Kalifornský zákon o ochraně osobních údajů spotřebitelů (CCPA) a Obecná nařízení o ochraně osobních údajů (GDPR) jsou oba zákony na ochranu osobních údajů, které byly nedávno přijaty za účelem aktualizace zastaralých zákonů týkajících se toho, jak je v digitálním věku nakládáno, ukládáno a zpracováváno. Od rozšíření internetových služeb, mobilních telekomunikací a sociálních médií požadují aktivisté změny v tom, jak podniky nakládají s osobními informacemi.
CCPA byl schválen v roce 2018 a vstoupil v platnost 1. ledna 2020. GDPR bylo schváleno v květnu 2018. Obě legislativy mají podobná doporučení a požadavky. GDPR se zaměřuje na osobní údaje evropských občanů a CCPA se týká osobních údajů obyvatel Kalifornie.
Důležité je, že obě legislativy mají společnou synergii, která má dopad na podniky na obou stranách Atlantiku. Jakýkoli podnik ve Spojených státech, který zpracovává evropské osobní údaje, a každý podnik v Evropě, který zpracovává osobní údaje z USA, musí dodržovat pokyny všech právních předpisů, aby byl v souladu s pravidly ochrany osobních údajů.
Co je CCPA?
CCPA chrání soukromé informace obyvatel Kalifornie ve Spojených státech. To zahrnuje údaje o totožnosti osoby, jakékoli citlivé zdravotní informace, biometrické údaje, mobilní geolokační údaje a jakékoli finanční informace nebo informace o majetku. Cílem zákona o ochraně soukromí je omezit zveřejňování citlivých informací nebo neočekávané úniky způsobené úniky dat.
Zákon CCPA byl navržen tak, aby spotřebitelům poskytl kontrolu nad jejich osobními údaji a posílil sankce za jakékoli porušení informací, ať už z nedbalosti nebo v důsledku hacknutí dat.
Účelem legislativy je prosadit práva spotřebitelů a dát spotřebitelům nová práva ohledně jejich údajů. To zahrnuje právo přesně vědět, jaké informace o osobě má podnik. To je důvod, proč nyní můžete přejít na stránky jako Google a Facebook a stáhnout si podrobné archivy informací, které o vás uchovávají.
Obyvatelé Kalifornie mají také právo na přístup a prohlížení údajů, které jsou o nich drženy, a co je důležité, právo na vymazání údajů. Byla vytvořena práva na přihlášení nebo odhlášení ze shromažďování údajů. Mezi další klíčové prvky patří právo na stejnou službu a cenu a právo požadovat náhradu škody v případě porušení osobních údajů.
Nová pravidla kladou na podniky, které zpracovávají osobní údaje, řadu nových požadavků. Musí být schopni poskytnout přístup k osobním údajům, na požádání vymazat osobní údaje a doložit jejich zničení. Musí také zavést postupy správy souhlasu. To je běžně vidět na webových stránkách, kde společnosti sdílejí informace s třetími stranami. Organizace má povinnost zveřejnit, jaká data jsou sdílena.
CCPA dává jednotlivcům kontrolu nad tím, jaké informace o nich lze nebo nelze prodávat. Podniky jsou povinny provádět cvičení inventarizace dat, aby se naučily osobní údaje a případy „prodeje“ údajů. V důsledku toho je nutné, aby byly v souladu s dohody o úrovni služeb s externími zpracovateli dat.
Náprava mezer v informační bezpečnosti a zranitelnosti systému musí být okamžitě vyřešena zavedením programů na posílení správy dat a identifikaci dat. Pokud jsou uchovávána data, která jsou mimo rozsah, musí být smazána.
Co je GDPR?
GDPR bylo navrženo pro evropské občany, ale týká se každého subjektu zpracovávajícího údaje EU. Jeho hlavním účelem bylo standardizovat zákony na ochranu údajů všech členských států EU.
Existuje sedm klíčových principů legislativy GDPR. Ty se zaměřují na zákonnost uchovávání osobních údajů a zajištění, aby byly uchovávány spravedlivým a transparentním způsobem. Údaje musí být uchovávány z konkrétního důvodu a musí sloužit ke konkrétnímu účelu. Osobní údaje nelze uchovávat po neomezenou dobu a jakmile splní svůj účel, musí být zničeny.
Organizace se také musí zavázat k minimalizaci dat a uchovávat pouze aktuální a relevantní informace, které jsou přesné. Musí zachovat integritu dat a zajistit zachování důvěrnosti soukromých informací.
Občané EU mají od zavedení GDPR mnoho nových práv. Tato práva jsou základem toho, co třetí strany mohou a nemohou dělat s osobními údaji. Lidé mají právo být informováni o tom, jaké osobní údaje podnik uchovává, a jednotlivec má právo tyto informace zobrazit a získat k nim přístup. V případě potřeby mají právo na opravu údajů.
Občané EU mohou požádat o vymazání osobních údajů a omezit způsob zpracování osobních údajů. Mají právo vznést námitku a také práva ve vztahu k automatizovanému rozhodování a profilování, jako jsou kritéria přijatelnosti kreditních karet.
CCPA versus GDPR
Je zřejmé, že jsou vidět nápadné podobnosti mezi CCPA a GDPR. CCPA lze považovat za americký protějšek GDPR. Existují však některé významné rozdíly. GDPR se týká správců údajů a zpracovatelů údajů v Evropské unii i mimo ni, CCPA však reguluje pouze společnosti „podnikající“ v Kalifornii.
Existují další pravidla, jako je CCPA, která se vztahuje pouze na společnosti s hrubým příjmem nad 25 milionů USD a na společnosti, které zpracovávají osobní údaje více než 50 000 obyvatel Kalifornie. Sankce udělované za porušení obou právních předpisů jsou také zcela odlišné. GDPR činí až 4 % obratu nebo 20 milionů eur (podle toho, co je vyšší). CCPA je konkrétně 2 500 USD za záznam za neúmyslná porušení a 7 500 USD za úmyslná porušení.
Existují i další jemné rozdíly, ale důležité je, že obě právní předpisy mají stejný cíl, a to je zlepšit a chránit osobní a soukromé informace. Oba zákony prosazují představu, že podniky nemohou získávat jakákoli data, která si zvolí. Data mají významnou hodnotu a mnoho technologických gigantů v Silicon Valley dosáhlo obrovských zisků prodejem osobních údajů. CCPA a GDPR to identifikovaly a jednaly na ochranu každého z nás.