Jos olet joskus lukenut tietosuojakäytännön, olet luultavasti törmännyt GDPR- ja CCPA-vaatimustenmukaisuuteen liittyviin osioihin. Lyhenne GDPR tarkoittaa yleistä tietosuoja-asetusta, kun taas CCPA viittaa Kalifornian kuluttajansuojalakiin.
Yleiset uutiskanavat ovat kirjoittaneet GDPR: stä laajasti, joten useimmat verkkotietosuojasta kiinnostuneet tuntevat sen ainakin jossain määrin. Mutta entä CCPA? Mitä CCPA-määräykset ovat, ja kenen on noudatettava niitä?
Mikä on CCPA?
CCPA on osavaltion laki, mikä tarkoittaa, että sitä sovelletaan vain Kalifornian osavaltio, eikä Yhdysvalloissa kokonaisuudessaan. Kalifornian osavaltion lainsäätäjä hyväksyi sen ja silloinen kuvernööri Jerry Brown allekirjoitti sen vuonna 2018. Vuosina 2018 ja 2019 hyväksyttiin useita muutoksia, ja laki astui voimaan vuoden 2020 alusta. Myöhemmin samana vuonna sääntöä muutettiin ja laajennettiin.
CCPA pyrkii ensisijaisesti suojelemaan kuluttajien yksityisyyttä ja asettaa tiukat säännöt, joita yritysten on noudatettava. Laki koskee vain Kalifornian asukkaita. Yritysten osalta CCPA koskee kaikkia yrityksiä, joiden vuotuinen bruttotulo on yli 25 miljoonaa dollaria tai jolla on pääsy henkilötietoihin, jotka kuuluvat yli 50 000 Kalifornian asukkaalle, tai saa yli puolet tuloistaan alkaen
myyvät henkilökohtaisia tietojaan. On tärkeää huomata, että se ei koske voittoa tavoittelemattomia järjestöjä ja valtion virastoja.Mitä oikeuksia CCPA myöntää?
Mitä yksityisyyttä koskevia oikeuksia Kalifornian asukkailla on CCPA: n mukaan? Tämän säädöksen ansiosta jokaisella Golden Statessa asuvalla on oikeus tietää, mitä tietoja yritys kerää heistä ja miten näitä tietoja käytetään. Lisäksi kaikilla Kalifornian asukkailla on oikeus syrjimättömyyteen, oikeus siihen poistaa heiltä kerätyt tiedot, ja oikeus kieltäytyä henkilötietojensa myynnistä.
On joitain varoituksia. Kaliforniassa asuvalla ei ole oikeutta haastaa yritystä oikeuteen useimmista CCPA-rikkomuksista. Yritykset voidaan haastaa oikeuteen vain, jos ne joutuvat tietoturvaloukkaukseen, joka johtaa Kalifornian asukkaan tietojen varastamiseen. Tässäkin tapauksessa asukkaan on todistettava, että yritys ei ole suojannut hänen tietojaan. Ja tässä skenaariossa tietyt rajoitukset ovat edelleen voimassa.
Oikeus tietää ja oikeus kieltäytyä
CCPA: n mukaan kaikilla Kalifornian asukkailla on oikeus tietää mitä yritysten keräämiä henkilötietoja ja jakaa. Tämä sisältää tarkkoja tietoja siitä, miten ja millä menetelmillä tiedot kerätään. Yritysten on toisaalta toimitettava nämä tiedot Kalifornian asukkaille maksutta.
Lisäksi Kalifornian asukkailla on oikeus lähettää tiedustelupyyntö, ja yrityksillä on velvollisuus valita vähintään kaksi tapaa, joilla asukkaat voivat lähettää pyyntönsä. Tämä voi sisältää verkkosivustolomakkeita, sähköpostiosoitteita, puhelinnumeroita ja niin edelleen. Yrityksillä on kuitenkin oikeus hylätä tämä pyyntö tietyissä olosuhteissa.
Samoin CCPA: n ansiosta kaikilla Kalifornian asukkailla on oikeus "opt-out", mikä tarkoittaa, että heillä on oikeus pyytää yrityksiä lopettamaan henkilötietojensa myynnin. Vaikka joitakin poikkeuksia on, yrityksiä estetään myymästä Kalifornian asukkaan henkilökohtaisia tietoja, jos he saavat pyynnön.
Yrityksillä on myös tiettyjä velvoitteita. Heillä on oltava "Älä myy henkilökohtaisia tietojani" -linkki verkkosivuillaan, jotta Kalifornian asukkaat voivat lähettää kieltäytymispyynnön. Ja heidän on tarjottava ainakin kaksi muuta tapaa kalifornialaisten lähettää pyyntönsä.
CCPA: askel oikeaan suuntaan
CCPA on kaukana täydellisestä, mutta se on ehdottomasti askel oikeaan suuntaan. Jos vastaava laki hyväksyttäisiin liittovaltion tasolla, Yhdysvaltain kansalaisilla olisi suhteellisen vahvat yksityisyyden suojaoikeudet muuhun maailmaan verrattuna.
Ja vaikka et ehkä pysty suojaamaan yksityisyyttäsi täysin ennen kuin tällainen laki on hyväksytty Yhdysvalloissa tai missä oletkin, on edelleen tapoja tehdä henkilötiedoistasi käytännössä arvottomia tekniikan kannalta yritykset.