anonym.legal

By · Last updated 2026-06-05

Povratak na BlogGDPR & Usklađenost

CCPA/CPRA 2025.: Kalifornijska privatnost i AI

CPPA je u 2024. godini izdala kazne vece od 100 milijuna dolara. CPRA pokriva 40 milijuna Kalifornijaca i primjenjuje se globalno na vecinu tvrtki. 19 kategorija osjetljivih podataka, automatiziranje.

June 5, 202610 min čitanja
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Vodic za kalifornijski zakon o privatnosti

Azurirano za 2026. godinu.

Kalifornijski Zakon o pravima na privatnost potrosaca (CPRA) stupio je na snagu 2023. godine. Uspostavio je Kalifornijsku agenciju za zastitu privatnosti (CPPA). CPPA je prvi drzavni regulator privatnosti u SAD-u. U 2024. godini CPPA je izdala vise od 100 milijuna dolara kazni. Ovo je aktivna provedba — ne samo papirnato pravilo.

Tko mora biti uskladjen

Tri kriterija odredjuju primjenjuje li se zakon. Tvrtka mora zadovoljiti bilo koji od njih.

  • Godisnji prihod od 25 milijuna dolara ili vise.
  • Osobni podaci od 100 000 ili vise potrosaca iz te drzave.
  • Vise od 50% prihoda od prodaje osobnih podataka.

Drzava ima 40 milijuna stanovnika. Peta je po velicini ekonomija u svijetu. Vecina globalnih tvrtki zadovoljava barem jedan kriterij.

19 kategorija osjetljivih podataka

Zakon stvara posebnu razinu za osjetljive osobne pojedinosti. Tvrtke moraju dati potrosacima dodatnu obavijest i pravo na ogranicenje koristenja. Tih 19 vrsta su:

  1. Brojevi socijalnog osiguranja, vozacke dozvole, drzavne iskaznice, putovnice
  2. Brojevi financijskih racuna ili kartica s pristupnim siframa
  3. Precizna geolokacija (unutar 1 852 metara)
  4. Rasno ili etnicko podrijetlo
  5. Vjerska ili filozofska uvjerenja
  6. Clanstvo u sindikatu
  7. Sadrzaj privatne elektronicke ili postanske poste
  8. Genetske informacije
  9. Biometricki zapisi za identifikaciju
  10. Zdravstveni ili medicinski zapisi
  11. Seksualna orijentacija ili spolni zivot
  12. Imigracijski status (dodano 2024.)
  13. Zapisi o mentalnom zdravlju (dodano 2024.)
  14. Status drzavljanstva
  15. Brojevi financijskih racuna bez pristupnih sifara
  16. Status invaliditeta
  17. Pokazatelji zaposlenosti
  18. Podaci o osiguranju
  19. Kazneni ili policijski zapisi

Za svaku kategoriju potrosaci mogu ograniciti kako tvrtka koristi i dijeli te podatke. To pravo je odvojeno od opceg prava na odjavu od prodaje.

Sto je CPPA ciljala u 2024. godini

Mjere CPPA-e u 2024. godini svrstale su se u cetiri podrucja.

Registracija posrednika podataka. Drzava zahtijeva registraciju posrednika podataka pri CPPA-i. Agencija je pronasla stotine neregistriranih posrednika koji prodaju profile potrosaca.

Neispravni alati za odjavu. Mnoge platforme za pristanak nisu pruzale pravo odjave. Gumb nije radio ili je odjava pokrivala samo neke upotrebe.

AI odluke bez obavijesti. Pravila za AI iz 2025. zahtijevaju obavijest kada automatizirani alati donose kljucne odluke. Posao, kredit i stanovanje — sve to spada ovdje. Nekoliko slucajeva iz 2024. ciljalo je AI alate koristen bez ove obavijesti.

