California Consumer Privacy Act (CCPA) gælder for for-profit virksomheder, der indsamler eller behandler data fra indbyggere i Californien – selvom de er uden for staten. Da Californien har den største økonomi i USA, har lovgivningen påvirket virksomheder over hele landet og videre, siden den trådte i kraft den 1. januar 2020.
CCPA-overholdelseskrav
CCPA-kravene har til formål at give californiske forbrugere mere kontrol over, hvordan deres data bruges, for eksempel ved at have ret til at vide, hvornår deres personlige oplysninger indsamles, få adgang til deres data, rette dem, anmode om sletning og fravælge at tillade, at data sælges videre til tredjeparter.
Hvad skal du gøre for at sikre, at du overholder CCPA? Her er en praktisk trin-for-trin guide til overholdelse.
Sådan overholdes CCPA - trin for trin
1. Kontroller, om CCPA gælder for din virksomhed
CCPA gælder for alle, der indsamler data om californiske borgere, underlagt nogle få kriterier. Aktiviteten skal udføres for profit (selvom nonprofitorganisationer kan blive fanget af reglerne, hvis de ejes eller kontrolleres af en for-profit virksomhed).
Selvom du er en for-profit organisation, er du undtaget fra loven, hvis du opfylder tre kriterier:
- Årlige bruttoindtægter over $ 35 millioner
- Modtage eller videregive data om over 50.000 indbyggere i Californien hvert år
- Generer 50 % eller mere årlig omsætning fra salg af data om indbyggere i Californien
2. Forstå definitionen af personoplysninger
“Personlige oplysninger” er defineret i loven, og det er vigtigt, at du ved, hvilke oplysninger der falder inden for den juridiske definition.
Definitionen siger, at personlige oplysninger er oplysninger, der: “identificerer, relaterer til, beskriver, kan forbindes med eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller et bestemt hus.”
Personlige oplysninger, der indsamles, omfatter indlysende data såsom navn, adresse og personnummer, men det kan også omfatte mindre åbenlyse kategorier af data såsom brugernavne, IP-adresse og browser- eller købshistorik.
3. Overvåg dine datasystemer
Dine systemer skal være i stand til at identificere indbyggere i Californien, administrere deres data i overensstemmelse med loven og gemme deres data på en måde, der betyder, at de kan tilgås, hvis de anmoder om videregivelse, sletning eller ændring i overensstemmelse med loven.
Dit datalagersystem skal identificere og klassificere data korrekt, opretholde bevis for brugerens samtykke til cookies og dataindsamling. I de fleste tilfælde skal du bruge en cookiepolitik på dit websted.
Du skal også bruge et sporingssystem til privatlivspolitik for at vise, hvilken version der var på plads på det tidspunkt, hvor samtykket blev givet. Det bør også registrere de typer data, der sælges, deles med tredjeparter eller anvendes til markedsføringsformål.
4. Forstå, hvad dine forpligtelser er i henhold til CCPA
Der er fem centrale forbrugerrettigheder under CCPA:
- Retten til at vide , hvordan en virksomhed indsamler og sælger dine oplysninger
- Retten til at få adgang til data, der opbevares om dig, og hvordan de bruges
- Retten til at slette dine personlige oplysninger, med forbehold af visse undtagelser
- Retten til at fravælge, at personlige oplysninger sælges videre
- Retten til ikke at blive diskrimineret for at udøve CCPA-rettigheder
Når du forstår disse rettigheder, kan du opbygge et system til overholdelse af loven. Vores praktiske CCPA-overholdelsestjekliste kan hjælpe dig med at forstå, hvad du skal gøre.
5. Opdater din privatlivspolitik
CCPA kræver, at virksomheder har en privatlivspolitik, der beskriver forbrugernes rettigheder, hvordan anmodninger om dataadgang kan indsendes, og de kategorier af personlige oplysninger, som virksomheden har indsamlet inden for de foregående 12 måneder.
