GDPR vs. CCPA

Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) a kalifornský zákon o ochraně spotřebitele z roku 2018 (ďalej len „CCPA“) mají stejný účel, a to zaručit a poskytnout adekvátní ochranu fyzickým osobám v souvislosti se zpracováním jejich osobních údajů.

GDPR i CCPA se vztahují na osoby, které při poskytování svých služeb shromažďují, sdílejí, anebo jakýmkoliv jiným způsobem zpracovávají osobní údaje fyzických osob (tj. svých zákazníků a spotřebitelů), a to bez ohledu na to, zda byly tyto údaje získané online anebo offline.

GDPR je v současnosti jeden z nejkomplexnějších zákonů o ochraně osobních údajů na světě. Oproti tomu v USA neexistuje komplexní federální přepis na ochranu osobních údajů, a CCPA je kalifornským zákonem. Z tohoto důvodu není účelem CCPA ochrana osobních údajů všech amerických spotřebitelů, ale pouze Kaliforňanů.

Níže porovnáme hlavní ustanovení GDPR a CCPA tak, abychom vám pomohli zabezpečit soulad s oběma právními úpravami.

1. Osobní působnost – na koho se GDPR a CCPA vztahují?

GDPR sa vztahuje na fyzické a právnické osoby, orgány veřejné správy a samosprávy, neziskové organizace, jakož i na jiné subjekty se sídlem v EU, které zpracovávají osobní údaje fyzických osob (subjektů údajů). Kromě toho se GDPR vztahuje i na subjekty, které sice nemají sídlo v EU, ale zpracovávají osobní údaje subjektů údajů v EU (např. americký startup nabízí svoje služby obyvatelům EU).

Naproti tomu se CCPA vztahuje jen na některé kalifornské podnikatelské subjekty, které zpracovávají osobní údaje svých zákazníků – obyvatelů státu Kalifornie, a to na takového kalifornského podnikatele, jehož roční tržby přesahují $ 25 mil., který obchoduje s osobními údaji aspoň 50 tisíc Kaliforňanů, resp. jehož aspoň 50% tržeb je právě z prodeje osobních údajů Kaliforňanů.

GDPR se nevztahuje na osobní údaje, které jsou zpracovávané pouze pro soukromé a osobní účely. CCPA jde ještě dál a nevztahuje se ani na zpracování údajů o zdraví, veřejně přístupných údajů a ani dalších údajů, které jsou zpracovávané podle zvláštních právních předpisů (např. GLB Act pro finanční instituce, nebo HIPAA pro oblast zdravotní péče).

Z uvedeného je zřejmé, že GDPR je univerzálnější právní předpis, který se vztahuje na širší okruh subjektů než CCPA.

2. Osobné údaje – na jaké údaje se GDPR a CCPA vztahuje?

Podle GDPR se za osobní údaje (personal data) považují jakékoliv informace týkající se identifikované anebo identifikovatelné fyzické osoby (dále jen “subjekt údajů”), přičemž takovou osobu je možné identifikovat přímo anebo nepřímo, zejména pomocí jména, lokalizačních údajů, online identifikátorů (např. IP adresa, cookies), nebo jiných prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní a sociální identitu subjektu údajů.

Podobně k definici osobních údajů (personal information) přistupuje i CCPA, který za osobní údaje považuje informace, které identifikují, popisují, mohly by být přiměřeně (přímo anebo nepřímo) spojené nebo souvisí s konkrétním spotřebitelem nebo domácností.

