GDPR vs. CCPA: Totul despre Legea privind confidențialitatea consumatorilor din California din 2020 (și cum se combină cu GDPR)

GDPR articolul 4, CCPA 1798.140

Subiecții datelor, definite ca persoane identificate sau identificabile la care se referă datele cu caracter personal.

Consumatorii, definiți ca rezidenți din California, care sunt fie:

• În California, în alt scop decât temporar sau tranzitoriu.
• Domiciliat în California, dar se află în prezent în afara statului pentru un scop temporar sau tranzitoriu.

Consumatorii includ:

• Clienți de bunuri și servicii de uz casnic.
• Angajatii.
• Tranzacții business-to-business.

În timp ce nici GDPR, nici CCPA nu se aplică persoanelor juridice, ambele se aplică persoanelor fizice, dar cu o diferență în modul în care sunt definite. CCPA afirmă în mod clar că se aplică rezidenților din California, în timp ce GDPR folosește termenul mai vag „persoanele vizate de date din UE” fără a menționa nicio cerință de rezidență sau cetățenie. CCPA protejează, de asemenea, datele care pot fi legate de o anumită gospodărie , nu doar de o persoană, așa cum o face GDPR.

GDPR articolul 3, CCPA 1798.140

Operatorii de date și procesatorii de date:

• Stabiliți în UE care prelucrează date cu caracter personal în contextul activităților instituției UE, indiferent dacă prelucrarea datelor are loc în UE.
• Nu sunt stabilite în UE care prelucrează datele cu caracter personal ale persoanelor vizate din UE în legătură cu oferirea de bunuri sau servicii în UE sau cu monitorizarea comportamentului acestora.

Orice entitate cu scop lucrativ care desfășoară afaceri în California, care îndeplinește una dintre următoarele:

• Are un venit brut mai mare de 25 milioane USD.
• Cumpără, primește, vinde sau distribuie anual informațiile personale ale a peste 50.000 de consumatori, gospodării sau dispozitive în scopuri comerciale.
• Obține 50% sau mai mult din veniturile anuale din vânzarea informațiilor personale ale consumatorilor.

Domeniul de aplicare al GDPR este larg: se aplică tuturor organizațiilor, de la întreprinderi la instituții publice și sectorul nonprofit. Între timp, CCPA și-a limitat aplicabilitatea la companiile cu scop profit care îndeplinesc cerințe foarte clare.

În ceea ce privește locația geografică, GDPR se aplică oricărei companii care prelucrează datele persoanelor vizate din UE, oriunde s-ar afla acestea. CCPA nu este clar în acest punct: companiile care intră sub jurisdicția sa trebuie să „face afaceri în California”, dar nu clarifică dacă compania trebuie să fie situată în stat sau să îndeplinească anumite praguri de profit pentru a se califica ca atare.

GDPR articolul 4, CCPA 1798.140

Datele cu caracter personal sunt orice informație referitoare la o persoană vizată identificată sau identificabilă. GDPR interzice prelucrarea unor categorii speciale definite de date cu caracter personal, cu excepția cazului în care se aplică o justificare legală pentru prelucrare.

Informațiile personale care identifică, se referă la, descriu, pot fi asociate sau pot fi legate în mod rezonabil, direct sau indirect, cu un anumit consumator sau gospodărie.

GDPR se aplică tuturor categoriilor de date cu caracter personal, în timp ce CCPA se aplică numai datelor care nu sunt acoperite de legile federale privind confidențialitatea existente, cum ar fi Legea Gramm-Leach-Bliley (GLBA) sau Legea privind portabilitatea și responsabilitatea informațiilor despre sănătate (HIPAA).

GDPR articolul 4, CCPA 1798.140

Datele pseudonime sunt considerate date cu caracter personal. Datele anonime nu sunt considerate date personale.

CCPA nu limitează capacitatea unei companii de a colecta, utiliza, reține, vinde sau dezvăluie informații despre consumatori care sunt deidentificate sau agregate. Cu toate acestea, CCPA stabilește un standard ridicat pentru susținerea că datele sunt deidentificate sau agregate. Datele pseudonime se pot califica ca informații personale în temeiul CCPA, deoarece rămân capabile să fie asociate cu un anumit consumator sau gospodărie.

Definiția „pseudonimizării” conform GDPR și CCPA este foarte asemănătoare prin aceea că este prelucrarea datelor cu caracter personal astfel încât datele cu caracter personal să nu mai poată fi atribuite unei persoane identificate sau identificabile fără utilizarea unor informații suplimentare, prin punerea în aplicare a unor măsuri tehnice și organizatorice care păstrează separat informațiile suplimentare necesare identificării.

