GDPR vs CCPA: Klíčové výhody a rozdíly

Víte, kolik dat se každý den vytvoří? V průměru je to 2,5 kvintilionů bajtů dat. Odhaduje se, že do roku 2025 budou lidé generovat 463 exabajtů dat denně. Velkou část tohoto objemu tvoří osobní data – ukazují, co se uživatelům online líbí, co hledají a co kupují. Tato data jsou prakticky neocenitelná pro organizace všech velikostí a odvětví, protože jim umožňují lépe porozumět svým zákazníkům a tomu, co od značek mohou očekávat. Problém však byl, že uživatelé internetu měli jen malou nebo žádnou kontrolu nad tím, kdo jejich data shromažďuje a jak jsou používána.

Ačkoli existovalo několik zákonů o ochraně soukromí (například směrnice EU o osobních údajích z roku 1995), hlavním problémem bylo, že předpisy a práva online uživatelů se často lišily v jednotlivých zemích – a to často vedlo ke zneužívání osobních údajů.

Od roku 2018 se však situace změnila s obecným nařízením EU o ochraně osobních údajů (GDPR) a kalifornským zákonem o ochraně soukromí spotřebitelů (CCPA), které oba omezují, kolik dat mohou organizace shromažďovat a co s nimi mohou dělat.

Ačkoli CCPA a GDPR pokrývají podobná témata a mají stejný cíl, je několik věcí, ve kterých se liší. Které? V tomto srovnávacím článku GDPR vs. CCPA vám řekneme vše, co potřebujete o těchto dvou regulacích ochrany soukromí vědět.

Co je GDPR?

GDPR (General Data Protection Regulation) je evropský soubor předpisů o ochraně dat, který se vztahuje na všechny společnosti po celém světě, jež shromažďují a uchovávají osobní údaje o evropských občanech.

Hlavním cílem zákona bylo omezit, co mohou podniky dělat s daty, která shromažďují, chránit práva spotřebitelů na soukromí a poskytnout jednotlivcům větší kontrolu nad tím, jak jsou jejich osobní údaje používány. V rámci obecného nařízení o ochraně osobních údajů jsou jakékoli informace, které mohou identifikovat žijící fyzickou osobu, považovány za osobní údaje, a tedy spadají pod zákon o ochraně dat spotřebitelů – od jména, telefonního čísla nebo adresy až po zvyky procházení nebo předchozí nákupy. „Subjekty údajů" (tedy fyzická osoba, jíž dané údaje patří) mohou také kdykoli požádat danou společnost o kopii údajů, které o nich společnost shromáždila, nebo požadovat, aby společnost přestala data používat.

GDPR, navržené k nahrazení mírně zastaralé směrnice o ochraně dat z roku 1995, obsahuje jedenáct kapitol a 99 samostatných článků. Tyto kapitoly se zaměřují na práva vlastníků údajů, povinnosti podniků v oblasti uchovávání a zpracování dat, nezbytná opatření k zabezpečení dat, sankce za porušení zákona, ale také na to, jak mohou být data předávána jiným společnostem. To činí evropský zákon o ochraně soukromí jedním z nejkomplexnějších a nejpřísnějších zákonů o ochraně soukromí na světě.

V rámci obecného nařízení o ochraně osobních údajů mají jednotlivci právo:

Přístup ke svým údajům: Subjekt údajů má právo požadovat přístup ke svým údajům i ptát se, jak je společnost používá. Organizace musí také poskytnout kopii osobních údajů spotřebitele zdarma, kdykoli o to vlastník údajů požádá.
Smazání svých údajů: Subjekty údajů mohou požadovat, aby data, která o nich společnosti shromáždily, byla z databází společností vymazána.
Přesun svých údajů na jiné místo: Jednotliví uživatelé mohou požadovat, aby jejich aktuální spotřebitelská data byla přenesena z jednoho prostředí do druhého, například od jednoho poskytovatele služeb k druhému.
Být informováni o tom, že jsou jejich data shromažďována: V rámci GDPR musí podniky poskytovat „oznámení o ochraně osobních údajů" spotřebitelům, ve kterém jim sdělí, proč shromažďují a uchovávají data a jak dlouho budou data uchovávána. Podniky musí také požádat spotřebitele o souhlas před shromažďováním dat.
Opravit své osobní údaje kdykoli: Spotřebitelé, kteří zjistí, že jejich osobní údaje jsou nesprávné nebo neúplné, mohou požádat společnosti o jejich aktualizaci.
Omezit/zakázat společnostem zpracování svých údajů: Kdykoli spotřebitel požádá společnost, aby přestala používat jeho data k určitým účelům (např. marketingovým zprávám), musí společnost okamžitě vyhovět. Podniky musí také jasně sdělit, že spotřebitelé mohou kdykoli svůj souhlas odvolat, a poskytnout jim k tomu snadný způsob.

