Ha valaha is elolvasott egy adatvédelmi szabályzatot, valószínűleg találkozott már a GDPR-nak és a CCPA-nak való megfeleléssel foglalkozó részekkel. A GDPR rövidítés az általános adatvédelmi rendeletet jelenti, míg a CCPA a kaliforniai fogyasztói adatvédelmi törvényre utal.
A mainstream hírügynökségek sokat írtak a GDPR-ról, így a legtöbb online adatvédelem iránt érdeklődő ember legalább valamennyire ismeri azt. De mi a helyzet a CCPA-val? Melyek a CCPA előírások, és kinek kell betartania azokat?
Mi az a CCPA?
A CCPA egy állami törvény, ami azt jelenti, hogy csak a Kalifornia állam, és nem az Egyesült Államok egészében. Kalifornia állam törvényhozása fogadta el, és Jerry Brown akkori kormányzó írta alá a törvényt 2018-ban. 2018-ban és 2019-ben több módosítást is elfogadtak, az alapszabály 2020 elején lépett hatályba. Ugyanebben az évben az alapszabályt még módosították és kibővítették.
A CCPA elsősorban a fogyasztók magánéletének védelmét célozza, és szigorú szabályokat határoz meg, amelyeket a vállalkozásoknak be kell tartaniuk. A törvény csak a kaliforniai lakosokra vonatkozik. Ami a vállalkozásokat illeti, a CCPA minden olyan vállalkozásra vonatkozik, amelynek bruttó éves bevétele meghaladja a 25 millió dollárt, vagy amely hozzáféréssel rendelkezik több mint 50 000 kaliforniai lakos személyes adataira, vagy bevételének több mint feléből származik tól től
személyes adataik értékesítése. Fontos megjegyezni, hogy nem vonatkozik a nonprofit szervezetekre és a kormányzati szervekre.Milyen jogokat biztosít a CCPA?
Tehát milyen személyiségi jogok illetik meg a kaliforniai lakosokat a CCPA értelmében? Ennek az alapszabálynak köszönhetően mindenkinek, aki Golden State-ben él, joga van tudni, hogy egy vállalkozás milyen információkat gyűjt róluk, és ezeket az információkat hogyan használják fel. Sőt, minden kaliforniai lakosnak joga van a megkülönböztetésmentességhez, joga van ahhoz törölje a tőlük összegyűjtött információkat, valamint a személyes adataik értékesítéséből való leiratkozás joga.
Van néhány figyelmeztetés. Egy kaliforniai lakosnak nincs joga beperelni egy vállalkozást a CCPA legtöbb megsértése miatt. A vállalkozásokat csak akkor lehet beperelni, ha adatszivárgást szenvednek el, aminek következtében egy kaliforniai lakos adatait ellopják. Ebben az esetben is a lakosnak kell bizonyítania, hogy a vállalkozás nem védte meg adatait. És ebben a forgatókönyvben bizonyos korlátozások továbbra is érvényesek.
A tudáshoz való jog és a kilépés joga
A CCPA értelmében minden kaliforniai lakosnak joga van tudni, hogy mit személyes adatokat a vállalkozások gyűjtenek és megosztani. Ez magában foglalja az adatok gyűjtésének módját és módszereit is. A vállalkozások viszont kötelesek ezeket az információkat ingyenesen megadni a kaliforniai lakosoknak.
Ezenkívül a kaliforniai lakosoknak jogukban áll tájékoztatási kérelmet benyújtani, a vállalkozásoknak pedig kötelesek legalább két módszert kijelölni, hogy egy lakos benyújtsa kérelmét. Ez tartalmazhat webhely űrlapokat, e-mail címeket, telefonszámokat stb. A vállalkozásoknak azonban joguk van bizonyos körülmények között elutasítani ezt a kérést.
Hasonlóképpen, a CCPA-nak köszönhetően minden kaliforniai lakosnak joga van az „opt-out”-hoz, vagyis joga van kérni a vállalkozásoktól, hogy hagyják abba személyes adataik értékesítését. Bár vannak kivételek, a vállalkozások nem adhatják el egy kaliforniai lakos személyes adatait, ha megkapják a kérést.
A vállalkozásoknak is vannak bizonyos kötelezettségei. Webhelyükön rendelkezniük kell egy "Ne adják el személyes adataimat" linket, hogy a kaliforniai lakosok leiratkozási kérelmet nyújthassanak be. És még legalább két módszert kell felajánlaniuk a kaliforniaiaknak kérésük elküldésére.
CCPA: Egy lépés a helyes irányba
A CCPA messze nem tökéletes, de határozottan egy lépés a helyes irányba. Ha szövetségi szinten elfogadnának egy hasonló törvényt, az amerikai állampolgárok a világ többi részéhez képest viszonylag erős személyiségi jogokkal rendelkeznének.
És bár előfordulhat, hogy nem tudja teljes mértékben megvédeni a magánéletét, amíg ilyen törvényt nem fogadnak el az Egyesült Államokban vagy bárhol is tartózkodik, továbbra is vannak módok arra, hogy személyes adatait lényegében értéktelenné tegye a technológia számára cégek.
