California Consumer Privacy Act - California Consumer Privacy Act
| California Consumer Privacy Act | |
|---|---|
 | |
| California lovgiver | |
| Fullt navn | California Consumer Privacy Act fra 2018 |
| Introdusert | 3. januar 2018 |
| Logget inn i lov | 28. juni 2018 |
| Guvernør | Jerry Brown |
| Kode | California Civil Code |
| Seksjon | 1798.100 |
| Vedtak | AB-375 (sesjon 2017–2018) |
| Nettsted | Forsamlingsforslag nr. 375 |
Status: Gjeldende lovgivning | |
The California Consumer Privacy Act ( CCPA ) er en statlig lov til hensikt å forbedre personvernrettigheter og forbrukerbeskyttelse for innbyggerne i California , USA . Lovforslaget ble vedtatt av California State Legislature og undertegnet lov av Jerry Brown , guvernør i California, 28. juni 2018 for å endre del 4 i divisjon 3 i California Civil Code . Offisielt kalt AB-375 , ble handlingen introdusert av Ed Chau , medlem av California State Assembly, og statssenator Robert Hertzberg .
Endringer i CCPA, i form av senatforslag 1121, ble vedtatt 13. september 2018. Ytterligere materielle endringer ble signert i lov 11. oktober 2019. CCPA trådte i kraft 1. januar 2020. I november 2020 stemte California -velgere vedtok proposisjon 24 , også kjent som California Privacy Rights Act, som endrer og utvider CCPA.
Lovens intensjoner
Intensjonene i loven er å gi innbyggere i California rett til:
- Vet hvilke personopplysninger som blir samlet om dem.
- Vet om deres personlige data selges eller avsløres og til hvem.
- Si nei til salg av personopplysninger.
- Få tilgang til deres personlige data.
- Be en bedrift om å slette personlig informasjon om en forbruker som er samlet inn fra den forbrukeren.
- Ikke bli diskriminert for å utøve sine personvernrettigheter .
Samsvar
CCPA gjelder for enhver virksomhet, inkludert alle profittforetak som samler inn forbrukernes personopplysninger, driver forretninger i California og oppfyller minst en av følgende terskler:
- Har en årlig bruttoinntekt på over $ 25 millioner;
- Kjøper, mottar eller selger personopplysningene til 50 000 eller flere forbrukere eller husholdninger; eller
- Tjener mer enn halvparten av sin årlige inntekt fra å selge forbrukernes personlige informasjon.
Organisasjoner er pålagt å "implementere og opprettholde rimelige sikkerhetsprosedyrer og -praksis" for å beskytte forbrukerdata .
Ansvar og ansvarlighet
- Implementere prosesser for å innhente samtykke fra foreldre eller foresatte for mindreårige under 13 år og bekreftende samtykke fra mindreårige mellom 13 og 16 år til datadeling for formål (Cal. Civ. Code § 1798.120 (c)).
- “Selger ikke min personlige informasjon” linken på hjemmesiden til nettstedet av virksomheten, som vil lede brukerne til en nettside som gjør dem, eller noen de godkjenner, for å velge bort salget av beboerens personlige opplysninger (Cal. Civ. Kode 1798.135 (a) (1)).
- Angi metoder for å sende forespørsler om datatilgang, inkludert et gratis telefonnummer som minimum (Cal. Civ. Code 1798.130 (a)).
- Oppdater personvernreglene med nylig nødvendig informasjon, inkludert en beskrivelse av innbyggernes rettigheter i California (Cal. Civ. Code 1798.135 (a) (2)).
- Unngå å be om tillatelse i tolv måneder etter at en innbygger i California melder seg ut (Cal. Civ. Code 1798.135 (a) (5)).
Sanksjoner og rettsmidler
Følgende sanksjoner og rettsmidler kan ilegges:
- Bedrifter, aktivister, foreninger og andre kan autoriseres til å utøve opt-out-rettigheter på vegne av innbyggere i California (Cal. Civ. Code § 1798.135 (c).
- Selskaper som blir ofre for datatyveri eller andre datasikkerhetsbrudd, kan i sivile søksmålsordninger beordres til å betale lovfestede skader mellom $ 100 og $ 750 per innbygger og hendelse i California, eller faktiske skader, avhengig av hva som er størst, og enhver annen lettelse en domstol finner riktig , med forbehold om en mulighet fra California Attorney General's Office til å påtale selskapet i stedet for å la sivile søksmål bli reist mot det (Cal. Civ. Code § 1798.150).
- En bot på opptil $ 7.500 for hvert forsettlig brudd og $ 2.500 for hvert utilsiktet brudd (Cal. Civ. Code § 1798.155).
- Personvernerklæringer må være tilgjengelige og ha alternativ formattilgang tydelig ropt ut.
- Ansvar kan også gjelde for virksomheter i utenlandske land som sender varer til California.
Definisjon av personopplysninger
CCPA definerer personopplysninger som informasjon som identifiserer, relaterer til, beskriver, er rimelig i stand til å være assosiert med, eller rimeligvis kan knyttes (direkte eller indirekte) til en bestemt forbruker eller husstand, for eksempel et ekte navn, alias, postadresse, unikt personlig identifikator, elektronisk identifikator, internettprotokolladresse, e -postadresse, kontonavn, personnummer, førerkortnummer, skiltnummer, passnummer eller andre lignende identifikatorer.