Kdy musíte používat GDPR?

Pokud jde o to, kdo musí dodržovat evropský zákon o ochraně soukromí, požadavky GDPR jsou velmi jednoznačné.

V podstatě jakýkoli subjekt, který shromažďuje nebo zpracovává osobní údaje obyvatel EU, musí dodržovat předpisy bez ohledu na to, kde se organizace nachází.

Organizace zaměstnávající více než 250 osob jsou rovněž automaticky povinny dodržovat GDPR. Ti, kteří mají méně než 250 zaměstnanců, nemusí vést záznamy o všech svých činnostech zpracování dat, pokud:

shromažďování a zpracování dat pro obchodní účely je jedním z jejich hlavních úkolů
shromažďuje specifické typy dat uvedené v předpisech (jako jsou trestní záznamy)
ovlivňuje práva a svobody subjektů údajů.

safetica-article-gdpr-image5

To může znít poměrně široce, takže si vezměme příklad – náhodnou logistickou společnost se sídlem na Floridě. Pokud by spolupracovala pouze s americkými klienty a společnostmi a neměla žádné obchodní vztahy se společnostmi z Evropy, musela by dodržovat pouze místní zákon. Situace se však mění, jakmile začne pracovat s evropskými společnostmi – pak bude právně zavázána dodržovat předpisy GDPR.

Vzhledem k tomu, že všechny webové stránky shromažďují nějaké informace o uživatelích, GDPR se vztahuje i na ně. Jediná výjimka je pro geograficky omezené webové stránky, ke kterým nemůže přistupovat nikdo mimo specifikovanou lokalitu – například americká verze webu značky, kterou mohou otevřít pouze lidé žijící v Americe.

Co je CCPA?

Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) je státní zákon, který byl schválen v roce 2018 a vstoupil v platnost v lednu 2020. Nový zákon, založený na GDPR, byl vytvořen jako reakce na dřívější incidenty, kdy byly podniky obviněny ze zneužívání nebo neoprávněného nakládání se soukromými informacemi. Je to první zákon svého druhu v USA, který poskytuje obyvatelům Kalifornie bezprecedentní ochranu online soukromí, včetně práva žalovat podniky v případě úniku dat.

Kalifornští uživatelé také získali na základě tohoto přelomového zákona několik nových práv, včetně:

Právo vědět o všech osobních údajích, které o nich podnik může shromažďovat, a jak jsou používány.
Právo přistupovat k osobním údajům, které drží podnik, kdykoli
Právo požadovat smazání svých shromážděných osobních údajů.
Právo odhlásit se z prodeje svých osobních údajů
Právo využívat svá práva CCPA bez obavy z odepření služby, vyšší ceny nebo jiné úrovně zboží či služeb.

Vzhledem k tomu, jak podobná jsou práva spotřebitelů těm v obecném nařízení o ochraně osobních údajů, je kalifornský zákon o ochraně soukromí spotřebitelů často nazýván kalifornskou verzí evropského zákona. Kalifornský zákon se však od GDPR liší v několika ohledech – na hlavní rozdíly se podíváme za chvíli.

Kdy musíte používat CCPA?

Pokud jde o organizace, které musí dodržovat nový zákon o ochraně soukromí, kalifornský zákon je rozhodně méně přísný než evropský zákon o ochraně soukromí, protože se vztahuje pouze na ziskové podniky, které splňují jednu nebo více z následujících podmínek:

Mají hrubý příjem vyšší než 25 milionů USD
Uchovávají osobní údaje nejméně 50 000 osob
Kupují/prodávají/přijímají/sdílejí osobní údaje 50 000 nebo více obyvatel Kalifornie ročně pro komerční účely.
Získávají 50 % nebo více ročních příjmů z prodeje osobních údajů

Stejně jako GDPR, i soulad s CCPA platí pro podniky mimo USA a Kalifornii. Takže pokud společnost nakládá s jakýmikoli osobními údaji obyvatel Kalifornie a splňuje alespoň jednu z výše uvedených podmínek, musí dodržovat kalifornský zákon o ochraně soukromí spotřebitelů. Existují však výjimky pro neziskové organizace a vládní agentury.

