California Consumer Privacy Act (CCPA) on Kalifornian osavaltion vuonna 2018 hyväksytty ja 2020 voimaan tullut tietosuojalaki. Se antaa Kalifornian asukkaille oikeuksia henkilötietojensa suhteen ja asettaa yrityksille velvollisuuksia datan käsittelyssä. CCPA on USA:n merkittävin tietosuojalaki ja vastaa osittain EU:n GDPR:ää.
CCPA:n keskeiset kuluttajaoikeudet
Oikeus tietää (Right to Know) antaa kuluttajalle oikeuden kysyä yritykseltä, mitä henkilötietoja se on kerännyt, mistä ne on hankittu ja mihin niitä käytetään.
Oikeus poistaa (Right to Delete) mahdollistaa henkilötietojen poistamisen yrityksen järjestelmistä, paitsi jos yrityksellä on lakisääteinen tai liiketoiminnallinen syy säilyttää niitä.
Oikeus kieltäytyä myynnistä (Right to Opt-Out of Sale) antaa kuluttajalle mahdollisuuden estää henkilötietojensa myyminen kolmansille osapuolille. Yrityksen tulee tarjota “Do Not Sell My Personal Information” -linkki.
Oikeus yhdenvertaiseen palveluun (Right to Non-Discrimination) tarkoittaa, että yritys ei saa syrjiä kuluttajaa, joka käyttää CCPA-oikeuksiaan (esim. kieltää datan myynnin).
Keitä CCPA koskee
Kalifornian asukkaat ovat suojattuja CCPA:n piirissä. Laki koskee kaikkia yrityksiä, jotka käsittelevät kalifornialaisten dataa, riippumatta yrityksen sijainnista.
Yritykset, jotka täyttävät yhden seuraavista: vuotuinen liikevaihto yli 25 miljoonaa dollaria, käsittelevät 50 000+ kalifornialaisen dataa vuodessa, tai ansaitsevat yli 50% liikevaihdostaan henkilötietojen myynnillä.
Ulkomaiset yritykset, myös eurooppalaiset, voivat joutua CCPA:n piiriin, jos ne harjoittavat liiketoimintaa Kaliforniassa tai käsittelevät kalifornialaisten dataa.
CCPA vs. GDPR
Opt-out vs. opt-in on suurin ero. CCPA sallii datan keräämisen oletuksena, mutta kuluttaja voi kieltäytyä (opt-out). GDPR vaatii aktiivisen suostumuksen (opt-in) useimmissa tapauksissa.
Laajuus: GDPR koskee kaikkia EU-kansalaisia ja -asukkaita maailmanlaajuisesti. CCPA koskee vain Kalifornian asukkaita.
Henkilötiedon määritelmä on laajempi CCPA:ssa. Se sisältää myös “household-level” -datan (kotitalouden taso), ei vain yksilötason.
Sakot: GDPR-sakot voivat olla jopa 4% globaalista liikevaihdosta. CCPA:n sakot ovat pienempiä: $2,500 per rikkomus, tai $7,500 per tahallinen rikkomus. Lisäksi kuluttajat voivat haastaa yrityksen oikeuteen tietomurron yhteydessä.
Sovellusala: GDPR koskee kaikkia henkilötietojen käsittelijöitä. CCPA koskee vain suuria yrityksiä tai niitä, jotka myyvät dataa.
CCPA:n käytännön vaatimukset
“Do Not Sell My Personal Information” -linkki tulee olla selkeästi näkyvissä verkkosivustolla, yleensä footerissa. Se johtaa sivulle, jossa kuluttaja voi kieltäytyä datan myynnistä.
Tietosuojaseloste (Privacy Policy) tulee päivittää sisältämään CCPA-oikeudet ja tiedot siitä, mitä henkilötietoja kerätään ja mihin niitä käytetään.
Datapyyntöjen prosessi tulee olla olemassa. Kuluttajan tulee voida pyytää tietojaan tai niiden poistoa helposti (esim. lomakkeella tai sähköpostilla).
Vastausaika on 45 päivää datapyyntöön. Yrityksen tulee vastata ja toimittaa pyydetyt tiedot tässä ajassa.
Ei syrjintää: Yritys ei saa tarjota huonompaa palvelua tai hintaa kuluttajille, jotka käyttävät opt-out-oikeuttaan.
CPRA ja CCPA:n kehitys
California Privacy Rights Act (CPRA) on CCPA:n laajennus, joka astui voimaan 2023. Se tuo CCPA:n lähemmäksi GDPR:ää ja lisää uusia oikeuksia ja velvollisuuksia.
Oikeus korjata virheelliset tiedot (Right to Correct) lisättiin CPRA:ssa. Kuluttaja voi pyytää virheellisten henkilötietojen korjaamista.
Sensitive Personal Information (arkaluonteiset henkilötiedot) saa CPRA:ssa erityissuojaa. Tähän kuuluvat mm. sosiaaliturvatunnus, tarkka sijaintitieto, rotu, uskonto, seksuaalinen suuntautuminen.
California Privacy Protection Agency (CPPA) perustettiin valvomaan ja toimeenpanemaan CCPA:ta ja CPRA:ta.
Muut Yhdysvaltain osavaltiot
Virginia, Colorado, Connecticut, Utah ja muut osavaltiot ovat hyväksyneet omia tietosuojalakejaan CCPA:n innoittamana.
Liittovaltion tietosuojalaki on keskusteltu Yhdysvalloissa, mutta sitä ei ole vielä hyväksytty. Osavaltioiden lakien kirjo tekee compliance-työstä monimutkaista.
Merkitys yritykselle
CCPA koskee sinua, jos käsittelet kalifornialaisten dataa ja täytät kynnysarvot (liikevaihtoraja, datamäärä tai datan myynti). Monet pk-yritykset eivät ylitä kynnysarvoa, mutta suuremmat toimijat kyllä.
Eurooppalaiselle yritykselle, joka jo noudattaa GDPR:ää, CCPA on helpompi. GDPR on tiukempi monessa kohdassa, joten GDPR-compliance auttaa myös CCPA:ssa.
“Do Not Sell” -linkki on helppo ja nopea lisätä sivustolle, vaikka et olisi täysin varma, koskeeko laki sinua. Se osoittaa hyvää tahtoa ja yksityisyyden kunnioitusta.
Datan “myynti” CCPA:n mukaan on laajasti määritelty. Se sisältää myös datan jakamisen mainosverkostoille tai databrokerseille. Jos käytät kolmannen osapuolen pikseleitä mainonnassa, saatat teknisesti “myydä” dataa.
Pk-yritykselle käytännössä: tarkista, ylitätkö kynnysarvot. Jos et, CCPA ei välttämättä koske sinua. Jos kuitenkin kasvatat liiketoimintaa USA:han, valmistaudu noudattamaan sitä tulevaisuudessa.