CCPA vs CPRA: wat is er veranderd in de Californische privacywetgeving
De CPRA (California Privacy Rights Act) werd goedgekeurd door Californische kiezers in 2020 en trad in werking op 1 januari 2023. Het wijzigde en breidde de oorspronkelijke CCPA aanzienlijk uit door gevoelige persoonlijke gegevens als categorie te introduceren, vereisten voor gegevensminimalisatie en doelbinding toe te voegen, het handhavingsagentschap CPPA op te richten en consumentenrechten uit te breiden, waaronder correctie en afmelding voor geautomatiseerde besluitvorming.
| Kenmerk | CCPA | CPRA |
|---|---|---|
| Geografisch bereik | Californië, Verenigde Staten (van kracht januari 2020) | Californië, Verenigde Staten (van kracht januari 2023, wijziging van CCPA) |
| Op wie van toepassing | Bedrijven met winstoogmerk die voldoen aan drempels voor omzet, gegevensvolume of gegevensverkoop | Dezelfde drempels als CCPA, maar dekt ook het delen van persoonlijke gegevens |
| Toestemmingsvereisten | Opt-out van verkoop van persoonlijke gegevens | Opt-out van verkoop en delen; recht om gebruik van gevoelige persoonlijke gegevens te beperken |
| Cookie- en trackingregels | Geen specifieke cookieregels; opt-out recht geactiveerd door verkoop van gegevens via tracking | Opt-out rechten uitgebreid naar cross-context gedragsgerichte reclame via cookies |
| Individuele rechten | Inzage, verwijdering, afmelding voor verkoop, non-discriminatie | Inzage, verwijdering, correctie, afmelding voor verkoop/delen, beperking gebruik gevoelige PI, overdraagbaarheid |
| Maximale boetes | $7.500 per opzettelijke overtreding, $2.500 per onopzettelijke overtreding | $7.500 per opzettelijke overtreding, $2.500 per onopzettelijke; aanvullende CPPA-handhaving |
| Handhavingsinstantie | Procureur-generaal van Californië | California Privacy Protection Agency (CPPA) en procureur-generaal van Californië |
Belangrijkste verschillen
De CPRA introduceerde het concept van gevoelige persoonlijke gegevens, een nieuwe gegevenscategorie die burgerservicenummers, nauwkeurige geolocatie, ras of etnische afkomst, biometrische gegevens, gezondheidsinformatie en inhoud van post of sms-berichten omvat. Consumenten kregen het recht om het gebruik en de openbaarmaking van deze gevoelige gegevens te beperken. De oorspronkelijke CCPA maakte geen onderscheid tussen gevoelige en niet-gevoelige persoonlijke gegevens.
Gegevensminimalisatie en doelbinding zijn nieuwe vereisten onder de CPRA. Bedrijven mogen nu alleen persoonlijke gegevens verzamelen die redelijkerwijs noodzakelijk en proportioneel zijn voor de bekendgemaakte doeleinden, en mogen deze niet langer bewaren dan nodig. De CCPA had dergelijke vereisten niet, waardoor bredere gegevensverzamelingspraktijken mogelijk waren.
De CPRA richtte ook de California Privacy Protection Agency (CPPA) op, het eerste speciale privacyhandhavingsagentschap in de Verenigde Staten. Onder de CCPA werd de handhaving uitsluitend uitgevoerd door de procureur-generaal van Californië. De CPPA heeft regelgevende bevoegdheden en kan zelfstandig onderzoeken en handhavingsacties ondernemen. De CPRA breidde ook het recht op afmelding uit naar het delen van gegevens voor cross-context gedragsgerichte reclame, niet alleen de verkoop van gegevens.
Hoe Pryvii helpt
Pryvii controleert uw website op zowel de oorspronkelijke CCPA-vereisten als de uitgebreide CPRA-verplichtingen. Het verifieert dat opt-out links zowel verkoop als delen dekken, controleert op vermeldingen van gevoelige persoonlijke gegevens en zorgt ervoor dat uw privacybeleid de bijgewerkte rechten en vereisten onder de CPRA weerspiegelt.
Veelgestelde vragen
Moet ik mijn website bijwerken voor de CPRA als ik al CCPA-conform was?
Ja. De CPRA introduceerde nieuwe vereisten die verder gaan dan de oorspronkelijke CCPA. U moet uw privacybeleid bijwerken om nieuwe rechten (correctie, overdraagbaarheid) weer te geven, opt-out mechanismen voor het delen van gegevens toevoegen, vermeldingen van gevoelige persoonlijke gegevens opnemen en schema's voor gegevensbewaring implementeren.
Wat is het verschil tussen verkopen en delen onder de CPRA?
Onder de CCPA was het opt-out recht alleen van toepassing op de verkoop van persoonlijke gegevens voor geldelijke vergoeding. De CPRA breidde dit uit naar 'delen', gedefinieerd als het beschikbaar stellen van persoonlijke gegevens voor cross-context gedragsgerichte reclame, zelfs zonder geldelijke uitwisseling. Dit omvat veel ad-tech en analysepraktijken.
Wanneer is de CPRA in werking getreden?
De CPRA trad in werking op 1 januari 2023, met een terugkijkperiode tot 1 januari 2022. De CPPA begon met formele handhaving op 1 juli 2023. Bedrijven hadden hun praktijken vóór deze datums moeten bijwerken, maar handhavingsacties kunnen verwijzen naar gegevenspraktijken uit de terugkijkperiode.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.