Podobnosti mezi GDPR a CCPA

Kalifornský zákon o ochraně spotřebitele a obecné nařízení o ochraně osobních údajů jsou v několika ohledech velmi podobné, takže se často srovnávají. Oba předpisy byly vytvořeny, aby poskytly spotřebitelům mnohem větší kontrolu nad tím, kolik osobních údajů je o nich shromažďováno a jak jsou používána. Oba zákony také poskytují spotřebitelům téměř stejná práva – například žádat podniky, aby vymazaly jakékoli informace, které o nich uchovávají, nebo se ohradit proti prodeji jejich osobních údajů.

Kromě toho se oba zákony neomezují pouze na Kalifornii nebo Evropu. Pokud podnik nakládá s osobními údaji obyvatel EU nebo CA, musí dodržovat předpisy GDPR a CCPA bez ohledu na hlavní místo společnosti.

Klíčové rozdíly mezi GDPR a CCPA

Ačkoli se zdají oba zákony podobné z hlediska práv a hlavních cílů, existují mezi nimi i některé zásadní rozdíly. Pokud tyto nuance přehlédnete, může být úprava interních zásad ochrany soukromí ve vaší společnosti a zajištění souladu s předpisy o ochraně soukromí podnikání trochu složitější. Pojďme se tedy nyní podívat, co přesně činí obecné nařízení o ochraně osobních údajů a kalifornský zákon o ochraně spotřebitelů jedinečnými.

#1 Rozsah zákona

Nejprve se podívejme, jak široký je každý zákon.

GDPR se vztahuje na jakýkoli subjekt (ať už jde o běžný podnik, neziskovou organizaci nebo vládní agenturu), pokud shromažďuje nebo by v budoucnu mohl shromažďovat jakákoli data od kohokoli, kdo se nachází v EU. A to zahrnuje jakékoli médium, jehož prostřednictvím by subjekty mohly data shromažďovat – e-maily, webové stránky atd. Jediné výjimky jsou pro menší společnosti, které zřídka zpracovávají spotřebitelská data, a pro ty bez zákazníků nebo uživatelů v regionech EU.

Kalifornský zákon o ochraně soukromí spotřebitelů zatím pokrývá pouze:

Ziskové subjekty, které podnikají v Kalifornii (s výjimkou neziskových organizací a vládních agentur)
Podniky, které mají roční příjmy vyšší než 25 milionů USD
Společnosti, které získávají 50 % nebo více svých příjmů z prodeje informací.
Podniky, které sdílejí značku nebo jsou ovládány společností, která spadá pod CCPA.

To činí GDPR mnohem širším zákonem než CCPA, protože pokrývá prakticky všechny organizace po celém světě bez ohledu na velikost nebo umístění – pokud společnost shromažďuje jakákoli data o evropských uživatelích, spadá pod obecné nařízení o ochraně osobních údajů. Dosah kalifornského zákona o ochraně soukromí spotřebitelů je mezitím omezen pouze na větší společnosti (zejména ty z Silicon Valley), přičemž menší společnosti a neziskové organizace nemusí být v souladu se zákonem.

#2 Přístup k datům

V rámci obou zákonů mají spotřebitelé právo se podniků ptát, jaké osobní údaje o nich daná společnost shromáždila, a požadovat jejich kopii. Existují však i zde několik (i když malých) rozdílů, například co se týče doby zpracování. V rámci GDPR mohou spotřebitelé poslat takovou žádost kdykoli a společnost, která takovou žádost obdrží, by měla odpovědět do 30 pracovních dnů (čas může být u složitých případů prodloužen). CCPA mezitím povoluje 45 pracovních dnů.

Za druhé, GDPR také zahrnuje to, co dává spotřebitelům právo opravit jakékoli neúplné nebo nesprávné části jejich údajů. Obyvatelé Kalifornie takové právo podle CCPA neměli, ale od ledna 2023 budou mít právo opravit své osobní údaje také v rámci kalifornského zákona o právech na ochranu soukromí (CPRA).

