De Californian Consumer Protection Act CCPA: Bescherming van persoonsgegevens dringt nu ook in de VS door…

Dat op 25 mei 2018 de GDPR van toepassing is geworden, zal niet veel mensen ontgaan zijn. Zelfs in Sillicon Valley (Californië) – de bakermat van techbedrijven in de wereld – zijn ze van deze ontwikkeling op de hoogte. Op 28 juni 2018 is in Californië de ‘California Consumer Privacy Act’ (de CCPA) aangenomen, een nieuwe wetgeving om de persoonsgegevens van consumenten in deze staat te beschermen. Deze CCPA heeft aardig wat weg van ‘onze’ GDPR.

CCPA, een Amerikaanse GDPR?

Europa heeft met de invoering van de GDPR het voortouw genomen in de bescherming van de privacy van haar burgers en de bescherming van persoonsgegevens.

Heel wat internationale technologiebedrijven, zoals  zoals Google en Microsoft, hebben in het kader van GDPR beloofd om de GDPR regels wereldwijd te implementeren en dat lijkt op zijn beurt weer een bewustzijn rond databescherming te creëren in heel wat andere rechtsgebieden.  Brazilië publiceerde afgelopen maand bijvoorbeeld zijn eigen versie van de GDPR en ook in de VS lijkt men nu de Europese basisprincipes opgepikt te hebben.

Nochtans heeft men in de VS altijd al meer waarde gehecht aan economische belangen en aan de vrijheid van meningsuiting dan aan privacy en bescherming van persoonsgegevens.  Het gevolg daarvan was altijd dat de Amerikaanse privacywetgeving vooral gefocust was op het optreden van de overheid ten aanzien van haar burgers en niet zozeer op wat bedrijven doen met de data van consumenten..

Californië neemt nu het voortouw in een ommezwaai die de VS dichter bij het Europees privacyrecht lijkt te gaan brengen door het aannemen van de CCPA.

Het opzet van de CCPA is om duidelijke beperkingen op te leggen aan de onbeperkte verzameling en verwerking van persoonsgegevens en om ongevraagde gegevensverzameling tegen te gaan.  De wet werd in recordtijd tot stand gebracht en kende weinig weerstand, wat wellicht gezien moet worden in het licht van het recente Cambridge Analytica-schandaal.

Het doel van de CCPA is in de eerste plaats om consumenten inzicht te geven hoe bedrijven hun persoonsgegevens verzamelen en verwerken. Om die reden zijn informatieverplichtingen voorzien die vergelijkbaar zijn met de informatieverplichtingen die onder GDPR gelden en die in Europa leiden tot uitgebreide privacy policies voor bedrijven.  

Ook de rechten van de consument worden versterkt, met erg GDPR-achtige rechten om bijvoorbeeld gegevens te laten verwijderen.  Wat niet letterlijk in de GDPR staat, maar wel in de CCPA is het recht voor de consument om gegevens niet door te laten verkopen aan derden.

In het algemeen is de vaststelling, net als in andere landen zoals het al genoemde Brazilië, dat de Californische wetgever de Europese GDPR duidelijk goed gelezen heeft.  heel wat regels zijn vergelijkbaar of minstens op dezelfde ideeën geënt.

Beperktere scope van de GDPR

De CCPA zal van toepassing zijn op bedrijven die voldoen aan de volgende voorwaarden:

  • Bedrijven met jaarlijkse bruto-inkomsten van minstens 25 miljoen dollar
  • Databrokers en andere bedrijven die persoonlijke gegevens van 50.000 of meer consumenten, huishoudens of apparaten kopen, ontvangen, verkopen of delen
  • Zaken die het grootste deel van hun jaarlijkse inkomsten halen uit de verkoop van persoonlijke informatie van consumenten.

Velen zullen hierbij de bedenking hebben dat ook de EU dergelijke minimumgrenzen had kunnen voorzien, zodat niet elke kleine zelfstandige ondernemer in de EU onder de zware GDPR regels zou vallen, maar het uitgangspunt in Europa was duidelijk om élke verwerking van persoonsgegevens te reguleren.

De CCPA geeft burgers het recht om een burgerlijke vordering in te stellen tegen bedrijven die de wet overtreden en legt de schadevergoeding forfaitair vast op een bedrag van 100 tot  750 per betrokkene (of hoger ligt, als er meer schade kan worden bewezen). Bovendien kan de staat rechtstreeks boetes opleggen van 7.500 dollar voor elke beweerde overtreding die niet binnen 30 dagen wordt opgelost.  De boetes zijn dus in elk geval van een heel andere grootteorde dan in de EU…

Nog niet definitief goedgekeurd

De tekst is nog niet helemaal definitief en de verwachting is dat de komende maanden met name heel wat techbedrijven, die in grote getale hun zetel in Californië hebben zitten, zullen proberen te lobbyen om de meest ‘strenge’ maatregelen van de wet af te laten zwakken. De wet treedt namelijk pas in 2020 in werking en kan tot die tijd nog worden aangepast en gewijzigd. Of de persoonsgegevens van consumenten in Californië daadwerkelijk goed beschermd zullen worden, zal dus afhangen van de mate waarin de oppositie de wetgevers weet te overtuigen.

Wat betekent dit voor Europese bedrijven?

De verwachting is dat er niet zo veel verandert voor bedrijven binnen Europa – die tevens gegevens verwerken van inwoners uit Californië. De CCPA lijkt in de huidige vorm zó veel op de GDPR dat een bedrijf dat aan de vereisten van de GDPR voldoet, eigenlijk meteen voldoet aan de privacywetgeving van Californië.

De toekomst zal ons leren in welke vorm de CCPA uiteindelijk ingevoerd gaat worden in 2020 en wat de reactie van andere staten uit de VS zal gaan zijn.

Mogelijk zal de nieuwe privacywetgeving invloed hebben op de rest van Amerika. De (strikte) standaard is nu gezet en zal wellicht als een basis overgenomen worden door bedrijven, in plaats van dat bedrijven ‘per staat’ hun privacybeleid aan gaan passen.

Vragen over databescherming of over zakendoen in de VS?

Sirius Legal heeft een team van specialisten in databescherming én in internationale handel en kan bovendien terugvallen op een bijzonder uitgebreid netwerk aan internationale contacten, inclusief in verschillende staten in de VS, waaronder Californië.

Neem gerust vrijblijvend contact op op info@siriuslegal.be of op 0032 2 721 13 00.