A személyes adatok védelme kapcsán az Egyesült Államokra általában úgy tekintünk, mint egy problémás helyre, ahol a technológiai óriáscégek kezében, nem tudhatjuk, hogy mi történik az adatainkkal. Eszünkbe juthat a korábbi "Safe Harbor" rezsim, amely sokáig az EU és az USA közötti adattovábbítás alapját jelentette és amelyet a Schrems-ügyben az Európai Bíróság ítéletével érvénytelennek nyilvánított. Ez pedig elvezetett - az egyébként jelenleg is vitatott - Privacy Shield kialakításához, amely az EU és az USA (illetve Svájc és az USA) közötti adattovábbítás alapjául szolgálhat, megteremtve az USA, mint megfelelő szintű védelmet biztosító harmadik országba történő adattovábbítás jogi kereteit.      

Az USA-ban uralkodó és az európai adatvédelmi gondolkodás közötti különbségekről, az eltérések történeti okairól és következményeiről számos publikáció és elemzés érhető el. Érdekes jelenség ugyanakkor, hogy természetesen az adatkezelési botrányokra tekintettel is, ugyanakkor az új technológiák és új gazdasági modellek megszületésének is köszönhetően az érintettek, az adatalanyok bizalma egyre fontosabbá válik, úgy merül fel, akár az adatokból élő technológiai cégek részéről is, hogy megfelelő adatvédelmi szabályozásra szükség van.   

Hiba lenne azt is figyelmen kívül hagyni, hogy bár az USA-ban szövetségi szinten jelenleg nincs olyan átfogó adatvédelmi szabályozás, mint az EU-ban a GDPR, ugyanakkor tagállami szinten a személyes adatok védelmével kapcsolatos szabályozás az európai szemnek is ismerős elemeket vonultat fel. 

Az USA-n belül is kiemelt figyelmet érdemel a Szilícium-völgynek is otthont adó Kalifornia, amely néhány hónapja fogadott el új, 2020. január 1-től alkalmazandó adatvédelmi szabályozást ("The California Consumer Privacy Act of 2018") és a közelmúltban az chatbotok alkalmazásával kapcsolatos jogszabály is elfogadásra került, amelyet 2019. július 1-től kell majd alkalmazni. (A fejlett adatvédelmi szabályozás nem idegen Kaliforniától, ott már 2002-ben születtek szabályok az adatvédelmi incidensek kezelésére vonatkozóan.)

Mit kell tudni az új kaliforniai adatvédelmi szabályozásról?   

• A szabályozás alapvetően a Kaliforniában lakhellyel rendelkezőket védi, a rájuk vonatkozó adatok védelmére terjed ki. A törvény címében is szerepel, hogy a "fogyasztókra" (consumer) terjed ki a szabályozás, amely kategória azonban elég széles kört fed le a kaliforniai polgári törvénykönyv definíciója szerint. (Egyébként az új adatvédelmi szabályok is ennek a polgári törvénykönyvnek képezik a részét.)
• Érdekes vonása a kaliforniai szabályozásnak, hogy a személyes adat fogalma nem csak az egyénre, hanem a háztartásra vonatkozó adatok tekintetében is alkalmazandó ("Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household."). Ennek megfelelően például egy háztartásra vonatkozó fogyasztási adatok is személyes adatnak minősülnek. Ugyanakkor a személyes adat fogalmába nem tartozik bele a nyilvánosan elérhető adat (publicly available), viszont ez alól is több kivétel van (pl. a biometrikus adatra, amelyet egy vállalkozás a fogyasztó tudta nélkül gyűjt, ez a kivétel nem alkalmazható). 
• Az új szabályozás bővíti az érintettek jogait, például a hozzáférés vagy az adatok törlése terén. Ráadásul ezekről a jogokról megfelelő tájékoztatást is kell biztosítani az érintettek részére. 
• Fontos szabályokat tartalmaz a jogszabály az adatok értékesítésével kapcsolatban annak érdekében, hogy az átláthatóságot növelje ezzel kapcsolatban. Továbbá az adatok értékesítése kapcsán "opt-out" jogot is biztosít az érintettek részére. Ezzel kapcsolatban ráadásul olyan konkrét követelmény is megjelenik, hogy a honlapon egy "Ne kerüljenek értékesítésre a személyes adataim" ("Do Not Sell My Personal Information.") linket is el kell helyezni, amelyre kattintva az opt-out jog gyakorlása biztosított.   
• Természetesen a gyermekek védelme érdekében is tartalmaz további rendelkezéseket a törvény, például a gyermekek adatainak értékesítése kapcsán, ahol 13 éves korig a törvényes képviselő hozzájárulását követeli meg, míg 13-16 éves kor között az érintett kifejezett hozzájárulása szükséges (azaz nem elég az opt-out lehetőségének biztosítása). 
• A jogok gyakorlása kapcsán is egész konkrét szabályokat határoz meg a kaliforniai jogszabály, így például előírja, hogy milyen tájékoztatást kell a honlapon erre vonatkozóan közzétenni, továbbá azt is, hogy a jogok gyakorlása érdekében egy ingyenes telefonvonalat is üzemeltetni kell az adatkezelő vállalkozásnak. Az igények teljesítésére 45 napot biztosít a jogszabály, amely egyszer legfeljebb 45 nappal hosszabbítható meg. 
• A szabályozás konkrét jogérvényesítési lehetőségeket is biztosít az érintettek számára. Azon érintettek, akiknek az adataihoz jogosulatlanul hozzáférnek, azokat eltulajdonítják vagy nyilvánosságra hozzák annak következtében, hogy az adatkezelő vállalkozás megsérti a rá vonatkozó szabályokat, akkor - többek között - kártérítést követelhet, amelynek összege legalább 100 $, de legfeljebb 750 $ érintettenként és incidensenként vagy amennyiben ténylegesen bekövetkezett károsodás, úgy ennek összegét követelheti (ha ez nagyobb). 
• A jogérvényesítésben szerepet kap a kaliforniai legfőbb ügyész (Californian Attorney General) is, mind a polgári jogi jogérvényesítéssel kapcsolatban, mind pedig a szabályok egyéb eszközökkel való kikényszerítése kapcsán.

(További, részletesebb információk elérhetők például itt.) 

Vonatkozhat ez a szabályozás európai cégekre is? Ha egy cég megfelel a GDPR-nak, akkor ezzel kipipálhatja a kaliforniai szabályoknak való megfelelést is?

A szabályozás kivételekkel ugyan, de természetesen bármilyen cégre vonatkozhat, amely kaliforniai lakosok adatait kezeli. (Háromféle küszöbértéket is meghatároz a jogszabály az alkalmazásával kapcsolatban. A szabályok alkalmazhatók lehetnek, ha (a) az éves bevétel eléri a 25 millió dollárt, vagy (b) legalább 50.000 kaliforniai lakos vagy háztartás vagy eszköz adataihoz jut hozzá évente, vagy (c) a bevételeinek legalább 50 százaléka származik kaliforniai lakosok adatainak az értékesítéséből. Az anya- és leányvállaltok bevételeit is figyelembe kell venni a megfelelő feltételek fennállása esetén.)