Kalifornijski zakon o zasebnosti potrošnikov (CCPA), ki je bil sprejet leta 2018 in začne veljati 1. januarja 2020, potrošnikom v Kaliforniji daje dodatne pravice in zaščite glede tega, kako podjetja lahko uporabljajo svoje osebne podatke. CCPA podjetjem nalaga številne obveznosti, ki so podobne tistim, ki jih zahteva Splošna uredba o varstvu podatkov (GDPR), ki jo je sprejela Evropska unija (EU). Kljub temu pa ima podjetje, ki že izpolnjuje GDPR, dodatne obveznosti v skladu s CCPA.
Ključni odvzemi
- Kalifornijski zakon o zasebnosti potrošnikov (CCPA) je začel veljati 1. januarja 2020. Potrošnikom v tej državi daje dodatne pravice v zvezi z njihovimi osebnimi podatki. Za izpolnjevanje obveznosti se podjetja soočajo z različnimi obveznostmi.
Pravice za kalifornijske potrošnike
- Pravica vedeti, katere osebne podatke podjetja zbirajo, uporabljajo, delijo ali prodajo. Pravica do izbrisa osebnih podatkov. Pravica do prepovedi prodaje osebnih podatkov. Otroci, mlajši od 16 let, morajo izrecno privoliti, da imajo njihovi podatki primerne za prodajo, starš ali skrbnik pa morata izrecno privoliti za otroka, mlajšega od 13 let. Zagotoviti, da potrošniki, ki uveljavljajo svoje pravice v skladu s CCPA, ne bodo kaznovani z višjimi cenami ali nižjo stopnjo storitve kot tisti, ki tega ne storijo.
Katera podjetja so predmet CCPA
- Podjetja, ki izpolnjujejo vsaj eno od naslednjih treh meril, veljajo za CCPA. Bruto letni prihodki v višini 25 milijonov dolarjev ali več. Podjetja, ki kupujejo, prejemajo ali prodajo osebne podatke od 50.000 ali več posameznikov, gospodinjstev ali naprav. Prodaje osebnih podatki predstavljajo 50% ali več letnih prihodkov. Poleg tega se podjetja, ki obdelujejo osebne podatke več kot 4 milijonov potrošnikov, sčasoma soočijo z dodatnimi obveznostmi.
Obveznosti za podjetja
- Vnaprej obveščanje potrošnikov o zbranih osebnih podatkih. Potrošniki olajšajo izvrševanje svojih pravic po zakonu, na primer z zagotavljanjem povezav na svojih spletnih mestih in mobilnih aplikacijah, da prepovedo prodajo svojih podatkov. potrošniki v skladu z aktom. Preverjanje identitete potrošnikov, ki vlagajo zahteve v skladu z aktom. Razkrivanje morebitnih finančnih spodbud, ki se ponujajo v zameno za hrambo ali prodajo osebnih podatkov, pa tudi, kako je bila izračunana vrednost teh podatkov. Podjetja morajo razložiti tudi, zakaj menijo, da so takšne spodbude dovoljene v skladu z CCPA. Vodenje evidenc o vseh zahtevah, ki so bile v skladu z zakonom in kako so se odzvale. Vzdrževanje zalog podatkov in preslikava pretokov podatkov. Razkrivanje politik in praks o zasebnosti podatkov.
Obseg in stroški
Po ocenah, ki jih je pripravilo podjetje Berkeley Economic Advising and Research, LLC., Za standardizirano oceno regulativnega vpliva, objavljeno avgusta 2019, bo agencija CCPA zaščitila osebne podatke v vrednosti več kot 12 milijard dolarjev, ki se uporabljajo v oglaševanju v Kaliforniji vsako leto. Stroški skladnosti z osnutki uredb, vendar brez splošnih stroškov skladnosti z osnovnim zakonom o CCPA, so v istem poročilu ocenjeni na približno od 467 milijonov do 16.454 milijard dolarjev v obdobju od leta 2020 do leta 2030.
Javni komentar
V skladu z določbami CCPA mora generalni državni tožilec iz Kalifornije poiskati prispevek širokega segmenta javnosti, da bi usmeril oblikovanje in izvajanje predpisov, ki so namenjeni nadaljnjim doseganju ciljev zakona. V skladu s to določbo je generalni državni tožilec v začetku decembra 2019 opravil vrsto javnih obravnav, 6. decembra 2019 pa je bil rok za pisne pripombe javnosti.
Izvajanje in pomisleki
Medtem ko je CCPA začel veljati 1. januarja 2020, se izvrševanje, vključno z naložitvijo glob, zavleče do junija. Internetna podjetja, od katerih večina ima sedež v Kaliforniji, so bila med najbolj glasnimi nasprotniki zakona, namesto tega pa so se zavzemala za ameriško zvezno zakonodajo, ki bi postavila enotne standarde za celotno državo. Njihova skrb je, da bi vsaka kršitev CCPA lahko povzročila tisoč dolarjev glob, kar lahko privede do ogromnih zneskov pri več milijonov uporabnikov samo v Kaliforniji.
Vendar pa internetni velikani Facebook Inc. (FB) in Googlova matična družba Alphabet Inc. (GOOGL, GOOG) že ustrezajo GDPR EU, ki ima močnejšo zaščito kot CCPA, zlasti s tem, da za sodelovanje z osebnimi podatki zahteva sodelovanje, ne pa zgolj olajšanje opustitve, tako kot novi kalifornijski zakon. Zato nekateri opazovalci verjamejo, da bo CCPA bolj obremenjujoča za manjše igralce in tako ukoreninila voditelje v spletnem oglaševanju.
