GDPR vs. CCPA

Všeobecné nariadenie o ochrane údajov (ďalej len „GDPR“) a kalifornský zákon o ochrane spotrebiteľa z roku 2018 (ďalej len „CCPA“) majú rovnaký cieľ, a to zaručiť a poskytnúť adekvátnu ochranu fyzickým osobám v súvislosti so spracúvaním ich osobných údajov.

GDPR aj CCPA sa vzťahujú na osoby, ktoré pri poskytovaní svojich služieb zhromažďujú, zdieľajú alebo akýmkoľvek iným spôsobom spracúvajú osobné údaje fyzických osôb (t.j. svojich zákazníkov a spotrebiteľov), a to bez ohľadu na to, či boli tieto údaje získané online alebo offline.

GDPR je v súčasnosti jeden z najkomplexnejších zákonov o ochrane osobných údajov na svete. Na rozdiel od toho, v USA neexistuje komplexný federálny zákon o ochrane osobných údajov, a CCPA je kalifornským zákonom. Z toho dôvodu nie je účelom CCPA ochrana osobných údajov všetkých amerických spotrebiteľov, ale iba Kalifornčanov.

Nižšie porovnáme hlavné ustanovenia GDPR a CCPA tak, aby sme vám pomohli zabezpečiť súlad s obidvomi právnymi úpravami.

1. Príslušnosť – na koho sa GDPR a CCPA vzťahujú?

GDPR sa vzťahuje na fyzické a právnické osoby, orgány verejnej správy a samosprávy, neziskové organizácie, ako aj iné subjekty so sídlom v EÚ, ktoré spracúvajú osobné údaje fyzických osôb (dotknutých osôb). Okrem toho sa GDPR vzťahuje aj na subjekty, ktoré síce nemajú sídlo v EÚ, ale spracúvajú osobné údaje dotknutých osôb v EÚ (napr. americký startup ponúka svoje služby obyvateľom EÚ).

Na rozdiel od toho, CCPA sa vzťahuje iba na niektoré kalifornské podnikateľské subjekty, ktoré spracúvajú osobné údaje svojich zákazníkov – obyvateľov štátu Kalifornia, a to na takého kalifornského podnikateľa, ktorého ročné tržby buď presahujú $ 25 mil., ktorý obchoduje s osobnými údajmi aspoň 50 tisíc Kalifornčanov, alebo ktorého aspoň 50% tržieb je práve z predaja osobných údajov Kalifornčanov.

GDPR sa nevzťahuje na osobné údaje, ktoré sú spracúvané iba pre súkromné a osobné účely. Na rozdiel od toho, CCPA ide ešte ďalej a nevzťahuje sa ani na spracúvanie údajov o zdraví, verejne dostupných údajov a ani ďalších údajov, ktoré sú spracúvané podľa osobitných predpisov (napr. GLB Act pre finančné inštitúcie, alebo HIPAA pre oblasť zdravotnej starostlivosti).

Z uvedeného je zrejmé, že GDPR je univerzálnejší právny predpis, ktorý sa vzťahuje na väčšie množstvo subjektov ako CCPA.

2. Osobné údaje – na aké údaje sa GDPR a CCPA vzťahuje?

Podľa GDPR sa za osobné údaje (personal data) považujú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“), pričom takúto osobu možno identifikovať priamo alebo nepriamo, najmä však pomocou mena, lokalizačných dát, online identifikátorov (napr. IP adresa, cookies) alebo iných prvkov, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu a sociálnu identitu dotknutej osoby.

Podobne k definícií osobných údajov (personal information) pristupuje aj CCPA, ktorý za osobné údaje považuje informácie, ktoré identifikujú, opisujú, mohli by byť primerane (priamo alebo nepriamo) spojené alebo súvisia s konkrétnym spotrebiteľom alebo domácnosťou.

Prehľad osobných údajov, ktoré sa spracúvajú alebo nespracúvajú podľa GDPR a CCPA:

	Podľa GDPR	Podľa CCPA
Osobné údaje na ktoré sa tento predpis vzťahuje	Základné identifikátory fyzickej osoby (napr. meno, identifikačné číslo, kontaktné údaje) Lokalizačné dáta Biometrické údaje Online identifikátory (napr. IP adresa, cookies)	Základné identifikátory fyzickej osoby (napr. meno, číslo poistenia alebo vodičského preukazu, IP adresa) Lokalizačné dáta Biometrické údaje Informácie obchodnej povahy (napr. údaje o nákupnom správaní spotrebiteľa, interakcia na webe, história prehľadávania)
Osobné údaje na ktoré sa tento predpis nevzťahuje	Anonymizované a neidentifikovateľné údaje	Údaje o zdraví Verejne dostupné údaje Anonyminované, pseudonymizované a neidentifikovateľné údaje