GDPR Articolul 13, CCPA 1798.100

Operatorii de date trebuie să furnizeze informații detaliate despre activitățile sale de colectare și prelucrare a datelor cu caracter personal. Notificarea trebuie să includă informații specifice, în funcție de faptul dacă datele sunt colectate direct de la persoana vizată sau de la un terț.

Întreprinderile trebuie să informeze consumatorii despre:

• Categoriile de informații personale colectate.
• Scopurile de utilizare prevăzute pentru fiecare categorie.

Atât GDPR, cât și CCPA solicită organizațiilor să dezvăluie ceea ce fac cu datele personale pe care le colectează. CCPA impune totuși companiilor să dezvăluie vânzările de date și activitățile legate de prelucrarea datelor în ultimele 12 luni, în timp ce GDPR nu impune astfel de limitări.

GDPR Articolul 24, CCPA 1798.150

GDPR cere operatorilor de date și procesatorilor de date să ia măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului.

CCPA nu impune în mod direct cerințe de securitate a datelor. Cu toate acestea, stabilește un drept de acțiune pentru anumite încălcări ale datelor care rezultă din încălcarea obligației unei companii de a implementa și menține practici și proceduri rezonabile de securitate adecvate riscului care decurge din legislația existentă din California.

• Categoriile de informații personale colectate.
• Scopurile de utilizare prevăzute pentru fiecare categorie.

În mod substanțial similar în abordarea statutară, deși măsurile de securitate rezonabile pot varia într-o oarecare măsură în funcție de circumstanțele unei organizații și de interpretarea autorităților de reglementare.

GDPR Articolul 12 – Articolul 21 , CCPA 1798.120

Drepturile persoanei extinse:

• accesul la informațiile acestora;
• au corectat inexactitățile;
• au informațiile șterse;
• prevenirea marketingului direct;
• prevenirea luării automate a deciziilor și profilării;
• portabilitatea datelor.

Drepturile persoanei extinse:

• accesul la informațiile acestora;
• au corectat inexactitățile;
• au informațiile șterse;
• prevenirea marketingului direct;
• prevenirea luării automate a deciziilor și profilării;
• portabilitatea datelor.

În timp ce GDPR cere organizațiilor să obțină consimțământul prealabil de la persoanele vizate pentru prelucrarea datelor și accesul terților la datele lor, CCPA permite persoanelor vizate să renunțe la vânzarea datelor lor și solicită companiilor să aibă un link vizibil în partea de sus de pe pagina lor de pornire în acest scop.

Atât GDPR, cât și CCPA oferă dreptul la portabilitatea datelor: și anume de a furniza consumatorilor datele lor personale într-un format utilizat în mod obișnuit, care poate fi citit de mașină, care poate fi apoi transmis unei alte entități.

GDPR face un pas mai departe în această direcție, punând organizațiile sub obligația de a transfera informațiile unei persoane vizate către un alt operator de date, la cerere.

În temeiul CCPA, întreprinderilor li se cere doar să furnizeze consumatorilor informații în format electronic, într-un format ușor de utilizat.

În timp ce dreptul la ștergere al GDPR are câteva excepții notabile, cum ar fi datele necesare pentru exercitarea dreptului la libertatea de exprimare sau datele necesare pentru respectarea legislației UE sau a statelor membre ale UE, CCPA extinde aceste excepții și mai mult prin includerea nu numai a libertății de exprimare și a informațiilor. necesare pentru contracte, dar, mai ales, și utilizări interne compatibile cu contextul în care consumatorul a furnizat datele.

Articolul 8 GDPR, CCPA 1798.120

Vârsta implicită de consimțământ a GDPR este de 16 ani, deși legislația individuală a statelor membre poate reduce vârsta la nu mai puțin de 13 ani.

Persoana cu răspundere părintească trebuie să dea consimțământul copiilor sub vârsta de consimțământ. Copiii trebuie să primească o notificare de confidențialitate adecvată vârstei.

Datele personale ale copiilor sunt supuse unor cerințe de securitate sporite.

CCPA interzice vânzarea informațiilor personale ale unui consumator sub 16 ani fără consimțământ.

Copiii cu vârsta cuprinsă între 13 și 16 ani pot oferi direct consimțământul. Copiii sub 13 ani necesită acordul părinților.

GDPR pune accent pe protecția specială pentru copii și oferă prevederi specifice pentru protejarea datelor cu caracter personal ale copiilor atunci când sunt prelucrate pentru furnizarea de servicii societății informaționale.

CCPA creează o regulă specială pentru copii cu privire la „vânzarea” informațiilor personale, însă această regulă nu se limitează la serviciile societății informaționale.