California Privacy Rights Act (CPRA) jest ustawą zmieniającą i wzmacniającą prawa konsumentów do prywatności ich danych osobowych. Prawa te zostały ustanowione początkowo przez ustawę California Consumer Privacy Act (CCPA). Nowa ustawa obowiązuje od 1 stycznia 2023 r., a jej egzekwowanie rozpocznie się sześć miesięcy później, czyli 1 lipca 2023 r. Oznacza to, że powołana przez wskazaną ustawę California Privacy Protection Agency (Agencja) będzie mogła wyegzekwować działanie zgodnie z nowym prawem w przypadku wszystkich naruszeń, które będą miały miejsce 1 lipca 2023 roku lub później. Z wyłączeniem prawa dostępu do danych, aktualne zapisy powinny być stosowane do danych zebranych począwszy od 1 stycznia 2022 roku.
Kto podlega przepisom CPRA?
Ustawę CPRA skierowano w szczególności do podmiotów zdefiniowanych jako „business” – takimi podmiotami są między innymi spółki gromadzące dane osobowe konsumentów lub w imieniu których takie dane są zbierane. Business powinien jednocześnie samodzielnie lub wspólnie z innym podmiotem określać cele i sposoby przetwarzania danych osobowych konsumentów z Kalifornii, prowadzić działalność w stanie Kalifornia oraz spełnić jeden z progów wskazanych przez ustawę. Prowadzenie działalności w Kalifornii nie oznacza, że podmiot musi mieć siedzibę w Kalifornii, jest to raczej faktyczne działanie na terenie Kalifornii. Podmiotem określonym jako business może być zatem również spółka europejska.
CPRA określa również obowiązki takich podmiotów jak „service provider”, „contractor” lub „third party”, dlatego podmioty z Unii Europejskiej kierujące swoje usługi do konsumentów z Kalifornii lub w ramach swojej działalności przetwarzające dane takich konsumentów powinny określić swoją rolę zgodnie z ustawą CPRA i wypełniać nałożone przez nią wymagania. Jest to też element transparentności, w szczególności w usługach SaaS.
Jakie obowiązki nakłada CPRA?
Obowiązki nakładane przez CPRA zależne są od rodzaju podmiotu, który im podlega. Przykładowo podmioty takie jak business lub third party muszą wypełnić obowiązki informacyjne względem konsumentów, w tym powiadomić ich o uprawnieniach przyznawanych na gruncie CPRA. Należy także wdrożyć mechanizmy pozwalające konsumentowi na rezygnację z przetwarzanych danych oraz ograniczenie ich przetwarzania.
Podmioty określone jako service provider oraz contractor powinny zawrzeć odpowiednie umowy z przedsiębiorcami pozwalające im na przetwarzanie danych zgodnie z zawartą umową.
Różnice pomiędzy CCPA i CPRA
CPRA rozszerza uprawnienia konsumentów w zakresie przetwarzania ich danych osobowych, co powoduje, że podmioty powinny powiadomić użytkowników o nowych prawach. CPRA wprowadza także nową kategorię danych – dane wrażliwe (sensitive personal data). Należą do nich na przykład dokładne dane geolokalizacyjne, czy numer karty debetowej lub kredytowej w połączeniu z kodem dostępu. W przypadku ich przetwarzania wszystkie informacje dotyczące celów i sposobów przetwarzania, w tym retencji, powinny zostać opisane bezpośrednio w odniesieniu do tych danych, jako osobnej kategorii. Cele biznesowe, do jakich podmioty mogą wykorzystywać dane osobowe, zostały również zaktualizowane. Stąd należy dostosować brzmienie dokumentacji prawnej udostępnianej podmiotom danych (w szczególności polityki prywatności lub tzw. End User Privacy Policy), do nowych postanowień.
Przedsiębiorcy powinni zapewniać na swoich stronach internetowych odpowiedni mechanizm pozwalający na wykonywanie przez konsumentów ich uprawnień w zakresie ograniczenia przetwarzania danych wrażliwych (na stronach internetowych poprzez link „Limit The Use Of My Sensitive Personal Information”). Od 1 stycznia 2023 roku usługowcy powinni wyposażyć strony internetowe w link „Do Not Sell Or Share My Personal Information”. Dodatkowe obowiązkami wiążą się bowiem także z udostępnianiem danych osobowych, a nie tylko ich sprzedażą, co miało miejsce na gruncie CCPA.
Zgodność z RODO a zgodność z CPRA
CPRA mocno wzoruje się na RODO w zakresie ochrony danych osobowych, ale oprócz analogicznych uprawnień podmiotów danych wprowadza szereg dodatkowych uprawnień, obowiązków informacyjnych oraz konieczność wdrożenia odpowiednich mechanizmów na stronach internetowych.
Dodatkowo CPRA wprowadziła aż cztery kategorie podmiotów i określiła ich definicje, a każdy podmiot ma inne obowiązki. Na gruncie RODO mamy tylko dwa podmioty – administratora danych i podmiot przetwarzający, co powoduje, ze każdorazowo trzeba zweryfikować, jakim obowiązkom podlega spółka na gruncie CPRA.
Jeżeli jesteś usługodawcą SaaS, posiadasz aplikację mobilną lub w inny sposób przetwarzasz dane konsumentów z Kalifornii i chcesz wdrożyć CPRA na swojej stronie internetowej i w dokumentacji prawnej, to napisz do mnie na adres: patrycja@patrycjabadek.legal.