Všeobecné nariadenie o ochrane údajov (ďalej len „GDPR“) a kalifornský zákon o ochrane spotrebiteľa z roku 2018 (ďalej len „CCPA“) majú rovnaký cieľ, a to zaručiť a poskytnúť adekvátnu ochranu fyzickým osobám v súvislosti so spracúvaním ich osobných údajov.
GDPR aj CCPA sa vzťahujú na osoby, ktoré pri poskytovaní svojich služieb zhromažďujú, zdieľajú alebo akýmkoľvek iným spôsobom spracúvajú osobné údaje fyzických osôb (t.j. svojich zákazníkov a spotrebiteľov), a to bez ohľadu na to, či boli tieto údaje získané online alebo offline.
GDPR je v súčasnosti jeden z najkomplexnejších zákonov o ochrane osobných údajov na svete. Na rozdiel od toho, v USA neexistuje komplexný federálny zákon o ochrane osobných údajov, a CCPA je kalifornským zákonom. Z toho dôvodu nie je účelom CCPA ochrana osobných údajov všetkých amerických spotrebiteľov, ale iba Kalifornčanov.
Nižšie porovnáme hlavné ustanovenia GDPR a CCPA tak, aby sme vám pomohli zabezpečiť súlad s obidvomi právnymi úpravami.
1. Príslušnosť – na koho sa GDPR a CCPA vzťahujú?
GDPR sa vzťahuje na fyzické a právnické osoby, orgány verejnej správy a samosprávy, neziskové organizácie, ako aj iné subjekty so sídlom v EÚ, ktoré spracúvajú osobné údaje fyzických osôb (dotknutých osôb). Okrem toho sa GDPR vzťahuje aj na subjekty, ktoré síce nemajú sídlo v EÚ, ale spracúvajú osobné údaje dotknutých osôb v EÚ (napr. americký startup ponúka svoje služby obyvateľom EÚ).
Na rozdiel od toho, CCPA sa vzťahuje iba na niektoré kalifornské podnikateľské subjekty, ktoré spracúvajú osobné údaje svojich zákazníkov – obyvateľov štátu Kalifornia, a to na takého kalifornského podnikateľa, ktorého ročné tržby buď presahujú $ 25 mil., ktorý obchoduje s osobnými údajmi aspoň 50 tisíc Kalifornčanov, alebo ktorého aspoň 50% tržieb je práve z predaja osobných údajov Kalifornčanov.
GDPR sa nevzťahuje na osobné údaje, ktoré sú spracúvané iba pre súkromné a osobné účely. Na rozdiel od toho, CCPA ide ešte ďalej a nevzťahuje sa ani na spracúvanie údajov o zdraví, verejne dostupných údajov a ani ďalších údajov, ktoré sú spracúvané podľa osobitných predpisov (napr. GLB Act pre finančné inštitúcie, alebo HIPAA pre oblasť zdravotnej starostlivosti).
Z uvedeného je zrejmé, že GDPR je univerzálnejší právny predpis, ktorý sa vzťahuje na väčšie množstvo subjektov ako CCPA.
2. Osobné údaje – na aké údaje sa GDPR a CCPA vzťahuje?
Podľa GDPR sa za osobné údaje (personal data) považujú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“), pričom takúto osobu možno identifikovať priamo alebo nepriamo, najmä však pomocou mena, lokalizačných dát, online identifikátorov (napr. IP adresa, cookies) alebo iných prvkov, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu a sociálnu identitu dotknutej osoby.
Podobne k definícií osobných údajov (personal information) pristupuje aj CCPA, ktorý za osobné údaje považuje informácie, ktoré identifikujú, opisujú, mohli by byť primerane (priamo alebo nepriamo) spojené alebo súvisia s konkrétnym spotrebiteľom alebo domácnosťou.
