California Consumer Privacy Act en Algemene Verordening Gegevensbescherming: een gids voor bedrijven in Californië

Sinds de invoering van de California Online Privacy Protection Act (CalOPPA) in 2004 loopt Californië voorop in de VS wat betreft het aannemen van wetten ter bescherming van de privacy van zijn inwoners. Californië zette deze trend voort door de California Consumer Privacy Act van 2018 (CCPA) in te voeren, waarmee het de eerste staat in de VS werd met een uitgebreide wet op de privacy van consumenten. Onder de CCPA, die op 1 januari 2020 van kracht werd, krijgen entiteiten die zaken doen in Californië en hun dienstverleners nieuwe verplichtingen op het gebied van gegevensbescherming en krijgen consumenten in Californië nieuwe rechten met betrekking tot hun persoonlijke gegevens (waaronder het recht om een privé-rechtszaak aan te spannen).

Tot deze nieuwe verplichtingen behoren onder meer de verplichting voor bedrijven om privacyverklaringen bij te werken of op te stellen, consumenten de keuze te bieden om al dan niet toestemming te geven voor de verkoop van hun persoonsgegevens, hen andere rechten te geven om hun persoonsgegevens in te zien of te verwijderen, en nieuwe beperkingen op te leggen aan bedrijfsmodellen die gebaseerd zijn op het te gelde maken van persoonsgegevens. Het eerste deel van Foley's California Consumer Privacy Act and General Data Protection Regulation: A Guide to California Businessesis bedoeld om bedrijven te helpen de reikwijdte van de CCPA te begrijpen, de rechten van consumenten te identificeren en de verplichtingen van bedrijven onder de CCPA te benadrukken.

Opvallend is dat, hoe ingrijpend de CCPA ook is, bepaalde organisaties die onderworpen zijn aan federale privacywetten, zoals de Health Insurance Portability and Accountability Act van 1996 (HIPAA) en de Gramm-Leach-Bliley Act (GLBA), zijn uitgesloten van de bepalingen van de CCPA voor activiteiten met betrekking tot persoonsgegevens die verband houden met hun kernactiviteiten, hoewel zij mogelijk nog steeds onderworpen zijn aan sommige vereisten van de CCPA voor de persoonsgegevens van hun werknemers.

De brede reikwijdte van de CCPA lijkt op een andere belangrijke internationale privacywet. De Algemene Verordening Gegevensbescherming (AVG) trad op 25 mei 2018 in werking en verving de vorige Richtlijn gegevensbescherming uit 1995. Voor bedrijven die onder de AVG vallen, waaronder zowel bedrijven die vestigingen hebben in de Europese Unie (EU) als bedrijven buiten de EU die hun goederen en diensten aanbieden aan personen in de EU, heeft de AVG aanzienlijke aanvullende privacyverplichtingen en nieuwe rechten voor betrokkenen gecreëerd.

De verplichtingen van de AVG omvatten onder meer de vereiste om een functionaris voor gegevensbescherming (DPO) aan te stellen en een vertegenwoordiger in de EU voor bedrijven die geen vestiging in de EU hebben, evenals de plicht om privacy-effectbeoordelingen uit te voeren en het principe van privacy by design toe te passen. Betrokkenen hebben het recht om informatie te verkrijgen over het verzamelen en gebruiken van hun persoonsgegevens, evenals een kopie van hun persoonsgegevens, hun persoonsgegevens te laten corrigeren of verwijderen, en bezwaar te maken tegen en beperkingen op te leggen aan de verwerking van hun persoonsgegevens. Het tweede deel van deze gidsis bedoeld om bedrijven die onder de AVG vallen te helpen hun verplichtingen en de rechten van consumenten onder de AVG te begrijpen.

Entiteiten die zaken doen in Californië kunnen onderworpen zijn aan zowel de AVG als de CCPA. Hoewel de AVG en de CCPA veel overeenkomsten vertonen, is naleving van de AVG niet voldoende om te voldoen aan de CCPA. Elk van deze wetten heeft zijn eigen unieke vereisten. Niettemin hebben bedrijven die al beleid en procedures hebben aangenomen om te voldoen aan de AVG een aanzienlijke voorsprong om te voldoen aan de CCPA. Het derde deel van deze gidsis bedoeld om bedrijven te helpen de verschillen tussen de AVG en de CCPA te begrijpen en te weten wat ze moeten doen om aan de CCPA te voldoen als ze al aan de AVG voldoen.

Voor meer informatie over de verplichtingen van uw bedrijf onder de CCPA en hoe Foley u kan helpen bij uw inspanningen om aan de wetgeving te voldoen, kunt u contact opnemen met een van de hieronder vermelde advocaten.