CPRA – nowy standard prywatności w Kalifornii. Co musisz wiedzieć jako właściciel strony?
Spis treści
Spis treści
California Privacy Rights Act jest ustawą, która zmienia i wzmacnia prawa kalifornijskich konsumentów w zakresie prywatności ich danych osobowych. Wspomniane prawa zostały określone początkowo przez ustawę CCPA (ang. California Consumer Privacy Act). CPRA obowiązuje od pierwszego stycznia 2023. Jej egzekwowanie rozpoczęło się natomiast dwudziestego dziewiątego marca 2024 roku. Poznaj najważniejsze informacje na temat tego, jak CPRA wpływa na strony www.
Najważniejsze zmiany wprowadzone przez CPRA
Wraz z rozszerzeniem kompetencji California Privacy Protection Agency użytkownicy zyskują dodatkowe uprawnienia w zakresie ochrony swoich danych osobowych. Wprowadzono nową kategorię danych — tzw. sensitive personal data.
Ponadto zmodyfikowano katalog celów biznesowych, w jakich podmioty mogą legalnie wykorzystywać dane osobowe. To zmiana, która wymaga rewizji polityk prywatności — nie w przyszłości, ale już teraz.
Zdj. 1. CPRA jako dokument obowiązujący nie tylko w Kalifornii, a na całym świecie
Źródło: https://www.caprivacy.org/cpra-resource-center/
Z tego powodu tworzenie oraz pozycjonowanie stron internetowych warto powierzać odpowiedzialnej agencji SEO.
4 kategorie podmiotów
CPRA wprowadza 4 kategorie podmiotów:
- konsumenta (ang. consumer),
- przedsiębiorcę (ang. business),
- kontrahenta (ang. contractor),
- dostawcę usług (ang. service provider)
Dwie ostatnie mają cechy zbliżone do podmiotu przetwarzającego, który jest znany z RODO. Kontrahentem określa się podmiot, któremu przedsiębiorca przekazuje dane osobowe konsumenta — zawsze w oparciu o zawartą na piśmie umowę.
Dostawca usług — to podmiot, który przetwarza dane osobowe w imieniu przedsiębiorstwa. Działając na jego rzecz i zgodnie z jego wytycznymi. Tutaj również podstawą prawną jest pisemna umowa, która szczegółowo określa zakres działań, cele przetwarzania oraz wymagany poziom zabezpieczeń.
Jakie obowiązki nakłada CPRA?
Należy dostosować brzmienie dokumentacji prawnej, która jest udostępniana podmiotom danych. W największym stopniu chodzi o politykę prywatności bądź też tzw. End User Privacy Policy do nowych postanowień.
Firmy powinny zagwarantować na stronach internetowych mechanizm, który pozwala na realizację uprawnienia dot. ograniczenia przetwarzania danych wrażliwych. Jest to możliwe poprzez link „Limit The Use Of My Sensitibe Personal Information”.
Pamiętaj, że Twoja firma nie musi fizycznie znajdować się w Kalifornii, aby zapisy California Privacy Rights Act Cię obowiązywały. Wystarczy, że przetwarzasz dane z najludniejszego stanu USA.
Zapisy CPRA a zapisy RODO
CPRA przypomina nieco RODO. Jednak oprócz analogicznych uprawnień wprowadzonych zostało szereg dodatkowych. Pojawiły się aż 4 kategorie podmiotów i określono ich definicje, a każdy z nich ma inne obowiązki. Natomiast na gruncie RODO są tylko dwa podmioty — administrator danych, a także podmiot przetwarzający.
Zdj. 2. RODO jako rozporządzenie o ogromnym znaczeniu prawnym dla firm w Polsce
Źródło: https://uodo.gov.pl/pl/404/224
California Privacy Rights Act — FAQ
- Czy CPRA całkowicie zastępuje CCPA?
Nie. CPRA rozszerza i wzmacnia postanowienia zawarte w CCPA. To kolejny krok w stronę skuteczniejszej ochrony prywatności konsumentów w Kalifornii.
- Od kiedy CPRA obowiązuje?
Przepisy obowiązują od 1 stycznia 2023 roku. Ich egzekwowanie rozpoczęło się 29 marca 2024 roku — od tej daty można mówić o pełnym wdrożeniu nowych mechanizmów nadzoru.
- Kogo dotyczy nowe prawo?
Przede wszystkim firm przetwarzających dane osobowe mieszkańców Kalifornii. Dotyczy to również właścicieli stron internetowych, którzy gromadzą lub analizują dane użytkowników z tego stanu.
- Jakie nowe prawa zyskał konsument?
Rozszerzono katalog praw związanych z ochroną danych. Użytkownicy mogą teraz ograniczyć przetwarzanie danych wrażliwych, a przedsiębiorcy są zobowiązani do jasnego informowania o celach i sposobach ich przetwarzania.
