RODO a CCPA: Wszystko na temat kalifornijskiej ustawy o prywatności konsumentów z 2020 r. (i tego, jak ma się ona do RODO)

Artykuł 4 RODO, CCPA 1798.140

Podmioty danych, zdefiniowane jako zidentyfikowane lub możliwe do zidentyfikowania osoby, których dotyczą dane osobowe.

Konsumenci, definiowani jako mieszkańcy Kalifornii, którzy są:

• W Kalifornii w celu innym niż tymczasowy lub przejściowy.
• Zamieszkały w Kalifornii, ale obecnie przebywają poza Stanem w celach tymczasowych lub przejściowych.

Konsumenci to:

• Klienci artykułów i usług gospodarstwa domowego.
• Pracownicy.
• Transakcje między przedsiębiorstwami.

Chociaż ani RODO, ani CCPA nie mają zastosowania do osób prawnych, oba mają zastosowanie do osób fizycznych, ale z różnym sposobem ich zdefiniowania. CCPA wyraźnie stwierdza, że ​​ma zastosowanie do mieszkańców Kalifornii, podczas gdy RODO używa bardziej niejasnego terminu „podmioty danych UE” bez wymieniania żadnych wymogów dotyczących miejsca zamieszkania lub obywatelstwa. CCPA chroni również dane, które można powiązać z konkretnym gospodarstwem domowym , a nie tylko z osobą, jak to robi RODO.

Artykuł 3 RODO, CCPA 1798.140

Administratorzy danych i podmioty przetwarzające dane:

• Z siedzibą w UE, które przetwarzają dane osobowe w kontekście działalności zakładu UE, niezależnie od tego, czy przetwarzanie danych odbywa się na terenie UE.
• Nie mające siedziby w UE, które przetwarzają dane osobowe podmiotów danych z UE w związku z oferowaniem towarów lub usług w UE lub monitorowaniem ich zachowania.

Każdy podmiot nastawiony na zysk prowadzący działalność w Kalifornii, który spełnia jeden z poniższych warunków:

• Ma przychód brutto przekraczający 25 milionów dolarów.
• Rocznie kupuje, otrzymuje, sprzedaje lub udostępnia dane osobowe ponad 50 000 konsumentów, gospodarstw domowych lub urządzeń w celach komercyjnych.
• Pozyskuje 50 procent lub więcej rocznych przychodów ze sprzedaży danych osobowych konsumentów.

Zakres RODO jest szeroki: dotyczy wszystkich organizacji, od firm po instytucje publiczne i sektor non-profit. W międzyczasie CCPA ograniczyła jego zastosowanie do firm nastawionych na zysk, które spełniają bardzo jasne wymagania.

W odniesieniu do lokalizacji geograficznej RODO ma zastosowanie do każdej firmy, która przetwarza dane osób, których dane dotyczą, bez względu na to, gdzie się znajdują. CCPA nie jest jasne w tej kwestii: firmy podlegające jej jurysdykcji muszą „prowadzić interesy w Kalifornii”, ale nie wyjaśnia, czy firma musi być zlokalizowana w stanie lub spełniać określone progi zysku, aby kwalifikować się jako takie.

Artykuł 4 RODO, CCPA 1798.140

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby, której dane dotyczą. RODO zabrania przetwarzania określonych szczególnych kategorii danych osobowych, chyba że ma zastosowanie zgodne z prawem uzasadnienie przetwarzania.

Dane osobowe, które identyfikują, odnoszą się, opisują, mogą być powiązane lub mogą być powiązane bezpośrednio lub pośrednio z konkretnym konsumentem lub gospodarstwem domowym.

RODO ma zastosowanie do wszystkich kategorii danych osobowych, podczas gdy CCPA ma zastosowanie tylko do danych nieobjętych istniejącymi federalnymi przepisami dotyczącymi prywatności, takimi jak Ustawa Gramm-Leach-Bliley (GLBA) lub Ustawa o przenoszeniu i rozliczaniu informacji o zdrowiu (HIPAA).

Artykuł 4 RODO, CCPA 1798.140

Dane pseudonimiczne są uważane za dane osobowe. Dane anonimowe nie są uważane za dane osobowe.

Ustawa CCPA nie ogranicza możliwości firmy w zakresie gromadzenia, wykorzystywania, przechowywania, sprzedaży ani ujawniania informacji o konsumentach pozbawionych elementów identyfikujących lub zagregowanych. Jednak CCPA ustanawia wysoką poprzeczkę dla twierdzenia, że ​​dane są zdeidentyfikowane lub zagregowane. Dane pseudonimowe mogą kwalifikować się jako dane osobowe w ramach CCPA, ponieważ nadal można je powiązać z konkretnym konsumentem lub gospodarstwem domowym.

Definicja „pseudonimizacji” w RODO i CCPA jest bardzo podobna pod tym względem, że jest to przetwarzanie danych osobowych w taki sposób, że danych osobowych nie można już przypisać zidentyfikowanej lub możliwej do zidentyfikowania osobie bez wykorzystania dodatkowych informacji, przez wprowadzenie środków technicznych i organizacyjnych, które oddzielnie przechowują dodatkowe informacje potrzebne do identyfikacji.

