California Consumer Privacy Act


(c) Photo by Fred Kearney on Unsplash. 

In het kort:

    • De CCPA lijkt op de AVG, maar er zijn belangrijke verschillen. Over het algemeen is de CCPA minder streng en zijn er meer uitzonderingen voor bedrijven.

Hoofdlijnen California Consumer Privacy Act (CCPA)

De CCPA is de nieuwe privacywet van de Amerikaanse staat Californië. De wet zal op 1 januari 2020 in werking treden. In zekere zin is de CCPA het Californische equivalent van de Algemene Verordening Gegevensbescherming (AVG), maar er zijn ook veel verschillen tussen beide privacywetten.

De CCPA beoogt een uniform kader te bieden voor de bescherming van persoonsgegevens van consumenten. Met name introduceert de CCPA transparantieverplichtingen voor bedrijven over het gebruik van persoonsgegevens, het recht op opt-out van de verkoop van persoonsgegevens, het recht op toegang tot de gegevens en het recht om vergeten te worden.

In deze blog wordt nader ingegaan op de overeenkomsten en verschillen tussen de CCPA & de AVG.

Toepassingsbereik

Het toepassingsbereik van de CCPA is in meerdere opzichten beperkter dan de AVG. Ten eerste is de CCPA alleen van toepassing op commerciële bedrijven. Een organisatie dient tevens een bepaalde grootte te hebben:

  1. Een jaarlijkse omzet van minimaal $25 miljoen; of
  2. Jaarlijks van meer dan 50.000 individuele consumenten, huishoudens of apparaten (devices) persoonsgegevens kopen of ontvangen; of
  3. Meer dan 50% van de jaarlijkse omzet ontlenen aan het verkopen van persoonsgegevens.

Kleine bedrijven zijn uitgezonder van de regels van de CCPA. Dit is anders bij de AVG, waar alle bedrijven die persoonsgegevens verwerken, aan dienen te voldoen.

Ten tweede beschermt de CCPA alleen persoonsgegevens van consumenten die in Californië woonachtig zijn. De AVG kent deze beperking voor consumenten niet. Zij is van toepassing op persoonsgegevens van alle natuurlijke personen binnen het toepassingsbereik van de wet.

Definitie persoonsgegevens

De definitie van persoonsgegevens komt grotendeels overeen met die van de AVG. De CCPA is echter niet van toepassing op alle soorten persoonsgegevens. Onder andere zijn medische persoonsgegevens, klinische onderzoeksgegevens en openbare persoonsgegevens (zoals paspoortnummers) uitgezonderd. De AVG kent deze uitzonderingen niet; alle persoonsgegevens vallen onder de werking van de AVG. Voor medische gegevens geldt zelfs dat deze als bijzondere persoonsgegevens worden aangemerkt.

Grondslag verwerken persoonsgegevens

Een belangrijk verschil tussen de CCPA en de AVG is dat de CCPA geen wettelijk grondslag voor het verwerken van persoonsgegevens vereist. Onder de AVG is het verwerken van persoonsgegevens alleen toegestaan als er voorafgaandaan de verwerking sprake is van een van de 6 grondslagen voor het verwerken van persoonsgegevens. Onder de CCPA zijn bedrijven alleen verplicht om achteraf– bijvoorbeeld als de consument een verzoek doet tot het stoppen van de verkoop van zijn persoonsgegevens (opt-out) – beperkingen aan verwerkingen van persoonsgegevens te stellen.

Dit betekent dat de CCPA en de AVG hier tegenovergestelde verplichtingen in het leven roepen. Onder de AVG is opt-out als een vorm van toestemming niet toegestaan, de CCPA verplicht juist tot een systeem van ‘opt-out’ met betrekking tot het verkopen van persoonsgegevens.

Accountability

De CCPA kent geen uitgebreide verplichtingen voor de verantwoordelijke om naleving van de CCPA vast te leggen. Zo is er geen plicht tot het uitvoeren van DPIA’s, het aanstellen van een DPO of het bijhouden van een verwerkingsregister.

De CCPA verplicht wel tot het informeren (disclosure) van consumenten over het verwerken van persoonsgegevens, via een privacy policy die minimaal elk jaar moet worden bijgewerkt. Daarnaast moet het bedrijf tijdens of voor het verwerken van persoonsgegevens de consument informeren over welke categorieën gegevens worden verwerkt en voor welke doeleinden.

De CCPA kent zeer specifieke regels met betrekking tot het verkopen van persoonsgegevens. Zo moeten alle bedrijven op hun website een pagina hebben waarin consumenten een “Do Not Sell My Personal Information” verzoek kunnen doen.

Rechten van betrokkenen

De AVG en de CCPA kennen allebei veel soorten rechten aan betrokkenen toe. Zo hebben ze onder beide wetten het recht om verwijderd (erased) te worden, het recht op toegang, het recht om geïnformeerd te worden, het recht om bezwaar te maken en het recht op data portabiliteit. Grosso modo komen deze rechten inhoudelijk overeen.

De CCPA kent ook expliciet het recht toe om niet gediscrimineerd te worden in het gebruik van diensten, wanneer de consument een van zijn overige rechten inroept.  Zo mag de consument, als hij een inzageverzoek doet, niet daarna geweigerd of geweerd worden als klant.

Handhaving

Op het gebied van de handhaving zijn de boetes die voor overtreding van de CCPA kunnen worden opgelegd veel lager dan die van de AVG.

Op iedere overtreding van de CCPA staat een maximumboete van $2.500, voor een opzettelijke overtreding maximaal $7.500.

De AVG kent zoals bekend veel hogere maximumboetes. Maximaal 2% van de wereldwijde jaarlijkse omzet of €10 miljoen per overtreding voor lichtere schendingen. Maximaal 4% van de wereldwijde jaarlijkse omzet of €20 miljoen per overtreding voor ernstigere schendingen.

Zakendoen met Californische bedrijven

Wat betekent dit nu als u zaken wilt doen met een in Californië gevestigd bedrijf, waarbij persoonsgegevens van EU-onderdanen verwerkt gaan worden door uw Californische zakenpartner?

Wij van AdValor Privacy Solutions kunnen u uiteraard helpen bij vragen bij internationale handel.