anonym.legal

By · Last updated 2026-06-05

Πίσω στο BlogGDPR & Συμμόρφωση

CCPA/CPRA 2025: Απόρρητο και ΤΝ στην Καλιφόρνια

Η CPPA επέβαλε πρόστιμα άνω των $100 εκ. το 2024. Η CPRA καλύπτει 40 εκ. Καλιφορνέζους και εφαρμόζεται παγκοσμίως στις περισσότερες επιχειρήσεις. 19 κατηγορίες ευαίσθητων δεδομένων, αυτοματοποιημένη λήψη αποφάσεων.

June 5, 202610 λεπτά ανάγνωσης
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CPRA: το πιο αυστηρό νομοθέτημα απορρήτου στις ΗΠΑ

Ο νόμος California Consumer Privacy Rights Act (CPRA, ισχύει από 2023) ίδρυσε την California Privacy Protection Agency (CPPA) ως τον πρώτο αποκλειστικό ρυθμιστή απορρήτου σε επίπεδο πολιτείας στις ΗΠΑ. Η CPPA επέβαλε πρόστιμα άνω των 100 εκατομμυρίων δολαρίων το 2024 — αποδεικνύοντας ότι ο καλιφορνέζικος νόμος απορρήτου δεν είναι απλώς κανονιστικό πλαίσιο, αλλά ενεργό περιβάλλον επιβολής.

Η εξωεδαφική ισχύς της CPRA είναι η πλέον σημαντική πτυχή για παγκόσμιες επιχειρήσεις: ο νόμος εφαρμόζεται σε κάθε εταιρεία με ετήσια έσοδα $25 εκ.+, ή που επεξεργάζεται προσωπικά δεδομένα 100.000+ καταναλωτών ή νοικοκυριών της Καλιφόρνιας. Με 40 εκατομμύρια κατοίκους και τη θέση της Καλιφόρνιας ως 5ης μεγαλύτερης οικονομίας παγκοσμίως, οι περισσότερες παγκόσμιες επιχειρήσεις εμπίπτουν στη δικαιοδοσία CPRA.

Οι 19 κατηγορίες ευαίσθητων προσωπικών δεδομένων CPRA

Η CPRA δημιουργεί διακριτή βαθμίδα «ευαίσθητων προσωπικών δεδομένων» που απαιτεί ενισχυμένη προστασία και ειδικές απαιτήσεις αποκάλυψης. Οι 19 κατηγορίες αντιστοιχούν εν πολλοίς στις ειδικές κατηγορίες του Άρθρου 9 GDPR, αλλά με αμερικανικές προσθήκες:

  1. SSN, άδεια οδήγησης, κρατική ταυτότητα, αριθμοί διαβατηρίου
  2. Τραπεζικοί λογαριασμοί, χρεωστικές/πιστωτικές κάρτες με κωδικούς πρόσβασης
  3. Ακριβής γεωεντοπισμός (εντός 1.852 μέτρων)
  4. Φυλετική/εθνοτική καταγωγή
  5. Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  6. Συνδικαλιστική ιδιότητα
  7. Περιεχόμενο email και ταχυδρομείου (αν δεν είναι ευρύτατα διαθέσιμο)
  8. Γενετικά δεδομένα
  9. Βιομετρικά δεδομένα για αναγνώριση
  10. Δεδομένα υγείας/ιατρικά δεδομένα
  11. Γενετήσιος προσανατολισμός ή σεξουαλική ζωή
  12. Μεταναστευτικό καθεστώς (προστέθηκε στους κανονισμούς 2024)
  13. Δεδομένα ψυχικής υγείας (προστέθηκε στους κανονισμούς 2024)
  14. Ιθαγένεια
  15. Αριθμοί τραπεζικών λογαριασμών (αυτόνομα, χωρίς κωδικούς πρόσβασης)
  16. Κατάσταση αναπηρίας
  17. Δείκτες επαγγελματικής κατάστασης
  18. Πληροφορίες ασφαλιστηρίου
  19. Ποινικό μητρώο ή αρχείο συλλήψεων

Η πρακτική επίπτωση: κάθε αγωγός επεξεργασίας δεδομένων που χειρίζεται αυτές τις κατηγορίες πρέπει να παρέχει στους καταναλωτές το δικαίωμα περιορισμού χρήσης και αποκάλυψης ευαίσθητων προσωπικών δεδομένων, ξεχωριστά από το γενικό δικαίωμα εξαίρεσης από πώληση.

