Polscy wydawcy gier wideo, którzy prowadzą albo mają zamiar prowadzić swoją działalność w Kalifornii, powinni pamiętać o konieczności przestrzegania lokalnego prawa, w tym prawa ochrony danych osobowych. W tym obszarze pojawiły się ostatnio zmiany.
California Privacy Rights Act (CPRA) znowelizował dotychczasowy California Consumer Privacy Act (CCPA). Jak zmiany mogą wpłynąć na polskich przedsiębiorców? Ile wspólnego ma CPRA z europejskim RODO? Odpowiadamy.
Ochrona prywatności w kalifornijskim stylu – krótko o CCPA i CPRA
CCPA to akt prawny z 2018 roku, który wszedł w życie dwa lata później. Ma on na celu zwiększenie ochrony prywatności konsumentów z Kalifornii, w tym zapewnienie im większej kontroli nad danymi osobowymi zbieranymi na ich temat przez niektóre organizacje.
W listopadzie 2020 r. przyjęto nowelizację CCPA – w postaci CPRA. Znowelizowane przepisy weszły w życie wraz z początkiem 2023 roku, ale ich egzekwowanie nastąpi dopiero od 1 lipca tego roku. Będzie ono obejmować naruszenia, które miały miejsce w tym dniu lub później.
Dlaczego te przepisy mogą dotyczyć polskich wydawców?
CCPA ma zastosowanie do wielu rodzajów organizacji. Główne obowiązki nałożone są na przedsiębiorcę (business), którego można uznać za odpowiednik administratora danych osobowych z RODO[1].
Takim przedsiębiorcą będą jednoosobowe działalności lub spółki, które:
- działają dla zysku,
- prowadzą działalność w Kalifornii (that does business in the State of California),
- zbierają dane osobowe konsumentów lub w imieniu których są one zbierane,
- określają samodzielnie lub z innymi podmiotami cele i sposoby przetwarzania danych osobowych konsumentów.
Poza tym, businesses muszą spełniać jeszcze co najmniej jeden z poniższych warunków:
- mają roczne przychody brutto przekraczające 25 mln USD[2];
- samodzielnie lub wspólnie kupują, sprzedają lub udostępniają co roku dane osobowe co najmniej 100 000 konsumentów lub gospodarstw domowych; lub
- uzyskują co najmniej 50% swoich rocznych przychodów ze sprzedaży lub udostępniania danych osobowych konsumentów.
Rozumienie konsumenta z CCPA różni się od tego znanego z prawa polskiego – bo jest on bardziej odpowiednikiem osoby, której dane dotyczą w RODO. Kalifornijskie przepisy definiują konsumentajako osobę fizyczną będącą rezydentem stanu Kalifornia[3] – w jakikolwiek sposób zidentyfikowaną, w tym za pomocą dowolnego niepowtarzalnego identyfikatora.
Choć przytoczona definicja konsumenta dotyczy jedynie rezydentów Kalifornii, to finalnie może mieć wpływ na wielu przedsiębiorców – w tym tych z Polski. Takim konsumentem może być osoba, która:
- przebywa w Kalifornii w celu innym niż czasowy lub przejściowy (np. na stałe, a nie turystycznie), albo
- ma miejsce stałego zamieszkania (domiciled) w Kalifornii, ale przebywa czasowo lub przejściowo poza tym stanem.
Taki sposób rozumienia tego pojęcia ma szczególne znaczenie przy usługach online (np. gry online, sklepy internetowe z treściami lub usługami cyfrowymi), w przypadku gdy są one kierowane do rezydentów Kalifornii.
Kalifornijskie przepisy definiują dane osobowe (personal information) równie szeroko, jak ma to miejsce w RODO. Są to informacje bezpośrednio lub pośrednio powiązane z konsumentem lub gospodarstwem domowym.[4] W kontekście gier wideo może to być np. pseudonim, adres e-mail czy adres IP, ale także dane dotyczące interakcji konsumenta z oprogramowaniem.
Jeśli więc działalność polskiego wydawcy, który spełnia powyższe wymogi, może obejmować przetwarzanie danych osobowych konsumentów z Kalifornii, to powinni się oni zainteresować kalifornijskimi przepisami dotyczącymi ochrony prywatności.
Jakie zmiany wprowadza CPRA?
CPRA wprowadza m.in. nową kategorię – danych osobowych wrażliwych. Może to przywodzić na myśl dane osobowe szczególnej kategorii z RODO. Jednak CPRA przewiduje tu znacznie szerszy zakres, który obejmuje m.in. numery identyfikacyjne, precyzyjną geolokalizację, treść poczty, e-maili lub wiadomości tekstowych konsumenta (chyba że dany podmiot jest ich docelowym odbiorcą).
Z wprowadzeniem wspomnianej kategorii danych osobowych wiąże się przyznanie konsumentom dodatkowych uprawnień. Należy do nich przede wszystkim możliwość złożenia wniosku do danej organizacji, by ograniczyła ona ich wykorzystywanie i ujawnianie jedynie do celów przedsiębiorstwa (business purposes). Dzięki temu konsumenci mogą mieć wpływ na ograniczenie ujawniania swoich danych osobowych wrażliwych dostawcom usług (service providers), kontrahentom (contractors) czy stronom trzecim (third parties).
