De California Consumer Privacy Act

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
CCPA California Consumer Protection Act

Iedereen weet inmiddels dat op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking is getreden. De AVG staat voor een versterking en uitbreiding van de bescherming van persoonsgegevens voor burgers uit de Europese Unie (EU). De EU is echter niet meer de enige met privacywetgeving die meegaat met de tijd. Op 1 januari 2020 werd namelijk de California Consumer Privacy Act (CCPA) van kracht. In deze blog bespreek ik enkele interessante aspecten uit de CCPA.

De CCPA is van toepassing op bedrijven die zaken doen (do business) in de staat Californië en een jaarlijkse omzet hebben van meer dan vijfentwintig miljoen dollar, jaarlijks de persoonlijke informatie van meer dan 50.000 consumenten, huishoudens of apparaten (ver)kopen óf vijftig procent of meer van de jaarlijkse inkomsten verdienen uit de verkoop van persoonlijke informatie van consumenten. [1] ‘Doing business’ is niet nader gedefinieerd in de CCPA, waardoor het voor bedrijven die gevestigd zijn buiten Californië vooralsnog onduidelijk is of zij moeten voldoen aan de regels van de CCPA. [2]

Persoonlijke informatie

Alleen de persoonlijke informatie van consumenten en huishoudens die woonachtig zijn in de staat Californië wordt beschermd door de CCPA. [3] Zij hebben bijvoorbeeld net als de inwoners van de EU recht op informatie over, inzage in en verwijdering van hun persoonlijke informatie. Opvallend daarbij is dat onder ‘persoonlijke informatie’ geen door de overheid geopenbaarde informatie valt. [4] Wel wordt als ‘persoonlijke informatie’ expliciet genoemd commerciële informatie zoals koophistorie en alle internetactiviteiten. [5]

Anti-discriminatie

Een interessante bepaling uit de CCPA is het verbod voor bedrijven om een consument te discrimineren die zijn rechten uit de CCPA heeft uitgeoefend. [6] Zo mag de consument, nadat hij een inzageverzoek heeft gedaan, niet worden geweigerd als klant en mogen hem geen andere prijzen in rekening worden gebracht.

The right to opt-out

Een andere interessante bepaling uit de CCPA is ‘the right to opt-out’. [7] Dit recht houdt in dat de consument te allen tijde een bedrijf kan gelasten om persoonlijke informatie niet aan derde partijen te verkopen. Verkopen in de zin van de CCPA omvat ook het overdragen en beschikbaar maken aan derde partijen voor geldelijke of ‘other valuable consideration’. [8] Bedrijven zijn nu verplicht om op hun websites een duidelijke en opvallende ‘’do not sell my personal information’’ link te plaatsen. [9]

Met de brede definitie van ‘verkoop’ in de CCPA zou voorkomen moeten worden dat bedrijven ‘the right to opt-out’ omzeilen door middel van de bekende stelling dat zij slechts persoonlijke informatie ‘delen met vertrouwde partners’. Facebook, zoals vele andere techbedrijven gevestigd in Californië, zou echter in oktober 2019 hebben medegedeeld dat de opt-out link op de website niet voor hen is vereist. [10] De tracking data die zij verzamelen, Facebook Pixel genoemd, zouden niet gelden als ‘verkoop’ in de zin van de CCPA. In een blogpost schrijft het bedrijf dat ‘the CCPA recognizes that many common activities are not “sales,” such as if a consumer directs a business to share their information, or if a consumer’s information is transferred for a business purpose with certain limitations on the recipient’s use.’ Of deze interpretatie van Facebook klopt, zal uiteindelijk aan een rechter zijn. Een uitspraak daarover zal in ieder geval gevolgen hebben voor de vele andere techbedrijven die hun geld verdienen aan digitale advertenties.

Handhaving

De maximale hoogte van een boete in de AVG is bij een ernstige overtreding twintig miljoen euro of, indien dit bedrag hoger is, vier procent van de totale wereldwijde jaaromzet. In de CCPA staat op iedere overtreding een maximumboete van 2500 dollar en 7500 dollar bij een opzettelijke overtreding [11]. Deze boetes worden niet zoals bij de AVG rechtstreeks opgelegd door een autoriteit, maar door een rechter nadat een civiele procedure is ingesteld door de zogenoemde Attorney General.

Consumenten hebben dus geen zelfstandig recht om schadevergoeding te vorderen. Een uitzondering is gemaakt in het geval van een datalek, waarbij de consument tussen de 100 en 750 dollar kan ontvangen. [12] Opmerkelijk is echter dat consumenten geen schadevergoeding kunnen vorderen en dat de Attorney General afziet van een civiele procedure wanneer het bedrijf binnen dertig dagen na kennisgeving de overtreding ‘cures’ en aan de consumenten schriftelijk verklaart dat de overtredingen ‘have been cured’ en dat er geen verdere overtredingen zullen plaatsvinden.

Conclusie

Met de inwerkingtreding van de CCPA is ook in de Verenigde Staten een eerste stap gezet naar een versterking van het gegevensbeschermingsrecht. Een positieve verwachting is dat ook andere staten zullen volgen. Desalniettemin bestaat nog veel onduidelijkheid over de interpretatie van de CCPA en haalt de CCPA mijns inziens bij lange na niet het beschermings- en handhavingsniveau dat de AVG (en zelfs voorgaande Europese gegevensbeschermingswetgeving) biedt. Handhaving door de General Attorney mag pas vanaf 1 juli 2020. Ik ben benieuwd welke gevolgen de CCPA te zijner tijd zal hebben voor zowel Amerikaanse als Europese bedrijven.

1. Artikel 1798.140 sub c.
2. OneTrust DataGuidance & Future of Privacy Forum concluderen op basis van de door de California Franchise Tax Board gehanteerde definitie van ‘doing business’ dat het niet onwaarschijnlijk is dat bedrijven die gevestigd zijn buiten Californië onder de reikwijdte van de CCPA zullen vallen.
3. Artikel 1798.140 sub g en o.
4. Artikel 1798.140 lid 2.
5. Artikel 1798.140 sub d en f.
6. Artikel 1798.125.
7. Artikel 1798.120.
8. Artikel 1798.140 sub t.
9. Artikel 1798.135.
10. https://www.wsj.com/articles/facebook-wont-change-web-tracking-in-response-to-california-privacy-law-11576175345.
11. Artikel 1798.155.
12. Artikel 1798.150.

Robin Creuels

Robin Creuels

Robin Creuels is werkstudent bij The Privacy Factory en volgt de master ICT- en privacyrecht aan de VU te Amsterdam. Onderwerpen die haar bezighouden zijn big data toepassingen, met name door overheden.

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.