California Consumer Privacy Rights Act (CPRA, jõus 2023) asutas California Privacy Protection Agency (CPPA) esimese USA osariigi privaatsusregulaatorina. CPPA andis 2024. aastal välja üle 100 miljoni dollari suurused jõustamismeetmed - näidates, et California privaatsuse seadus ei ole lihtsalt regulatiivne raamistik vaid aktiivne jõustamiskeskkond.
CPRA ekstrateritoriaalse jõu ulatus on maailmalaialiste ettevõtete jaoks kõige oluline: seadus kohaldub igale ettevõttele, millel on 25 miljonit dollarit aastast müüki või rohkem, või mis töötleb isikuandmeid 100 000 või enama California tarbija või leibkonna kohta. 40 miljoni California elanikuga ja California staatusega maailma 5. suurima majandusena langevad enamik maailmakaupa CPRA õigusala alla.
CPRA tundlikud isikuandmete kategooriad
CPRA loob erineva "tundliku isikuandmete" tasandi, nõudes kõrgendatud kaitset ja spetsiifilisi avalikustamise nõudeid. 19 kategooria kaardistuvad tihedalt GDPR artikli 9 eriliste kategooriatega, kuid USA-spetsiifiliste lisadega:
- SSN-id, juhi juhiluba, osariigi ID, passi numbrid
- Finantskonto, deebetkaardi/krediitkaardi numbrid ligipääsu koodidega
- Täpne geolokalisatsioon (1,852 miili jooksul)
- Rassiline/etniline päritolu
- Usuline või filosoofiline veendumused
- Ametiühingu liikmelisus
- E-posti ja postiposti sisu (kui ei ole laialdaselt saadaval)
- Geneetilised andmed
- Biometrilised andmed identifikatsiooni jaoks
- Tervishoiu/meditsiiniandmed
- Seksuaalne orientatsioon või seksuaalne elu
- **Immigratsiooni...