Co ważne, w tym kontekście CPRA definiuje również kontrahenta i dostawcę usług. W przypadku chęci zawarcia umowy z dowolnym ze wspomnianych podmiotów należy przestrzegać warunków, które określono w akcie.
Kolejną ważną zmianą jest poszerzenie uprawnień konsumentów w stosunku do podstawowej kategorii danych osobowych. Obejmuje ono przede wszystkim prawo do sprostowania jego danych osobowych. Co więcej, w akcie doprecyzowane są również warunki dotyczące:
- sprzeciwu wobec sprzedaży lub udostępniania danych osobowych konsumenta, oraz
- przetwarzania ich po złożeniu takiego sprzeciwu (które może wówczas następować jedynie w celach przedsiębiorstwa).
California Privacy Protection Agency, czyli kalifornijski odpowiednik PUODO
Wejście w życie CPRA skutkuje powstaniem California Privacy Protection Agency. Organowi przyznano uprawnienia m.in. do nakładania administracyjnych kar pieniężnych w wysokości do 2500 USD za każde naruszenie tych przepisów lub 7500 USD za każde umyślne naruszenie dotyczące danych osobowych konsumentów, gdy nie ukończyli oni 16 roku życia.
W CPRA przewidziano także możliwość dochodzenia roszczeń z tego tytułu na drodze cywilnej. Co istotne – przepisy nie przewidują górnego limitu nałożenia kary za dokonane naruszenia.
Kluczowe obowiązki dla krajowych wydawców gier wideo
Kalifornijskie przepisy przewidują szereg obowiązków prawnych dotyczących ochrony prywatności konsumentów. Krajowi wydawcy powinni jednak zwrócić szczególną uwagę na:
- konieczność uzupełnienia informacji w politykach prywatności o sekcje dotyczącą obowiązków wynikających z CPRA – o np. kategorie przetwarzanych danych osobowych (w tym danych wrażliwych), cele oraz czas ich przetwarzania, a także informacje o ewentualnej ich sprzedaży bądź udostępnianiu. Polityka powinna być aktualizowana nie rzadziej niż co 12 miesięcy;
- zapewnienie właściwego cyberbezpieczeństwa danych (np. poprzez wprowadzenie odpowiednich procedur i środków bezpieczeństwa dla przetwarzanych informacji);
- gromadzenie dodatkowych kategorii danych osobowych (także wrażliwych), a przede wszystkim na fakt, czy nie wykorzystują ich do innych celów, niż te, które zostały konsumentowi przedstawione w polityce prywatności;
- czy ewentualne umowy z innymi podmiotami spełniają właściwe wymogi prawne;
- realizację obowiązków prawnych dotyczących sprzedaży lub udostępnienia danych osobowych, a w szczególności wdrożenie odpowiednich funkcjonalności do realizacji praw konsumentów typu „Nie sprzedawaj ani nie udostępniaj moich danych osobowych”.
Dodatkowym obszarem, który powinien zainteresować krajowych wydawców, są przyznane konsumentom prawa związane z przetwarzaniem danych osobowych. Podobnie jak RODO, tak i CPRA gwarantuje tutaj pewne uprawnienia.
Przyznane konsumentom prawa zobowiązują przedsiębiorców do wdrożenia odpowiednich mechanizmów umożliwiających ich realizację – w sposób zgodny z kalifornijskimi przepisami.
Od czego zacząć zmiany w związku z CPRA?
Wydawcy gier, którzy mogą przetwarzać dane osobowe kalifornijskich konsumentów, powinni zweryfikować, czy podlegają pod kalifornijskie prawo – w tym to dotyczące ochrony prywatności.
Jeśli tak, to możliwe, że będą musieli wprowadzić zmiany do polityk, procedur i pozostałej dokumentacji dotyczącej przetwarzania danych osobowych. Modyfikacje muszą być zgodne z przepisami CCPA – również po zmianach wniesionych przez CPRA.
Prowadzenie biznesu w różnych jurysdykcjach może być dla przedsiębiorców nie lada wyzwaniem, zwłaszcza w przypadku działalności prowadzonej online. Jednocześnie należy pamiętać, że w innych stanach USA kwestia przetwarzania danych osobowych może być uregulowana w odmienny sposób niż w Kalifornii – co będzie wymagać odrębnej analizy.
W przypadku pytań w zakresie
prowadzenia działalności w Stanach Zjednoczonych zachęcamy do kontaktu z
ekspertami z US Desk
OW. Nasz zespół z przyjemnością wyjaśni wszelkie kwestie – nie tylko te
dotyczące powyższej tematyki.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), zwane jako „RODO”
[2] Według stanu na 1 stycznia danego roku kalendarzowego, które zostały uzyskane w poprzednim roku kalendarzowym.
[3] Zgodnie z definicją zawartą w sekcji 17014 tytułu 18 California Code of Regulations, w brzmieniu tej sekcji z 1 września 2017 r.
[4] Niektóre informacje są jednak z zakresu definicji danych osobowych wyłączone, jak np. publicznie dostępne lub uzyskane zgodnie z prawem, prawdziwe informacje, które są przedmiotem zainteresowania opinii publicznej.
