DeCalifornia Consumer Privacy Act (CCPA) California Consumer Privacy Act (CCPA)Dit is een wet op gegevensbescherming die is vastgesteld in de staat Californië, VS, ontworpen om de privacyrechten van inwoners van Californië te beschermen door hen meer controle te geven over hun persoonlijke informatie. Zij is van kracht geworden op 1 januari 2020. Hieronder vindt u een overzicht van de belangrijkste elementen en bepalingen van de CCPA:
1.Doel van de CCPA
De CCPA heeft tot doel inwoners van Californië transparantie te bieden over hoe hun persoonlijke informatie wordt verzameld, gebruikt en gedeeld door bedrijven. Het geeft individuen de mogelijkheid om hun persoonlijke gegevens in te zien, te verwijderen en te controleren.
2.Op wie is de CCPA van toepassing?
De CCPA is van toepassing op bedrijven met winstoogmerk die voldoen aan een of meer van de volgende criteria:
- Bruto jaaromzetMeer dan 25 miljoen dollar.
- Koop, verkoopt of deelt persoonlijke informatie100.000 of meer Californische consumenten of huishoudens in Californië.
- Ontleent 50% of meer van de jaarlijkse inkomsten aflevertvan de verkoop van persoonlijke informatie van consumenten uit Californië in Californië.
Zelfs bedrijven buiten Californië moeten voldoen als ze aan deze drempels voldoen en de persoonsgegevens van inwoners van Californië verwerken.
3.Wat is persoonlijke informatie onder de CCPA?
De CCPA definieert persoonlijke informatie in grote lijnen om alle informatie op te nemen die kan worden gekoppeld aan een specifiek individu of huishouden. Dit omvat, maar is niet beperkt tot:
- Naam, adres, telefoonnummer, e-mailadres.
- Sociaalzekerheidsnummer, rijbewijsnummer.
- Internetactiviteit, IP-adres en geolocatiegegevens.
- Aankoopgeschiedenis, browsegeschiedenis.
- Werkgelegenheids- en onderwijsinformatie.
- Biometrische gegevens.
Het bevat ook eventuele conclusies uit de gegevens die een profiel kunnen maken over de voorkeuren, kenmerken, psychologische trends en gedragingen van een individu.
4.Consumentenrechten onder de CCPA
De CCPA verleent de volgende rechten aan inwoners van Californië:
a. a. a.Recht om te weten
Consumenten hebben het recht om te vragen:
- De categorieën en specifieke stukjes persoonlijke informatie die over hen worden verzameld.
- De categorieën bronnen waaruit hun informatie is verzameld.
- Het zakelijke of commerciële doel voor het verzamelen of verkopen van hun persoonlijke informatie.
- De categorieën derden met wie hun informatie wordt gedeeld.
b. b.Recht op verwijdering Recht op verwijdering
Consumenten kunnen een bedrijf verzoeken om hun verzamelde persoonlijke gegevens te verwijderen, met inachtneming van bepaalde uitzonderingen (bijvoorbeeld als de gegevens nodig zijn om een transactie te voltooien, te voldoen aan een wettelijke verplichting of voor beveiligingsdoeleinden).
c. c.Recht op afmelding van de verkoop van persoonsgegevens
Consumenten hebben het recht om zich af te melden voor de verkoop van hun persoonsgegevens aan derden. Bedrijven moeten een duidelijke en opvallende link "Verkoop mijn persoonlijke informatie niet" op hun website verstrekken om dit opt-outproces te vergemakkelijken.
d. dRecht op non-discriminatie
Consumenten kunnen niet worden gediscrimineerd voor de uitoefening van hun CCPA-rechten. Dit betekent dat bedrijven niet:
- goederen of diensten weigeren.
- Laad verschillende prijzen of tarieven in rekening brengen.
- Zorg voor een ander niveau of kwaliteit van de dienstverlening, tenzij de verschillen redelijkerwijs verband houden met de waarde van de gegevens van de consument.
5.Verplichtingen voor bedrijven in het kader van de CCPA
Bedrijven die onder de CCPA vallen, moeten zich aan verschillende vereisten houden:
a. a. a.Privacykennisgevingen verstrekken
Bedrijven moeten consumenten, op of vóór het punt van gegevensverzameling, informeren over de soorten persoonsgegevens die worden verzameld en de doeleinden waarvoor deze zullen worden gebruikt. Deze informatie wordt meestal gepresenteerd in een privacybeleid.
b. b.Reageer op verzoeken van consumenten
- Bedrijven zijn verplicht om binnen 45 dagen van consumenten om toegang te krijgen, te verwijderen of af te melden.