Udover en stærk privatlivspolitik skal du også sikre, at alle personer, der håndterer forbrugerdata i din virksomhed, er fuldt uddannede, så de gør det sikkert og sikkert. Dette bør opdateres omkring en gang om året. Det er også en vigtig beskyttelse at sikre, at din cybersikkerhed er robust.
6. Implementer tilladelses- og adgangskontrol
Dit websted skal konfigureres til at give californiske borgere mulighed for at udøve deres CCPA-rettigheder, såsom at blive underrettet om, hvilke data der indsamles og behandles, fravælge data, der indsamles og sælges, og få at vide, hvordan data vil blive brugt. Sørg for, at du opfylder CCPA-fravalgskravene til dit websted baseret på forbrugeranmodninger.
7. Opret en procedure for opfyldelse af anmodninger om forbrugerrettigheder
Hvordan ville en forbruger anmode om deres data fra dig under CCPA? Du har brug for et system til opfyldelse af anmodninger om forbrugerrettigheder:
- Hvordan indgiver forbrugerne en anmodning? Er dette ved en dedikeret e-mail, telefonlinje, online formular? Du skal tilbyde to eller flere anmodningsmekanismer. Giver dit websted og andet materiale klare oplysninger om, hvordan du finder dette?
- Hvordan vil du bekræfte anmodninger? Du kan ikke bare udlevere data til enhver, der beder – du skal kunne bekræfte identiteten på den person, der fremsætter anmodningen. Du skal muligvis bruge en tredjepartsbekræftelsestjeneste eller en anden sikker bekræftelsesmetode.
- Tilvejebringelse af dataposter – disse bør dække de 12 måneder, der går forud for anmodningen, og oplysningerne bør gives i et passende format, gratis og senest 45 dage efter anmodningen.
- Opbevaring af anmodningsoptegnelser – detaljer om dataanmodninger skal opbevares i 24 måneder for at demonstrere overholdelse og hjælpe i tilfælde af en tvist. Forbrugere kan kun indgive to anmodninger inden for en periode på 12 måneder, så registreringer kan hjælpe med at holde antallet og undgå at opfylde anmodninger, der overstiger dette.
8. Vedligeholdelse og overholdelse
Opsætning af et CCPA-kompatibelt system er ikke slutningen på historien – du bør planlægge regelmæssige gennemgange af din tilgang for at sikre, at du følger bedste praksis. Dette omfatter regelmæssig personaleuddannelse, gennemgang af din privatlivspolitik årligt, kontrol af, om du opbevarer data unødigt og holder øje med juridiske ændringer eller præcedens.
CCPA og GDPR lignende?
California Consumer Privacy Act (CCPA) og EU’s General Data Protection Regulation (GDPR) repræsenterer to af de mest omfattende og indflydelsesrige privatlivsbestemmelser i dagens digitale landskab.
Begge deler det fælles mål om at give enkeltpersoner større kontrol over deres personlige data, samtidig med at organisationer, der indsamler, behandler og opbevarer sådanne oplysninger, pålægges strenge forpligtelser.
CCPA, der primært omhandler rettighederne for indbyggere i Californien, deler flere ligheder med GDPR, såsom at give enkeltpersoner ret til at få adgang til, slette og fravælge salget af deres personlige data. GDPR går dog videre og introducerer yderligere rettigheder som dataportabilitet og “retten til at blive glemt”.
CCPA og GDPR adskiller sig i omfang og jurisdiktion, men de afspejler begge en voksende global bevidsthed om vigtigheden af databeskyttelse og behovet for robuste lovgivningsmæssige rammer for at beskytte enkeltpersoners rettigheder i den digitale tidsalder.
Lad CookieHub hjælpe
Hvis du har brug for hjælp til at sikre, at dine webstedscookies er CCPA-kompatible, skal du kontakte CookieHub. Vi kan hjælpe dig med at administrere dine cookies inden for CCPA-overholdelseskrav, samtidig med at vi giver dine kunder en problemfri og problemfri oplevelse.