Wat is CPRA?

De California Privacy Rights Act (CPRA) is een uitbreiding en aanscherping van de California Consumer Privacy Act (CCPA), die op 1 januari 2023 van kracht werd. De belangrijkste resultaten en gevolgen die na de implementatie van de CPRA zijn waargenomen, worden hieronder samengevat:

• Uitbreiding van consumentenrechten:
  De CPRA introduceert vier nieuwe consumentenrechten:

  1. Recht op correctie van onjuiste persoonsgegevens
  2. Recht op beperking van het gebruik en de openbaarmaking van gevoelige persoonsgegevens
  3. Recht om bezwaar te maken tegen geautomatiseerde besluitvormingstechnologie
  4. Recht op inzage in informatie over geautomatiseerde besluitvorming
     Deze rechten brengen het privacyregime van Californië dichter bij de AVG van de EU, waardoor individuen meer controle over hun gegevens krijgen.

• Verbreding van de reikwijdte van gereguleerde bedrijven:
  De CPRA verlaagt de drempel voor bedrijven die aan de wet moeten voldoen door:

  • Het verlagen van de jaarlijkse minimumdrempels voor de verwerking van consumentengegevens
  • Het opnemen van bedrijven die inkomsten genereren uit het delen (niet alleen verkopen) van persoonsgegevens
  • Het uitbreiden van de definitie van 'bedrijf' om bepaalde joint ventures en partnerschappen op te nemen
    Deze verbreding vergroot het aantal entiteiten dat robuuste privacycontroles moet implementeren.

• Verhoogde verantwoordelijkheid voor het gebruik van derden:
  De wet legt nieuwe contractuele vereisten en due-diligenceverplichtingen op aan bedrijven die persoonsgegevens delen met derden, dienstverleners en contractanten. Bedrijven moeten ervoor zorgen dat deze partijen gelijkwaardige privacybescherming handhaven, wat een trapsgewijs nalevingseffect creëert.

• Categorie gevoelige persoonsgegevens:
  Er wordt een nieuwe categorie voor 'gevoelige persoonsgegevens' (SPI) geïntroduceerd, waaronder gegevens zoals burgerservicenummers, precieze geolocatie, gezondheid en biometrie. Consumenten hebben expliciete rechten om het gebruik en de openbaarmaking van SPI te beperken, wat een belangrijke verschuiving naar meer gedetailleerde privacycontroles markeert.

• AVG-achtige toestemmings- en transparantievereisten:
  De CPRA schrijft duidelijkere toestemmingsmechanismen, verbeterde transparantie in privacyverklaringen en verhoogde verplichtingen voor de verwerking van gevoelige gegevens voor. Deze vereisten weerspiegelen convergerende normen tussen de Californische wetgeving en de AVG-principes.

Over het algemeen dwingt de CPRA bedrijven die in Californië actief zijn om strengere praktijken voor privacybeheer te implementeren, verbeterde consumentencontroles in te voeren en zich voor te bereiden op een verscherpt regelgevend toezicht. De AVG-achtige elementen van de wet duiden op een trend naar harmonisatie van de Amerikaanse en Europese privacykaders.