De California Consumer Privacy Act (CCPA) is een staatswet voor gegevensprivacy die regelt hoe bedrijven over de hele wereld mogen omgaan met de persoonlijke informatie (PI) van inwoners van Californië.

De ingangsdatum van de CCPA is 1 januari 2020. Het is de eerste wet in zijn soort in de Verenigde Staten.

De drie CCPA-drempels voor bedrijven

CCPA is van toepassing op bedrijven:

  • met winstoogmerk in de wereld die de persoonlijke informatie van meer dan 50.000 inwoners van Californië jaarlijks verkopen
  • of een jaarlijkse bruto-omzet hebben van meer dan $ 25 miljoen
  • of meer dan 50% van hun jaarlijkse omzet halen uit de verkoop van de persoonlijke informatie van Inwoners van Californië.

Verkoop van Persoonlijke Informatie wordt in de CCPA gedefinieerd als “verkopen, verhuren, vrijgeven, openbaar maken, verspreiden, beschikbaar stellen, overdragen of anderszins mondeling, schriftelijk of via elektronische of andere middelen communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde partij voor geld of een andere waardevolle vergoeding. ”(1798.140.t1).

Als een bedrijf gemeenschappelijke merknamen (d.w.z. gedeelde naam, dienstmerk of handelsmerk) deelt met een ander bedrijf dat aansprakelijk is onder de CCPA, zal het bedrijf ook onderworpen zijn aan CCPA-naleving.

Volgens de CCPA hebben inwoners van Californië ('consumenten') het recht om ervoor te kiezen om:

  • hun gegevens niet aan derden te laten verkopen
  • openbaarmaking van reeds verzamelde gegevens
  • verwijdering van verzamelde gegevens te vragen.

Inwoners van Californië hebben bovendien het recht om op de hoogte te worden gesteld en het recht op gelijke diensten en prijzen. Dit wil zeggen dat er niet kan worden gediscrimineerd op basis van hun keuze om hun rechten uit te oefenen.

Het niet naleven van de CCPA kan leiden tot boetes. Dit is voor bedrijven $ 7.500 per overtreding en $ 750 per getroffen gebruiker in civiele schadevergoedingen voor bedrijven.

De bevoegdheid om de CCPA af te dwingen ligt bij het kantoor van de procureur-generaal van Californië. Deze kan tot juli 2020 de handhavings-regelgeving kan bepalen.

De tussenliggende periode tussen januari en juli 2020 is echter geen periode van afstel of respijt. Bedrijven zijn aansprakelijk voor civiele rechtszaken uit hun gegevensverzameling en verkoop vanaf 1 januari 2020.

Wat betekent de CCPA voor mijn website?

Als jouw organisatie aan een van de drie CCPA-drempels hierboven voldoet én een online domein heeft, moet je bepaalde wijzigingen in de website doorvoeren.

  • De website moet, op of vóór het moment van gegevensverzameling, gebruikers informeren over de categorieën persoonlijke informatie die het verzamelt. Inclusief voor welke doeleinden deze worden gebruikt.
  • De website moet een link met 'Mijn persoonlijke gegevens niet verkopen' bevatten. Deze moeten gebruikers kunnen gebruiken om zich af te melden voor gegevensverkopen door derden.
  • Als jouw website minderjarigen, onder de 16 jaar onder zijn gebruikers heeft, dan ben je verplicht om hun opt-in te verkrijgen (toestemming) vóórdat je toestemming krijgt om hun persoonlijke informatie aan derden te verkopen of bekend te maken. Als de minderjarige jonger is dan 13, moet een ouder of voogd toestemming geven.
  • Jouw bedrijf moet ook het privacybeleid van zijn website bijwerken met een beschrijving van de rechten van de consument. Jouw privacybeleid moet ook een lijst bevatten van de categorieën persoonlijke informatie die jouw bedrijf verzamelt, verkoopt en openbaar maakt. Deze lijst moet jaarlijks worden bijgewerkt. 
  • Als jouw bedrijf een verifieerbaar verzoek ontvangt van een consument, die vraagt om openbaarmaking van zijn verzamelde persoonlijke informatie, moet je de consument gratis de registers verstrekken van persoonlijke informatie die in de afgelopen 12 maanden is verzameld (inclusief bronnen, commerciële doeleinden en categorieën van derden met wie het is gedeeld).
  • Jouw bedrijf mag niet discrimineren op basis van de keuze van de consument om zijn recht op opt-out uit te oefenen, openbaarmaking of verwijdering te vragen.

