Californias Consumer Privacy Rights Act (CPRA, trer i kraft i 2023) etablerte California Privacy Protection Agency (CPPA) som den første dedikerte statlige personvernsregulatoren i USA. CPPA utstedte over 100 millioner dollar i håndhevelsesaksjoner i 2024 — noe som viser at Californias personvernlovgivning ikke bare er et reguleringsrammeverk, men et aktivt håndhevelsesmiljø.
CPRAs ekstraterritoriale rekkevidde er det mest betydningsfulle aspektet for globale virksomheter: loven gjelder for alle selskaper med over 25 millioner dollar i årlig inntekt, eller som behandler personopplysninger fra 100 000 eller flere forbrukere eller husholdninger i California. Med 40 millioner innbyggere i California og statens status som verdens femte største økonomi, faller de fleste globale foretak inn under CPRAs jurisdiksjon.
CPRAs Kategorier av Sensitive Personopplysninger
CPRA oppretter et distinkt nivå av "sensitive personopplysninger" som krever økt beskyttelse og spesifikke opplysningskrav. De 19 kategoriene kartlegger nært til GDPRs artikkel 9 spesielle kategorier, men med tillegg spesifik for USA:
- SSN, førerkort, statlig ID, passnumre
- Finansielle kontoer, debet/kredittkortnumre med tilgangskoder
- Presis geolokasjon (innen 1,852 meter)
- Rase/etnisk opprinnelse
- Religiøse eller filosofiske overbevisninger
- Fagforeningsmedlemskap
- Innhold i e-post og post (hvis ikke allment tilgjengelig)
- Genetiske data
- Biometriske data for identifikasjon
- Helse/m medisinske data
- Seksuell legning eller sexliv
- Immigrasjonsstatus (tilføyd i 2024-reguleringene)
- Mental helse data (tilføyd i 2024-reguleringene)
- Statsborgerskapsstatus
- Finansielle kontonumre (stående alene, uten tilgangskoder)
- Funksjonshemmingsstatus
- Indikatorer for ansettelsesstatus
- Forsikringspolicyinformasjon
- Kriminalregister eller arrestregister data
Den praktiske implikasjonen: enhver databehandlingspipeline som håndterer disse kategoriene må gi forbrukerne rett til å begrense bruken og offentliggjøringen av sensitive personopplysninger, adskilt fra den generelle retten til å reservere seg mot salg.
2024 CPPA Håndhevelse: Hva Ble Målrettet
CPPA utstedte håndhevelsesaksjoner og forlik i 2024 som målrettet:
Brudd på registrering av datameglere: California krever at datameglere registrerer seg hos CPPA. CPPA fant hundrevis av uregistrerte datameglere — organisasjoner som solgte personprofildata uten nødvendig offentliggjøring.
Manglende overholdelse av samtykkestyring: CPPA fant at mange selskapers "samtykkestyringsplattformer" faktisk ikke ga funksjonelle mekanismer for å reservere seg — enten fungerte ikke reserveringsknappen, eller reservasjonen gjaldt kun spesifikke databruker mens andre fortsatte.
AI automatisert beslutningstaking: CPRAs AI-reguleringer for 2025 krever at virksomheter informerer forbrukerne når automatisert beslutningstaking brukes for betydelige beslutninger (ansettelse, kreditt, bolig) og gir meningsfulle reserveringsmekanismer. Flere håndhevelsesaksjoner i 2024 målrettet AI-verktøy som ble brukt uten tilstrekkelig varsling.
Barns data: I henhold til Californias Age-Appropriate Design Code (AADC) må virksomheter som sannsynligvis vil bli tilganget av mindreårige gjennomføre vurderinger av databeskyttelsespåvirkning. CPPA fant flere teknologiselskaper som ikke fullførte nødvendige DPIA-er.
CPRA vs. GDPR: Nøkkelforskjeller for Globale Organisasjoner
Organisasjoner som opererer under både GDPR og CPRA står overfor overholdelseskrav som er like i prinsipp, men forskjellige i detaljer:
Reservering vs. samtykke: GDPR krever samtykke for de fleste sensitive databehandlinger. CPRA bruker en reservasjonsmodell — behandling er lovlig inntil forbrukeren reserverer seg. Dette betyr at GDPR-kompatible samtykkemekanismer ofte er mer restriktive enn CPRA krever, men CPRA-kompatible praksiser kanskje ikke tilfredsstiller GDPR.
Rettigheter for registrerte: Begge krever tilgang, sletting og korrigeringsrettigheter. CPRA legger til en rett til å reservere seg mot automatisert beslutningstaking — bredere enn GDPR artikkel 22s smalere bestemmelse om automatisert beslutningstaking.
Ansattdata: CPRA gjelder fullt ut for ansattes personopplysninger. GDPR har et lignende omfang, men medlemslandene har varierende ansettelsesspesifikke bestemmelser. Personvern for ansatte i California er ofte en distinkt overholdelsesspor fra EU-ansatt GDPR.
Omfang av sensitive data: CPRAs 19 kategorier overlapper delvis med GDPR artikkel 9, men inkluderer kategorier (immigrasjonsstatus, finansielle kontonumre, kriminalregistre) som GDPR behandler annerledes.
Impliksjonen for AI-leverandørers Overholdelse
CPRAs AI-reguleringer for 2025 skaper spesifikke krav for organisasjoner som bruker AI-verktøy som behandler data fra forbrukere i California:
Kontraktuelle krav til leverandører: Tjenesteleverandører (leverandører som behandler data på vegne av virksomheten) må kontraktsmessig forplikte seg til: å bruke data kun til det opplyste formålet, slette data når tjenesten avsluttes, la forespørslene om forbrukerettigheter flyte gjennom, og implementere tilstrekkelige sikkerhetstiltak.
Offentliggjøring av automatisert beslutningstaking: Hvis AI-verktøyet ditt tar eller betydelig bidrar til beslutninger om forbrukere i California — kredittvurdering, svindelflagging, innholdsmoderering, ansettelsesscreening — må forbrukerne varsles og gis en meningsfull mulighet til å reservere seg.
Opprinnelse til treningsdata: Hvis data fra forbrukere i California ble brukt til å trene en AI-modell, betyr CPRAs formålsbegrensningskrav at utdataene fra AI-modellen ikke kan brukes til formål som er uforenlige med det opprinnelige innsamlede formålet.
For organisasjoner som håndterer data fra forbrukere i California i AI-systemer: dataminimering før AI-behandling — fjerne PII før data går inn i AI-treningspipelines eller AI-analyserverktøy — er den mest direkte måten å tilfredsstille CPRAs krav til automatisert beslutningstaking samtidig som eksponeringen for sensitive personopplysninger reduseres.
Kilder: