Stosowanie California Consumer Privacy Act (CCPA) w stosunku do polskich przedsiębiorców

Pomimo tego, że Kalifornijska Ustawa o Ochronie Prywatności Konsumentów („CCPA”) obowiązuje od 1 stycznia 2020 r., Departament Prokuratora Generalnego Kalifornii (odpowiednik naszego Urzędu Ochrony Danych Osobowych) może rozpocząć egzekwowanie przepisów CCPA w stosunku do przedsiębiorców z innych regionów świata (również z Polski) od 1 lipca 2020 r. Jeżeli chcesz uniknąć sankcji administracyjnych oraz roszczeń ze strony konsumentów (rezydentów) z Kalifornii, zapoznaj się z poniższą treścią.

I. Czy CCPA mnie obowiązuje?

Jeżeli prowadzisz działalność gospodarczą i zbierasz dane osobowe rezydentów z Kalifornii[1] oraz spełniasz jednocześnie chociaż jedno z poniższych kryteriów:

• Twój roczny przychód przekracza 25 milionów USD,
• rocznie otrzymujesz, kupujesz, sprzedajesz lub udostępniasz do celów komercyjnych dane osobowe,
• przetwarasz dane 50 000 lub więcej konsumentów;gospodarstw domowych lub urządzeń (dla dowolnej z tych trxech kategorii lub łącznie)[2];
• co najmniej 50% Twojego przychodu uzyskujesz ze sprzedaży danych osobowych,

CCPA ma wówczas zastosowanie wobec Twojej działalności.

Co więcej, CCPA będzie obowiązywać przedstawicieli następujących branż:

1. Przedsiębiorstwa e-commerce, właściciele portali internetowych umieszczający 
   reklamowe pliki cookies na swoich stronach – potrzebują zaledwie 137 odwiedzin rezydentów Kalifornii dziennie, żeby podlegać CCPA,
2. Wydawcy, których aplikacja mobilna została pobrana 50.000 razy w skali roku przez kalifornijskich konsumentów,
3. Domy mediowe, agencje marketingowe kierujące reklamy do konsumentów z Kalifornii.

Na pierwszy rzut oka znacząca część osób czytających ten tekst odpowie przecząco – „przecież nie mam kontaktu z Kalifornijczykami i nie przetwarzam ich danych osobowych”. Nic bardziej mylnego!

II. Definicja danych osobowych i przykłady

Definicja danych osobowych w CCPA ujęta jest bardzo szeroko, danymi osobowymi są m.in.:

• identyfikator online,
• unikalny identyfikator personalny,
• adres protokołu internetowego,
• nazwa konta,
• numer ubezpieczenia społecznego,
• numer prawa jazdy,
• numer paszportu lub inne podobne identyfikatory.

Należy zauważyć, że CCPA określa „unikalny identyfikator personalny” jako „trwały identyfikator, który może zostać użyty do rozpoznawania konsumenta, gospodarstwa domowego lub urządzenia powiązanego z konsumentemlub jego gospodarstwa domowego, w miarę upływu czasu i w ramach różnych usług, w tym, ale nie wyłącznie do:  identyfikatora urządzenia; adresu protokołu internetowego; plików cookies, pixel tagów, identyfikatorów reklam mobilnych lub podobnych technologii …, których można użyć do identyfikacji konkretnego konsumenta lub urządzenia[3]”.

W połączeniu z niezwykle szeroką definicją sprzedaży danych osobowych[4], która określa sprzedaż danych osobowych jako: „wynajem, sprzedaż, wydanie,  ujawnienie, rozpowszechnianie, udostępnianie, przekazywanie lub inne formy komunikacji ustnej, pisemnej lub elektronicznej lub w inny sposób, dane osobowe konsumenta przekazane przez firmę innemu przedsiębiorstwu lub stronie trzeciej w celu zapłaty pieniężnej lub innej wartościowej zapłaty”, dochodzimy do wniosku, że przepisy CCPA będą obowiązywać znacznie szerszy krąg polskich przedsiębiorców.

III. Proponowane działania i wysokości kar pieniężnych

Prokurator Generalny Kalifornii może nałożyć na przedsiębiorcę karę finansową w wysokości 7.500 USD za każde pojedyncze naruszenie przepisów CCPA, natomiast rezydenci Kalifornii będą mogli żądać odszkodowania indywidualnego na poziomie od 100 do 750 USD za pojedynczy incydent.

Warto zauważyć, że incydent nie oznacza tylko wycieku danych osobowych, ale również niedostosowanie polityki prywatności do wymagań CCPA lub podanie w niej nieaktualnych informacji.

Obrazuje to dobrze sprawa Sheth v. Ring[5], w której powód twierdził, że o ile nie doszło do naruszenia jego danych osobowych, to brak przejrzystego określenia podmiotów w polityce prywatności 
na stronie internetowej, do których dane były „sprzedawane” osobom trzecim nie były określone polityce prywatności strony pozwanej, stanowi incydent i naruszenie CCPA. Podobne roszczenia zostały wniesione w innych sprawach, w których zarzucane są naruszenia CCPA w związku z brakiem poinformowania konsumenta o przekazywaniu jego danych osobowych (Burke v. Clearview AI, Inc.[6], Cullen v. Zoom Video Communications[7])[8].

Mając na uwadze powyższe, wystarczy że kilkaset rezydentów Kalifornii (z prawie 40 mln populacji) złoży skargę do Prokuratora Generalnego Kalifornii i będzie żądało po 200 dolarów za brak przejrzystej dla nich polityki prywatności spełniającej wymagania CCPA. Rachunek jest prosty – brak dostosowania przedsiębiorcy do regulacji CCPA może spowodować kary finansowe w wysokości kilkadziesiąt lub kilkaset tysięcy dolarów.

adw. dr Jacek Markowski

Przypisy: 

[1]  Dotyczy to również mieszkańców Kalifornii przebywających aktualnie poza Kalifornią, jak również osób przebywających w Kalifornii z przyczyn innych niż przejściowe – Section 17014 of Title 18 of the California Code of Regulations “The term “resident,” as defined in the law, includes (1) every individual who is in the State for other than a temporary or transitory purpose, and (2) every individual who is domiciled in the State who is outside the State for a temporary or transitory purpose. All other individuals are nonresidents.”

[2] Section 1798.140. (j) CCPA. Device means any physical object that is capable of connecting to the internet, directly or indirectly, or to another device.

[3] Section 1798.140. (X) CCPA.

[4] Section 1798.140. (t)(1) CCPA.

[5] https://www.courtlistener.com/docket/16860151/abhi-sheth-v-ring-llc/

[6]   https://www.courtlistener.com/docket/16904744/burke-v-clearview-ai-inc/