I u GDPR panovalo (a panuje) zmatení ohledně toho, na co vše se vztahuje, jak správně chránit data zákazníků a jak se zabezpečit proti žalobám a pokutám. Nyní se na to samé připravuje Kalifornie, centrum informačních technologií.
CCPA je nepřímou odvozeninou z GDPR, stát Kalifornie ani nepopírá svou inspiraci evropským Obecným nařízením na ochranu osobních údajů. Část amerických médií nyní spouští obdobnou historii, jaká panovala v Evropské unii před zavedením platnosti GDPR: A shodně tvrdí, že zákon je špatně připraven, je nejasný a firmy na něj nebudou schopny včas reagovat.
Je pravda, že americká justice je založená na precedentech – a USA mají rozvinutou kulturu civilních žalob, jde o místní populární zábavu. Jsou také vnímavější vůči tomu, když někdo porušuje jejich práva, a to i u nových zákonů.
CCPA, GDPR, a co přijde příště?
Samotná podstata CCPA je ale odlišná než u GDPR: Týká se pouze firem, které operují s daty „alespoň“ 50 tisíc Kaliforňanů ročně; je jedno, zda data společnosti nakupují, prodávají nebo s nimi jakkoliv zachází. Kalifornie má téměř 40 milionů obyvatel.
Všem obyvatelům Kalifornie, s jejichž daty poté operují, musí nahlásit co s nimi dělají a občané je mohou požádat o to, aby jejich informace dále nepřeprodávaly – a firmy musí toto přání respektovat. Stejně jako u GDPR oproti tomu mohou uživatelé požádat o smazání veškerých dat, která o nich firmy mají.
Webové stránky, které navíc s daty aktivně obchodují, by dle CCPA měly přidat ke stávajícím kolonkám o sběru cookies a informací také položku, na které by uživatelé mohli zaškrtnout, aby daný web neprodával jejich informace třetím stranám (resp. je pravděpodobně myšleno vůbec neposkytoval – zde je ale formulace značně nejasná, podle zdrojů WSJ se jedná specificky o prodej dat).
GDPR ale i přes velké obavy před svým zavedením nakonec proběhlo docela v pořádku a prozatím nepadlo příliš mnoho pokut – i když to se může v tomto roce rychle změnit.
Problém s CCPA bude ale hlavně v roztříštěnosti USA – ve federaci je zcela běžné, že má každý stát svá lokální pravidla, a to se týká i internetu. Pokud budou nyní muset firmy přemýšlet o tom, jak chránit různým způsobem jednotlivě data rezidentům různých členských států USA, tak se z toho brzy zblázní. CCPA tak pravděpodobně bude sloužit jako framework, ze kterého budou postupně vycházet další státní, případně federální zákony.
CCPA by mělo vejít ve všeobecnou platnost do července, možná dříve.
Microsoft už potvrdil, že si na CCPA dá pozor a nově vzniknuvší pravidla bude aplikovat na všechny zákazníky, nejen na ty kalifornské. Facebook oproti tomu zvolil jinou strategii a místo toho prohlásil, že data uživatelů neprodává.
Skutečně důvěryhodné. Je ale pravda, že Facebook má stránku, kde si uživatelé mohou vyžádat data, která o nich služby Facebooku (včetně všech sociálních sítí) mají. Americká korporace stíhaná skandály tak zřejmě soudí, že může nový zákon v klidu ignorovat.