Prehľad osobných údajov, ktoré sa spracúvajú alebo nespracúvajú podľa GDPR a CCPA:
Podľa GDPR | Podľa CCPA | |
Osobné údaje na ktoré sa tento predpis vzťahuje | Základné identifikátory fyzickej osoby (napr. meno, identifikačné číslo, kontaktné údaje) Lokalizačné dáta Biometrické údaje Online identifikátory (napr. IP adresa, cookies) | Základné identifikátory fyzickej osoby (napr. meno, číslo poistenia alebo vodičského preukazu, IP adresa) Lokalizačné dáta Biometrické údaje Informácie obchodnej povahy (napr. údaje o nákupnom správaní spotrebiteľa, interakcia na webe, história prehľadávania) |
Osobné údaje na ktoré sa tento predpis nevzťahuje | Anonymizované a neidentifikovateľné údaje | Údaje o zdraví Verejne dostupné údaje Anonyminované, pseudonymizované a neidentifikovateľné údaje |
3. Spracúvanie osobných údajov tretími stranami – aké sú podmienky?
Podobná úprava sa týka aj spracúvania osobných údajov treťou osobou (tzv. sprostredkovateľom podľa GDPR, resp. poskytovateľom služieb podľa CCPA) v mene subjektu (tzv. prevádzkovateľa podľa GDPR, resp. kalifornského podnikateľa podľa CCPA), ktorý pôvodne osobné údaje o fyzickej osobe získal. V obidvoch prípadoch musí byť medzi týmito subjektmi (t.j. prevádzkovateľom a sprostredkovateľom podľa GDPR, resp. kalifornským podnikateľom a poskytovateľom služieb podľa CCPA) vopred uzatvorená písomná zmluva o spracúvaní osobných údajov (so špecifickými náležitosťami), na základe ktorej môže tretia strana spracúvať tieto osobné údaje.
Podľa GDPR | Podľa CCPA |
vzťah prevádzkovateľ a sprostredkovateľ (k spracúvaniu osobných údajov dotknutých osôb dochádza na základe písomnej zmluvy) | vzťah kalifornského podnikateľa a poskytovateľa služieb (k spracúvaniu osobných údajov dochádza na základe zmluvy) |
Rozdielnosti sa však nájdu v ďalších povinnostiach tretích strán. Zatiaľ čo podľa GDPR je zoznam povinností pomerne obšírny, nakoľko sprostredkovateľ je povinný napríklad (i) uchovávať záznam o sprostredkovateľských operáciách, (ii) prijať primerané a vhodné technické a organizačné prostriedky potrebné na zabezpečenie ochrany týchto údajov, (iii) oznámiť prevádzkovateľovi prípade porušenia osobných údajov (data breach), alebo v niektorých prípadoch (iv) určiť osobu zodpovednú za spracúvanie osobných údajov (data protection officer). Na druhej strane, podľa CCPA takéto povinnosti poskytovateľ služieb nemá. Základnou povinnosťou poskytovateľa služieb je spracúvanie údajov podľa pokynov kalifornského podnikateľa, na ktorého sa vzťahuje CCPA (napr. poskytovateľ služieb nie je povinný vyhovieť žiadosti dotknutej osoby, ktorá sa domáha svojich práv podľa CCPA, ale iba žiadosti kalifornského podnikateľa).
4. Právny základ – na základe čoho možno spracúvať osobné údaje zákonne?
GDPR stanovuje šesť právnych základov, na zákonné spracovanie osobných údajov. Ak neexistuje relevantný právny základ, spracúvanie osobných údajov podľa GDPR sa považuje za nezákonné. Medzi najčastejšie patrí (i) súhlas dotknutej osoby, (ii) plnenie zmluvných povinností vyplývajúcich zo zmluvy medzi vami a dotknutou osobou a (iii) zákonná povinnosť (napr. podľa Zákonníka práce možno spracúvať údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať).
CCPA nestanovuje zoznam právnych základov, ktoré musia kalifornskí podnikatelia dodržiavať, poskytuje iba opt-out mechanizmus, v zmysle ktorého sa môžu kalifornskí zákazníci dožadovať, aby kalifornský podnikateľ neobchodoval s ich osobnými údajmi, resp. môžu požiadať o ich vymazanie.
