Kalifornian kuluttajansuojalaki (CCPA), annettu vuonna 2018 ja joka tulee voimaan 1. tammikuuta 2020, antaa Kalifornian kuluttajille lisäoikeuksia ja suojauksia sen suhteen, miten yritykset voivat käyttää henkilökohtaisia tietojaan. CCPA asettaa monia velvoitteita yrityksille, jotka ovat samanlaisia niihin, joita vaaditaan Euroopan unionin (EU) antamassa yleisessä tietosuoja-asetuksessa (GDPR). Siitä huolimatta yrityksellä, joka jo noudattaa GDPR: ää, voi olla CCPA: n nojalla lisävelvoitteita.
Avainsanat
- Kalifornian kuluttajansuojalaki (CCPA) tuli voimaan 1. tammikuuta 2020. Se antaa tässä valtiossa kuluttajille lisäoikeuksia henkilötietoihinsa.Yritykset noudattavat erilaisia velvoitteita.
Kalifornian kuluttajien oikeudet
- Oikeus tietää, mitä henkilötietoja yritykset keräävät, käyttävät, jakaa tai myyvät.Oikeus poistaa henkilötietoja.Oikeus kieltää henkilötietojen myynti. Alle 16-vuotiaiden lasten on annettava nimenomainen suostumus saadakseen tietoja myytäväksi, ja vanhempien tai huoltajien on annettava nimenomainen suostumus alle 13-vuotiaille lapsille. Takuu, että CCPA: n mukaisia oikeuksia käyttäviä kuluttajia ei rangaistaan korkeammilla hinnoilla tai matalammalla palvelutasolla kuin niillä, jotka eivät.
Mitä yrityksiä CCPA koskee
- Yritykset, jotka täyttävät vähintään yhden seuraavista kolmesta kriteeristä, ovat CCPA: n vuotuiset bruttotulot vähintään 25 miljoonaa dollaria.Yrittäjät, jotka ostavat, vastaanottavat tai myyvät henkilötietoja vähintään 50 000 henkilöltä, kotitalouksilta tai laitteilta.Henkilökohtainen myynti tiedot edustavat vähintään 50 prosenttia vuotuisista tuloista. Lisäksi yrityksille, jotka käsittelevät yli 4 miljoonan kuluttajan henkilötietoja, voi lopulta olla lisävelvoitteita.
Yritysten velvollisuudet
- Kuluttajille ilmoittaminen etukäteen kerätyistä henkilötiedoista.Miten kuluttajien on helppo käyttää lain mukaisia oikeuksiaan, esimerkiksi tarjoamalla linkkejä verkkosivustoilleen ja mobiilisovelluksiinsa estääkseen tietojen myymisen.Vastaus tietyn ajan kuluessa lain nojalla kuluttajien henkilöllisyyden tarkistaminen. Lain nojalla pyyntöjä esittävien kuluttajien henkilöllisyyden tarkistaminen.Lisätiedot kaikista taloudellisista kannustimista, joita tarjotaan vastineeksi henkilötietojen säilyttämiselle tai myynille, sekä siitä, kuinka näiden tietojen arvo laskettiin. Yritysten on myös selitettävä, miksi niiden mielestä CCPA: n nojalla sallitaan tällaiset kannustimet. Kaikkien lain nojalla tehtyjen pyyntöjen tietueiden pitäminen ja miten ne reagoivat.Tietovarastojen ylläpito ja tietovirtojen kartoittaminen.Tietosuojakäytäntöjen ja käytäntöjen paljastaminen.
Soveltamisala ja kustannukset
Berkeley Economic Advising and Research, LLC.: N elokuussa 2019 julkaiseman standardisoidun sääntelyvaikutusten arviointia varten laatimien arvioiden mukaan CCPA suojaa yli 12 miljardin dollarin arvosta henkilötietoja, joita käytetään mainonnassa Kaliforniassa vuosittain. Samassa raportissa arvioidaan asetusehdotusten noudattamisesta aiheutuvien kustannusten, lukuun ottamatta niitä koskevan CCPA-lain yleisiä noudattamiskustannuksia, vuosina 2020–2030 yhteensä 467–16, 454 miljardia dollaria.
Julkinen kommentti
CCPA: n määräysten mukaan Kalifornian oikeusministeriön on haettava panosta laajalta yleisöltä ohjaamaan säädösten laatimista ja täytäntöönpanoa, jotka on tarkoitettu edistämään lain tavoitteita. Tämän säännöksen mukaan oikeusministeriö järjesti joukon julkisia kuulemistilaisuuksia joulukuun alussa 2019, ja 6. joulukuuta 2019 oli määräaika yleisön kirjallisille huomautuksille.
Toteutus ja huolet
CCPA tuli voimaan 1. tammikuuta 2020, mutta sakkojen määrääminen mukaan lukien täytäntöönpano lykätään kesäkuuhun. Internet-pohjaiset yritykset, joista monet sijaitsevat Kaliforniassa, ovat olleet lain äänekkäimpiä vastustajia, väittäen sen sijaan Yhdysvaltain liittovaltion lakia, joka asettaisi yhtenäiset standardit koko valtiolle. Osa heidän huolenaiheistaan on, että jokainen CCPA: n rikkomus voi mahdollisesti johtaa tuhansia dollareita sakkoihin, mikä voi lisätä huomattavia summia ehkä miljoonien käyttäjien pelkästään Kaliforniassa.
Internet-jättiläiset Facebook Inc. (FB) ja Google-emoyhtiö Alphabet Inc. (GOOGL, GOOG) ovat kuitenkin jo EU: n GDPR: n mukaisia. Sillä on vahvempi suojaus kuin CCPA: lla. vain helpottaa poissulkemista, samoin kuin uusi Kalifornian laki. Seurauksena on, että jotkut tarkkailijat uskovat, että CCPA tulee olemaan taakka pienemmille toimijoille, ja kiinnittävät siten johtoasemaansa verkkomainonnan.
