anonym.legal
Takaisin BlogiinGDPR & Vaatimustenmukaisuus

CCPA/CPRA 2025: Mitä Kalifornian yksityisyyslain mukaiset vaatimukset ovat AI- ja tietojenkäsittelytoimittajilta

CPPA määräsi yli 100 miljoonan dollarin sakot vuonna 2024. CPRA kattaa 40 miljoonaa kalifornialaista ja soveltuu maailmanlaajuisesti useimmille yrityksille. 19 herkän tietotyypin kategoriaa, automatisoidun päätöksenteon opt-out, ja AI-toimittajien vaatimukset.

March 7, 202610 min lukuaika
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

Kalifornian kuluttajien yksityisyyslain (CPRA, voimaan 2023) myötä perustettiin Kalifornian yksityisyydensuojavirasto (CPPA), joka on ensimmäinen Yhdysvaltojen osavaltion yksityisyysregulaattori. CPPA määräsi yli 100 miljoonan dollarin täytäntöönpanotoimia vuonna 2024 — mikä osoittaa, että Kalifornian yksityisyyslaki ei ole vain sääntelykehys, vaan aktiivinen täytäntöönpanoympäristö.

CPRA:n ekstraterritoriaalinen ulottuvuus on merkittävin näkökohta globaaleille yrityksille: laki koskee mitä tahansa yritystä, jonka vuotuinen liikevaihto on yli 25 miljoonaa dollaria tai joka käsittelee yli 100 000 kalifornialaisen kuluttajan tai kotitalouden henkilötietoja. 40 miljoonan kalifornialaisen asukkaan ja Kalifornian aseman maailman viidenneksi suurimpana taloutena vuoksi suurin osa globaaleista yrityksistä kuuluu CPRA:n toimivaltaan.

CPRA:n herkät henkilötietokategoriat

CPRA luo erillisen tason "herkille henkilötiedoille", jotka vaativat lisääntynyttä suojaa ja erityisiä ilmoitusvaatimuksia. 19 kategoriaa vastaa läheisesti GDPR:n artiklan 9 erityisiä kategorioita, mutta Yhdysvaltojen erityisillä lisäyksillä:

  1. SSN, ajokortti, osavaltion henkilökortti, passin numerot
  2. Rahoitustilin, pankki-/luottokortin numerot, joilla on pääsykoodit
  3. Tarkka geolokaatio (1 852 metrin sisällä)
  4. Rodullinen/etninen alkuperä
  5. Uskonto tai filosofiset uskomukset
  6. Ammattiyhdistysjäsenyys
  7. Sähköposti- ja postisisältö (jos ei ole laajalti saatavilla)
  8. Geneettiset tiedot
  9. Biometriset tiedot tunnistamista varten
  10. Terveys-/lääketieteelliset tiedot
  11. Seksuaalinen suuntautuminen tai seksielämä
  12. Maahanmuuttostatus (lisätty vuoden 2024 säädöksissä)
  13. Mielenterveystiedot (lisätty vuoden 2024 säädöksissä)
  14. Kansalaisuusstatus
  15. Rahoitustilin numerot (itsenäisesti, ilman pääsykoodeja)
  16. Vammaisuusstatus
  17. Työllisyystilanteen indikaattorit
  18. Vakuutussopimustiedot
  19. Rikoshistoria tai pidätyshistoriatiedot

Käytännön merkitys: mikä tahansa tietojenkäsittelyputki, joka käsittelee näitä kategorioita, on annettava kuluttajille oikeus rajoittaa herkän henkilötiedon käyttöä ja ilmoittamista erikseen yleisestä oikeudesta kieltäytyä myynnistä.

2024 CPPA:n täytäntöönpano: Mitä kohdistettiin

CPPA määräsi täytäntöönpanotoimia ja sovintoja vuonna 2024, jotka kohdistuivat:

Tietovälittäjien rekisteröintirikkomuksiin: Kalifornia vaatii tietovälittäjiä rekisteröitymään CPPA:lle. CPPA löysi satoja rekisteröimättömiä tietovälittäjiä — organisaatioita, jotka myivät henkilöprofiilitietoja ilman vaadittua ilmoitusta.

Suostumuksen hallinnan noudattamatta jättämiseen: CPPA havaitsi, että monien yritysten "suostumuksen hallintapaketit" eivät todellisuudessa tarjonneet toimivia opt-out-mekanismeja — joko opt-out-painike ei toiminut tai opt-out koski vain tiettyjä tietokäyttöjä, kun taas muut jatkuivat.

