V Evropské unii již více než rok platí nařízení GDPR, které významně nastavilo trend pro nakládání s osobními údaji jednotlivců ze strany firem a umožnilo lidem získat kontrolu nad osudem těchto dat. Nyní na vlnu tohoto trendu komplexní úpravy ochrany osobních údajů naskočila rovněž Kalifornie, jakožto první stát americké Unie, kde od 1. ledna 2020 platí zákon na ochranu soukromí spotřebitelů (CCPA).
Zásadní je, že se jedná právě o Kalifornii, kde se nachází světoznámé Silicon Valley, v němž mají sídlo společnosti Facebook, Google a další technologické firmy, jejichž business je do značné míry založen na zpracování dat. Kalifornský zákonodárce těmto společnostem jednoznačně dává najevo, jaký je minimální standard pro nakládání s osobními údaji a která práva musí svým zákazníkům zajistit. Dle CCPA totiž každý obyvatel Kalifornie má právo
- být informován o tom, jaké osobní údaje jsou o něm společností shromažďovány;
- být informován o tom, zda a komu jsou jeho osobní údaje předávány (resp. prodávány);
- odmítnout prodej svých osobních údajů dalším společnostem (opt-out, který musí být každému zákazníkovi předem nabídnut);
- obdržet kopii osobních údajů, jež o něm daná společnost má;
- požádat o výmaz osobních údajů;
- nebýt diskriminován z důvodu výkonu uvedených práv, zejm. při odmítnutí dalšího prodeje osobních údajů (tj. zákazníkovi, který odmítl prodej svých osobních údajů, musí být poskytnuta služba ve stejné kvalitě, za stejnou cenu a stejných podmínek jako ostatním zákazníkům).
CCPA rovněž zavádí odpovědnost společností za zabezpečení osobních údajů a dává právo domáhat se náhrady škody v případě narušení zabezpečení osobních údajů, tedy tzv. data breache. Zde je nutno dodat, že v americkém kontextu je cesta soukromoprávních žalob na náhradu škody běžným sankčně-preventivním mechanismem, který může mít i vyšší preventivní účinek než hrozba vysokých pokut ze strany státních orgánů a do současnosti byly v mnoha případech i dle stávajících zákonů jednotlivých amerických států vysouzeny – včetně využití skupinových žalob – nemalé finanční částky.
Přestože práva z CCPA plynou obyvatelům Kalifornie, dá se očekávat, že nepřímo z tohoto zákona budou těžit všichni uživatelé produktů daných společností na celém světě, jelikož kalifornské společnosti budou více motivovány k tvorbě produktů, které již ve fázi vývoje budou odpovídat požadavkům CCPA bez ohledu na to, zda bude následně produkt nabízen v Kalifornii, v USA nebo globálně (v GDPR je tento koncept zavedený jako Privacy by Design a každý správce osobních údajů je povinen jej dodržovat). Tento postup u svých produktů již například oznámil tvůrce internetového vyhledávače Mozilla Firefox.