#3 Shromažďování dat

Největší rozdíl mezi oběma zákony se týká toho, jak mohou značky shromažďovat data podle obou zákonů, přičemž evropský zákon je mnohem přísnější než kalifornský. V rámci GDPR musí organizace uvést svůj „právní základ" pro shromažďování spotřebitelských dat (tedy účel shromažďování dat) a sdělit jim, jak budou tato data později používána. Dalším požadavkem je, že organizace nemohou data shromažďovat ani používat předtím, než jim spotřebitel udělí jasné povolení – tomu se říká „opt-in souhlas".

Mnoho podniků používá zaškrtávací políčka jako metody opt-in – zaškrtnutím nebo nezaškrtnutím políček mohou spotřebitelé buď udělit svůj souhlas se shromažďováním všech svých dat, nebo některá z nich ponechat prázdná, čímž omezí, co s daty společnosti mohou dělat.

Jasné informování spotřebitele o tom, co musí udělat, aby organizacím udělil svůj souhlas, a jak a kdy mohou souhlas odvolat, je zde jedním z klíčových požadavků.

Předpisy CCPA však ve svém zákoně nemají požadavek „výslovného souhlasu" – podniky mohou shromažďovat osobní údaje od uživatelů starších 16 let okamžitě, aniž by k tomu nejprve potřebovaly povolení. Jediné, co tento zákon vyžaduje, je sdělit spotřebitelům, jak mohou omezit množství dat, které o nich společnosti mohou shromažďovat, a co musí udělat, aby se odhlásili.

Podniky, které prodávají osobní údaje, jsou rovněž povinny přidat odkaz „Neprodávat mé osobní údaje" na viditelné místo na svém webu, aby spotřebitelům poskytly snadný způsob, jak se odhlásit z prodeje jejich dat jiným subjektům.

#4 Pokuty a sankce za nedodržení

V neposlední řadě má každý zákon jiné finanční sankce a pokuty za nedodržení. GDPR je známo svými poměrně vysokými administrativními pokutami za nedodržení. Menší a méně závažná porušení mohou vést k pokutám až 10 milionů eur nebo 2 % celosvětových ročních příjmů společnosti (podle toho, co je vyšší). Závažná porušení nebo opakovaná mohou dosáhnout 20 milionů eur nebo 4 % ročních příjmů – opět podle toho, co je vyšší. Od roku 2018 udělila Evropská unie celkem více než 163 milionů eur na pokutách GDPR, přičemž nejvyšší pokuta byla 746 000 000 eur udělená společnosti Amazon Europe Core S.à R.L. minulý rok.

Ve srovnání s výše uvedenými pokutami se pokuty CCPA mohou zdát mnohem nižší:

Maximální občanská pokuta za úmyslná porušení činí 7 500 USD.
Maximální občanské pokuty za neúmyslná porušení činí 2 500 USD.
Spotřebitelé mohou rovněž podávat soukromé žaloby o zákonné odškodnění, které bude činit 100 až 750 USD za každý incident porušení.

Ve srovnání s pokutami GDPR se výše uvedené pokuty na první pohled nemusí zdát významné. Měli byste však vědět, že předpisy CCPA považují každý incident porušení samostatně a pokuty za něj počítají individuálně – a horní limit pokuty také neexistuje. Pokuty za skutečné škody se rovněž počítají samostatně.

Takže například řekněme, že společnost velikosti Facebooku nedodržela požadavky na ochranu soukromí a kalifornský prokurátor obdržel více než 200 000 stížností. Pokud by porušení byla považována za úmyslná, konečná pokuta by mohla činit celkem jednu miliardu pět set milionů dolarů.

I když se tedy pokuty za soulad s CCPA mohou na první pohled zdát malé ve srovnání s GDPR, částka se může rychle nasčítat – zejména pokud jsou k již tak vysokým pokutám za hlavní porušení přidány pokuty za škody spotřebitelům.