- Ze moeten consumenten een methode bieden om deze verzoeken in te dienen, zoals een gratis nummer of een webformulier.
c. c.Training en registratie bijhouden
- Medewerkers die vragen van consumenten over privacy behandelen, moeten worden getraind in hoe ze aan de CCPA moeten voldoen.
- Bedrijven moeten gedurende ten minste 24 maanden een register bijhouden van verzoeken van consumenten en hoe ze zijn behandeld.
d. dGegevensbeveiliging gegevensbeveiliging
- De CCPA legt bedrijven de plicht op om redelijke beveiligingsprocedures en -praktijken te implementeren en te handhaven om de persoonlijke informatie van consumenten te beschermen.
6.Boetes en straffen
De CCPA staat handhaving toe door deCalifornia Attorney Generalevenals privé-rechtszaken onder specifieke omstandigheden:
- Opzettelijke overtredingenDit kan leiden tot boetes van maximaal $ 7.500 per overtreding.
- Onbedoelde overtredingenDit kan leiden tot boetes van $ 2.500 per overtreding als deze niet binnen 30 dagen na kennisgeving van het probleem wordt gecorrigeerd.
- Consumenten kunnen ook privé rechtszaken aanhangig maken als hun persoonlijke informatie wordt blootgesteld als gevolg van het falen van een bedrijf om redelijke beveiligingsmaatregelen te nemen, met wettelijke schade variërend van $ 100 tot $ 750 per incident of daadwerkelijke schade, afhankelijk van wat groter is.
7.California Privacy Rights Act (CPRA) California Privacy Rights Act (CPRA)
In 2020 keurden de kiezers van Californië deCalifornia Privacy Rights Act (CPRA) California Privacy Rights Act (CPRA), die zich uitbreidt op de CCPA. De CPRA trad in werking op 1 januari 2023 en introduceert verschillende aanvullende rechten en plichten, waaronder:
- Recht op correctieConsumenten kunnen verzoeken dat onjuiste persoonsgegevens worden gecorrigeerd.
- Uitgebreid recht op opt-oututConsumenten kunnen zich niet alleen afmelden voor de verkoop van persoonlijke informatie, maar ook voor het delen van persoonlijke informatie voor gerichte reclame.
- Gevoelige persoonlijke informatieDe CPRA introduceert nieuwe regels rond het gebruik en de openbaarmaking van gevoelige persoonsgegevens (bijvoorbeeld financiële gegevens, ras, gezondheidsgegevens).
- Oprichting van het California Privacy Protection Agency (CPPA)De CPRA richt dit agentschap op om privacywetten af te dwingen en begeleiding te bieden aan bedrijven en consumenten.
8.Vergelijkingen met GDPR
Hoewel de CCPA een belangrijke privacywet in de Verenigde Staten is, verschilt het van deAlgemene Verordening Gegevensbescherming (AVG)op verschillende manieren:
- Toepasselijkheid Toepasselijkheid ToepasselijkheidGDPR is wereldwijd van toepassing op elke organisatie die de persoonsgegevens van EU-ingezetenen verwerkt, terwijl CCPA alleen van toepassing is op inwoners van Californië.
- Toestemming ToestemmingGDPR vereist bevestigende toestemming voor het verzamelen van gegevens, terwijl CCPA bedrijven toestaat om persoonlijke informatie te verzamelen en te gebruiken, tenzij de consument zich afmeldt.
- Consumentenrechten van consumentenrechtenGDPR verleent bredere rechten, zoals het recht op overdraagbaarheid van gegevens en uitgebreidere bescherming rond geautomatiseerde besluitvorming.
De CCPA is een van de meest uitgebreide wetgeving inzake gegevensbescherming in de Verenigde Staten en vertegenwoordigt een verschuiving naar meer gegevenstransparantie en consumentencontrole over persoonlijke informatie over persoonlijke informatie. De wet legt de basis voor toekomstige privacywetgeving in de VS en wordt vaak vergeleken met internationale gegevensbeschermingswetten zoals GDPR.