Rok 2018 bol rokom, kedy sa obavy o ochranu osobných údajov stali hlavným prúdom. Zameranie médií na Cambridge Analytica a Facebook priblížilo dôležitosť ochrany osobných údajov širokej verejnosti. Neustály únik údajov z popredných spoločností, vrátane únikov z eCommerce obchodov, na ktoré sa zameriava Magecart, posilnil riziká v mysliach každého. Firmy na celom svete sprísnili bezpečnosť a súkromie, keď nadobudlo účinnosť GDPR. A Kalifornia, najľudnatejší štát USA, ktorý je domovom najväčšej online ekonomiky na svete, schválila kalifornský zákon o ochrane spotrebiteľa, ktorý sa nazýva kalifornské GDPR.
Keď CCPA nadobudne účinnosť 1. januára 2020, ovplyvní maloobchodníkov elektronického obchodu v Kalifornii, USA a zvyšku sveta, rovnako ako GDPR ovplyvnilo podniky mimo EÚ. Mnoho amerických maloobchodníkov, najmä stredne veľkých maloobchodníkov, bolo schopných ignorovať GDPR, pretože nepredávajú obyvateľom EÚ. Je však nepravdepodobné, že by sa mohli vyhnúť súladu so zákonom CCPA, pretože väčšina z nich predáva na rozľahlom a lukratívnom kalifornskom trhu. Zákon CCPA nevyžaduje, aby mal maloobchodný predajca fyzickú prítomnosť v Kalifornii, iba ak v Kalifornii podniká. Ide o najprísnejší zákon USA o ochrane osobných údajov v histórii a od mnohých maloobchodníkov bude vyžadovať, aby prepracovali spôsob, akým ukladajú, spracúvajú a speňažujú údaje.
Hoci je CCPA podľa amerických noriem prísna, nie je taká prísna ako GDPR. Nevyžaduje, aby spotrebitelia súhlasili so spracovaním údajov, ale vyžaduje, aby podniky poskytli možnosť odhlásenia a mechanizmy, ktoré umožnia obyvateľom Kalifornie zistiť, ktoré osobné údaje firma uchováva a ako sa používajú.
CCPA sa vzťahuje aj na užšiu skupinu podnikov ako GDPR. Na to, aby bol maloobchodník ovplyvnený, musí podnikať v Kalifornii a spĺňať aspoň jedno z nasledujúcich kritérií:
- Majú hrubý príjem viac ako 25 miliónov dolárov.
- Získajte 50 % ročného zisku z predaja osobných údajov.
- Nakupujte, predávajte alebo zdieľajte na komerčné účely osobné údaje 50 000 alebo viacerých spotrebiteľov, domácností alebo zariadení.
Tieto kritériá pravdepodobne zachytia obrovský počet stredne veľkých maloobchodníkov a budú sa vzťahovať na oveľa väčší počet amerických firiem ako GDPR. Okrem toho sa na údaje neplnoletých osôb vzťahujú prísnejšie pravidlá. Súhlas pre maloletých do 13 rokov musia dať ich rodičia. Staršie deti sa môžu prihlásiť samy, ale podniky musia poskytnúť systém overovania veku a sledovať súhlas všetkých maloletých.
CCPA má prísne sankcie s pokutami až do výšky 2 500 USD za každé porušenie, ktoré sa zvýšia na 7 500 USD, ak sa porušenie považuje za úmyselné. Možno sa to nezdá veľa, ale za každé porušenie práv jednotlivca podľa zákona CCPA sa môžu nahromadiť pokuty.
Čo musia predajcovia urobiť, aby sa pripravili? Najdôležitejšie je, že musia byť schopní identifikovať a sledovať osobné údaje, ktoré uchovávajú, a komu tieto údaje predávajú alebo ich zdieľajú. Pre mnohých maloobchodníkov to nebude jednoduchá zmena a necelý rok pred vstupom CCPA do platnosti by mali okamžite začať s prípravami.