Californische “GDPR” in werking getreden

Dat ook buiten de EU de voorbije 2 jaar overal nieuwe op GDPR geïnspireerde databeschermingswetgeving tot stand is gekomen hebben we al enkele keren gemeld en in het kader daarvan hebben we ook al een paar keer gewezen op de Californië Consumer Protection Act (CCPA), die de Californische versie van onze GDPR is. Californië is de vijfde economie van de wereld en is de eerste Amerikaanse staat die met een eigen GDPR-achtige wetgeving op de proppen kwam.  Bovendien zitten alle grote internet- en newtechbedrijven precies in Californië. 

Reden genoeg om daar de nodige aandacht aan te geven en om in herinnering te brengen dat de CCPA sinds 1 januari in werking is getreden

Californische_GDPR_CCPA

Proliferatie aan “GDPR” wetgevingen

Californië treedt daarmee in het rijtje van andere landen die recent inspiratie vonden in de GDPR zoals Argentinië, Brazilië, Japan, Maleisië, en Uruguay.  Enkele andere staten in de VS zijn overigens sinds een tijdje zelf aan de slag met hun eigen databeschermingswetgeving. New York heeft al enkele pogingen ondernomen, maar die lijken te zijn vastgelopen, en ook in de staten Washington en Virginia ligt een draft van “Privacy Act” op tafel waarin expliciet verwezen wordt naar de GDPR als inspiratiebron.  Illinois en Texas op hun beurt hebben inmiddels specifieke wetgeving rond de verwerking van biometrische gegevens (vingerafdrukken irisscans, gezichtsherkenning).

Er is jammer genoeg weinig coördinatie tussen de staten onderling en een en ander dreigt wat complex te worden door de veelheid aan verschillende wetgevingen waarmee ondernemers in de VS in de toekomst rekening dreigen te moeten houden.  

Wie (met name online) zaken doet in de VS kan dus maar beter de evolutie in databescherming in de gaten houden om verrassingen te vermijden…

Wat zegt CCPA?

CCPA legt bedrijven meer verantwoordelijkheden op in het kader van de verzameling en verwerking van persoonsgegevens van consumenten, net als onze GDPR. 

Bedrijven moeten een privacy policy ter beschikking hebben waarin zij uitleggen welke gegevens worden verzameld, waarom en met wie ze deze gegevens delen. Consumenten krijgen anderzijds meer rechten die ons ook bekend in de oren klinken: ze kunnen hun gegevens laten verbeteren, laten verwijderen en verbieden dat deze worden doorverkocht. Bij datalekken hebben consumenten daarnaast een grotere kans op een financiële schadevergoeding. 

CCPA wijkt wel in aanzienlijke mate af van onze GDPR.  CCPA is bijvoorbeeld alleen van toepassing op commerciële bedrijven (GDPR op alle organisaties, ook vzw’s) die voor eigen rekening (als “verwerkingsverantwoordelijke” dus, en niet zoals bij ons ook als “verwerker”) persoonsgegevens verzamelen over inwoners van Californië en zakendoen in Californië en dan nog enkel als ze voldoen aan een of meer van de volgende drie criteria:

  1. de jaarlijkse bruto omzet bedraagt meer dan 25 miljoen dollar per jaar, of:
  2. het bedrijf koopt, ontvangt, verkoopt of deelt jaarlijks de persoonlijke informatie van 50.000 of meer natuurlijke personen, huishoudens of apparaten, of:
  3. minstens 50% van de jaarlijkse omzet komt uit de verkoop van persoonlijke informatie van consumenten in Californië.

Heel wat bedrijven en organisaties die in de EU onder GDPR vallen, ontsnappen dus wellicht in Californië omwille van hun doel (non-profit) of hun omvang, twee uitzonderingen die volgens heel wat insiders ook in de EU echt welkom waren geweest…

Controles vanaf 1 juli

CCPA ging in op 1 januari, maar de effectieve handhaving is nog uitgesteld tot 1 juli om bedrijven wat tijd te geven om zich in regel te stellen.  Vanaf dan kunnen we wellicht een serie naar Amerikaanse traditie extreem hoge claims verwachten. We houden de situatie in elk geval in de gaten voor onze technologiecliënten die toch op regelmatige basis actief zijn in de VS en in Californië.

Vragen over CCPA of GDPR?

Bel of mail gerust vrijblijvend naar Bart Van den Brande: bart@siriuslegal.be of 0486 901 931