Wat is de definitie van persoonlijke informatie?

Persoonlijke informatie wordt in de CCPA gedefinieerd als "informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs kan worden geassocieerd met, of redelijkerwijs kan worden gekoppeld, direct of indirect, met een bepaalde consument of huishouden." (1798.140.o1).

Persoonlijke informatie onder de CCPA omvat directe identificatiegegevens (zoals echte naam, alias, postadres, sofinummers), unieke identificatiegegevens (zoals cookies, IP-adressen en accountnamen), biometrische gegevens (zoals gezichts- en spraakopnamen), geolocatie gegevens (zoals locatiegeschiedenis), internetactiviteit (zoals browsegeschiedenis, zoekgeschiedenis, gegevens over interactie met een webpagina of app), gevoelige informatie (zoals gezondheidsgegevens, persoonlijke kenmerken, gedrag, religieuze of politieke overtuigingen, seksuele voorkeuren, gegevens over tewerkstelling en onderwijs, financiële en medische informatie).

Persoonlijke informatie omvat ook gegevens die bij gevolg kunnen leiden tot de identificatie van een individu of een huishouden.

Geaggregeerde en anonieme gegevens zijn vrijgesteld van de CCPA, tenzij deze op enigerlei wijze opnieuw identificeerbaar zijn.

Dit betekent dat gegevens die op zichzelf geen persoonlijke informatie zijn, dit onder de CCPA kunnen worden als ze kunnen worden gebruikt - door inferentie of in combinatie met andere gegevens - om een individu of een huishouden te identificeren.

Wat zegt de CCPA over cookies?

Cookies en andere website-trackingtechnologieën worden geclassificeerd als unieke identificatiegegevens die deel uitmaken van de CCPA's definitie van persoonlijke informatie.

Cookies zijn één van de meest gebruikte technologieën ter wereld voor websites om persoonlijke informatie over eindgebruikers te verzamelen.

First party-cookies (die door de website zelf zijn ingesteld) verzamelen vaak anonieme gegevens voor hun kernfuncties die worden verwijderd zodra een gebruiker de browser sluit, maar cookies van derden (die door technologiebedrijven en sociale media-platforms zijn ingesteld) verzamelen vaak veel persoonlijke , soms gevoelige informatie over consumenten die tot honderd jaar kan worden bewaard.

Zelfs gegevens die op jouw website worden verzameld via cookies die op zichzelf misschien geen persoonlijke informatie vormen (zoals geanonimiseerde analysegegevens), maar door inferentie of combinatie met andere gegevens voor het identificeren en verbinden van apparaten, het maken van profielen en het aanbieden van gepersonaliseerde advertenties, kunnen uiteindelijk worden beschouwd als persoonlijke informatie onder CCPA.

Als jouw bedrijf voldoet aan een van de drie CCPA-nalevingsdrempels, ben je aansprakelijk voor alle persoonlijke informatie die je over inwoners van Californië verzamelt via de cookies van jouw website. Consumenten kunnen vragen om openbaarmaking van de PI die de afgelopen 12 maanden op jouw website is verzameld, en kunnen je verzoeken deze gegevens te verwijderen.

Je moet daarom weten welke gegevens jouw website verzamelt, hoe deze wordt verzameld en met welk doel, en met wie (derden) deze gegevens worden gedeeld.