California Consumer Privacy Act 2018 (CCPA) har virkninger langt ud over Californiens grænser. Den amerikanske stat har en økonomi på 4 billioner dollars; hvis Californien var et land, ville det være den fjerde største økonomi på planeten.
Al den handel giver Californien meget bred rækkevidde til andre økonomier rundt om i verden, hvilket betyder, at virksomheder globalt skal forstå, hvordan CCPA gælder for deres aktiviteter.
Hvem gælder CCPA for?
CCPA gælder for enhver virksomhed, der deltager i transaktioner med californiere med henblik på økonomisk gevinst – for eksempel levering af varer og tjenester. En fysisk tilstedeværelse i staten er ikke påkrævet.
Hvis du opererer som en for-profit virksomhed og indsamler data fra beboere i Californien, er det sandsynligt, at du bliver nødt til at vide, hvordan du overholder CCPA. Loven har været i kraft siden 1. januar 2020 og har mange ligheder med GDPR, selvom der også er vigtige forskelle.
Hvilke rettigheder er fastsat i CCPA?
CCPA giver indbyggere i Californien kontrol over, hvordan deres personlige data håndteres online. Den er baseret på fem centrale rettigheder:
- Retten til at vide – enkeltpersoner bør informeres, når deres data indsamles og behandles
- Retten til sletning – enkeltpersoner kan bede om sletning af personoplysninger
- Retten til at fravælge – enkeltpersoner bør kunne nægte virksomheder tilladelse til at sælge deres personoplysninger
- Retten til berigtigelse – enkeltpersoner bør kunne få kopier af de oplysninger, der opbevares om dem, og rette unøjagtige oplysninger
- Retten til at begrænse brugen – enkeltpersoner bør kunne specificere, at personlige oplysninger kun kan bruges til begrænsede formål
Enkeltpersoner, der udøver rettigheder i henhold til CCPA, bør ikke udsættes for forskelsbehandling som følge heraf.
Hvad er sanktionerne for overtrædelse af CCPA?
CCPA håndhæves af California Attorney General. Virksomheder får tilsendt et brev med besked om en potentiel overtrædelse, hvorefter de har 30 dage til at afhjælpe problemet og blive kompatible. Herefter kan der pålægges sanktioner på $2.500 pr. overtrædelse ($7.500 for forsætlige overtrædelser).
Privatpersoner kan ikke sagsøge en virksomhed for CCPA-overtrædelser, selvom de har andre søgsmålsrettigheder i tilfælde af databrud og kan tildeles civilretlig erstatning på $ 750 for hvert databrud under CCPA. Store databrud kan resultere i gruppesøgsmål.
Gælder CCPA for andre stater?
USA har ikke en føderal databeskyttelseslov, der gælder for alle stater. Som en californisk lov gælder CCPA kun for indbyggere i Californien, selvom den fortsat gælder, når de rejser ud af staten.
Gælder CCPA for nonprofitorganisationer?
Den grundlæggende regel er, at CCPA kun gælder for for-profit virksomheder. Disse er juridiske enheder (for eksempel enkeltmandsvirksomhed, LLC eller selskab), der drives til fortjeneste og økonomisk fordel for aktionærer og ejere.
I nogle situationer er nonprofitorganisationer dog muligvis ikke undtaget fra CCPA. Dette omfatter, når en nonprofitorganisation kontrolleres af en profitorienteret enhed og deler fælles branding med modervirksomheden. En nonprofitorganisation kan også falde ind under loven, hvis den modtager personlige oplysninger gennem et “salg” som defineret i CCPA.
Hvem gælder CCPA ikke for?
Reglerne gælder for virksomheder uden for Californien, der opfylder et eller flere af disse kriterier:
- Årlige bruttoindtægter på over $ 25 millioner
- Behandler (køber, sælger, modtager eller deler) personlige oplysninger om 50.000 eller flere indbyggere i Californien til kommercielle formål
- Mere end 50% af de årlige indtægter stammer fra salg af personlige oplysninger
Hvordan overholder jeg reglerne?
Der er nogle vigtige punkter, du skal forstå for at sikre, at du overholder CCPA:
CCPA definition af personlige oplysninger
Lovgivningen definerer personlige oplysninger som “oplysninger, der identificerer, relaterer til, beskriver, med rimelighed kan forbindes med eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller husstand.”
Personlige oplysninger kan kategoriseres på forskellige måder:
Direkte identifikatorer – navn, postadresse, personnummer
Unikke identifikatorer – cookies, IP-adresser, brugernavne
Biometriske data – fingeraftryk, ansigts- og videooptagelser
Geolokaliseringsdata – placeringsoplysninger og historik
Internetaktivitet – browser- og søgehistorik
Følsomme oplysninger – sundhedsdata, personlige karakteristika, seksuelle præferencer, religiøs tro, beskæftigelsesdata.
Data, der kan bruges til at udlede identitet – oplysninger, der kan bruges til at lokalisere en person eller husstand
Kontrol af websted
Du skal informere brugerne inden dataindsamlingspunktet om, hvad du indsamler og til hvilke formål
Du skal have et ‘sælg ikke mine personlige oplysninger’-link, der giver brugerne mulighed for at fravælge, at data sælges til tredjeparter
Tilvalg er påkrævet for webstedsbrugere under 16 år (og forældresamtykke for brugere under 13 år)
Forbrugerrettigheder skal fremgå af din hjemmesides privatlivspolitik
Privatlivspolitikken skal opdateres årligt for at sikre, at kategorier af indsamlede personlige oplysninger forbliver opdaterede
Du skal være parat til at imødekomme anmodninger fra forbrugere om videregivelse af personlige oplysninger, du har indsamlet om dem i de sidste 12 måneder, uden beregning.
Du bør sikre dig, at du ikke diskriminerer en forbruger baseret på, at vedkommende udøver retten til at anmode om offentliggørelse, vælge salg, rette eller slette oplysninger.
Sørg for, at dine cookiepolitikker er CCPA-kompatible
Cookies indsamler oplysninger om webstedsbrugere, herunder oplysninger, der kan opfylde CCPA-definitionen af personlige oplysninger. Selv om oplysninger ikke er identificerende i sig selv, kan de blive personlige, når de betragtes i kombination med andre data.
Cookiebannere bruges ofte til at give brugerne de nødvendige oplysninger og bekræfte samtykke til dataindsamling. At se på nogle CCPA-cookiebannereksempler kan give dig en idé om, hvordan et banner kan fungere på dit websted.
Husk, CCPA er ikke den eneste lovgivning, der gælder for databeskyttelse for californiske beboere, California Privacy Rights Act (CPRA) er også relevant. Få mere at vide om forskellene mellem CCPA og CPRA.
At udarbejde de juridiske krav i forskellige regler kan være hovedpine. Lad CookieHub tage belastningen for dig – vi kan hjælpe med at sikre, at dine cookies overholder CCPA og andre databeskyttelsesregler, hvilket giver dig ro i sindet.