | Artykuł 9: kategorie szczególne wymagają wyraźnej zgody | Sekcja 1798.121 (CPRA): prawo do ograniczenia wykorzystywania wrażliwych danych osobowych |
| Prawo do niedyskryminacji | Dorozumiane w ogólnych zasadach | Sekcja 1798.125: wyraźny zakaz dyskryminacji konsumentów korzystających ze swoich praw |
| Termin odpowiedzi | 1 miesiąc (z możliwością przedłużenia do 3) | 45 dni (z możliwością przedłużenia do 90) |
Nie wiesz, jakie przepisy dotycza Twojej strony? Darmowy skaner zgodnosci WebLegal analizuje Twoja strone i identyfikuje wymagane dokumenty prawne oraz wymogi dotyczace prywatnosci.
Podstawy prawne przetwarzania
To tutaj oba ramy prawne rozbiegają się najbardziej.
RODO: Artykuł 6 wymaga jednej z sześciu podstaw prawnych dla każdej czynności przetwarzania: zgoda, wykonanie umowy, obowiązek prawny, ochrona żywotnych interesów, interes publiczny lub uzasadniony interes. Wybór podstawy prawnej musi być udokumentowany i zakomunikowany osobom, których dane dotyczą. Dla szczególnych kategorii danych (artykuł 9) musi być spełniony dodatkowy warunek, zazwyczaj wyraźna zgoda. UODO i ustawa o ochronie danych osobowych dostarczają szczegółowych wytycznych dotyczących wyboru odpowiedniej podstawy prawnej.
CCPA: W CCPA nie istnieje pojęcie “podstawy prawnej”. Przedsiębiorstwa mogą zbierać i przetwarzać dane osobowe w dowolnym ujawnionym celu biznesowym. Ustawa reguluje ujawnianie informacji i prawa opt-out zamiast wymagać potwierdzającego uzasadnienia dla każdej czynności przetwarzania.
Egzekwowanie i kary
Egzekwowanie RODO
Egzekwowanie prowadzą organy ochrony danych w każdym państwie członkowskim UE. W Polsce UODO jest szczególnie aktywny. Maksymalne kary na podstawie artykułu 83 to:
- Do 10 milionów euro lub 2% światowego rocznego obrotu za mniejsze naruszenia
- Do 20 milionów euro lub 4% światowego rocznego obrotu za poważne naruszenia
UODO nałożył w ostatnich latach znaczące kary finansowe. Organy mogą również wydać zakazy przetwarzania, zakazy przekazywania danych i wymagać konkretnych środków naprawczych.
Egzekwowanie CCPA
Egzekwowanie jest dzielone między prokuratora generalnego Kalifornii i CPPA:
- Do 2 500 $ za nieumyślne naruszenie
- Do 7 500 $ za umyślne naruszenie lub naruszenie dotyczące nieletnich
- Prawo do prywatnego powództwa za naruszenia danych: od 100 $ do 750 $ za konsumenta za incydent
Przekazywanie danych
RODO: Przekazywanie danych osobowych poza UE/EOG jest ograniczone przez rozdział V RODO. Przekazywanie wymaga decyzji o adekwatności, standardowych klauzul umownych (SKU), wiążących reguł korporacyjnych lub innego zatwierdzonego mechanizmu przekazywania.
CCPA: Nie ma ograniczeń dotyczących międzynarodowego przekazywania danych w ramach CCPA. Ustawa reguluje sposób zbierania, wykorzystywania, sprzedaży i udostępniania danych, ale nie ogranicza, gdzie są przechowywane lub przetwarzane geograficznie.
Praktyczna strategia zgodności dla firm w dwóch jurysdykcjach
Jeśli Twoja strona obsługuje zarówno użytkowników z UE, jak i z Kalifornii, oto praktyczne podejście dla polskich firm:
1. Zacznij od zgodności z RODO. Wymagania RODO są generalnie bardziej rygorystyczne. Polityka prywatności, mechanizm zgody i praktyki przetwarzania danych zgodne z RODO spełnią większość wymagań CCPA. Stosuj się do wytycznych UODO i wymagań ustawy o ochronie danych osobowych.
2. Dodaj elementy specyficzne dla CCPA. Dodaj ujawnienia i mechanizmy, których wymaga CCPA, a RODO nie: link “Nie sprzedawaj ani nie udostępniaj”, ramę ujawnień w 12 kategoriach, opt-out dla wrażliwych danych osobowych i coroczną aktualizację z datą.
3. Wdroz zgode oparta na geolokalizacji. Uzyj platformy zarzadzania zgoda, ktora wykrywa lokalizacje uzytkownika i stosuje odpowiedni model zgody: opt-in dla odwiedzajacych z UE, prawa opt-out dla odwiedzajacych z Kalifornii. Darmowy banner cookies WebLegal zarzadza zgoda RODO i moze sluzyc jako podstawa dla podejscia multi-jurysdykcyjnego.
4. Prowadź oddzielne rejestry. RODO wymaga rejestrów czynności przetwarzania (artykuł 30). CCPA wymaga dokumentacji żądań konsumentów i odpowiedzi. Prowadź oba. W Polsce UODO regularnie sprawdza prowadzenie rejestru czynności przetwarzania.
5. Przeanalizuj umowy z dostawcami. Upewnij się, że umowy z podmiotami przetwarzającymi (RODO) i dostawcami usług (CCPA) spełniają wymagania obu ram prawnych. Terminologia się różni, ale leżący u podstaw obowiązek — kontrolowanie, jak osoby trzecie przetwarzają dane Twoich użytkowników — jest taki sam.
Podsumowanie
RODO i CCPA reprezentują dwa odmienne podejścia do regulacji prywatności: europejska kompleksowa zgoda versus kalifornijska ukierunkowana przejrzystość. Żadne nie obejmuje drugiego. Firma obsługująca użytkowników w obu jurysdykcjach potrzebuje strategii zgodności, która uwzględnia wymagania zgody RODO, ramy podstaw prawnych i ograniczenia przekazywania danych, a także specyficzne kategorie ujawnień CCPA, mechanizmy opt-out i strukturę kar za naruszenie.
Koszt podwójnej niezgodności jest znaczny. Koszt budowy ujednoliconej strategii prywatności, która spełnia oba ramy prawne, jest możliwy do zarządzania — i znacznie niższy niż ryzyko egzekwowania w przypadku błędu. Dla polskich firm nadzorowanych przez UODO i narażonych na CCPA, priorytetem jest zajęcie się oboma ramami teraz, zamiast reaktywnego działania po czynnościach egzekucyjnych.