Shrnutí CCPA vs GDPR

Nyní, když jsme se blíže podívali na kalifornský zákon o ochraně soukromí spotřebitelů a obecné nařízení EU o ochraně osobních údajů, vidíme, že mají několik důležitých rozdílů. Pojďme je shrnout:

	CCPA	GDPR
Kdo spadá pod předpis?	CCPA se vztahuje pouze na: Větší společnosti s hrubými příjmy přes 25 milionů USD ročně. Společnosti, které kupují, prodávají, sdílejí nebo používají osobní údaje více než 50 000 spotřebitelů ročně. Společnosti, které získávají více než 50 % svých příjmů z prodeje osobních údajů. Neziskové organizace a vládní agentury jsou vyňaty.	Všechny společnosti po celém světě, pokud mají jakékoli obchodní vztahy nebo kontakt se zákazníky se sídlem v Evropě. Organizace s více než 250 zaměstnanci jsou rovněž povinny dodržovat předpisy GDPR. Neexistují žádné výjimky.
Kdo je chráněn?	Spotřebitelé definovaní jako kalifornští občané, kteří žijí v Kalifornii nebo mají v Kalifornii bydliště.	Subjekty údajů definované jako fyzické osoby, které lze identifikovat na základě uchovávaných osobních údajů.
Jak může společnost shromažďovat data podle zákona	Organizace mohou shromažďovat osobní údaje, aniž by musely žádat spotřebitele o povolení. Musí však jasně uvést, jak mohou spotřebitelé omezit data, která mohou společnosti shromažďovat, a jak se mohou odhlásit z prodeje svých dat jiným stranám.	V rámci GDPR nemohou organizace shromažďovat data, pokud nemají jasný důvod odpovídající jednomu z právních základů GDPR a pokud jim zákazník neudělil povolení k shromažďování dat.
Práva přiznaná osobám spadajícím pod zákon	Právo vědět o shromažďování, uchovávání a zpracování osobních údajů. Právo přistupovat ke svým osobním údajům drženým podnikem. Právo požadovat, aby organizace smazaly uchovávané osobní údaje. Právo odhlásit se z prodeje svých osobních údajů. Právo využívat svá práva CCPA bez diskriminace.	Přistupovat ke svým údajům kdykoli. Mít své údaje smazány. Být informováni o tom, že jsou jejich údaje shromažďovány, a souhlasit se shromažďováním údajů. Opravit své osobní údaje kdykoli. Omezit/zakázat společnostem zpracování svých údajů. Přesunout své údaje na jiné místo.
Sankce za nedodržení	Maximální občanská pokuta 7 500 USD za každý případ úmyslného porušení. Maximální občanská pokuta 2 500 USD za každý případ neúmyslného porušení. Spotřebitelé mohou rovněž podávat soukromé žaloby o zákonné odškodnění, které bude činit 100 až 750 USD za každý incident porušení.	Až 10 milionů eur nebo 2 % ročních příjmů (podle toho, co je vyšší) za malá porušení. Až 20 milionů eur nebo 4 % ročních příjmů (podle toho, co je vyšší) za závažná nebo úmyslná porušení.

Závěr

Zákony CCPA a GDPR mají podobný záměr – chránit soukromí spotřebitelů v digitálním světě a zastavit zneužívání spotřebitelských dat podniky. Existují však viditelné rozdíly v tom, jak každý ze zákonů funguje.

U GDPR musí všechny organizace bez ohledu na velikost nebo umístění dodržovat předpisy, pokud mají nebo by mohly mít zákazníky z EU. Vzhledem k tomu, že existuje tolik specifických požadavků, vaše společnost možná bude muset připravit a přijmout několik organizačních opatření, aby je splnila.

Požadavky CCPA jsou trochu mírnější, protože musíte dodržovat předpisy pouze tehdy, pokud splníte jednu nebo více podmínek, jako je například uchovávání dat o více než 50 000 osobách.

Orientace v nuancích každého zákona a příprava na proces souladu však mohou být trochu matoucí, zejména pokud poprvé chápete a dodržujete požadavky zákona o ochraně soukromí. Nebylo by snadnější mít někoho po ruce, kdo vám pomůže s celým procesem?

Se Safetica po vašem boku můžete pochopit, jak vaše společnost shromažďuje a uchovává data, zajistit, aby byla data v bezpečí, a porozumět nuancím obou zákonů o ochraně soukromí. Pak bude dosažení souladu s GDPR a/nebo CCPA hračkou.