5. Práva dotknutých osôb – aké mám práva podľa GDPR a CCPA?
Zhodne, GDPR aj CCPA poskytujú dotknutým osobám viacero práv, ktoré môžu uplatniť voči subjektu (napr. prevádzkovateľovi a sprostredkovateľovi podľa GDPR, resp. kalifornskému podnikateľovi a poskytovateľovi služieb podľa CCPA), ktorý spracúva ich osobné údaje. Ide o nasledovné práva:
- Právo na zabudnutie (vymazanie) – Podľa GDPR ho možno uplatniť v osobitných prípadoch, napr. ak dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a už neexistuje iný právny základ spracúvania, alebo údaje boli získané prevádzkovateľom nezákonne, resp. pominul účel ich ďalšieho spracúvania. Je potrebné si uvedomiť, že právo na zabudnutie nie je absolútnym právom, t.j. nie je mu možné vyhovieť v prípade uplatnenia niektorých výnimiek z práva na zabudnutie, ktoré ďalšie spracúvanie údajov legalizujú, ide napríklad o prípady keď takéto spracúvanie je potrebné na splnenie zákonnej povinnosti, alebo z dôvodov verejného záujmu v oblasti verejného zdravia, či na účely archivácie alebo výskumu vo verejnom záujme. Naopak, CCPA nešpecifikuje rozsah osobitných prípadov kedy môže dotknutá osoba toto právo využiť, a preto má spotrebiteľ vždy právo požiadať kalifornského podnikateľa o zabudnutie (vymazanie osobných údajov), avšak kalifornský podnikateľ nemusí tejto žiadosti v odôvodnených prípadoch vyhovieť – napr. ak ide o prebiehajúci obchodný vzťah založený zmluvou alebo plnenie inej právnej povinnosti.
- Právo odvolať súhlas so spracúvaním osobných údajov – Podľa GDPR ho možno uplatniť, keď spracúvanie údajov bolo na základe súhlasu.
- Právo namietať proti spracúvaniu osobných údajov – Zahŕňa právo namietať spracúvanie na splnenie úlohy realizovanej vo verejnom záujme alebo spracúvanie na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ podľa GDPR alebo právo namietať predaj údajov podľa CCPA.
- Právo na prístup k osobným údajom – Právo dotknutej osoby požadovať kópiu údajov, ktoré prevádzkovateľ o nej spracúva podľa GDPR alebo právo požadovať bezplatný prístup ku svojim údajom podľa CCPA.
- Právo nebyť diskriminovaný z dôvodu uplatnenia svojich práv – Toto právo prislúcha výslovne iba kalifornským obyvateľom podľa CCPA.
- Právo na prenosnosť osobných údajov – Obidva právne predpisy umožňujú fyzickým osobám požadovať výpis o spracúvaných údajoch v štruktúrovanej, bežne používanej a čitateľnej forme za účelom prenosu k inému prevádzkovateľovi.
- Právo byť informovaný o spracúvaní osobných údajov – Subjekty, ktoré spracúvajú osobné údaje dotknutých osôb majú povinnosť informovať tieto osoby o takomto spracúvaní.
6. Vykonateľnosť a sankcie na porušenie GDPR a CCPA
Obidva predpisy stanovujú možnosť ukladania peňažných sankcií v prípade ich porušenia. Charakter sankcií, ich výška a postup, ktorý sa má dodržiavať, sa však výrazne líšia.
Porušenie GDPR má za následok začatie správneho konania, v ktorom môže príslušný úrad na ochranu osobných údajov uložiť (v závislosti od miery a závažnosti porušenia) peňažnú pokutu až do 4% celosvetového ročného obratu prevádzkovateľa (porušiteľa) alebo až 20 mil. EUR, ktorákoľvek peňažná suma je vyššia.
Na rozdiel od toho, porušenie ustanovení CCPA má za následok začatie civilného konania na podnet hlavného prokurátora štátu Kalifornia (Attorney General), ktorý môže za každé porušenie uložiť pokutu až do $ 2.500, resp. do $ 7.500 ak išlo o úmyselné porušenie. Inými slovami, ak dôjde k úmyselnému porušeniu práv napr. 1.000 spotrebiteľov, hrozí vám pokuta až vo výške $ 7,5 milióna dolárov.
7. Záver
Je zrejmé, že GDPR aj CCPA sú rozsiahle právne predpisy, ktorých hlavných cieľom je ochrana fyzických osôb pri spracúvaní osobných údajov. Z dôvodu geografickej aj kultúrnej rozdielnosti EÚ a Spojených štátov amerických (štátu Kalifornia) však tieto právne predpisy nazerajú na dosiahnutie tohto cieľa odlišne, a to aj napriek určitým prienikom. Za účelom prípravy potrebných dokumentov podľa GDPR a CCPA, ako aj dosiahnutie súladu s týmito právnymi predpismi odporúčame obrátiť sa na skúsených poradcov v oblasti ochrany osobných údajov.
Kontaktujte Sparring, je tu pre Vás 🙂