Czym jest CPRA?

Kalifornijska ustawa o prawach do prywatności (CPRA) stanowi rozszerzenie i wzmocnienie Kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA), obowiązującej od 1 stycznia 2023 r. Poniżej podsumowano główne rezultaty i skutki zaobserwowane po wdrożeniu CPRA:

• Rozszerzenie praw konsumentów:
  CPRA wprowadza cztery nowe prawa konsumentów:

  1. Prawo do sprostowania niedokładnych danych osobowych
  2. Prawo do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych
  3. Prawo do rezygnacji z technologii zautomatyzowanego podejmowania decyzji
  4. Prawo do dostępu do informacji o zautomatyzowanym podejmowaniu decyzji
     Prawa te zbliżają kalifornijskie przepisy dotyczące prywatności do unijnego GDPR, zwiększając kontrolę osób fizycznych nad ich danymi.

• Rozszerzony zakres regulowanych przedsiębiorstw:
  CPRA obniża próg dla przedsiębiorstw podlegających obowiązkowi zgodności poprzez:

  • Obniżenie rocznych minimów przetwarzania danych konsumentów
  • Włączenie przedsiębiorstw, które generują przychody z udostępniania (a nie tylko sprzedaży) danych osobowych
  • Rozszerzenie definicji “przedsiębiorstwa” o określone spółki joint venture i partnerstwa
    To rozszerzenie zwiększa liczbę podmiotów zobowiązanych do wdrożenia solidnych mechanizmów kontroli prywatności.

• Zwiększona odpowiedzialność za korzystanie z usług stron trzecich:
  Ustawa nakłada nowe wymagania umowne i obowiązki należytej staranności na przedsiębiorstwa udostępniające dane osobowe stronom trzecim, dostawcom usług i wykonawcom. Przedsiębiorstwa muszą zapewnić, że te strony utrzymują równoważny poziom ochrony prywatności, co tworzy kaskadowy efekt zgodności.

• Kategoria wrażliwych danych osobowych:
  Wprowadzono nową kategorię “wrażliwych danych osobowych” (SPI), obejmującą takie dane jak numery Social Security, dokładna geolokalizacja, dane o zdrowiu i dane biometryczne. Konsumenci mają wyraźne prawo do ograniczenia wykorzystywania i ujawniania SPI, co stanowi znaczącą zmianę w kierunku bardziej szczegółowej kontroli prywatności.

• Wymogi dotyczące zgody i przejrzystości na wzór GDPR:
  CPRA nakazuje stosowanie jaśniejszych mechanizmów uzyskiwania zgody, większą przejrzystość w klauzulach informacyjnych dotyczących prywatności oraz podwyższone obowiązki w zakresie przetwarzania danych wrażliwych. Wymogi te odzwierciedlają zbieżne standardy między prawem kalifornijskim a zasadami GDPR.

Ogólnie rzecz biorąc, CPRA zmusza przedsiębiorstwa działające w Kalifornii do wdrażania bardziej rygorystycznych praktyk zarządzania prywatnością, przyjmowania ulepszonych mechanizmów kontroli konsumenckiej i przygotowania się na wzmożoną kontrolę regulacyjną. Elementy ustawy przypominające GDPR sygnalizują trend w kierunku harmonizacji amerykańskich i europejskich ram ochrony prywatności.