Polityka prywatności w sklepie internetowym

Większość podmiotów prowadzących sprzedaż internetową produktów lub usług na rynku USA zbiera dane o konsumentach, jak i potencjalnych konsumentach w Stanach Zjednoczonych. Przykładem tego jest lokalna amerykańska firma prowadząca sklep internetowy w USA, a także europejska firma technologiczna dostarczająca swoje rozwiązania technologiczne typu software as a service, SaaS. Wszystkie podmioty gospodarcze prowadzące działalność gospodarczą na rynku USA i zbierające dane osobowe dotyczące amerykańskich konsumentów powinny zaznajomić się z amerykańskimi regulacjami prawnymi dotyczącymi ochrony danych osobowych. Posiadanie wiedzy o regulacjach prawnych w USA zmniejszy ryzyko stanowych postępowań prokuratorskich, federalnych śledztw prowadzonych przez agencje federalne, a także trudnych do oszacowania kar za łamanie przepisów chroniących prywatność konsumentów w USA.

Ochrona danych osobowych w USA

Amerykańskie prawo federalne, jak i prawo stanowe narzuca na każdy podmiot gospodarczy zbierający i wykorzystujący dane osobowych obywateli USA pewne ograniczenia, mechanizmy ochronne, a także wymogi prawno- administracyjne. Warto podkreślić, iż zakres wymaganej ochrony danych osobowych na poziomie stanowym może drastycznie różnic się między amerykańskim stanami. Na przykład, Stan Kalifornia posiada najbardziej restrykcyjne regulacje dotyczące ochrony i używania danych osobowych rezydentów Kalifornii, a z drugiej strony Stan Alaska nie przywiązuje dużej uwagi do ochrony danych osobowych rezydentów Alaski. Każdy z 50-ciu amerykańskich stanów może wprowadzić i egzekwować swoje odrębne, czasami niezrozumiale regulacje prawne. Pełne przedstawienie regulacji prawnych, które mogą dotyczyć ochrony danych osobowych, „privacy laws”, we wszystkich 50 amerykańskich stanów jest mało realne, ponieważ takie regulacje dotyczące ochrony prywatność są dość nowe, ciągle podlegają zmianom i interpretacjom prawnym przez amerykańskich sędziów. Stan Kalifornia jest uznawana jako jurysdykcja posiadająca najbardziej rygorystyczne przepisy chroniące dane osobowe rezydentów Kalifornii, stąd zagraniczny podmiot prowadzący działalność e-commerce w USA powinien dobrze zaznajomić się z Ustawą California Consumer Privacy Act, tzw. „CCPA”.

Ochrona danych osobowych USA
Ochrona danych osobowych USA

Ustawa o ochronie danych osobowych CCPA

Amerykańska ustawa California Consumer Privacy Act wymaga od osób prywatnych i podmiotów prowadzących sprzedaż internetową na terytorium Kalifornii między innymi:

  • Przedstawienia informacji zbieranych przez blog, stronę internetową, lub sklep internetowy.
  • Wyjaśnienia, do jakich celów są i będą wykorzystane zebrane dane osobowe.
  • Złożenia deklaracji czy zebrane dane osobowe są lub będą sprzedawane dla podmiotów trzecich.
  • Przedstawienia stanowych praw, które posiada konsument odwiedzający stronę internetową lub dokonujący zakupu usługi, lub produktu.

Czy każdy podmiot spoza Kalifornii używający internetu do promowania i sprzedaży swoich usług lub produktów jest zobowiązany do spełnienia wymogów narzucanych przez California Consumer Privacy Act, CCPA ? Odpowiedz będzie zależna od paru czynników. CCPA będzie miało zastosowanie w przypadku gdy:

  • Podmiot osiąga roczne przychody przekraczające 25 milionów dolarów.
  • Podmiot kupuje, sprzedaje lub dzieli się danymi osobowymi 100,000 lub więcej konsumentów, lub urządzeń rocznie.
  • Podmiot pozyskuje co najmniej 50% rocznych przychodów ze sprzedaży lub dzielenia się danymi osobowymi.

Zagraniczny podmiot prowadzący działalność gospodarzczą na rynku USA nie powinien podejmować szybkiej konkluzji od odpowiedzialności za stosownie sie do wymogów CCPA. W praktyce wystarczy jedynie osiągnąć średni poziom 300 osób dziennie odwiedzających stronę internetową, aby podmiot został zobowiązany do prowadzenia compliance z wymogami CCPA. O ile dostosowanie strony internetowej, sklepu internetowego do wymogów CCPA będzie kosztować pare tysięcy dolarów, finansowe kary za łamanie Ustawy California Consument Protection Act mogą być drastyczne dla małych i średnich firm. Wystarczy jedynie 1,000 niezadowolonych rezydentów z 40-milionowej Kalifornii, aby narazić podmiot prowadzący działalność gospodarczą na terytorium Kalifornii na potencjalne kary w wysokości 7.5 miliona dolarów.

Kary za naruszenie California Consumer Privacy Act

Brak przygotowania strategii dotyczącej ochrony prywatności amerykańskich konsumentów może stać się  kosztownym błędem dla zagranicznego podmiotu prowadzącego działalność gospodarczą na terytorium całego USA. Tylko w przypadku naruszania przepisów w Kalifornii, podmiot gospodarczy naruszający Ustawę CCPA może być pociągnięty do odpowiedzialności cywilnej przez:

  • Prokuratora Generalnego Stanu Kalifornia, który może wytoczyć sprawę przeciwko podmiotowi naruszającemu Ustawę CCPA i nałożyć karę finansową w wysokości od 2500 do 7500 dolarów za każdy przypadek złamania California Consumer Privacy Act.
  • Osobę indywidualną, która może zażądać odszkodowania w wysokości do 750 dolarów za każdy przypadek przekroczenia przepisów CCPA w Kalifornii.

Dodatkowo, prawo w Kalifornii oferuje konsumentowi dochodzenia  odszkodowania za poniesione szkody rzeczywiste, tzw. „actual damages”, co stawia podmiot prowadzący działalność gospodarczą na „terenie” Kalifornii przed ryzykiem nieograniczonych szkód.

Konsultacja ochrona prywatności w USA

Potrzebujesz przeprowadzić audyt regulaminu sklepu internetowego lub przygotować umowę o ochronie prywatności skierowaną na rynek amerykański?

Ochrona prywatności w USA
Ochrona prywatności w USA