Polityka prywatności w sklepie internetowym
Większość firm prowadzących sprzedaż internetową produktów lub usług na rynku USA zbiera dane o konsumentach, jak i potencjalnych konsumentach w Stanach Zjednoczonych. Przykładem tego jest lokalna firma prowadząca własny sklep internetowy w USA, a także europejska firma technologiczna dostarczająca swoje rozwiązania technologiczne typu software as a service, SaaS. Wszystkie podmioty gospodarcze zbierające dane osobowe dotyczące amerykańskich konsumentów powinny zaznajomić się z regulacjami prawnymi w Stanach Zjednoczonych dotyczącymi ochrony danych osobowych w celu uniknięcia stanowych postępowań prokuratorskich, federalnych śledztw prowadzonych przez agencje federalne, a także na kary trudne do oszacowania za łamanie przepisów chroniących prywatność konsumentów w USA.
Ochrona danych osobowych w USA
Amerykańskie prawo federalne, jak i prawo stanowe narzuca na każdy podmiot gospodarczy zbierający i wykorzystujący dane osobowych obywateli USA pewne ograniczenia, mechanizmy ochronne, a także wymogi prawno- administracyjne. Warto podkreślić, iż zakres wymaganej ochrony danych osobowych na poziomie stanowym może drastycznie różnic się między amerykańskim stanami. Na przykład, Stan Kalifornia posiada najbardziej restrykcyjne regulacje dotyczące ochrony i używania danych osobowych rezydentów Kalifornii, a z drugiej strony Stan Alaska nie przywiązuje dużej uwagi do ochrony danych osobowych rezydentów Alaski. Każdy z 50-ciu amerykańskich stanów może wprowadzić i egzekwować swoje odrębne, dziwne, czasami niezrozumiale regulacje prawne. Pełne przedstawienie regulacji prawnych, które mogą dotyczyć ochrony danych osobowych, „privacy laws”, we wszystkich 50 amerykańskich stanów jest mało realne, ponieważ takie regulacje są dość nowe, ciągle podlegają zmianom i interpretacjom prawnym przez amerykańskich sędziów. Stan Kalifornia jest uznawana jako jurysdykcja posiadająca najbardziej rygorystyczne przepisy chroniące dane osobowe rezydentów Kalifornii, stąd zagraniczny podmiot prowadzący działalność e-commerce w USA powinien dobrze zaznajomić się z przepisami California Consumer Privacy Act, tzw. „CCPA”.
Ochrona danych California USA
Amerykańska ustawa znana jako California Consumer Privacy Act wymaga od osób prywatnych i podmiotów prowadzących sprzedaż internetową na terytorium Kalifornii między innymi:
- Przedstawienia informacji zbieranych przez blog, stronę internetową, lub sklep internetowy.
- Wyjaśnienia, do jakich celów są i będą wykorzystane zebrane dane osobowe.
- Złożenia deklaracji czy zebrane dane osobowe są lub będą sprzedawane dla podmiotów trzecich.
- Przedstawienia stanowych praw, które posiada konsument odwiedzający stronę internetową lub dokonujący zakupu usługi, lub produktu.
Czy każdy podmiot spoza Kalifornii używający internetu do promowania i sprzedaży swoich usług lub produktów jest zobowiązany do spełnienia wymogów narzucanych przez California Consumer Privacy Act, CCPA ? Odpowiedz będzie zależna od paru czynników. CCPA będzie miało zastosowanie w przypadku gdy:
- Podmiot osiąga roczne przychody przekraczające 25 milionów dolarów.
- Podmiot kupuje, sprzedaje lub dzieli się danymi osobowymi 100,000 lub więcej konsumentów, lub urządzeń rocznie.
- Podmiot pozyskuje co najmniej 50% rocznych przychodów ze sprzedaży lub dzielenia się danymi osobowymi.
Szybka konkluzja, iż CCPA będzie mieć zastosowanie tylko do dużych firm prowadzących działalność gospodarczą na rynku USA jest błędna. Wystarczy jedynie osiągnąć średni poziom 300 osób dziennie odwiedzających stronę internetową prowadzoną przez podmiot spoza Kalifornii, aby taki podmiot został zobowiązany do prowadzenia compliance z wymogami CCPA. Kary za łamanie Ustawy California Consument Protection Act mogą być drastyczne dla małych i średnich firm. Wystarczy jedynie 1,000 niezadowolonych rezydentów z 40-milionowej Kalifornii, aby narazić podmiot prowadzący działalność gospodarczą na terytorium Kalifornii na potencjalne kary w wysokości 7.5 miliona dolarów.
Naruszenie przepisów o ochronie prywatności danych
Brak przygotowania strategii na prowadzenie działalności gospodarczej w USA zgodnie z obowiązującymi może się stać kosztownym błędem dla zagranicznego podmiotu prowadzącego sprzedaż internetową na terytorium całego USA. Tylko w Kalifornii, jako jeden z 50-ciu amerykańskich stanów, podmiot gospodarczy naruszający ustawę o ochronie danych osobowych może być pociągnięty do odpowiedzialności cywilnej przez:
- Prokuratora Generalnego Stanu Kalifornia, który może wytoczyć sprawę przeciwko podmiotowi naruszającemu regulacje CCPA i nałożyć karę finansową w wysokości od 2500 do 7500 dolarów za każdy przypadek złamania Ustawy California Consumer Privacy Act.
- Osobę indywidualną, która może zażądać odszkodowania w wysokości do 750 dolarów za każdy przypadek przekroczenia przepisów CCPA w Kalifornii.
Dodatkowo, prawo w Kalifornii oferuje konsumentowi dochodzenia odszkodowania za poniesione szkody rzeczywiste, tzw. „actual damages”, co stawia podmiot przed ryzykiem nieograniczonych szkód.
Ochrona prywatności w USA
Potrzebujesz przeprowadzić audyt regulaminu sklepu internetowego lub przygotować umowę o ochronie prywatności skierowaną na rynek amerykański?