Přehled osobních údajů, které se zpracovávají anebo nezpracovávají podle GDPR a CCPA:

Podle GDPRPodle CCPA
Osobní údaje, na které se tento předpis vztahujeZákladní identifikátory fyzické osoby (např. jméno, identifikační číslo, kontaktní údaje)
Lokalizační údaje
Biometrické údaje
Online identifikátory (např. IP adresa, cookies)
Základní identifikátory fyzické osoby (např. jméno, číslo pojištění nebo řidičského průkazu, IP adresa)
Lokalizační údaje
Biometrické údaje
Informace obchodní povahy (např. údaje o nákupním chování spotřebitele, interakce na webu, historie vyhledávání)
Osobní údaje, na které se tento předpis nevztahujeAnonymizované a neidentifikovatelné údajeÚdaje o zdraví
Veřejně dostupné údaje
Anonymizované, pseudonymizované a neidentifikovatelné údaje

3. Zpracování osobních údajů třetími stranami – jaké jsou podmínky?

Podobná úprava se týká i zpracování osobních údajů třetí stranou (tzv. zpracovatelem podle GDPR, resp. poskytovatelem služeb podle CCPA) jménem subjektu (tzv. správce podle GDPR, resp. kalifornského podnikatele podle CCPA), který původně osobní údaje o fyzické osobě získal. V obou případech musí být mezi těmito subjekty (tj. správcem a zpracovatelem podle GDPR, resp. kalifornským podnikatelem a poskytovatelem služeb podle CCPA) předem uzavřena písemná smlouva o zpracování osobních údajů (se specifickými náležitostmi), na základě které může třetí strana tyto osobní údaje zpracovávat.

Podle GDPRPodle CCPA
vztah správce a zpracovatele (ke zpracování osobních údajů subjektu údajů dochází na základě písemné smlouvy)vztah kalifornského podnikatele a poskytovatele služeb (ke zpracování osobních údajů dochází na základě smlouvy)

Rozdílnosti se ale najdou v dalších povinnostech třetích stran. Podle GDPR je seznam povinností poměrně obšírný, nakolik zpracovatel je povinen například (i) uchovávat záznam o zpracovatelských operacích, (ii) přijmout přiměřená a vhodná technická a organizační opatření na zaručení ochrany těchto údajů, (iii) oznámit správci případy porušení osobních údajů (data breach), anebo v některých případech (iv) pověřit osobu odpovědnou za zpracování osobních údajů (data protection officer). Oproti tomu podle CCPA takové povinnosti poskytovatel služeb nemá. Základní povinností poskytovatele služeb je zpracovávání údajů podle pokynů kalifornského podnikatele, na kterého se vztahuje CCPA (např. poskytovatel služeb není povinen vyhovět žádosti dotčené osoby, která se domáhá svých práv podle CCPA, ale pouze žádosti kalifornského podnikatele).

4. Právní základ – na základě čeho lze zpracovávat osobní údaje zákonně?

GDPR stanoví pro zákonné zpracování osobních údajů šest právních základů. Pokud neexistuje relevantní právní základ, zpracování osobních údajů podle GDPR se považuje za nezákonné. Mezi nejčastější patří (i) souhlas subjektu údajů, (ii) plnění smluvních povinností vyplývajících ze smlouvy mezi vámi a subjektem údajů a (iii) zákonná povinnost (např. podle zákoníku práce jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis, je zaměstnavatel oprávněn vyžadovat od zaměstnance informace o těhotenství, rodinných a majetkových poměrech nebo trestněprávní bezúhonnosti). CCPA nestanoví seznam právních základů, které musí kalifornští podnikatelé dodržet, poskytuje pouze opt-out mechanismus, ve smyslu kterého se mohou kalifornští zákazníci dožadovat, aby kalifornský podnikatel neobchodoval s jejich osobními údaji, resp. mohou požádat o jejich vymazání.

5. Práva subjektů údajů – jaká mám práva podle GDPR a CCPA?

GDPR i CCPA poskytují subjektům údajů vícero práv, která mohou uplatnit vůči subjektu (např. správci a zpracovateli podle GDPR, resp. kalifornskému podnikateli a poskytovateli služeb podle CCPA), který zpracovává jejich osobní údaje. Jde o následující práva:

