GDPR vs CPRA: hoe de nieuwste wet van Californië zich verhoudt
De CPRA (California Privacy Rights Act) heeft de CCPA gewijzigd en uitgebreid met ingang van januari 2023. Hoewel het de Californische privacywetgeving dichter bij de GDPR-normen bracht door het toevoegen van principes voor gegevensminimalisatie en doelbinding, handhaaft het nog steeds het opt-out toestemmingsmodel. De CPRA heeft ook de California Privacy Protection Agency (CPPA) opgericht als een speciale handhavingsinstantie.
| Kenmerk | GDPR | CPRA |
|---|---|---|
| Geografisch bereik | Europese Unie en EER-lidstaten | Californië, Verenigde Staten (van kracht januari 2023) |
| Op wie van toepassing | Elke organisatie die gegevens van EU-ingezetenen verwerkt | Bedrijven met winstoogmerk die aan CCPA-drempels voldoen, nu inclusief delen naast verkoop |
| Toestemmingsvereisten | Opt-in: bevestigende toestemming vereist vóór verwerking | Opt-out: consumenten kunnen zich afmelden voor verkoop en delen van persoonlijke gegevens |
| Cookie- en trackingregels | Niet-essentiële cookies vereisen uitdrukkelijke voorafgaande toestemming | Geen specifieke cookieregels, maar cross-context gedragsgerichte reclame activeert opt-out rechten |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Inzage, verwijdering, correctie, afmelding voor verkoop/delen, beperking gebruik gevoelige PI, overdraagbaarheid |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Tot $7.500 per opzettelijke overtreding, gehandhaafd door CPPA en procureur-generaal |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat | California Privacy Protection Agency (CPPA) en procureur-generaal van Californië |
Belangrijkste verschillen
De CPRA introduceerde verschillende GDPR-achtige concepten in de Californische wetgeving. Het voegde vereisten voor gegevensminimalisatie toe, wat betekent dat bedrijven alleen persoonlijke gegevens mogen verzamelen die redelijkerwijs noodzakelijk zijn voor het bekendgemaakte doel. Het introduceerde ook doelbinding, waarbij bedrijven consumenten moeten informeren over hoe lang ze gegevens bewaren en deze niet mogen gebruiken buiten het oorspronkelijk vermelde doel.
Een belangrijke wijziging was het creëren van de categorie gevoelige persoonlijke gegevens onder de CPRA. Dit omvat burgerservicenummers, financiële rekeninggegevens, nauwkeurige geolocatie, ras of etnische afkomst en biometrische gegevens. Consumenten kunnen het gebruik en de openbaarmaking van gevoelige gegevens beperken. De GDPR heeft een vergelijkbaar concept met zijn speciale categorieën van gegevens, hoewel de specifieke categorieën enigszins verschillen.
De CPRA richtte ook de California Privacy Protection Agency (CPPA) op, een speciale toezichthouder met regelgevende en handhavingsbevoegdheden. Voorheen lag de handhaving van de CCPA uitsluitend bij de procureur-generaal van Californië. GDPR-handhaving wordt uitgevoerd door gegevensbeschermingsautoriteiten in elke lidstaat, waarvan vele al decennia bestaan.
Hoe Pryvii helpt
Pryvii detecteert of uw website voldoet aan de nieuwere CPRA-vereisten, waaronder het controleren op vermeldingen van gevoelige persoonlijke gegevens, gegevensbewaringsbeleid en de aanwezigheid van opt-out links voor zowel de verkoop als het delen van persoonlijke gegevens. Het vergelijkt uw site met zowel GDPR- als CPRA-normen in één scan.
Veelgestelde vragen
Hoe verschilt de CPRA van de CCPA?
De CPRA breidde de CCPA uit door vereisten voor gegevensminimalisatie en doelbinding toe te voegen, een categorie voor gevoelige persoonlijke gegevens te creëren, het handhavingsagentschap CPPA op te richten, correctierechten toe te voegen en opt-out rechten uit te breiden naar het delen van gegevens voor cross-context gedragsgerichte reclame.
Betekent CPRA-naleving dat ik ook GDPR-conform ben?
Niet noodzakelijk. Hoewel de CPRA dichter bij de GDPR is gekomen, gebruikt het nog steeds een opt-out model in plaats van opt-in. De GDPR vereist uitdrukkelijke toestemming vóór gegevensverwerking, heeft bredere rechten van betrokkenen en past andere rechtsgrondslagen voor verwerking toe. U moet elke regelgeving afzonderlijk behandelen.
Wat wordt beschouwd als gevoelige persoonlijke gegevens onder de CPRA?
De CPRA definieert gevoelige persoonlijke gegevens als burgerservicenummers, rijbewijsnummers, financiële rekeninginformatie, nauwkeurige geolocatie, ras of etnische afkomst, religieuze overtuigingen, vakbondslidmaatschap, post-/e-mail-/sms-inhoud, genetische gegevens, biometrische gegevens, gezondheidsinformatie en gegevens over seksuele geaardheid.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.