anonym.legal
Zpět na blogGDPR a shoda

CCPA/CPRA 2025: Co Kalifornský zákon o právech na...

CPRA rozšíří CCPA o nová práva a nový regulátor (CPPA). Co to znamená pro AI zpracování zákaznických dat Kalifornie a jak anonymizace snižuje CCPA...

April 21, 202610 min čtení
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

Kalifornský zákon o právech na soukromí spotřebitelů (CPRA), platný od 1. ledna 2023, je nejvýznamnějším rozšířením amerického práva na ochranu soukromí od zavedení CCPA. Pro organizace zpracovávající zákaznická data AI, CPRA představuje specifické nové povinnosti.

CPRA Klíčové Rozšíření Oproti CCPA

Nové kategorie citlivých osobních informací (SPI): CPRA definuje novou kategorii „citlivých osobních informací" s posílenými právy spotřebitelů. Spotřebitelé mohou omezit používání SPI:

  • Čísla SSN, řidičského průkazu, čísla státem vydaného průkazu totožnosti
  • Přihlašovací pověření účtu kombinovaná s přístupovým kódem/heslem
  • Přesná geolokace
  • Rasový nebo etnický původ, náboženské nebo filozofické přesvědčení, odborové členství
  • Obsah osobní pošty, e-mailů, textových zpráv
  • Genetická data
  • Biometrické informace
  • Zdravotní informace
  • Informace o sexuálním životě nebo sexuální orientaci

Nový regulátor — CPPA: Califorská agentura pro ochranu soukromí (CPPA) je specializovaný agentura zaměřená výlučně na ochranu soukromí. Jako EU DPA, CPPA má rozsáhlé vyšetřovací a vymáhací pravomoci.

Minimalizace dat: CPRA přidává explicitní požadavky na minimalizaci dat — sbírejte pouze potřebné, uchovávejte pouze tak dlouho, jak je nezbytné. Tato povinnost je analogická k GDPR Článku 5(1)(c) a (e).

Dopady AI Zpracování CPRA

AI nástroje zpracovávající zákaznická data Kalifornie pod CPRA mají specifická rizika:

Automatizované profilování: CPRA poskytuje práva pro omezení automatizovaného rozhodování ovlivňujícího spotřebitele. AI systémy, které automaticky kategorizují nebo hodnotí spotřebitele musí splňovat požadavky transparency.

Tréninková data: Použití zákaznických dat k trénování AI modelů může být „prodej" nebo „sdílení" dat pod CCPA/CPRA — vyžadující opt-out mechanismus.

Sdílení s AI prodejci: Odeslání zákaznických dat na třetí strany AI platformy (ChatGPT, Claude) bez vhodné smlouvy o zpracování dat je sdílením pod CPRA.

Anonymizace jako Snižování CPRA Rizika

CPRA výslovně vylučuje anonymizovaná data z definice osobních informací — odstraňuje CPRA povinnosti pro data, která „nemohou být přiměřeně spojena s konkrétním spotřebitelem nebo domácností."

Implementace: Před zasláním zákaznických dat na AI nástroje, anonymizujte identifikátory. Anonymizovaný obsah zpracovává AI. Skutečné zákaznické identity zůstávají ve vašich řízených systémech.

Zdroje:

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce