Californië heeft eind juni 2018 een privacywet voor consumenten aangenomen, AB 375. De wet wordt van kracht op 1 januari 2020 en is bedoeld om meer gevolgen te hebben voor Amerikaanse bedrijven in vergelijking met de General Data Protection Regulation (GDPR) van de Europese Unie. De California Consumer Privacy Act (CCPA) wordt verondersteld een breder perspectief te hanteren dan de GDPR; dit vormt een aanzienlijke uitdaging voor de beveiliging bij het lokaliseren en beveiligen van privégegevens.
Wat is CCPA?
De CCPA is een van de meest uitgebreide privacywetten in de Verenigde Staten. De CCPA richt zich voornamelijk op consumentenrechten met betrekking tot het verzamelen en gebruiken van persoonlijke of privégegevens. Onder CCPA kunnen alle inwoners van Californië nu het recht uitoefenen om alle privégegevens op te vragen die een bedrijf heeft opgeslagen. Daarnaast kunnen consumenten ook de volledige lijst opvragen van alle derde partijen waarmee het bedrijf hun persoonlijke gegevens deelt. De meest volgende verandering is de bevoegdheid om de organisatie aan te klagen als consumenten vinden dat de organisatie de privacyrichtlijnen van de Californische overheid schendt, ook al is er geen sprake van een datalek.
Wie moet de CCPA naleven?
De wet is van toepassing op alle entiteiten met winstoogmerk die persoonlijke gegevens van inwoners van Californië verzamelen en verwerken en zaken doen binnen de staat Californië. De bedrijven die voldoen aan de drie voorwaarden van 1798.145. moeten voldoen aan de CCPA. Deze voorwaarden zijn
- Een bedrijf dat jaarlijkse bruto-inkomsten genereert meer dan en hoger dan 25 miljoen dollar
- Een bedrijf dat jaarlijks persoonlijke gegevens van meer dan 50000 inwoners van Californië deelt of ontvangt, of
- Een bedrijf dat minstens 50% van zijn jaarinkomsten haalt uit de verkoop van privégegevens van inwoners van Californië
Wat doet QuestionPro voor CCPA-compliance?
Als SaaS-leverancier nemen we alle vereiste stappen om aan de CCPA te voldoen voordat de wet van kracht wordt.
- We hebben onze klanten bewust gemaakt van het feit dat ze aan de CCPA moeten voldoen.
- We zijn onze klantgerichte documentatie aan het bijwerken, inclusief privacybeleid, gebruiksvoorwaarden, serviceovereenkomsten en gegevensopslag, en veiligheidsovereenkomsten volgens de richtlijnen van de CCPA.
- We zijn bezig met het verbeteren van ons privacytrainingsprogramma.
We werken aan een effectieve strategie die adequaat omgaan met CCPA-rechten die zijn toegekend aan inwoners van Californië.
Wie wordt beschermd door CCPA?
De CCPA is van toepassing op alle “natuurlijke personen die ingezetenen zijn van Californië”, verder gedefinieerd als
- Elk individu in de staat Californië voor elk doel dat niet tijdelijk of tijdelijk is
- Elke persoon die woonachtig is in de staat Californië maar momenteel of af en toe buiten de staat is voor tijdelijke of voor een kortstondige reden (Cal. Civ. Code § 1798.140(g)).
CCPA is dus van toepassing op alle inwoners met Californische domicilie, ongeacht waar zij zich momenteel bevinden. Daarnaast stelt de wet ook dat deze van toepassing is op zowel Business-to-Business (B2B) als Business-to-Consumers (B2C) bedrijven.
Californië is de op vier na grootste economie ter wereld (net voor het Verenigd Koninkrijk) en heeft ongeveer 40 miljoen inwoners.
Rechten van consumenten volgens de California Consumer Privacy Act
Alle Californische burgers die beschermd worden door de CCPA kunnen vier fundamentele rechten uitoefenen die hieronder worden genoemd,
-
Het recht om te weten welke persoonlijke gegevens het bedrijf heeft verzameld, openbaar gemaakt en verkocht
Met dit recht kan de consument elk bedrijf vragen wat voor persoonlijke informatie het verzamelt, publiceert, gebruikt en verkoopt. De consument heeft het recht om te weten van wie het bedrijf zijn privégegevens heeft verzameld, hoe het deze heeft gebruikt en een lijst van derden met wie het bedrijf zijn persoonlijke gegevens deelt of verkoopt.
-
Het recht om de verwijdering van persoonlijke gegevens aan te vragen
Onder de richtlijnen van de CCPA hebben consumenten alle rechten om eigenaar te worden van hun persoonlijke gegevens. Ze kunnen het bedrijf dat hun persoonlijke gegevens verzamelt en verwerkt rechtstreeks vragen deze te verwijderen. Na ontvangst van een dergelijk verzoek moet een organisatie alle nodige stappen ondernemen om alle persoonlijke gegevens van de consument te wissen. Desalniettemin kan de organisatie onder specifieke omstandigheden beslissen om de informatie te wissen of te bewaren. Alsof dit het doel dient waarvoor de organisatie de gegevens in eerste instantie heeft verzameld. Anders, om zich te houden aan het contract tussen de betrokkene en het bedrijf.
-
Recht om af te zien van de verkoop van persoonlijke informatie
Alle inwoners van Californië kunnen het recht uitoefenen om af te zien van de verkoop van hun persoonlijke gegevens. Om dit recht uit te oefenen, moet de betreffende organisatie echter een link “Mijn persoonlijke gegevens niet verkopen” op de homepage van haar website plaatsen. Deze link fungeert als een medium waarmee consumenten ervoor kunnen kiezen om hun persoonlijke gegevens te verkopen.
Volgens de richtlijnen van de CCPA mag een bedrijf geen persoonlijke gegevens van een consument verkopen als deze jonger is dan 16 jaar. Als de consument echter tussen 13 en 16 jaar oud is of jonger dan 13 jaar, dan hebben hun ouders of voogden het recht om de verkoop van informatie toe te staan of af te wijzen.
-
Recht op non-discriminatie bij de uitoefening van de privacyrechten van een consument
De CCPA heeft een breder perspectief door bedrijven te verbieden alle consumenten die hun privacyrechten uitoefenen niet-discriminerend te behandelen. Daarnaast verbiedt de wet organisaties om een andere prijs te vragen of verschillende goederen of diensten aan te bieden aan consumenten die gebruik maken van hun CCPA-rechten. Afgezien daarvan is de divergentie matig gerelateerd aan de waarde die je gegevens je bieden.
Wat gebeurt er als u de CCPA overtreedt?
- Het kantoor van de procureur-generaal van Californië is bevoegd om sancties op te leggen in verband met overtredingen van de CCPA. De sancties omvatten civielrechtelijke geldboetes van maximaal $ 2.500 voor niet-opzettelijke overtredingen en $ 7.500 voor opzettelijke overtredingen.
- Vanaf nu,
- moet het kantoor van de Californische officier van justitie een kennisgeving van de vermeende overtreding geven en het betrokken bedrijf 30 dagen de tijd geven om opheldering te verschaffen voordat de boete wordt opgelegd.
- Ongeveer 20% van de boetes die worden geïnd door overtredingen van de CCPA zullen worden toegewezen aan het nieuw opgerichte “Consumer Privacy Fund”.
Als je problemen hebt met betrekking tot de CCPA en QuestionPro, neem dan
contact met ons opnemen
om een afspraak te maken met onze compliance manager.