3. Spracúvanie osobných údajov tretími stranami – aké sú podmienky?

Podobná úprava sa týka aj spracúvania osobných údajov treťou osobou (tzv. sprostredkovateľom podľa GDPR, resp. poskytovateľom služieb podľa CCPA) v mene subjektu (tzv. prevádzkovateľa podľa GDPR, resp. kalifornského podnikateľa podľa CCPA), ktorý pôvodne osobné údaje o fyzickej osobe získal. V obidvoch prípadoch musí byť medzi týmito subjektmi (t.j. prevádzkovateľom a sprostredkovateľom podľa GDPR, resp. kalifornským podnikateľom a poskytovateľom služieb podľa CCPA) vopred uzatvorená písomná zmluva o spracúvaní osobných údajov (so špecifickými náležitosťami), na základe ktorej môže tretia strana spracúvať tieto osobné údaje.

Podľa GDPR	Podľa CCPA
vzťah prevádzkovateľ a sprostredkovateľ (k spracúvaniu osobných údajov dotknutých osôb dochádza na základe písomnej zmluvy)	vzťah kalifornského podnikateľa a poskytovateľa služieb (k spracúvaniu osobných údajov dochádza na základe zmluvy)

Rozdielnosti sa však nájdu v ďalších povinnostiach tretích strán. Zatiaľ čo podľa GDPR je zoznam povinností pomerne obšírny, nakoľko sprostredkovateľ je povinný napríklad (i) uchovávať záznam o sprostredkovateľských operáciách, (ii) prijať primerané a vhodné technické a organizačné prostriedky potrebné na zabezpečenie ochrany týchto údajov, (iii) oznámiť prevádzkovateľovi prípade porušenia osobných údajov (data breach), alebo v niektorých prípadoch (iv) určiť osobu zodpovednú za spracúvanie osobných údajov (data protection officer). Na druhej strane, podľa CCPA takéto povinnosti poskytovateľ služieb nemá. Základnou povinnosťou poskytovateľa služieb je spracúvanie údajov podľa pokynov kalifornského podnikateľa, na ktorého sa vzťahuje CCPA (napr. poskytovateľ služieb nie je povinný vyhovieť žiadosti dotknutej osoby, ktorá sa domáha svojich práv podľa CCPA, ale iba žiadosti kalifornského podnikateľa).

4. Právny základ – na základe čoho možno spracúvať osobné údaje zákonne?

GDPR stanovuje šesť právnych základov, na zákonné spracovanie osobných údajov. Ak neexistuje relevantný právny základ, spracúvanie osobných údajov podľa GDPR sa považuje za nezákonné. Medzi najčastejšie patrí (i) súhlas dotknutej osoby, (ii) plnenie zmluvných povinností vyplývajúcich zo zmluvy medzi vami a dotknutou osobou a (iii) zákonná povinnosť (napr. podľa Zákonníka práce možno spracúvať údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať).

CCPA nestanovuje zoznam právnych základov, ktoré musia kalifornskí podnikatelia dodržiavať, poskytuje iba opt-out mechanizmus, v zmysle ktorého sa môžu kalifornskí zákazníci dožadovať, aby kalifornský podnikateľ neobchodoval s ich osobnými údajmi, resp. môžu požiadať o ich vymazanie.

5. Práva dotknutých osôb – aké mám práva podľa GDPR a CCPA?

Zhodne, GDPR aj CCPA poskytujú dotknutým osobám viacero práv, ktoré môžu uplatniť voči subjektu (napr. prevádzkovateľovi a sprostredkovateľovi podľa GDPR, resp. kalifornskému podnikateľovi a poskytovateľovi služieb podľa CCPA), ktorý spracúva ich osobné údaje. Ide o nasledovné práva:

Právo na zabudnutie (vymazanie) – Podľa GDPR ho možno uplatniť v osobitných prípadoch, napr. ak dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a už neexistuje iný právny základ spracúvania, alebo údaje boli získané prevádzkovateľom nezákonne, resp. pominul účel ich ďalšieho spracúvania. Je potrebné si uvedomiť, že právo na zabudnutie nie je absolútnym právom, t.j. nie je mu možné vyhovieť v prípade uplatnenia niektorých výnimiek z práva na zabudnutie, ktoré ďalšie spracúvanie údajov legalizujú, ide napríklad o prípady keď takéto spracúvanie je potrebné na splnenie zákonnej povinnosti, alebo z dôvodov verejného záujmu v oblasti verejného zdravia, či na účely archivácie alebo výskumu vo verejnom záujme. Naopak, CCPA nešpecifikuje rozsah osobitných prípadov kedy môže dotknutá osoba toto právo využiť, a preto má spotrebiteľ vždy právo požiadať kalifornského podnikateľa o zabudnutie (vymazanie osobných údajov), avšak kalifornský podnikateľ nemusí tejto žiadosti v odôvodnených prípadoch vyhovieť – napr. ak ide o prebiehajúci obchodný vzťah založený zmluvou alebo plnenie inej právnej povinnosti.

