De CCPA houdt het midden tussen consumentenwetgeving en privacywetgeving. Dit zorgt voor verwarring over op welke persoonlijke informatie de wet van toepassing is. Geldt de wet voor alle bedrijven? Geldt de wet voor werknemersgegevens en transacties tussen bedrijven? En hoe zit het met non-profitorganisaties?
- Geldt de CCPA voor alle bedrijven?
- Geldt de CCPA alleen voor Californische bedrijven?
- Geldt de CCPA ook voor niet-ingezetenen?
- Geldt de CCPA voor werknemers en transacties tussen bedrijven?
- Is de CCPA van toepassing op non-profitorganisaties?
- Conclusies
Laten we het uitzoeken!
Geldt de CCPA voor alle bedrijven?
Nee. De CCPA geldt alleen voor grote of gegevensintensieve bedrijven.
Om precies te zijn, de CCPA geldt voor bedrijven als ze zaken doen in Californië en:
- een bruto jaaromzet hebben van meer dan $25M
- persoonlijke gegevens van 100.000 of meer inwoners, huishoudens of apparaten in Californië kopen, verkopen of delen
- de helft of meer van hun inkomsten halen uit de verkoop van persoonlijke gegevens van inwoners van Californië.
Deze regel is enigszins ingewikkeld, dus laten we hem uit elkaar halen.
De eis om zaken te doen in Californië is verplicht. Als je geen zaken doet in Californië, dan is de CCPA niet op jou van toepassing.
Aan de andere kant zijn criteria 1, 2 en 3 alternatief. Bijvoorbeeld: als een bedrijf zaken doet in Californië en de helft van de inkomsten komt uit de verkoop van persoonlijke gegevens van inwoners van Californië, dan is de CCPA van toepassing ongeacht de grootte en de jaarlijkse inkomsten van het bedrijf.
Geldt de CCPA alleen voor Californische bedrijven?
Nee. De CCPA is van toepassing op bedrijven die zaken doen in Californië, zolang aan een van de andere criteria wordt voldaan. Dus een multinational met een omzet in de miljarden moet voldoen aan de CCPA als het zaken doet in Californië, of het nu gevestigd is in Californië, Delaware of Frankrijk.
Dit is wat juristen de extraterritoriale reikwijdte van privacywetgeving noemen. Extra-territoriale reikwijdte is heel gebruikelijk in de privacywetgeving en daar is een goede reden voor. Het internet kent geen fysieke grenzen, dus persoonsgegevens stromen vaak tussen rechtsgebieden. Als de reikwijdte van de privacywetgeving beperkt zou zijn, zouden de meeste van haar beschermingen ineffectief worden.
Bedenk maar eens hoeveel Big Tech bedrijven in de VS je dagelijks voorzien van je persoonlijke gegevens. Als Google en Apple de GDPR volledig zouden kunnen negeren, wat heeft het dan voor zin om allerlei regels en eisen op te leggen aan Europese organisaties?
Geldt de CCPA ook voor niet-ingezetenen?
Nee, de CCPA is niet van toepassing op persoonlijke gegevens van niet-ingezetenen. Alleen inwoners van Californië hebben rechten onder de CCPA. Dit is een tegenvaller omdat Silicon Valley giganten enorme hoeveelheden persoonlijke informatie verwerken van niet-ingezetenen over de hele wereld.
Dit staat in schril contrast met de GDPR, omdat mensen onder de GDPR rechten hebben ongeacht waar ze zijn en wonen. Als een Italiaans bedrijf persoonlijke gegevens verwerkt van inwoners van Californië, hebben deze inwoners precies dezelfde rechten onder de GDPR als Italiaanse of Nederlandse burgers.
Geldt de CCPA voor werknemers en transacties tussen bedrijven?
Ja, de CCPA is van toepassing op zowel informatie over werknemers als persoonlijke informatie over B2B-transacties (business-to-business).
Deze categorieën van persoonlijke informatie vielen oorspronkelijk niet onder de CCPA omdat de wet tijdelijke vrijstellingen bevatte. Deze vrijstellingen liepen in 2022 af en werden niet verlengd. Als gevolg hiervan vallen deze persoonsgegevens sinds 2023 onder de CCPA.
Is de CCPA van toepassing op non-profitorganisaties?
Als algemene regel geldt dat de CCPA niet van toepassing is op non-profitorganisaties.
Er kunnen echter uitzonderingen zijn voor non-profitorganisaties die strikt verbonden zijn met een bedrijf. Hiervoor gelden precieze vereisten onder de CCPA:
- een bedrijf bezit 50% of meer van de stemgerechtigde effecten voor een entiteit, of controleert ten minste 50% van de stemrechten;
- de entiteit en het bedrijf delen dezelfde branding;
- het bedrijf deelt persoonlijke informatie van consumenten met de andere entiteit.
Deze criteria maken deel uit van de definitie van een bedrijf onder de CCPA. Dus als een entiteit aan deze criteria voldoet, wordt het beschouwd als een bedrijf onder de CCPA en is het onderworpen aan dezelfde verplichtingen als een bedrijf onder de wet, of het nu met of zonder winstoogmerk opereert.
Deze criteria zijn over het algemeen vrij strikt. In de praktijk kunnen de meeste non-profitorganisaties er zeker van zijn dat de CCPA niet op hen van toepassing is - hoewel dit geen excuus is om lui te zijn en privacy te negeren!
Conclusies
Hopelijk heeft dit je geholpen om de CCPA wat beter te begrijpen. We leggen graag privacywetgeving uit omdat we om privacy geven. Daarom hebben we Simple Analytics gebouwd om organisaties te voorzien van alle inzichten die ze nodig hebben, zonder persoonlijke gegevens te verzamelen of bezoekers te volgen! Als dit je goed in de oren klinkt, probeer ons dan gerust eens uit!