CCPA van kracht; wat moet je weten?

CCPA belangrijkste onderdelen wat moet je weten AVG
CCPA belangrijkste onderdelen wat moet je weten AVG

CCPA: de belangrijkste onderdelen

Op 1 januari 2020 wordt de California Consumer Privacy Act (CCPA) van kracht. Deze wet lijkt veel op de GDPR, maar er zijn ook belangrijke verschillen. Deze zijn belangrijk voor organisaties die (ook) zaken doen in Californië. Lees dit artikel zodat je op de hoogte bent van de belangrijkste onderdelen van deze wet.

Toepassingsgebied CCPA

De CCPA is, kort gezegd, van toepassing op ondernemingen die samen of alleen consumers’ personal information verzamelen en het doel van de verwerking daarvan bepalen. Dit lijkt behoorlijk op de AVG. Net zoals bij de AVG is de wet zowel van toepassing op online en offline ondernemingen. Deze bedrijven moeten deze ondernemingen zaken doen in de staat Californië en aan een van de volgende drie criteria voldoen:

  • Tenminste 25 miljoen dollar aan jaarlijkse inkomsten hebben;
  • Meer dan de helft van de opbrengsten moet afkomstig zijn van het verkopen van persoonlijke informatie van consumenten; of,
  • De onderneming moet de informatie van meer dan 50.000 consumenten, huishoudens of apparaten ontvangen of kopen en gebruiken voor commercial doeleinden. Let op: dit omvat ook transacties met creditcardbetalingen.

Dergelijke criteria zijn in de AVG niet terug te vinden. Het toepassingsbereik van de CCPA is dus veel beperkter dan dat van de AVG.

Welke informatie wordt beschermd?

De nieuwe wet beschermt de movement van persoonlijke informatie van consumenten. Een consument is vrijwel ieder persoon. Persoonlijke informatie is breed gedefinieerd; het betreft information “that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household”. Alleen bepaalde publieke informatie is uitgezonderd. Net zoals in de AVG is de definitie van persoonlijke informatie in de CCPA erg breed.

Welke rechten hebben de betrokkenen onder de CCPA?

Net zoals de AVG bevat de CCPA verschillende rechten voor betrokkenen (consumers). Zo bevat de CCPA de verplichting om op verzoek en bij het verzamelen van informatie aan te geven welke categorieën informatie worden verzameld en waarvoor die worden gebruikt. Een onderneming is daarnaast verplicht de informatie op verzoek te wissen of over te dragen (data portabiliteit). Op verzoeken van consumenten moet zonder onredelijke vertraging worden gereageerd, maar in ieder geval binnen 45 dagen. Deze periode kan onder omstandigheden worden verlengd.

Daarnaast bevat de wet verschillende opt-in en opt-out rechten. Zo is voor het delen van informatie van jongeren (jonger dan 16 jaar) opt-in vereist. Voor het verkopen (en herverkopen) van data aan derde partijen moet een opt-out recht worden aangeboden. Bedrijven zijn in dat kader verplicht een ‘Do not sell my information’ link op hun website te plaatsen.

Verder bevat de CCPA een antidiscriminatieregeling. Deze regeling houdt in dat consumenten niet mogen worden gediscrimineerd omdat zij gebruik maken van hun rechten. Het wordt – binnen bepaalde grenzen – wel geaccepteerd dat ze kortingen mislopen.

Tot slot bepaalt de CCPA dat consumenten in privacy policies op hun rechten en de antidiscrimintatieregeling moeten worden gewezen.

Grote rol Attorney General

De Attorney General van California mag op verschillende onderwerpen nadere regels stellen. De AG handhaaft daarnaast de CCPA. De boete voor overtreding bedraagt $ 2.500 per overtreding tot maximaal $ 7.500 als de overtreding opzettelijk is. Consumenten kunnen geen individuele schade claimen, behalve bij een datalek waarbij niet versleutelde informatie is gelekt.

Referenties en verder lezen:

https://iapp.org/resources/article/an-introduction-to-the-california-consumer-privacy-act-ccpa/

https://www.gdpr365.com/differences-between-ccpa-and-gdpr-with-data-protection/

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*