Skip to content
Menu

CPRA (California Privacy Rights Act) a spółki z UE

California Privacy Rights Act (CPRA) jest ustawą zmieniającą i wzmacniającą prawa konsumentów z Kalifornii do prywatności ich danych osobowych. Prawa te zostały ustanowione początkowo przez ustawę California Consumer Privacy Act (CCPA). Nowa ustawa obowiązuje od 1 stycznia 2023 r., a jej egzekwowanie rozpocznie się 29 marca 2024 r. Oznacza to, że powołana przez wskazaną ustawę California Privacy Protection Agency (Agencja) będzie mogła egzekwować działanie zgodnie z nowym prawem w przypadku wszystkich naruszeń, które będą miały miejsce 29 marca 2024 roku lub po tej dacie.

Kto podlega przepisom CPRA?

Ustawę CPRA skierowano w szczególności  do podmiotów zdefiniowanych jako „business” – takimi podmiotami są między innymi spółki gromadzące dane osobowe konsumentów z Kalifornii lub w imieniu których takie dane są zbierane. Podmioty oznaczone jako business powinny jednocześnie samodzielnie lub wspólnie z innym podmiotem określać cele i sposoby przetwarzania danych osobowych konsumentów z Kalifornii, prowadzić działalność w stanie Kalifornia oraz spełnić jeden z progów wskazanych przez ustawę. Prowadzenie działalności w Kalifornii nie oznacza, że podmiot musi mieć siedzibę w Kalifornii, jest to raczej faktyczne działanie na terenie Kalifornii. Podmiotem określonym jako business może być zatem również spółka europejska posiadająca międzynarodową platformę.

CPRA określa również obowiązki takich podmiotów jak „service provider”, „contractor” lub „third party”, dlatego podmioty z Unii Europejskiej kierujące swoje usługi do konsumentów z Kalifornii lub w ramach swojej działalności przetwarzające dane takich konsumentów powinny określić swoją rolę zgodnie z ustawą CPRA i wypełniać nałożone przez nią wymagania. Jest to też element transparentności i częsty wymóg użytkowników platform SaaS.

Jakie obowiązki nakłada CPRA?

Obowiązki nakładane przez CPRA zależne są od rodzaju podmiotu, który im podlega. Przykładowo podmioty takie jak business lub third party muszą wypełnić obowiązki informacyjne względem konsumentów, w tym powiadomić ich o uprawnieniach przyznawanych na gruncie CPRA. Należy także wdrożyć mechanizmy pozwalające konsumentowi na rezygnację z przetwarzanych danych oraz ograniczenie ich przetwarzania.

Podmioty określone jako service provider oraz contractor powinny zawrzeć odpowiednie umowy z przedsiębiorcami pozwalające im na przetwarzanie danych zgodnie z zawartą umową.

Różnice pomiędzy CCPA i CPRA

CPRA rozszerza uprawnienia konsumentów w zakresie przetwarzania ich danych osobowych, co powoduje, że przedsiębiorcy powinni powiadomić użytkowników o nowych prawach. CPRA wprowadza także nową kategorię danych – dane wrażliwe (sensitive personal data).  Należą do nich na przykład dokładne dane geolokalizacyjne, czy numer karty debetowej lub kredytowej w połączeniu z kodem dostępu. W przypadku ich przetwarzania wszystkie informacje dotyczące celów i sposobów przetwarzania, w tym retencji, powinny zostać opisane bezpośrednio w odniesieniu do tych danych, jako osobnej kategorii. Cele biznesowe, do jakich podmioty mogą wykorzystywać dane osobowe, zostały również zaktualizowane. Stąd należy dostosować brzmienie dokumentacji prawnej udostępnianej podmiotom danych (w szczególności polityki prywatności lub tzw. End User Privacy Policy), do nowych postanowień.

Przedsiębiorcy powinni zapewniać na swoich stronach internetowych odpowiedni mechanizm pozwalający na wykonywanie przez konsumentów ich uprawnień w zakresie ograniczenia przetwarzania danych wrażliwych (na stronach internetowych poprzez link „Limit The Use Of My Sensitive Personal Information”). Od 1 stycznia 2023 roku usługowcy powinni byli również wyposażyć strony internetowe w link „Do Not Sell Or Share My Personal Information”. Dodatkowe obowiązki wiążą się bowiem także z udostępnianiem danych osobowych, a nie tylko ich sprzedażą, co miało miejsce na gruncie CCPA.

Zgodność z RODO a zgodność z CPRA

CPRA mocno wzoruje się na RODO w zakresie ochrony danych osobowych, ale oprócz analogicznych uprawnień podmiotów danych wprowadza szereg dodatkowych uprawnień, obowiązków informacyjnych oraz konieczność wdrożenia odpowiednich mechanizmów na stronach internetowych.

Dodatkowo CPRA wprowadziła aż cztery kategorie podmiotów i określiła ich definicje, a każdy podmiot ma inne obowiązki. Na gruncie RODO mamy tylko dwa podmioty – administratora danych i podmiot przetwarzający, co powoduje, ze każdorazowo trzeba zweryfikować, jakim obowiązkom podlega spółka na gruncie CPRA.


Jeżeli jesteś usługodawcą SaaS, posiadasz aplikację mobilną lub w inny sposób przetwarzasz dane konsumentów z Kalifornii i chcesz wdrożyć CPRA na swojej stronie internetowej i w dokumentacji prawnej, to napisz do mnie na adres: patrycja@patrycjabadek.legal.

Jeżeli chcesz podzielić się z kimś powyższym artykułem, wybierz ikonę odpowiedniej aplikacji.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i jest aktualny na dzień jego publikacji. Nie stanowi on natomiast ani porady prawnej, ani nie zastępuje profesjonalnych usług prawnych. Każda sytuacja jest specyficzna i jeżeli potrzebujesz dokładnej analizy lub opinii, to możesz skorzystać z indywidualnej pomocy prawnej, która jest odpłatna. Jeżeli jesteś zainteresowany lub zainteresowana, to zapraszam do bezpośredniego kontaktu w celu zapoznania się z Twoją sytuacją i pytaniami oraz przedstawienia wyceny usług prawnych.

Szukasz indywidualnej pomocy prawnej? Skontaktuj się ze mną.

Patrycja-Badek-blog

Patrycja Bądek

Radca prawny z ponad 12-letnim doświadczeniem w kompleksowej obsłudze prawnej polskich i zagranicznych klientów biznesowych, w tym głównie w zakresie IT, TMT oraz własności intelektualnej.

Inne artykuły na blogu:

znak1

Zapisz się do newslettera i zostań ze mną na dłużej!

Jeżeli masz ochotę pozostać ze mną w bliższym kontakcie, a także otrzymać bonusowy materiał – Checklistę dobrej umowy, to zapraszam Cię do zapisania się na newsletter. Będę przesyłać Ci także wartościowe treści prawne i zagadnienia, które z pewnością zainteresują Cię jako przedsiębiorcę.

Nie możesz kopiować zawartości tej strony