Kalifornijos vartotojų privatumo teisės aktas palies ir Lietuvos įmones

2020 m. sausio 1 d. Kalifornijoje įsigaliojo daug diskusijų ir prieštaringų vertinimų sukėlęs Kalifornijos vartotojų privatumo teisės aktas (angl. California Consumer Privacy Act) (KVPTA). Panašiai kaip ir ES Bendrasis duomenų apsaugos reglamentas (BDAR), KVPTA skirtas suteikti Kalifornijos gyventojams didesnę jų asmens duomenų kontrolę ir užtikrinti verslo skaidrumą atliekant bet kokį veiksmą, susijusį su asmens duomenimis. Kaip ir didžioji dalis ES įmonių, taip ir Lietuvos įmonės jau turėjo imtis priemonių, kad įvertintų, ar jų veiklai taikomas KVPTA ir atitinkamai atnaujintų naudojamas duomenų bei vartotojų teisių apsaugos politikas. To nepadariusiems verslo subjektams gresia nemenkos KVPTA numatytos baudos.

Ar įmonei taikomas KVPTA?

Nepaisant to, kad KVPTA yra valstijos lygio teisės aktas, skirtas ginti Kalifornijos gyventojų teises, jis taikomas ir už Kalifornijos ribų esančioms įmonėms, jeigu jos užsiima verslu Kalifornijoje ir (arba) renka Kalifornijos gyventojų asmens duomenis (pačios arba pasitelkdamos trečiuosius asmenis) ir atitinka bent vieną iš kriterijų: jų metinė bendrųjų pajamų suma yra didesnė nei 25 milijonai JAV dolerių; per vienerių metų laikotarpį jos nusiperka, parduoda, gauna ar pasidalina daugiau nei 50 tūkstančių Kalifornijos gyventojų, jų namų ūkio ar įrenginių duomenimis; arba gauna 50 proc. ar daugiau savo metinių bendrųjų pajamų iš Kalifornijos gyventojų asmens duomenų pardavimo.

Ar BDAR nuostatų įgyvendinimas garantuoja atitiktį KVPTA?

2018 m. gegužės 25 d. įsigaliojęs BDAR jau įnešė nemenkos sumaišties tarp verslo subjektų bei pareikalavo iš įmonių nemažai investicijų įdiegiant naujas procedūras, padėsiančias tarptautiniu mastu užtikrinti asmens duomenų apsaugą. Taigi, kyla klausimas, ar Lietuvos įmonėms vėl teks investuoti į papildomas apsaugos priemones bei procedūras, siekiant atitikti ir KVPTA reikalavimus, ar vis tik tinkamas pasiruošimas BDAR garantuoja ir atitiktį naujajam Kalifornijos reglamentavimui?

KVPTA ne veltui laikomas BDAR atitikmeniu JAV. Savo esme KVPTA nemenkai primena BDAR ir atkartoja didelę dalį jo nuostatų: jis taip pat reikalauja įmones atskleisti, kokią informaciją apie duomenų subjektus jos renka, kokiu tikslu tai daro ir su kokiomis trečiosiomis šalimis dalinsis gautais duomenimis; verslo subjektai privalės tinkamai ir per nustatytą laiko tarpą įgyvendinti vartotojų teises, o to nepadarius, kaip ir BDAR atveju, gresia milžiniškos baudos.

Vis dėlto, tai nereiškia, jog įmonės, laiku įgyvendinusios visas BDAR nuostatas savo veikloje gali jaustis visiškai ramios – tarp KVPTA ir BDAR galioja ir daugybė skirtumų, galinčių pakišti koją net ir atsakingiausiai klientų duomenų apsauga besirūpinantiems verslo subjektams.

