Wie beschermt de CaCPA? Wie moet voldoen?
Elke consument, gedefinieerd als een 'natuurlijk persoon die inwoner is van Californië'. Dit wordt verder gedefinieerd als:
- Elke persoon bevindt zich in de staat voor elk doel dat niet van voorbijgaande aard of tijdelijk is
- Elke persoon die in de staat woont maar zich momenteel of af en toe buiten de staat bevindt voor een tijdelijk of voorbijgaand doel
Dit betekent dat consumenten die naar of gedeeltelijk in andere staten reizen, worden beschermd, zolang hun woonplaats Californië is. Dit betekent ook dat de wet van toepassing is op “business-to-consumer” (B2C) bedrijven en op “business-to-business” (B2B).
Een gedekt “bedrijf” wordt gedefinieerd als een entiteit met winstoogmerk die voldoet aan 1 van de 3 volgende voorwaarden.
- Verdient $25 miljoen of meer aan jaarlijkse inkomsten.
- Bevat de persoonlijke gegevens van ten minste 50.000 mensen, huishoudens of apparaten.
- Verkrijgt ten minste de helft van zijn inkomsten door persoonlijke gegevens te verkopen. Verkopen is niet alleen data verhandelen voor geld. Alleen het verstrekken van gegevens aan een derde partij als dit leidt tot financieel gewin, is onderworpen aan de wet.
CaCPA stelt dat ze ook aan de volgende 4 voorwaarden moeten voldoen.
- Wees een juridische zakelijke entiteit die is georganiseerd en geëxploiteerd voor winst.
- Verzamelt persoonlijke informatie van consumenten of laat deze namens hem verzamelen.
- Bepaalt het doel van en de middelen voor de verwerking van persoonlijke informatie van consumenten.
- Doet zaken in Californië
Elke onderneming met winstoogmerk die deze test doorstaat, is onderworpen aan de wet, ongeacht de geografische locatie. Volgens iapp zal de wet naar schatting van toepassing zijn op meer dan 500.000 Amerikaanse bedrijven, waarvan de meeste kleine tot middelgrote bedrijven zijn. Het zal ook gevolgen hebben voor bedrijven buiten de VS, zolang ze hun zaken in Californië doen.
Wat is de straf voor niet-naleving?
Voor opzettelijke overtredingen die niet binnen 30 dagen worden aangepakt, varieert de boete van $2.500 tot $7.500 per overtreding (bijvoorbeeld per record in de database). Onopzettelijke schendingen die niet binnen 30 dagen worden aangepakt, kunnen consumenten een schadevergoeding vorderen van niet minder dan honderd dollar ($100) en niet meer dan zevenhonderdvijftig ($750) per consument per incident of werkelijke schade, afhankelijk van wat het grootste is.
Twintig procent van de door de staat geïnde boetes wordt toegewezen aan een nieuw “Consumer Privacy Fund”. Alle fondsen die de gerechtskosten en incassokosten overschrijden, kunnen worden gestort in het CA State General Fund.
Waar komt deze wet vandaan?
De CaCPA werd in slechts 7 dagen door de wetgeving gejaagd en werd slechts enkele uren voor de sluiting van de Californische wetgevende sessie 2017-18 ondertekend. Snel voor een wet met zulke wijdverbreide gevolgen.
Deze haast was een reactie op een veel strenger stembiljet, voorgesteld door de vastgoedontwikkelaar Alistair Mactaggart in San Francisco. Mactaggart gaf $3,5 miljoen van zijn eigen geld uit om initiatiefmaatregel nr. 17-0039 te financieren, die meer dan 629.000 handtekeningen ontving, meer dan genoeg om de kwestie op de stemming van november 2018 te plaatsen.
Hoe definieert de CaCPA "Persoonlijke informatie?"
CaCPA's definitie van persoonlijke informatie is veel uitgebreider dan de definitie van PII, het sluit nauwer aan bij de bredere lijst in de AVG. Het wordt gedefinieerd als "informatie die identificeert, betrekking heeft op, beschrijft, kan worden geassocieerd met, of redelijkerwijs kan worden gekoppeld, direct of indirect, met een bepaalde consument of huishouden." Naast de informatie die doorgaans onder PII wordt opgenomen, omvat het ook:
- Geolocatiegegevens
- Opleidingsinformatie
- Audio, elektronische, visuele, thermische of soortgelijke informatie
- Professionele en werkgelegenheidsinformatie
- IP-adressen
- Internetactiviteit (dwz browse- en zoekgeschiedenis, webtrackinggegevens)
- aliassen
- Kenmerken van beschermde classificaties volgens de Californische of federale wetgeving
- Commerciële informatie (dwz persoonlijke eigendommen, aankoopgeschiedenis)
- Gevolgtrekkingen uit de informatie in de definitie
Waarom CaCPA
Slechts enkele dagen voordat Mactaggart de handtekeningen kon certificeren, stemden de Californische Democraten ermee in om een compromisvoorstel in te dienen in ruil voor het laten vallen van het initiatief. De lobbyisten van de technische industrie zijn van mening dat ze een veel betere kans hebben om het verhaal en de uiteindelijke impact van de CaCPA te beheersen. Lobbyisten van de industrie stemden ermee in zich niet tegen het wetsvoorstel te verzetten, aangezien het veel minder gunstige steminitiatief later in het jaar een goede kans maakte om te worden aangenomen.
Wat kregen ze voor hun naleving?
- 18 maanden de tijd om te lobbyen voor het herschrijven van de details van de rekening.
- CA-wetgever kan de CaCPA wijzigen met een gewone meerderheid in plaats van een 70% supermeerderheid vereist door de CA Consumer Privacy Act van 2018.
- CaCPA maakt het voor consumenten moeilijker om niet-conforme bedrijven aan te klagen, en geeft de meeste handhavingscontrole aan de procureur-generaal van de CA.
- CaCPA treft meer bedrijven, omdat het de drempel met de helft verlaagde voor bedrijven met slechts $25 miljoen jaaromzet.
"Datareguleringsbeleid is complex en heeft gevolgen voor elke sector van de economie, inclusief de internetindustrie", aldus de lobbygroep van de Internet Association. “Dat maakt het gebrek aan publieke discussie en proces rondom dit verstrekkende wetsvoorstel des te zorgwekkender. Het is van cruciaal belang dat beleidsmakers in de toekomst werken aan het corrigeren van de onvermijdelijke, negatieve beleids- en nalevingsgevolgen die deze last-minute deal zal creëren voor zowel de consumenten als de bedrijven in Californië."
De winnaars en verliezers van dit stukje wetgeving (10.660 woorden) moeten nog worden bepaald, vanwege de massale herschrijving van de details die momenteel gaande zijn. Het is zeer waarschijnlijk dat de nieuwe en verbeterde CaCPA vooral van toepassing zal zijn op het midden- en kleinbedrijf, degenen die de dure lobbyisten en hun enorme uitgaven niet kunnen betalen. Dit wetsvoorstel, dat haastig is geschreven en nauwelijks is beoordeeld door iemand anders dan de schrijvers, met zijn vele typefouten en slecht geschreven tekst, werd op 28 juni goedgekeurd door gouverneur Brown.e 2018. Op 24 auge slechts 57 dagen later kwamen de eerste 45 amendementen. Deze wijzigingen waren voornamelijk bedoeld om technische fouten te corrigeren. Bereid je voor.
Bronnen: Assembly Bill No. 375, iapp De privacyadviseur, New York Times, FairWarning