Právo odvolať súhlas so spracúvaním osobných údajov – Podľa GDPR ho možno uplatniť, keď spracúvanie údajov bolo na základe súhlasu.

Právo namietať proti spracúvaniu osobných údajov – Zahŕňa právo namietať spracúvanie na splnenie úlohy realizovanej vo verejnom záujme alebo spracúvanie na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ podľa GDPR alebo právo namietať predaj údajov podľa CCPA.

Právo na prístup k osobným údajom – Právo dotknutej osoby požadovať kópiu údajov, ktoré prevádzkovateľ o nej spracúva podľa GDPR alebo právo požadovať bezplatný prístup ku svojim údajom podľa CCPA.

Právo nebyť diskriminovaný z dôvodu uplatnenia svojich práv – Toto právo prislúcha výslovne iba kalifornským obyvateľom podľa CCPA.

Právo na prenosnosť osobných údajov – Obidva právne predpisy umožňujú fyzickým osobám požadovať výpis o spracúvaných údajoch v štruktúrovanej, bežne používanej a čitateľnej forme za účelom prenosu k inému prevádzkovateľovi.

Právo byť informovaný o spracúvaní osobných údajov – Subjekty, ktoré spracúvajú osobné údaje dotknutých osôb majú povinnosť informovať tieto osoby o takomto spracúvaní.

6. Vykonateľnosť a sankcie na porušenie GDPR a CCPA

Obidva predpisy stanovujú možnosť ukladania peňažných sankcií v prípade ich porušenia. Charakter sankcií, ich výška a postup, ktorý sa má dodržiavať, sa však výrazne líšia.

Porušenie GDPR má za následok začatie správneho konania, v ktorom môže príslušný úrad na ochranu osobných údajov uložiť (v závislosti od miery a závažnosti porušenia) peňažnú pokutu až do 4% celosvetového ročného obratu prevádzkovateľa (porušiteľa) alebo až 20 mil. EUR, ktorákoľvek peňažná suma je vyššia.

Na rozdiel od toho, porušenie ustanovení CCPA má za následok začatie civilného konania na podnet hlavného prokurátora štátu Kalifornia (Attorney General), ktorý môže za každé porušenie uložiť pokutu až do $ 2.500, resp. do $ 7.500 ak išlo o úmyselné porušenie. Inými slovami, ak dôjde k úmyselnému porušeniu práv napr. 1.000 spotrebiteľov, hrozí vám pokuta až vo výške $ 7,5 milióna dolárov.

7. Záver

Je zrejmé, že GDPR aj CCPA sú rozsiahle právne predpisy, ktorých hlavných cieľom je ochrana fyzických osôb pri spracúvaní osobných údajov. Z dôvodu geografickej aj kultúrnej rozdielnosti EÚ a Spojených štátov amerických (štátu Kalifornia) však tieto právne predpisy nazerajú na dosiahnutie tohto cieľa odlišne, a to aj napriek určitým prienikom. Za účelom prípravy potrebných dokumentov podľa GDPR a CCPA, ako aj dosiahnutie súladu s týmito právnymi predpismi odporúčame obrátiť sa na skúsených poradcov v oblasti ochrany osobných údajov.

Kontaktujte Sparring, je tu pre Vás 🙂

Sušenka	Trvanie	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
playbook-tip-feedback-request-popup-hidden	session
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Sušenka	Trvanie	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_7NR42TDC00	2 years	This cookie is installed by Google Analytics.
_gat_UA-194136466-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

1. Príslušnosť – na koho sa GDPR a CCPA vzťahujú?

2. Osobné údaje – na aké údaje sa GDPR a CCPA vzťahuje?

3. Spracúvanie osobných údajov tretími stranami – aké sú podmienky?

4. Právny základ – na základe čoho možno spracúvať osobné údaje zákonne?

5. Práva dotknutých osôb – aké mám práva podľa GDPR a CCPA?

6. Vykonateľnosť a sankcie na porušenie GDPR a CCPA

7. Záver

Nenašli ste odpoveď na Sparring Playbooku?

Sparring Playbook

Naše služby

Socials