Artykuł 13 RODO, CCPA 1798.100

Administratorzy danych muszą dostarczyć szczegółowe informacje o swoich działaniach związanych z gromadzeniem danych osobowych i przetwarzaniem danych. Zawiadomienie musi zawierać szczegółowe informacje w zależności od tego, czy dane są zbierane bezpośrednio od osoby, której dane dotyczą, czy od strony trzeciej.

Firmy muszą informować konsumentów o:

• Zebrane kategorie danych osobowych.
• Zamierzone cele użytkowania dla każdej kategorii.

Zarówno RODO, jak i CCPA wymagają, aby organizacje ujawniały, co robią z gromadzonymi danymi osobowymi. CCPA wymaga jednak od firm ujawniania sprzedaży danych i czynności związanych z przetwarzaniem danych w ciągu ostatnich 12 miesięcy, podczas gdy RODO nie nakłada takich ograniczeń.

Artykuł 24 RODO, CCPA 1798.150

RODO wymaga od administratorów danych i podmiotów przetwarzających dane podjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka.

CCPA nie nakłada bezpośrednio wymogów bezpieczeństwa danych. Ustanawia jednak prawo do podjęcia działań w przypadku niektórych naruszeń ochrony danych, które wynikają z naruszenia przez firmę obowiązku wdrożenia i utrzymywania rozsądnych praktyk i procedur bezpieczeństwa odpowiednich do ryzyka wynikającego z obowiązującego prawa stanu Kalifornia.

• Zebrane kategorie danych osobowych.
• Zamierzone cele użytkowania dla każdej kategorii.

Zasadniczo podobne w podejściu ustawowym, chociaż rozsądne środki bezpieczeństwa mogą się różnić do pewnego stopnia w zależności od okoliczności organizacji i interpretacji regulatora.

RODO art. 12 – art. 21, CCPA 1798.120

Rozszerzone prawa jednostki :

• uzyskać dostęp do swoich informacji;
• skorygować niedokładności;
• usunąć informacje;
• zapobiegać marketingowi bezpośredniemu;
• zapobiegać zautomatyzowanemu podejmowaniu decyzji i profilowaniu;
• możliwość przenoszenia danych.

Rozszerzone prawa jednostki :

• uzyskać dostęp do swoich informacji;
• skorygować niedokładności;
• usunąć informacje;
• zapobiegać marketingowi bezpośredniemu;
• zapobiegać zautomatyzowanemu podejmowaniu decyzji i profilowaniu;
• możliwość przenoszenia danych.

Podczas gdy RODO wymaga od organizacji uzyskania uprzedniej zgody od osób, których dane dotyczą, na przetwarzanie danych i dostęp stron trzecich do ich danych, CCPA umożliwia osobom, których dane dotyczą, zrezygnowanie ze sprzedaży ich danych i wymaga, aby firmy miały widoczny link na górze ich strony głównej w tym celu.

Zarówno RODO, jak i CCPA dają prawo do przenoszenia danych, a mianowicie do dostarczania konsumentom ich danych osobowych w powszechnie używanym formacie nadającym się do odczytu maszynowego, który można następnie przesłać innemu podmiotowi.

RODO idzie o krok dalej w tym kierunku, nakładając na organizacje obowiązek przekazania na żądanie informacji o osobie, której dane dotyczą, innemu administratorowi danych.

Zgodnie z CCPA firmy są zobowiązane do dostarczania konsumentom informacji w formie elektronicznej wyłącznie w łatwym do użytku formacie.

Chociaż prawo RODO do usunięcia ma kilka godnych uwagi wyjątków, takich jak dane niezbędne do korzystania z prawa do wolności wypowiedzi lub dane potrzebne do zapewnienia zgodności z prawem UE lub państw członkowskich UE, CCPA rozszerza te wyjątki, obejmując nie tylko wolność słowa i informacji. potrzebne w przypadku umów, ale przede wszystkim również do zastosowań wewnętrznych zgodnych z kontekstem, w którym konsument dostarczył dane.

Artykuł 8 RODO, CCPA 1798.120

Domyślny wiek, w jakim można wyrazić zgodę, to 16 lat, chociaż prawo poszczególnych państw członkowskich może obniżyć wiek do nie mniej niż 13 lat.

Osoba sprawująca władzę rodzicielską musi wyrazić zgodę na dzieci poniżej wieku wyrażającego zgodę. Dzieci muszą otrzymać odpowiednią dla wieku informację o ochronie prywatności.

Dane osobowe dzieci podlegają zaostrzonym wymogom bezpieczeństwa.

CCPA zabrania sprzedaży danych osobowych konsumenta poniżej 16 roku życia bez zgody.

Dzieci w wieku 13-16 lat mogą bezpośrednio wyrazić zgodę. Dzieci poniżej 13 roku życia wymagają zgody rodziców.

RODO kładzie nacisk na szczególną ochronę dzieci i zawiera szczegółowe przepisy dotyczące ochrony danych osobowych dzieci podczas przetwarzania w celu świadczenia usług społeczeństwa informacyjnego.

CCPA ustanawia specjalną zasadę dla dzieci w odniesieniu do „sprzedaży” danych osobowych, jednak zasada ta nie ogranicza się do usług społeczeństwa informacyjnego.