Επιβολή CPPA 2024: τι στοχοποιήθηκε

Η CPPA εξέδωσε αποφάσεις επιβολής και διακανονισμούς το 2024 που στόχευαν:

Παραβάσεις εγγραφής μεσιτών δεδομένων: Η Καλιφόρνια απαιτεί οι μεσίτες δεδομένων να εγγράφονται στην CPPA. Η CPPA εντόπισε εκατοντάδες μη εγγεγραμμένους μεσίτες — οργανισμούς που πωλούσαν δεδομένα προσωπικών προφίλ χωρίς απαιτούμενη αποκάλυψη.

Μη συμμόρφωση πλατφορμών διαχείρισης συγκατάθεσης: Η CPPA διαπίστωσε ότι πολλές «πλατφόρμες διαχείρισης συγκατάθεσης» εταιρειών δεν παρείχαν λειτουργικούς μηχανισμούς εξαίρεσης — είτε το κουμπί εξαίρεσης δεν λειτουργούσε, είτε η εξαίρεση ίσχυε μόνο για συγκεκριμένες χρήσεις δεδομένων ενώ άλλες συνεχίζονταν.

Αυτοματοποιημένη λήψη αποφάσεων με ΤΝ: Οι κανονισμοί ΤΝ 2025 της CPPA απαιτούν από επιχειρήσεις να ειδοποιούν τους καταναλωτές όταν η αυτοματοποιημένη λήψη αποφάσεων χρησιμοποιείται για σημαντικές αποφάσεις (απασχόληση, πίστωση, στέγαση) και να παρέχουν ουσιαστικούς μηχανισμούς εξαίρεσης. Διάφορες αποφάσεις επιβολής το 2024 στόχευσαν εργαλεία ΤΝ που χρησιμοποιήθηκαν χωρίς επαρκή ειδοποίηση.

Δεδομένα παιδιών: Βάσει του California Age-Appropriate Design Code (AADC), επιχειρήσεις στις οποίες ενδέχεται να έχουν πρόσβαση ανήλικοι πρέπει να διεξάγουν Αξιολογήσεις Αντίκτυπου Προστασίας Δεδομένων. Η CPPA εντόπισε πολλές εταιρείες τεχνολογίας που δεν είχαν ολοκληρώσει τις απαιτούμενες DPIA.

CPRA έναντι GDPR: βασικές διαφορές για παγκόσμιους οργανισμούς

Οργανισμοί που λειτουργούν υπό GDPR και CPRA αντιμετωπίζουν απαιτήσεις συμμόρφωσης παρόμοιας αρχής αλλά διαφορετικών ειδικοτήτων:

Εξαίρεση έναντι συγκατάθεσης: Το GDPR απαιτεί opt-in για τις περισσότερες ευαίσθητες επεξεργασίες δεδομένων. Η CPRA χρησιμοποιεί μοντέλο εξαίρεσης — η επεξεργασία είναι νόμιμη μέχρι να εξαιρεθεί ο καταναλωτής. Αυτό σημαίνει ότι οι μηχανισμοί συγκατάθεσης που συμμορφώνονται με GDPR είναι συχνά πιο περιοριστικοί από ό,τι απαιτεί η CPRA, αλλά οι πρακτικές που συμμορφώνονται με CPRA ενδέχεται να μην ικανοποιούν το GDPR.

Δικαιώματα υποκειμένων δεδομένων: Και οι δύο απαιτούν δικαιώματα πρόσβασης, διαγραφής και διόρθωσης. Η CPRA προσθέτει δικαίωμα εξαίρεσης από αυτοματοποιημένη λήψη αποφάσεων — ευρύτερο από τη στενότερη πρόβλεψη αυτοματοποιημένης λήψης αποφάσεων του Άρθρου 22 GDPR.