AI:n automatisoitu päätöksenteko: CPPA:n vuoden 2025 AI-säännökset vaativat yrityksiä ilmoittamaan kuluttajille, kun automatisoitua päätöksentekoa käytetään merkittävissä päätöksissä (työllisyys, luotto, asuminen) ja tarjoamaan merkityksellisiä opt-out-mekanismeja. Useat täytäntöönpanotoimet vuonna 2024 kohdistuivat AI-työkaluihin, joita käytettiin ilman riittävää ilmoitusta.

Lasten tiedot: Kalifornian ikäystävällisen suunnittelun koodin (AADC) mukaan yritysten, joihin alaikäiset todennäköisesti pääsevät käsiksi, on suoritettava tietosuojavaikutusten arviointeja. CPPA löysi useita teknologiayrityksiä, jotka eivät onnistuneet suorittamaan vaadittuja DPIA:ita.

CPRA vs. GDPR: Keskeiset erot globaaleille organisaatioille

Organisaatiot, jotka toimivat sekä GDPR:n että CPRA:n alaisuudessa, kohtaavat vaatimuksia, jotka ovat periaatteessa samankaltaisia, mutta yksityiskohdiltaan erilaisia:

Opt-out vs. opt-in: GDPR vaatii opt-in-suostumusta useimmille herkille tietojenkäsittelyille. CPRA käyttää opt-out-mallia — käsittely on laillista, kunnes kuluttaja kieltäytyy. Tämä tarkoittaa, että GDPR-yhteensopivat suostumusmekanismit ovat usein rajoittavampia kuin CPRA vaatii, mutta CPRA-yhteensopivat käytännöt eivät välttämättä täytä GDPR:n vaatimuksia.

Tietosubjektin oikeudet: Molemmat vaativat pääsy-, poistamis- ja korjausoikeuksia. CPRA lisää oikeuden kieltäytyä automatisoidusta päätöksenteosta — laajempi kuin GDPR:n artiklan 22 kapeampi automatisoitu päätöksentekosäännös.

Työntekijätiedot: CPRA koskee täysin työntekijöiden henkilötietoja. GDPR:llä on samanlainen soveltamisala, mutta jäsenvaltioilla on vaihtelevaa työllisyyskohtaisia säännöksiä. Kalifornian työntekijöiden yksityisyys on usein erillinen vaatimustenmukaisuuspolku EU:n työntekijöiden GDPR:stä.

Herkät tietokategoriat: CPRA:n 19 kategoriaa osittain päällekkäin GDPR:n artiklan 9 kanssa, mutta sisältävät kategorioita (maahanmuuttostatus, rahoitustilin numerot, rikosrekisterit), joita GDPR käsittelee eri tavalla.

AI-toimittajien vaatimustenmukaisuuden vaikutus

CPRA:n vuoden 2025 AI-säännökset luovat erityisiä vaatimuksia organisaatioille, jotka käyttävät AI-työkaluja, jotka käsittelevät kalifornialaisten kuluttajien tietoja:

Toimittajien sopimusvaatimukset: Palveluntarjoajien (toimittajien, jotka käsittelevät tietoja yrityksen puolesta) on sopimuksellisesti sitouduttava: käyttämään tietoja vain ilmoitettuun tarkoitukseen, poistamaan tiedot, kun palvelu päättyy, sallimaan kuluttajien oikeuspyynnöt kulkea läpi ja toteuttamaan riittäviä turvallisuustoimia.

Automaattisen päätöksenteon ilmoitus: Jos AI-työkalusi tekee tai merkittävästi vaikuttaa päätöksiin kalifornialaisista kuluttajista — luottopisteytys, petosten merkitseminen, sisällön moderointi, työhönottotarkastukset — kuluttajille on ilmoitettava ja heille on tarjottava merkityksellinen opt-out.

Koulutusdataprovienenssi: Jos kalifornialaisten kuluttajien tietoja käytettiin AI-mallin kouluttamiseen, CPRA:n tarkoitusrajoitusvaatimukset tarkoittavat, että AI-mallin tuotoksia ei voida käyttää tarkoituksiin, jotka ovat yhteensopimattomia alkuperäisen keräystarkoituksen kanssa.

Organisaatioille, jotka hallinnoivat kalifornialaisten kuluttajien tietoja AI-järjestelmissä: tietojen minimointi ennen AI-käsittelyä — PII:n poistaminen ennen kuin tiedot menevät AI-koulutusputkiin tai AI-analyysityökaluihin — on suoraviivaisin tapa täyttää CPPA:n automatisoidun päätöksenteon vaatimukset samalla kun vähennetään herkän henkilötiedon altistumista.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet