CCPA – GDPR made in California | Marwick.cz
Marwick.cz

CCPA – GDPR made in California

Právo 31.7.2019 Ondřej Vykoukal, Martin Čapek
CCPA – GDPR made in California
Co znamená GDPR není třeba zdlouhavě vysvětlovat. Zkratka CCPA ale může být pro řadu čtenářů novinkou. California Consumer Privacy Act (CCPA) je dlouho očekávaný americký zákon týkající se ochrany soukromí občanů státu Kalifornie. Zákon vstoupí v účinnost v lednu 2020. Ve Spojených státech alespoň prozatím neexistuje ochrana osobních údajů evropského typu, a tak se CCPA s GDPR logicky srovnává.

Většina odborné veřejnosti se shoduje na tom, že  GDPR vytvořilo zlatý standard pro ochranu osobních údajů, který přinutil i ty největší společnosti po celém světě významně přehodnotit svůj náhled na tuto oblast. Ačkoliv je Kalifornie kolébkou technologických gigantů, komplexní zákon chránící osobní údaje uživatelů dosud chyběl.  Zda se právě CCPA vyrovná GDPR a bude oním zlatým standardem pro zbytek států USA, zůstává otázkou.

První a zřejmě nejzásadnější rozdíl plyne již z definice subjektů údajů, tj. osob, které jsou předpisem chráněni. CCPA totiž chrání osobní údaje pouze občanů Kalifornie, kdežto GDPR se vztahuje na osobní údaje jakékoli fyzické osoby. CCAP tedy nepřestavuje univerzální předpis na ochranu osobních údajů všech fyzických osob, jako je tomu v případě GDPR. 

Druhým zásadním rozdílem je vymezení správců osobních údajů, které CCPA označuje „společnosti“ („businesses“). Podle GDPR je správcem osobních údajů kdokoli, kdo zpracovává osobní údaje. Povinnosti stanovené CCPA však dopadají jen na striktně vymezené subjekty. Zaprvé se musí jednat o komerční společnost, což automaticky vyřazuje neziskové organizace či orgány veřejné správy. Aby společnost podléhala CCPA, musí ještě naplnit alespoň jedno ze stanovených kritérií: musí mít roční hrubý příjem nad 25 milionů dolarů, pro komerční účely nakupovat, prodávat nebo přijímat/sdílet osobní údaje aspoň 50 000 obyvatel Kalifornie nebo získávat 50 % zisku z prodeje osobních údajů obyvatel Kalifornie. Z evropského pohledu je přinejmenším zarážející, že ani zpracovávání osobních údajů několika desítek tisíc občanů tak nebude spadat pod režim CCPA.

Co se týká definice osobních údajů, odlišností najdeme překvapivě velmi málo. CCPA sice obsahuje mnohem širší výslovný výčet toho, co je oním osobním údajem, ale z definice GDPR nikterak nevybočuje. Zajímavým rozdílem je, že definice nezahrnuje oprávněně zveřejněné osobní údaje získané ze záznamů federální, státní či místní veřejné správy. Podle GDPR jsou i takto zveřejněné údaje jednoznačně údaji osobními a s jako takovými se s nimi musí nakládat. CCPA také nerozlišuje mezi osobními údaji běžnými a citlivými.

Dalším významným rozdílem je, že CCPA ve srovnání s GDPR neobsahuje základní zásady zpracování osobních údajů. Ve skutečnosti obsahuje jen velice málo omezení ve vztahu ke společnostem a jejich nakládání s osobními údaji.

Co se týče právního základu pro zpracování osobních údajů, CCPA se neubírá cestou, kterou zvolilo GDPR. Nezavádí šest právních titulů, na jejichž základě lze legitimně zpracovávat osobní údaje. Dle CCPA obecně platí, že zpracování je povoleno. Zároveň však spotřebitelé mají možnost se tzv.  „odhlásit“ (z angl. „opt-out“) z určitých druhů zpracování, konkrétně ve vztahu k prodeji jejich osobních údajů (co si lze všechno představit pod pojmem „prodej“ však také není zcela konkrétní). O této možnosti musí být navíc spotřebitel náležitě informován.

Z naznačených rozdílů je patrný zcela odlišný přístup k ochraně osobních údajů v Evropě a Spojených státech. V USA je přístup regulátora spíše zdrženlivý a opatrný. Nutno dodat, že tento přístup se neprojevuje jen v oblasti ochrany osobních údajů.

autor
Ondřej Vykoukal, Martin Čapek

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.
Bude regulace umělé inteligence následovat GDPR?

Bude regulace umělé inteligence následovat GDPR?

Evropská unie vydala rámcový dokument týkající se etických aspektů umělé inteligence (AI), robotiky a souvisejících technologií. Přiklání se v něm k přísné regulaci.