Esminiai skirtumai tarp KVPTA ir BDAR arba kaip išvengti baudos

Ryškiausias KVPTA ir BDAR skirtumas – asmens duomenų sampratos reglamentavimas. Nepaisant to, jog abu teisės aktai nurodo, kad asmens duomenys yra informacija susijusi su asmeniu / vartotoju, KVPTA papildomai nustato, jog tokie duomenys gali būti susiję ir su vartotojo namų ūkiu ar įrenginiais.

Tai reiškia, jog jei kaip įmonė savo internetinėje svetainėje renkate duomenis apie vartotoją (jo IP adresą, slapyvardį ar informaciją apie naršymo istoriją), o jis prisijungimo metu naudojasi ne vienu įrenginiu, pavyzdžiui, prisijungia iš stacionaraus kompiuterio namuose, dar vieno kompiuterio darbe, mobiliojo telefono bei planšetinio kompiuterio – KVPTA prasme galimai tvarkysite ne vieno, bet keturių vartotojų asmens duomenis. Toks reglamentavimas sukelia nemenkų keblumų, nes duomenų subjektų ratas ženkliai išplečiamas, o tai reiškia, kad vis daugiau įmonių pateks į KVPTA taikymo sritį.

Be to, KVPTA nepaprastai daug dėmesio skiria vartotojų asmens duomenų pardavimui. KVPTA nustato, jog verslo subjektai privalės perspėti vartotojus apie bet kokį ketinimą užsidirbti iš renkamų jų asmens duomenų ir suteikti galimybę lengvai atsisakyti tokio pardavimo. Tai yra, savo interneto svetainėse verslo subjektai privalės sukurti atskirą nuorodą, leisiančią vienu paspaudimu atsisakyti asmens duomenų pardavimo.

KVPTA griežtesnes taisykles numato ir įgyvendinant duomenų subjektų teises, pavyzdžiui, jei vartotojas reikalauja ištrinti jo asmens duomenis – verslas visais atvejais turi paklusti ir įgyvendinti tokį reikalavimą. Išimtis taikoma tik jei tokie asmens duomenys reikalingi tiriant neteisėtas veiklas ar duomenų sunaikinimas pažeistų žodžio laisvę.

Įdomu ir tai, kad tam tikrais aspektais KVPTA yra ne toks detalus ir griežtas kaip BDAR, pavyzdžiui, jis nesukuria specialių taisyklių tarptautiniam asmens duomenų perdavimui. Lengvesnės sąlygos sukuriamos ir atsakant į kliento prašymą susipažinti su jo asmens duomenimis – įmonei suteikiamos 45 dienos pateikti atsakymą. Tuo tarpu BDAR atveju terminas atsakymui į duomenų subjekto prašymą pateikti yra vienas mėnuo.

Galiausiai, abu teisės aktai nustato ir skirtingus baudų dydžius: KVPTA įtvirtina baudą, galinčią siekti nuo 2,500 iki 7,500 JAV dolerių. Atrodytų nedidelė suma, lyginant su už tam tikrus BDAR pažeidimus gresiančia 20 mln. EUR (ar net dar didesne) bauda. Vis dėlto, derėtų nepamiršti, jog minėto dydžio bauda KVPTA atveju skiriama už kiekvieną tyčiniu pripažintą asmens duomenų pažeidimą. Tai reiškia, kad jei įmonė tvarko šimtus tūkstančių ar milijonus vartotojų asmens duomenų ir visi jie buvo pažeisti – gali grėsti net iki 55 bilijonų JAV dolerių bauda.

Pabaigai būtina pabrėžti, kad verslo subjektai, siekdami neatsidurti KVPTA numatytų baudų taikinyje, privalo detaliai peržiūrėti ir atitinkamai pakoreguoti savo internetinėse svetainėse naudojamas privatumo politikas (taisykles) bei vidinius dokumentus, reglamentuojančius asmens duomenų apsaugą, didžiausią dėmesį skiriant duomenų subjektų teisių įgyvendinimui.

Indrė Tamošiūnaitė, advokatų kontoros „Cobalt“ asocijuota teisininkė