anonym.legal
Назад към блогаGDPR и съответствие

CCPA/CPRA 2025 г.: Какво изисква Калифорнийският...

CPPA наложи глоби за $100M+ през 2024 г. CPRA обхваща 40 милиона калифорнийци и се прилага в световен мащаб за повечето фирми.

April 21, 202610 мин. четене
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

Калифорнийският Закон за защита на поверителността на потребителите (CPRA, в сила от 2023 г.) създаде Калифорнийската агенция за защита на поверителността (CPPA) като първия специализиран държавен регулатор на поверителността в САЩ. CPPA издаде над 100 милиона долара под формата на изпълнителни действия през 2024 г. — демонстрирайки, че законът за неприкосновеността на личния живот на Калифорния не е просто регулаторна рамка, а активна среда за правоприлагане.

Екстратериториалният обхват на CPRA е най-важният аспект за глобалния бизнес: законът се прилага за всяка компания с $25 милиона + годишен приход или която обработва лични данни на 100 000+ потребители или домакинства в Калифорния. С 40 милиона жители на Калифорния и статута на Калифорния като 5-та по големина икономика в света, повечето глобални предприятия попадат под юрисдикцията на CPRA.

Категории чувствителна лична информация на CPRA

CPRA създава отделно ниво на „чувствителна лична информация“, изискваща повишена защита и специфични изисквания за разкриване. 19-те категории съответстват точно на специалните категории по член 9 на GDPR, но със специфични за САЩ допълнения:

  1. SSN, шофьорска книжка, държавна лична карта, номера на паспорти
  2. Финансова сметка, номера на дебитни/кредитни карти с кодове за достъп
  3. Прецизна геолокация (в рамките на 1852 метра)
  4. Расов/етнически произход
  5. Религиозни или философски вярвания
  6. Съюзно членство
  7. Съдържание на имейл и поща (ако не е широко достъпно)
  8. Генетични данни
  9. Биометрични данни за идентификация
  10. Здравни/медицински данни
  11. Сексуална ориентация или сексуален живот
  12. Имиграционен статут (добавен в разпоредбите от 2024 г.)
  13. Данни за психично здраве (добавени в разпоредбите от 2024 г.)
  14. Статут на гражданство
  15. Номера на финансови сметки (самостоятелни, без кодове за достъп)
  16. Статус на инвалидност
  17. Индикатори за статус на заетост
  18. Информация за застрахователната полица
  19. Данни от досие за съдимост или арест

Практическото значение: всеки канал за обработка на данни, който обработва тези категории, трябва да предоставя на потребителите правото да ограничават използването и разкриването на чувствителна лична информация, отделно от общото право да се откажат от продажба.

2024 CPPA Правоприлагане: Какво е насочено

CPPA издаде изпълнителни действия и споразумения през 2024 г., насочени към:

Нарушения при регистрация на брокер на данни: Калифорния изисква брокерите на данни да се регистрират в CPPA. CPPA откри стотици нерегистрирани брокери на данни — организации, продаващи данни от лични профили без изискване за разкриване.

**Несъответствие при управление на съгласието: ** CPPA установи, че „платформите за управление на съгласие“ на много компании всъщност не предоставят функционални механизми за отказ — или бутонът за отказ не работи, или отказът се прилага само за конкретни употреби на данни, докато други продължават.

Автоматизирано вземане на решения с изкуствен интелект: Регламентите за изкуствен интелект на CPPA от 2025 г. изискват от фирмите да уведомяват потребителите, когато автоматизираното вземане на решения се използва за важни решения (наемане на работа, кредит, жилище) и предоставят смислени механизми за отказ. Няколко правоприлагащи действия през 2024 г. бяха насочени към инструменти с изкуствен интелект, използвани без подходящо уведомление.

Данни за деца: Съгласно Калифорнийския кодекс за дизайн, подходящ за възрастта (AADC), фирмите, до които е вероятно да имат достъп непълнолетни, трябва да извършват оценки на въздействието върху защитата на данните. CPPA установи, че множество технологични компании не успяват да попълнят необходимите DPIA.

CPRA срещу GDPR: Основни разлики за глобалните организации

Организациите, работещи съгласно GDPR и CPRA, са изправени пред изисквания за съответствие, които са сходни по принцип, но различни по специфика:

Отказ срещу включване: GDPR изисква съгласие за включване за най-чувствителната обработка на данни. CPRA използва модел за отказ — обработката е законна, докато потребителят не се откаже. Това означава, че съвместимите с GDPR механизми за съгласие често са по-рестриктивни от изискванията на CPRA, но съвместимите с CPRA практики може да не удовлетворяват GDPR.

Права на субекта на данни: И двете изискват права за достъп, изтриване и коригиране. CPRA добавя право на отказ от автоматизирано вземане на решения — по-широко от по-тясната разпоредба за автоматизирано вземане на решения в член 22 на GDPR.

Данни за служителите: CPRA се отнася изцяло за личните данни на служителите. GDPR има подобен обхват, но държавите-членки имат различни разпоредби, специфични за заетостта. Поверителността на служителите в Калифорния често е различна линия за съответствие от служителите в ЕС GDPR.

Обхват на чувствителни данни: 19-те категории на CPRA частично се припокриват с член 9 на GDPR, но включват категории (имиграционен статус, номера на финансови сметки, криминални досиета), които GDPR третира по различен начин.

Последствията за съответствие на доставчика на AI

Правилата за AI на CPRA от 2025 г. създават специфични изисквания към организациите, използващи инструменти за AI, които обработват потребителски данни в Калифорния:

**Договорни изисквания на доставчиците: ** Доставчиците на услуги (доставчици, обработващи данни от името на бизнеса) трябва да се ангажират по договор с: използване на данни само за разкритата цел, изтриване на данни при прекратяване на услугата, позволяване на заявките за потребителски права да преминават и прилагане на адекватни мерки за сигурност.

Автоматизирано разкриване на решения за вземане на информация: Ако вашият AI инструмент взема или значително допринася за решения относно потребителите в Калифорния — кредитен рейтинг, маркиране на измами, модериране на съдържание, проверка на заетостта — потребителите трябва да бъдат уведомени и да им бъде предоставено смислено отказване.

Произход на данни за обучение: Ако потребителските данни в Калифорния са били използвани за обучение на AI модел, изискванията за ограничаване на предназначението на CPRA означават, че изходните данни на AI модела не могат да се използват за цели, несъвместими с първоначалната цел на събиране.

За организации, управляващи потребителски данни в Калифорния в системи с изкуствен интелект: минимизиране на данни преди обработка с изкуствен интелект — премахване на PII преди данните да влязат в конвейери за обучение на изкуствен интелект или инструменти за анализ на изкуствен интелект — е най-простият начин за задоволяване на изискванията за автоматизирано вземане на решения на CPPA, като същевременно се намалява излагането на чувствителна лична информация.

Източници:

Свързани статии

GDPR и съответствие

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и съответствие

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и съответствие

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции