Jak wskazuje wielu ekspertów z dziedziny RODO- dane osobowe są ropą XXI wieku. Rynek danych osobowych jest nieuregulowany i często zmonopolizowany, a same dane mają wartość porównywalną do ropy 100 lat temu. Przedsiębiorcy oswoili się już z regulacjami europejskiego rozporządzenia w zakresie RODO, jednak ci, którzy prowadzą również działalność na rynku międzynarodowym powinni zagłębić się w temat tak zwanego „Kalifornijskiego” RODO.

Kto ma obowiązek stosować się do przepisów „Kalifornijskiego RODO”?

Zgodnie z przepisami CCPA mają one zastosowanie do przedsiębiorców, którzy są definiowani w tej ustawie jako podmioty, które:
– działają zarobkowo,
– przetwarzają dane osobowe lub na rzecz których przetwarzane są dane osobowe,
– określają cele i sposoby przetwarzania danych osobowych,
– prowadzą działalność w Kalifornii,
– spełniają co najmniej jeden z następujących warunków: ich roczne przychody brutto przekraczają 25 milionów dolarów, samodzielnie lub łącznie, rocznie kupują, otrzymują, sprzedają lub udostępniają do celów komercyjnych dane osobowe 50 000 lub więcej konsumentów, gospodarstw domowych lub urządzeń, czerpią 50% lub więcej swoich rocznych przychodów brutto ze sprzedaży danych osobowych.

Dlaczego „Kalifornijskie” RODO jest istotne również dla przedsiębiorców mających siedzibę poza Stanami Zjednoczonymi?

Od 1 lipca 2020 r. przepisy CCPA są egzekwowane przez Prokuratora Generalnego Kalifornii, który jest organem nadzorczym w zakresie ochrony danych. Jednym z jego zadań w tym zakresie jest między innymi podejmowanie w stosunku do przedsiębiorców z całego świata- również z Polski konkretnych działań w przypadku naruszenia przez nich przepisów CCPA, w stosunku do osób fizycznych będących rezydentami stanu Kalifornia. Temat „Kalifornijskiego” RODO nie był szeroko poruszany w środkach masowego przekazu, ani też w social mediach, dlatego też wielu polskich przedsiębiorców może nie mieć świadomości o konieczności przestrzegania przepisów ustawy CCPA.

Jakie dane osobowe obejmuje CCPA

Dane osobowe zdefiniowane w tzw. Kalifornijskim RODO nie ograniczają się tylko do danych, które faktycznie mogą umożliwić zidentyfikowanie konkretnej osoby fizycznej. W zakres danych osobowych chronionych tzw. Kalifornijskim RODO są również dane elektroniczne takie jak między innymi: pliki cookies, adres IP, sygnały nawigacyjne, znaczniki pikselowe, numery telefonów, adresy IP, nazwy kont, dane biometryczne (twarz, siatkówka oka, odciski palców, DNA, nagrania głosu, dane na temat zdrowia), informacje o lokalizacji, historia przeglądania oraz dane dotyczące przekonań religijnych, politycznych czy też orientacji seksualnej.

Podstawowe różnice między europejskim i „Kalifornijskim” RODO

W przypadku europejskiego RODO zastosowanie ma tak zwana zasada legalizmu. Oznacza to, że przetwarzanie danych osobowych możliwe jest w oparciu o określony przepis, który należy wskazać jako podstawę prawną przetwarzania danych osobowych. W odniesieniu do CCPA, zasada legalizmu nie występuje. Co do zasady przedsiębiorcy może przetwarzać dane osobowe osób fizycznych, dla celów biznesowych bez wskazania podstawy prawnej, ani też wyrażenia przez nią zgody w sposób adekwatny i proporcjonalny do realizacji tych celów, aż do czasu, gdy podmiot danych skorzysta z prawa do sprzeciwu, albo z prawa do usunięcia danych. Dlatego też istotne jest to, że przedsiębiorcy działający na arenie międzynarodowej, podlegający pod przepisy CCPA muszą spełniać konkretne obowiązki informacyjne, w celu realizacji uregulowań wskazanych w CCPA.

Z ustawą CCPA można zapoznać się w języku angielskim pod poniższym linkiem:

https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375