  • Právo být zapomenut (výmaz dat) – Podle GDPR je možné jej uplatnit ve zvláštních případech, např. pokud subjekt údajů odvolá souhlas se zpracováním osobních údajů a už neexistuje jiný právní základ zpracování, anebo údaje byly získané správcem nezákonně, resp. pominul účel jejich dalšího zpracování. Je nutné si uvědomit, že právo být zapomenut není absolutním právem, tj. není možné mu vyhovět v případě uplatnění některých výjimek z práva být zapomenut, které další zpracování údajů legalizují. Jde například o případy, kdy je takové zpracování nutné pro splnění zákonné povinnosti, anebo z důvodů veřejného zájmu v oblasti veřejného zdraví, nebo na účely archivace anebo výzkumu ve veřejném zájmu. Naproti tomu CCPA nespecifikuje rozsah zvláštních případů, kdy může subjekt údajů toto právo využít, a proto má spotřebitel vždy právo požádat kalifornského podnikatele o zapomenutí (vymazání osobních údajů), ačkoliv kalifornský podnikatel nemusí této žádosti v odůvodněných případech vyhovět  – např. když jde o probíhající obchodní vztah založený smlouvou anebo plnění jiné právní povinnosti.

  • Právo odvolat souhlas se zpracováním osobních údajů – Podle GDPR je možné jej uplatnit, když zpracování údajů proběhlo na základě souhlasu. Na rozdíl od toho, podle CCPA mají kalifornští obyvatelé právo požádat kalifornského podnikatele aby neprodával jejich osobní údaje (s tím je spojena povinnost kalifornského podnikatele uvést na své internetové stránce link “Do Not Sell My Personal Information”).

  • Právo namítat proti zpracování osobních údajů – Zahrnuje právo namítat zpracování na splnění úkolu realizovaného ve veřejném zájmu, anebo zpracování pro účely oprávněných zájmů, které sleduje správce podle GDPR, anebo právo namítat prodej údajů podle CCPA.

  • Právo na přístup k osobním údajům – Právo subjektu údajů požadovat kopii údajů, které správce o něm zpracovává podle GDPR, anebo právo požadovat bezplatný přístup ke svým údajům podle CCPA.

  • Právo nebýt diskriminovaný z důvodů uplatnění svých práv – Toto právo náleží výslovně pouze kalifornským obyvatelům podle CCPA.

  • Právo na přenosnost osobních údajů – Oba právní předpisy umožňují fyzickým osobám požadovat výpis o zpracovávaných údajích ve strukturované, běžně používané a čitelné formě za účelem přenosu k jinému správci.

  • Právo být informován o zpracování osobních údajů – Subjekty, které zpracovávají osobní údaje subjektů údajů mají povinnost informovat tyto osoby o takovém zpracování.

6. Vykonatelnost a sankce za porušení GDPR a CCPA

Oba předpisy stanoví možnost ukládání peněžitých sankcí v případě jejich porušení. Charakter sankcí, jejich výška a postup, který se má dodržovat, se ale výrazně liší.

Porušení GDPR má za následek zahájení správního řízení, ve kterém může příslušný úřad na ochranu osobních údajů uložit (v závislosti na míře a závažnosti porušení) peněžitou pokutu až do výše 4% celosvětového ročního obratu správce (porušitele) anebo až 20 mil. EUR, podle toho, která peněžitá částka je vyšší.

V kontrastu s tím porušení ustanovení CCPA má za následek zahájení civilního řízení na podnět hlavního prokurátora státu Kalifornie (Attorney General), který může za každé porušení uložit pokutu až do $ 2.500, resp. do $ 7.500 pokud šlo o úmyslné porušení. Jinými slovy, pokud dojde k úmyslnému porušení práv např. 1.000 spotřebitelů, hrozí vám pokuta až ve výšce $ 7,5 milionu dolarů.

7. Závěr

Je zřejmé, že GDPR i CCPA jsou rozsáhlé právní předpisy, jejichž hlavním cílem je ochrana fyzických osob při zpracování osobních údajů. Z důvodu geografické a kulturní rozdílnosti EU a Spojených států amerických (státu Kalifornie) ale tyto právní předpisy nazírají na dosáhnutí tohoto cíle odlišně, a to navzdory určitým průnikům. Za účelem přípravy potřebných dokumentů podle GDPR a CCPA, jakož i dosáhnutí souladu s těmito právními předpisy doporučujeme obrátit se na zkušené poradce v oblasti osobních údajů.