California Consumer Privacy Act 2018 (CCPA) har virkninger langt ud over Californiens grænser. Den amerikanske stat har en økonomi på 4 billioner dollars; hvis Californien var et land, ville det være den fjerde største økonomi på planeten.
Al den handel giver Californien meget bred rækkevidde i andre økonomier rundt om i verden, hvilket betyder, at virksomheder globalt skal forstå, hvordan CCPA gælder for deres aktiviteter.
Hvem gælder CCPA for?
CCPA gælder for enhver virksomhed, der deltager i transaktioner med californiere med henblik på økonomisk gevinst – for eksempel levering af varer og tjenester. En fysisk tilstedeværelse i staten er ikke påkrævet.
Hvis du opererer som en profitvirksomhed og indsamler data fra indbyggere i Californien, er det sandsynligt, at du skal vide, hvordan du overholder CCPA. Loven har været i kraft siden 1. januar 2020 og har mange ligheder med GDPR, selvom der også er vigtige forskelle.
It’s easy to be compliant with CookieHub
Sign up today and create a custom cookie banner for your website
- 30 day free trial
- No credit card required
Hvilke rettigheder er fastsat i CCPA?
CCPA giver indbyggere i Californien kontrol over, hvordan deres personlige data håndteres online. Den er baseret på fem centrale rettigheder:
- Retten til at vide – enkeltpersoner bør informeres, når deres data indsamles og behandles
- Retten til sletning – enkeltpersoner kan bede om sletning af personoplysninger
- Retten til at fravælge – enkeltpersoner bør kunne nægte virksomheder tilladelse til at sælge deres personoplysninger
- Retten til berigtigelse – enkeltpersoner bør kunne få kopier af de oplysninger, der opbevares om dem, og rette unøjagtige oplysninger
- Retten til at begrænse brugen – enkeltpersoner bør kunne specificere, at personlige oplysninger kun kan bruges til begrænsede formål
Personer, der udøver rettigheder i henhold til CCPA, bør derfor ikke udsættes for forskelsbehandling.
Hvad er sanktionerne for overtrædelse af CCPA?
CCPA håndhæves af California Attorney General. Virksomheder får tilsendt et brev med besked om en potentiel overtrædelse, hvorefter de har 30 dage til at afhjælpe problemet og blive kompatible. Herefter kan der pålægges sanktioner på $2.500 pr. overtrædelse ($7.500 for forsætlige overtrædelser).
Privatpersoner kan ikke sagsøge en virksomhed for CCPA-overtrædelser, selvom de har andre søgsmålsrettigheder i tilfælde af databrud og kan tildeles civilretlig erstatning på $ 750 for hvert databrud under CCPA. Store databrud kan resultere i gruppesøgsmål.
Gælder CCPA for andre stater?
USA har ikke en føderal databeskyttelseslov, der gælder for alle stater. Som en californisk lov gælder CCPA kun for indbyggere i Californien, selvom den fortsat gælder, når de rejser ud af staten.
Gælder CCPA for nonprofitorganisationer?
Den grundlæggende regel er, at CCPA kun gælder for for-profit virksomheder. Disse er juridiske enheder (f.eks. enkeltmandsvirksomhed, LLC eller selskab), der drives med fortjeneste og økonomisk fordel for aktionærer og ejere.
I nogle situationer er nonprofitorganisationer dog muligvis ikke undtaget fra CCPA. Dette omfatter, når en nonprofitorganisation kontrolleres af en profitorienteret enhed og deler fælles branding med modervirksomheden. En nonprofitorganisation kan også falde ind under loven, hvis den modtager personlige oplysninger gennem et “salg” som defineret i CCPA.
Hvem gælder CCPA ikke for?
Reglerne gælder for virksomheder uden for Californien, der opfylder et eller flere af disse kriterier:
- Årlige bruttoindtægter på over $ 25 millioner
- Behandler (køber, sælger, modtager eller deler) personlige oplysninger om 50.000 eller flere indbyggere i Californien til kommercielle formål
- Mere end 50% af de årlige indtægter stammer fra salg af personlige oplysninger
Hvordan overholder jeg reglerne?
Der er nogle vigtige punkter, du skal forstå for at sikre, at du overholder CCPA:
- CCPA definition af personlige oplysninger
- Lovgivningen definerer personlige oplysninger som "oplysninger, der identificerer, relaterer til, beskriver, med rimelighed kan forbindes med eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller husstand."
Personlige oplysninger kan kategoriseres på forskellige måder:
- Direkte identifikatorer - navn, postadresse, personnummer
- Unikke identifikatorer - cookies, IP-adresser, brugernavne
- Biometriske data - fingeraftryk, ansigts- og videooptagelser
- Geolokaliseringsdata - placeringsoplysninger og historik
- Internetaktivitet - browser- og søgehistorik
- Følsomme oplysninger - sundhedsdata, personlige karakteristika, seksuelle præferencer, religiøs tro, beskæftigelsesdata.
- Data, der kan bruges til at udlede identitet - oplysninger, der kan bruges til at lokalisere en person eller husstand
Kontrol af websted
- Du skal informere brugerne inden dataindsamlingspunktet om, hvad du indsamler og til hvilke formål
- Du skal have et "sælg ikke mine personlige oplysninger"-link, der gør det muligt for brugere at fravælge, at data sælges til tredjeparter
- Tilvalg er påkrævet for webstedsbrugere under 16 år (og forældresamtykke for brugere under 13 år)
- Forbrugerrettigheder skal fremgå af din hjemmesides privatlivspolitik
- Privatlivspolitikken skal opdateres årligt for at sikre, at kategorier af indsamlede personlige oplysninger forbliver opdaterede
- Du skal være parat til at imødekomme anmodninger fra forbrugere om videregivelse af personlige oplysninger, du har indsamlet om dem i de sidste 12 måneder, uden beregning.
- Du bør sikre dig, at du ikke diskriminerer en forbruger baseret på, at vedkommende udøver retten til at anmode om offentliggørelse, vælge salg, rette eller slette oplysninger.
Sørg for, at dine cookiepolitikker er CCPA-kompatible
Cookies indsamler oplysninger om webstedsbrugere, herunder oplysninger, der kan opfylde CCPA-definitionen af personlige oplysninger. Selv om oplysninger ikke er identificerende i sig selv, kan de blive personlige, når de betragtes i kombination med andre data.
Cookiebannere bruges ofte til at give brugerne de nødvendige oplysninger og bekræfte samtykke til dataindsamling. At se på nogle CCPA-cookiebannereksempler kan give dig en idé om, hvordan et banner kan fungere på dit websted.
Husk, CCPA er ikke den eneste lovgivning, der gælder for databeskyttelse for californiske beboere, California Privacy Rights Act (CPRA) er også relevant. Få mere at vide om forskellene mellem CCPA og CPRA.
At udarbejde de juridiske krav i forskellige regler kan være hovedpine. Lad CookieHub tage belastningen for dig – vi kan hjælpe med at sikre, at dine cookies overholder CCPA og andre databeskyttelsesregler, hvilket giver dig ro i sindet.
Are you compliant?
CookieHub automatically scans your website to detect cookies, ensuring all cookies are easily managed.