Δεδομένα εργαζομένων: Η CPRA εφαρμόζεται πλήρως στα προσωπικά δεδομένα εργαζομένων. Το GDPR έχει παρόμοιο εύρος, αλλά τα κράτη μέλη διαθέτουν ποικίλες εργασιακές ειδικές διατάξεις. Το εργασιακό απόρρητο στην Καλιφόρνια είναι συχνά ξεχωριστός κλάδος συμμόρφωσης από το EU εργασιακό GDPR.

Εύρος ευαίσθητων δεδομένων: Οι 19 κατηγορίες CPRA επικαλύπτονται εν μέρει με το Άρθρο 9 GDPR, αλλά περιλαμβάνουν κατηγορίες (μεταναστευτικό καθεστώς, αριθμοί τραπεζικών λογαριασμών, ποινικά μητρώα) που το GDPR αντιμετωπίζει διαφορετικά.

Η επίπτωση για προμηθευτές ΤΝ

Οι κανονισμοί ΤΝ 2025 της CPRA δημιουργούν ειδικές απαιτήσεις για οργανισμούς που χρησιμοποιούν εργαλεία ΤΝ που επεξεργάζονται δεδομένα Καλιφορνέζων καταναλωτών:

Συμβατικές απαιτήσεις προμηθευτών: Πάροχοι υπηρεσιών (προμηθευτές που επεξεργάζονται δεδομένα για λογαριασμό της επιχείρησης) πρέπει να δεσμευτούν συμβατικά: να χρησιμοποιούν δεδομένα μόνο για τον αποκαλυφθέντα σκοπό, να διαγράφουν δεδομένα όταν λήγει η υπηρεσία, να επιτρέπουν τη διέλευση αιτημάτων δικαιωμάτων καταναλωτών και να εφαρμόζουν επαρκή μέτρα ασφάλειας.

Αποκάλυψη αυτοματοποιημένης λήψης αποφάσεων: Αν το εργαλείο ΤΝ λαμβάνει ή συμβάλλει σημαντικά σε αποφάσεις για Καλιφορνέζους καταναλωτές — πιστοληπτική αξιολόγηση, εντοπισμός απάτης, διαμόρφωση περιεχομένου, επιλογή προσωπικού — οι καταναλωτές πρέπει να ειδοποιούνται και να τους παρέχεται ουσιαστικό δικαίωμα εξαίρεσης.

Προέλευση δεδομένων εκπαίδευσης: Αν δεδομένα Καλιφορνέζων καταναλωτών χρησιμοποιήθηκαν για εκπαίδευση μοντέλου ΤΝ, οι απαιτήσεις περιορισμού σκοπού της CPRA σημαίνουν ότι τα αποτελέσματα του μοντέλου δεν μπορούν να χρησιμοποιηθούν για σκοπούς ασύμβατους με τον αρχικό σκοπό συλλογής.

Για οργανισμούς που διαχειρίζονται δεδομένα Καλιφορνέζων καταναλωτών σε συστήματα ΤΝ: η ελαχιστοποίηση δεδομένων πριν την επεξεργασία ΤΝ — αφαίρεση PII πριν τα δεδομένα εισέλθουν σε αγωγούς εκπαίδευσης ΤΝ ή εργαλεία ανάλυσης ΤΝ — είναι ο πιο απλός τρόπος ικανοποίησης των απαιτήσεων αυτοματοποιημένης λήψης αποφάσεων της CPPA, ενώ μειώνει την έκθεση σε ευαίσθητα προσωπικά δεδομένα.

Πηγές

Σχετικά Άρθρα

GDPR & Συμμόρφωση

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Συμμόρφωση

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Συμμόρφωση

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Έτοιμοι να προστατεύσετε τα δεδομένα σας;

Ξεκινήστε την ανωνυμοποίηση PII με 285+ τύπους οντοτήτων σε 48 γλώσσες.

Ξεκινήστε Δωρεάν ΔοκιμήΔείτε Χαρακτηριστικά

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.