Europejska firma prowadząca sprzedaż internetową produktów lub usług na rynku USA zbiera dane o konsumentach i potencjalnych konsumentach w Stanach Zjednoczonych. Prowadzenie takiej działalności gospodarczej w USA wymaga zaznajomienia się z amerykańskimi regulacjami prawnymi dotyczącymi ochrony danych osobowych, co pozwoli zmniejszy ryzyko postępowań prokuratorskich, śledztw prowadzonych przez agencje federalne, a także trudnych do oszacowania kar za łamanie przepisów chroniących prywatność konsumentów w USA.
Ochrona danych osobowych w USA
Amerykańskie prawo federalne, jak i prawo stanowe narzuca na każdy podmiot gospodarczy zbierający i wykorzystujący dane osobowych obywateli USA pewne ograniczenia, mechanizmy ochronne, a także wymogi administracyjne. Warto podkreślić, iż zakres wymaganej ochrony danych osobowych na poziomie stanowym może drastycznie różnic się między amerykańskim stanami. Na przykład, Stan Kalifornia posiada najbardziej restrykcyjne regulacje dotyczące ochrony i używania danych osobowych rezydentów Kalifornii, a z drugiej strony Stan Alaska nie przywiązuje dużej uwagi do ochrony danych osobowych rezydentów Alaski. Każdy z 50-ciu amerykańskich stanów może wprowadzić i egzekwować swoje odrębne, czasami niezrozumiale regulacje prawne.
Każdy z amerykańskich stanów w inny sposób reguluje ochronę danych osobowych, regulacje są dość nowe i ciągle podlegają zmianom i interpretacjom prawnym przez amerykańskich sędziów. Stan Kalifornia jest uznawany jako jurysdykcja posiadająca najbardziej rygorystyczne przepisy chroniące dane osobowe rezydentów Kalifornii, stąd zagraniczny podmiot prowadzący działalność e-commerce w USA powinien dobrze zaznajomić się z Ustawą California Consumer Privacy Act, CCPA.
Ustawa o ochronie danych osobowych- CCPA
Amerykańska ustawa California Consumer Privacy Act wymaga od osób prywatnych i podmiotów prowadzących sprzedaż internetową na terytorium Kalifornii między innymi:
- Przedstawienia informacji zbieranych przez blog, stronę internetową, lub sklep internetowy.
- Wyjaśnienia, do jakich celów są i będą wykorzystane zebrane dane osobowe.
- Złożenia deklaracji czy zebrane dane osobowe są lub będą sprzedawane dla podmiotów trzecich.
- Przedstawienia stanowych praw, które posiada konsument odwiedzający stronę internetową lub dokonujący zakupu usługi, lub produktu.
Czy każdy europejski podmiot używający Internetu do promowania i sprzedaży swoich usług lub produktów jest zobowiązany do spełnienia wymogów narzucanych przez California Consumer Privacy Act, CCPA ? Odpowiedz będzie zależna od wielu czynników. CCPA będzie miało zastosowanie w przypadku gdy:
- Podmiot osiąga roczne przychody przekraczające 25 milionów dolarów.
- Podmiot kupuje, sprzedaje lub dzieli się danymi osobowymi 100,000 lub więcej konsumentów, lub urządzeń rocznie.
- Podmiot pozyskuje co najmniej 50% rocznych przychodów ze sprzedaży lub dzielenia się danymi osobowymi.
Europejski podmiot prowadzący działalność gospodarczą na rynku USA nie powinien wyciągać pochopnych wniosków co do stosowania Ustawy CCPA. Wystarczy jedynie osiągnąć średni poziom 300 osób dziennie odwiedzających stronę internetową, aby europejski podmiot został zobowiązany do wywiązywania się z wymogów Ustawy CCPA. Kary za łamanie Ustawy California Consumer Protection Act mogą być drastyczne dla małych i średnich firm. Wystarczy jedynie 1,000 niezadowolonych rezydentów z 40-milionowej Kalifornii, aby narazić podmiot prowadzący działalność gospodarczą na terytorium Kalifornii na potencjalne kary w wysokości 7.5 miliona dolarów.
Kary za naruszenie CCPA
Kary za łamanie Ustawy California Consumer Protection Act mogą być drastyczne dla małych i średnich firm. Wystarczy jedynie 1,000 niezadowolonych rezydentów z 40-milionowej Kalifornii, aby narazić podmiot prowadzący działalność gospodarczą na terytorium Kalifornii na potencjalne kary w wysokości 7.5 miliona dolarów.
W przypadku naruszania Ustawy CCPA w Kalifornii, podmiot gospodarczy może być pociągnięty do odpowiedzialności cywilnej przez:
- Prokuratora Generalnego Stanu Kalifornia, który może nałożyć karę finansową w wysokości od 2500 do 7500 dolarów za każdy przypadek złamania California Consumer Privacy Act.
- Osobę indywidualną, która może zażądać odszkodowania w wysokości do 750 dolarów za każdy przypadek przekroczenia przepisów CCPA w Kalifornii.
Dodatkowo, Stan Kalifornia oferuje swoim rezydentom opcje dochodzenia odszkodowania za poniesione szkody rzeczywiste, tzw. „actual damages”, co stawia podmiot prowadzący działalność gospodarczą na „terenie” Kalifornii przed ryzykiem nieograniczonych szkód.
Ochrona danych osobowych w innych amerykańskich stanach
Dodatkowe informacje i wybrane stany poważnie regulujące ochronę danych osobowych w USA.
Doradztwo w ochronie danych osobowych w USA
Potrzebujesz przeprowadzić audyt regulaminu sklepu internetowego, oferty internetowej lub przygotować umowę o ochronie prywatności lub danych osobowych skierowaną na rynek amerykański? Napisz: jc@ecomten.com