Dok se pravni subjekti na području Europske unije i dalje bore s odredbama Opće uredbe o zaštiti podataka (GDPR), prvim danom 2020. godine počeo je s primjenom i Kalifornijski zakon o zaštiti privatnosti potrošača odnosno CCPA. Sam zakon donesen je u svrhu zaštite privatnosti i osobnih podataka potrošača koji žive u državi Kalifornija, a njegove odredbe odnose se na sve tvrtke koje prikupljaju ili prodaju osobne podatke građana Kalifornije, bez obzira imaju li sjedište u Kaliforniji, drugoj saveznoj državi SAD-a ili nekoj trećoj zemlji.
Najveći udio izvoznika na kalifornijsko tržište kojih se značajno dotiču odredbe ovog zakona je iz sektora informacijsko-komunikacijskih tehnologija (ICT). Europski ICT izvoznici tako moraju svoje poslovanje, ali i proizvode svog plasmana uskladiti s CCPA ukoliko se njihovi proizvodi ili samo poslovanje dotiču prikupljanja ili prodaje osobnih podataka građana Kalifornije prema njime propisanim karakteristikama.
U svrhu lakšeg razumijevanja, ukazujemo na pojedine sličnosti i razlike GDPR i CCPA na koje treba obratiti pažnju:
- Opća uredba o zaštiti podataka (EU) 2016/679 - GDPR i Kalifornijski zakon o privatnosti potrošača iz 2018. - CCPA (SB-1121 izmijenjen i dopunjen u vrijeme ove objave) doneseni su s ciljem snažne zaštite privatnosti pojedinaca i njihovih osobnih podataka.
- Primjenjuju se na tvrtke koje prikupljaju, koriste ili dijele osobne podatke potrošača, bez obzira na to jesu li prikupljeni putem interneta ili na neki drugi način.
- Prva zajednička karakteristika GDPR-a i CCPA jest globalni utjecaj. Američka savezna država Kalifornija je peta po veličini svjetska ekonomija, a EU je tržište od 500 milijuna stanovnika koje posluje s cijelim svijetom.
- CCPA je počeo s primjenom 1. siječnja 2020. godine i pojedine njegove odredbe su zahtijevale od tvrtki da informiraju pojedince i potrošače o aktivnostima oko usklađivanja s tim zakonom i prije službenog datuma početka njegove primjene.
- Zakoni su slični u definicijama određenih termina, pojačanoj zaštiti osoba mlađih od 16 godina i davanju prava na pristup osobnim podacima.
- CCPA i GDPR se značajno razlikuju u opsegu primjene, prirodi podataka i ograničenju u pogledu prikupljanja te pravilima koja definiraju odgovornosti. Primjerice, GDPR predviđa obveze u vezi s imenovanjem službenika za zaštitu podataka, vođenjem registra aktivnosti obrade i potrebom za procjenu učinka zaštite podataka u određenim okolnostima, dok se CCPA ne fokusira posebno na obveze u vezi s funkcionalnom odgovornošću već propisuje obvezu tvrtki da educiraju svoje zaposlenike koji su zaduženi za komunikaciju sa potrošačima.
- Jedno od osnovnih načela GDPR-a je postojanje pravne osnove za sve obrade osobnih podataka, dok to nije slučaj sa CCPA.
- CCPA je iz svog opsega isključio obradu medicinskih podataka, obradu osobnih podataka za klinička ispitivanja te osobne podatke koje obrađuju agencije za kreditno izvještavanje jer su regulirani drugim američkim regulativama.
- CCPA je više fokusiran na obveze transparentnosti te odredbe koje ograničavaju prodaju osobnih podataka pritom zahtijevajući aktivnu poveznicu na internetskoj stranici tvrtke s obveznom opcijom 'Do Not Sell My Personal Information' (Nemojte prodati moje osobne podatke).
- U CCPA su posebno definirane odredbe u vezi s prijenosa podataka u slučaju spajanja i akvizicija pri čemu je potrošačima omogućeno pravo na odustajanje ako 'treća strana materijalno promijeni način na koji koristi ili dijeli osobne podatke potrošača u način koji materijalno nije u skladu s obećanjima danim u vrijeme prikupljanja'.
- GDPR definira pojam 'ispitanika' kao osobu koja je identificirana ili se može identificirati, a CCPA definira pojam 'potrošač' kao fizičku osobu koja je rezident Kalifornije.
- Odredbe GDPR-a obavezne su i odnose se na voditelje i izvršitelje obrade bez obzira da li time ostvaruju profit ili ne.
Odredbe CCPA odnose se samo na organizacije:
- koje ostvaruju profit,
- prikupljaju osobne podatke potrošača,
- određuju svrhe i sredstva obrade,
- posluju na području Kalifornije,
- ostvaruju godišnji bruto prihod veći od 25 milijuna USD (izvor: EDPB)
- godišnje kupuje, prima, prodaje ili dijeli više od 50.000 osobnih podataka potrošača u komercijalne svrhe
- ostvaruje 50% ili više svojih godišnjih prihoda od prodaje osobnih podataka potrošača
- GDPR se odnosi na sve organizacije u zemljama EU i organizacije izvan EU koje posluju na tržištu EU
- GDPR se primjenjuje na obradu osobnih podataka automatiziranim ili neautomatiziranim sredstvima ako se podaci sustavno pohranjuju dok CCPA ne određuje posebno materijalni opseg, ali njegove obveze obuhvaćaju 'prikupljanje', 'prodaju' ili 'dijeljenje' osobnih podataka.
- Definicija osobnog podatka prema CCPA u nekim se dijelovima preklapa sa GDPR definicijom osobnog podatka. GDPR se ne primjenjuje na obradu 'anonimnih podataka', dok se prema CCPA ne prikupljaju i ne dijele 'zbirni podaci o potrošačima' i tzv. 'deidentificirani podaci'.
- Kazne propisane GDPR-om mogu doseći visinu četiri posto godišnjih prihoda ili 20 milijuna eura, a prema CCPA 750 dolara po osobi po incidentu
- Prema GDPR ukoliko prikupljate podatke na osnovu privole ispitanika od njega morate ishoditi eksplicitni pristanak, dok se prema CCPA privola mora ishoditi samo ako tvrtke prodaju podatke osoba mlađih od 16 godina