En ekstra advarsel identifiserer, relaterer til, beskriver eller kan assosieres med et bestemt individ, inkludert, men ikke begrenset til, navn, signatur, personnummer, fysiske egenskaper eller beskrivelse, adresse, telefonnummer, passnummer , førerkort eller statlig identifikasjonskortnummer, forsikringsnummer, utdannelse, sysselsetting, sysselsettingshistorie, bankkontonummer, kredittkortnummer, debetkortnummer eller annen økonomisk informasjon, medisinsk informasjon eller helseforsikringsinformasjon.
Den anser ikke offentlig tilgjengelig informasjon som personlig.
Viktige forskjeller mellom CCPA og EUs generelle databeskyttelsesforordning (GDPR) inkluderer omfanget og territorial rekkevidde for hver, definisjoner knyttet til beskyttet informasjon, spesifisitetsnivåer og en fravalgsrett for salg av personopplysninger. CCPA er forskjellig i definisjonen av personlig informasjon fra GDPR, ettersom CCPA i noen tilfeller bare tar i betraktning data som ble levert av en forbruker. GDPR gjør ikke dette skillet og dekker alle personopplysninger uavhengig av kilde. Ved sensitiv personlig informasjon gjelder dette ikke hvis informasjonen åpenbart ble offentliggjort av den registrerte selv, etter unntaket i henhold til art. 9 (2), e). Som sådan er definisjonen i GDPR mye bredere enn definert i CCPA.
Personlige data kan også inneholde profilinformasjon på nettet eller på sosiale medier. Personlige data er ikke begrenset til et nummer eller et fysisk dokument, men kan også være online identiteter, kontoer og annen personlig informasjon.
Historie
California Consumer Privacy Act fra 2018 ble opprinnelig foreslått som et valgforslag av en personverngruppe kjent som Californians for Consumer Privacy. The California DOJ godkjent initiativ offisielle språk på 18 desember 2017, slik at gruppen til å begynne å samle inn underskrifter. I juni 2018 samlet forslagsstillerne nok underskrifter til å kvalifisere CCPA -initiativet for valget i november 2018. I California kan ikke statslovgiver oppheve eller endre et valgforslag når det er vedtatt av velgerne. Som svar på CCPA -stemmeforslaget forhandlet statslovgivere med californiere om forbrukernes personvern for å vedta en mindre restriktiv versjon av CCPA i bytte mot tilbaketrekking av stemmeseddelen.
CCPA ble vedtatt av statslovgiver og signert av Gov. Brown 28. juni 2018; den trådte i kraft 1. januar 2020. Lovens virkning var avhengig av tilbaketrekning av initiativ 17–0039, lov om forbrukerrett til personvern. Fem endringer ble vedtatt og signert av guvernør Newsom 11. oktober 2019. Merknad om DOJs foreslåtte forskrifter ble også publisert 11. oktober i Z -registeret ; Fra 10. januar 2020 hadde OAL ennå ikke sendt de endelige forskriftene til statssekretæren , slik det er nødvendig for at forskriften skal tre i kraft.
Den Act of 2020 California Privacy Rights foreslått flere endringer i CCPA. Loven, også kjent som 2020 California Proposition 24, utvider eksisterende personvernlover ved å gi forbrukere større kontroll over sine personlige data og etablere California Privacy Protection Agency . Det vedtok, med et flertall av velgerne som godkjente tiltaket.
Unntak
- Personlig helseinformasjon
- Økonomisk informasjon
Et stort område av CCPA -unntaket er den personlige helseinformasjonen (PHI) som er samlet inn. I stedet for at dataene blir behandlet med CCPA -retningslinjene i bakhodet, forventes det at PHI overholder loven om helseforsikring om portabilitet og ansvarlighet , ellers kjent som HIPAA. Hvis virksomheten som samler inn dataene er relatert til kliniske studier, må den følge den "vanlige regelen".
Når det gjelder informasjonen som samles inn av finansinstitusjoner, følger institusjonene California Financial Information Privacy Act eller Gramm-Leach-Bliley Act avhengig av situasjonen.
Se også
- Forbrukervern
- Generell databeskyttelsesforordning
- Informasjon om personvern
- Sedona -konferansekommentaren til en rimelig sikkerhetstest
Referanser
Videre lesning
- Hautala, Laura (25. desember 2019). "CCPA: Alt du trenger å vite om Californias nye personvernlov" . CNET . Hentet 31. desember 2019 .
- Hautala, Laura (27. desember 2019). "Nye personvernlover som CCPA kan være på vei til staten din" . CNET . Hentet 31. desember 2019 .
- Lapowsky, Issie (28. juni 2018). "California vedtar enstemmig historisk personvernregning" . Kablet . ISSN 1059-1028 .
- Lyons, Kim (31. desember 2019). "CCPA trer i kraft 1. januar, men er fortsatt ikke helt ferdig" . The Verge . Hentet 31. desember 2019 .
- Morrison, Sara (30. desember 2019). "Californias nye personvernlov, forklart" . Vox . Hentet 31. desember 2019 .
- Stephens, John (2. juli 2019). "California Consumer Privacy Act" . American Bar Association . Hentet 31. desember 2019 .