Blog

CCPA – GDPR made in California

Co znamená GDPR není třeba zdlouhavě vysvětlovat. Zkratka CCPA ale může být pro řadu čtenářů novinkou. California Consumer Privacy Act (CCPA) je dlouho očekávaný americký zákon týkající se ochrany soukromí občanů státu Kalifornie. Zákon vstoupí v účinnost v lednu 2020. Ve Spojených státech alespoň prozatím neexistuje ochrana osobních údajů evropského typu, a tak se CCPA s GDPR logicky srovnává.

Většina odborné veřejnosti se shoduje na tom, že  GDPR vytvořilo zlatý standard pro ochranu osobních údajů, který přinutil i ty největší společnosti po celém světě významně přehodnotit svůj náhled na tuto oblast. Ačkoliv je Kalifornie kolébkou technologických gigantů, komplexní zákon chránící osobní údaje uživatelů dosud chyběl.  Zda se právě CCPA vyrovná GDPR a bude oním zlatým standardem pro zbytek států USA, zůstává otázkou.

První a zřejmě nejzásadnější rozdíl plyne již z definice subjektů údajů, tj. osob, které jsou předpisem chráněni. CCPA totiž chrání osobní údaje pouze občanů Kalifornie, kdežto GDPR se vztahuje na osobní údaje jakékoli fyzické osoby. CCAP tedy nepřestavuje univerzální předpis na ochranu osobních údajů všech fyzických osob, jako je tomu v případě GDPR. 

Druhým zásadním rozdílem je vymezení správců osobních údajů, které CCPA označuje „společnosti“ („businesses“). Podle GDPR je správcem osobních údajů kdokoli, kdo zpracovává osobní údaje. Povinnosti stanovené CCPA však dopadají jen na striktně vymezené subjekty. Zaprvé se musí jednat o komerční společnost, což automaticky vyřazuje neziskové organizace či orgány veřejné správy. Aby společnost podléhala CCPA, musí ještě naplnit alespoň jedno ze stanovených kritérií: musí mít roční hrubý příjem nad 25 milionů dolarů, pro komerční účely nakupovat, prodávat nebo přijímat/sdílet osobní údaje aspoň 50 000 obyvatel Kalifornie nebo získávat 50 % zisku z prodeje osobních údajů obyvatel Kalifornie. Z evropského pohledu je přinejmenším zarážející, že ani zpracovávání osobních údajů několika desítek tisíc občanů tak nebude spadat pod režim CCPA.

Co se týká definice osobních údajů, odlišností najdeme překvapivě velmi málo. CCPA sice obsahuje mnohem širší výslovný výčet toho, co je oním osobním údajem, ale z definice GDPR nikterak nevybočuje. Zajímavým rozdílem je, že definice nezahrnuje oprávněně zveřejněné osobní údaje získané ze záznamů federální, státní či místní veřejné správy. Podle GDPR jsou i takto zveřejněné údaje jednoznačně údaji osobními a s jako takovými se s nimi musí nakládat. CCPA také nerozlišuje mezi osobními údaji běžnými a citlivými.

Dalším významným rozdílem je, že CCPA ve srovnání s GDPR neobsahuje základní zásady zpracování osobních údajů. Ve skutečnosti obsahuje jen velice málo omezení ve vztahu ke společnostem a jejich nakládání s osobními údaji.

Co se týče právního základu pro zpracování osobních údajů, CCPA se neubírá cestou, kterou zvolilo GDPR. Nezavádí šest právních titulů, na jejichž základě lze legitimně zpracovávat osobní údaje. Dle CCPA obecně platí, že zpracování je povoleno. Zároveň však spotřebitelé mají možnost se tzv.  „odhlásit“ (z angl. „opt-out“) z určitých druhů zpracování, konkrétně ve vztahu k prodeji jejich osobních údajů (co si lze všechno představit pod pojmem „prodej“ však také není zcela konkrétní). O této možnosti musí být navíc spotřebitel náležitě informován.
 
Z naznačených rozdílů je patrný zcela odlišný přístup k ochraně osobních údajů v Evropě a Spojených státech. V USA je přístup regulátora spíše zdrženlivý a opatrný. Nutno dodat, že tento přístup se neprojevuje jen v oblasti ochrany osobních údajů.