Zapisi djece. Kalifornijski Kodeks dizajna prikladnog za uzrast primjenjuje se na svaku uslugu koju maloljetnici vjerojatno koriste. Te tvrtke moraju provesti Procjenu utjecaja na zastitu podataka. CPPA je ustanovila da mnoge tvrtke to nisu ucinile.

Drzavni zakon naspram GDPR-a: Kljucne razlike

Uskladjenost s GDPR-om ne stiti vas u Kaliforniji. Zakoni dijele ciljeve, ali se razlikuju u kljucnim tockama.

Odjava nasuprot pristanku. GDPR zahtijeva pristanak za vecinu upotreba osjetljivih podataka. Drzavni zakon koristi model odjave. Obrada je dopustena dok potrosac ne prigovori.

Prava potrosaca. Oba zakona daju prava na pristup, brisanje i ispravak. Drzavni zakon dodaje pravo na odjavu od automatiziranih odluka. GDPR clanak 22 takodjer to pokriva, ali s uzim opsegom.

Zapisi zaposlenika. Drzavni zakon u potpunosti pokriva osobne podatke zaposlenika. GDPR takodjer, ali drzave clanice EU-a imaju vlastita pravila o zaposljavanju. Privatnost osoblja u toj drzavi cesto zahtijeva vlastiti put uskladjenosti.

Osjetljive vrste. Tih 19 drzavnih vrsta dijelom se preklapaju s GDPR clankom 9. Imigracijski status i samostalni brojevi racuna specificni su za drzavni zakon.

Pogledajte vodic za pravnu uskladjenost za pregled kako se te obveze nadogradnjuju.

Zahtjevi za AI dobavljace

Pravila za AI iz 2025. stvaraju jasne obveze za tvrtke koje koriste AI alate na zapisima potrosaca.

Ugovori s dobavljacima. Pruzatelji usluga moraju potpisati pisani ugovor. Ugovor mora pokrivati cetiri stavke. Prvo, koristiti zapise samo za navedenu svrhu. Drugo, brisati zapise kada usluga zavrsava. Trece, proslijedjivati zahtjeve prava potrosaca. Cetvrto, odrzavati odgovarajucu sigurnost.

Obavijest o automatiziranoj odluci. Ako AI alat pomaze odlucivati o kreditu, prijevari ili zaposljavnju — potrosaci moraju biti obavijedjeni. Takodjer moraju dobiti mogucnost odjave.

Ogranicenja treniranja AI-a. Ako su zapisi potrosaca trenirali AI model, taj model ima ogranicenja. Ne moze se koristiti u svrhe koje su u suprotnosti s izvornim razlogom prikupljanja.

Izravno rjesenje za vecinu timova: uklonite osobne identifikatore prije nego sto zapisi udu u bilo koji AI sustav. To zadovoljava pravila o AI odlukama i istodobno smanjuje rizik od osjetljivih vrsta.

Saznajte kako anonym.legal uklanja identifikatore prije AI obrade na /security-compliance.

Kljucne tocke

Drzavni zakon pokriva vecinu globalnih tvrtki s klijentima u toj drzavi. Dodaje 19 osjetljivih vrsta, aktivnu agenciju za provedbu i pravila obavijesti za AI. Uskladjenost s GDPR-om ne zamjenjuje drzavnu uskladjenost. Najjasniji korak: uklonite osobne identifikatore prije nego sto zapisi udu u AI alate.

Procitajte o minimizaciji podataka na /docs/faq.

Izvori

  • CPPA: Kalifornijska agencija za zastitu privatnosti. cppa.ca.gov.
  • Puni tekst Kalifornijskog Zakona o pravima na privatnost potrosaca (CPRA). leginfo.legislature.ca.gov.
  • CPPA: Propisi o tehnologiji automatiziranog odlucivanja 2025. cppa.ca.gov.
  • Kalifornijski Kodeks dizajna prikladnog za uzrast. leginfo.legislature.ca.gov.

Povezani Članci

GDPR & Usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.