Kaliforniens lag om konsumenters integritetsrättigheter (CPRA, som trädde i kraft 2023) etablerade Kaliforniens integritetsskyddsmyndighet (CPPA) som den första dedikerade statliga integritetsregulatorn i USA. CPPA utfärdade över 100 miljoner dollar i verkställande åtgärder 2024 — vilket visar att Kaliforniens integritetslag inte bara är en regleringsram utan en aktiv verkställighetsmiljö.
CPRAs extraterritoriella räckvidd är den mest betydelsefulla aspekten för globala företag: lagen gäller för alla företag med en årlig intäkt på 25 miljoner dollar eller mer, eller som behandlar personuppgifter för 100 000 eller fler kaliforniska konsumenter eller hushåll. Med 40 miljoner invånare i Kalifornien och Kaliforniens status som världens femte största ekonomi faller de flesta globala företag under CPRAs jurisdiktion.
CPRAs Kategorier av Känslig Personlig Information
CPRA skapar en distinkt nivå av "känslig personlig information" som kräver ökad skydd och specifika informationskrav. De 19 kategorierna kartlägger nära till GDPR:s artikel 9:s särskilda kategorier, men med amerikanska specifika tillägg:
- SSN, körkort, statlig ID, passnummer
- Finansiella konton, debet-/kreditkortnummer med åtkomstkoder
- Exakt geolokalisering (inom 1 852 meter)
- Ras/etniskt ursprung
- Religiösa eller filosofiska övertygelser
- Fackligt medlemskap
- Innehåll i e-post och post (om det inte är allmänt tillgängligt)
- Genetiska data
- Biometriska data för identifiering
- Hälsodata/medicinska data
- Sexuell läggning eller sexliv
- Invandringsstatus (tillagt i 2024 års regleringar)
- Mental hälsodata (tillagt i 2024 års regleringar)
- Medborgarskapsstatus
- Finansiella kontonummer (självständigt, utan åtkomstkoder)
- Funktionsnedsättningsstatus
- Indikatorer för anställningsstatus
- Försäkringspolicyinformation
- Brottsregister eller arrestregisterdata
Den praktiska implikationen: varje databehandlingspipeline som hanterar dessa kategorier måste ge konsumenter rätt att begränsa användning och avslöjande av känslig personlig information, separat från den allmänna rätten att välja bort försäljning.
2024 CPPA Verkställighet: Vad Blev Måltavla
CPPA utfärdade verkställande åtgärder och förlikningar 2024 som riktade sig mot:
Överträdelser av datamäklare registrering: Kalifornien kräver att datamäklare registrerar sig hos CPPA. CPPA fann hundratals oregistrerade datamäklare — organisationer som säljer personprofildata utan nödvändig information.
Brister i samtyckeshantering: CPPA fann att många företags "samtyckeshanteringsplattformar" faktiskt inte erbjöd funktionella mekanismer för att välja bort — antingen fungerade inte knappen för att välja bort, eller så gällde valet endast specifika databehandlingar medan andra fortsatte.
AI automatiserat beslutsfattande: CPRAs regler för AI 2025 kräver att företag informerar konsumenter när automatiserat beslutsfattande används för betydande beslut (anställning, kredit, bostad) och tillhandahåller meningsfulla mekanismer för att välja bort. Flera verkställande åtgärder 2024 riktade sig mot AI-verktyg som användes utan adekvat information.
Barns data: Enligt Kaliforniens åldersanpassade designkod (AADC) måste företag som sannolikt kommer att nås av minderåriga genomföra dataskyddspåverkan bedömningar. CPPA fann flera teknikföretag som misslyckades med att slutföra nödvändiga DPIA.
CPRA vs. GDPR: Nyckelskillnader för Globala Organisationer
Organisationer som verkar under både GDPR och CPRA står inför efterlevnadskrav som är liknande i princip men olika i specifikationer:
Välja bort vs. välja in: GDPR kräver opt-in samtycke för de flesta känsliga databehandlingar. CPRA använder en opt-out-modell — behandlingen är laglig tills konsumenten väljer att avstå. Detta innebär att GDPR-kompatibla samtyckesmekanismer ofta är mer restriktiva än vad CPRA kräver, men CPRA-kompatibla metoder kanske inte uppfyller GDPR.
Rättigheter för registrerade: Båda kräver rätt till åtkomst, radering och korrigering. CPRA lägger till en rätt att välja bort automatiserat beslutsfattande — bredare än GDPR artikel 22:s snävare bestämmelse om automatiserat beslutsfattande.
Anställdas data: CPRA gäller fullt ut för anställdas personuppgifter. GDPR har ett liknande omfång men medlemsstater har olika anställningsspecifika bestämmelser. Kaliforniens anställdas integritet är ofta en distinkt efterlevnadsslinga från EU:s GDPR för anställda.
Omfattning av känsliga data: CPRAs 19 kategorier överlappar delvis med GDPR artikel 9 men inkluderar kategorier (invandringsstatus, finansiella kontonummer, brottsregister) som GDPR behandlar annorlunda.
Implikationen för AI-leverantörers Efterlevnad
CPRAs regler för AI 2025 skapar specifika krav för organisationer som använder AI-verktyg som behandlar kaliforniska konsumentdata:
Leverantörens avtalskrav: Tjänsteleverantörer (leverantörer som behandlar data å företagets vägnar) måste avtalsmässigt åta sig att: använda data endast för det avslöjade syftet, radera data när tjänsten upphör, tillåta konsumenternas rättighetsförfrågningar att flöda igenom och implementera adekvata säkerhetsåtgärder.
Avslöjande av automatiserat beslutsfattande: Om ditt AI-verktyg fattar eller väsentligt bidrar till beslut om kaliforniska konsumenter — kreditbedömning, bedrägeriflaggning, innehållsmoderering, anställningsscreening — måste konsumenterna informeras och ges en meningsfull möjlighet att välja bort.
Träningsdataursprung: Om kaliforniska konsumentdata användes för att träna en AI-modell, innebär CPRAs syftesbegränsningskrav att AI-modellens utdata inte kan användas för syften som är oförenliga med det ursprungliga insamlingssyftet.
För organisationer som hanterar kaliforniska konsumentdata i AI-system: dataminimering före AI-behandling — att ta bort PII innan data går in i AI-träningspipelines eller AI-analysverktyg — är det mest raka sättet att uppfylla CPRAs krav på automatiserat beslutsfattande samtidigt som man minskar exponeringen av känslig personlig information.
Källor: