Mens de fleste mennesker, der arbejder med databeskyttelse, har hørt om GDPR, får CCPA meget mindre opmærksomhed. CCPA, der er vedtaget af Californiens lovgivende forsamling, forsøger at give forbrugerne mere kontrol over deres personlige data.
CCPA og GDPR deler mange ligheder – da begge retsakter har til formål at løse de samme problemer. Nemlig de mange databrud på persondata fra store virksomheder og den hemmelige indsamling af personoplysninger uden regulatorisk tilsyn.
I denne artikel vil vi undersøge, hvad CCPA er, hvem den regulerer, og hvordan man bliver kompatibel. Så hvis du er en virksomhed med forbindelser til Californien, skal du fortsætte med at læse.
Hvad er CCPA?
California Consumer Privacy Act (CCPA) blev udarbejdet og vedtaget som lov af Californiens lovgivende forsamling den 28. juni 2018. Denne skelsættende lov giver californiske forbrugere mange nye privatlivsrettigheder, herunder:
- Retten til at vide, hvornår deres personoplysninger indsamles.
- Retten til at slette de personoplysninger, der er indsamlet.
- Retten til at fravælge salg af deres personoplysninger.
- Retten til ikke-forskelsbehandling, når de udøver deres rettigheder i henhold til CCPA.
Desuden har californiske forbrugere også ret til at vide, hvornår deres personoplysninger sælges, og til hvem og kan få adgang til deres personoplysninger efter anmodning.
For dem, der er bekendt med det grundlæggende i GDPR, vil meget af ovenstående virke bekendt. Rammerne for de to forordninger er faktisk ens.
Hvad er forskellene mellem CCPA og GDPR?
I modsætning til GDPR er den primære forskel, at mens GDPR gælder selv for midlertidigt bosiddende, gælder det samme ikke for CCPA. For at kvalificere sig som en “californisk forbruger” skal en person have boet i staten længe nok til at registrere sig for at betale skat.
Ellers er de ikke omfattet af denne lovgivningsmæssige beskyttelse.
Hvem skal overholde CCPA?
Igen, i modsætning til GDPR, gælder CCPA udelukkende for en profitvirksomhed, der indsamler og bruger californiske forbrugeres personoplysninger. For at opfylde denne definition skal en virksomhed opfylde mindst en af følgende tærskler:
- Årlig bruttoomsætning på mere end 25 millioner dollars
- Modtage eller videregive personoplysninger for 50.000 eller flere forbrugere, husstande eller enheder i Californien om året
- Tjen 50 % eller mere årlig omsætning fra salg af californiske indbyggeres personlige data
Da nonprofitorganisationer og mindre virksomheder ikke opfylder disse tærskler, behøver de ofte ikke at overholde CCPA. Dette er det modsatte af EU, hvor alle organisationer, der bruger EU-borgerdata, i henhold til GDPR skal overholde (med nogle undtagelser for virksomheder under 250 ansatte).
Skal virksomheder uden for Californien overholde reglerne?
En stor strid med EU og Storbritanniens GDPR er de “ekstraterritoriale virkninger”. Det betyder, at virksomheder uden for EU eller Storbritannien stadig skal overholde GDPR, så længe de henvender sig til EU-borgere. For eksempel skal en onlineleverandør i Californien følge GDPR, når de indsamler og bruger data fra EU-kunder.
Det modsatte er imidlertid ikke tilfældet.
I øjeblikket regulerer CCPA kun for-profit virksomheder, der er etableret i Californien, eller som indirekte kvalificerer sig (såsom moderselskaber og datterselskaber af virksomheder etableret i Californien). Derfor behøver organisationer, der er placeret uden for staten, ikke at være i overensstemmelse med CCPA.
Hvordan definerer CCPA personoplysninger?
I henhold til CCPA defineres personoplysninger bredt som:
“… oplysninger, der identificerer, relaterer til, beskriver, kan forbindes med eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller husstand.”
Det inkluderer cpr-numre, kørekortnumre, købshistorik, unikke personlige identifikatorer, navn, adresse, telefonnumre og mere.
Det er en betydeligt bredere definition, der typisk findes i databeskyttelseslove – selv EU GDPR.
Sådan bliver du CCPA-kompatibel
CCPA er et komplekst stykke lovgivning med mange facetter. Det er derfor forståeligt, at mange californiske virksomheder finder overholdelse forvirrende og problematisk.
Det burde dog ikke være sådan.
Manglende overholdelse kan give bøder på op til $2,500 pr. overtrædelse. Og forsætlige overtrædelser kan resultere i bøder på op til $7,500 pr. overtrædelse. Forbrugere kan også sagsøge virksomheder for overtrædelser, inddrive erstatning på $100 til $750 pr. hændelse eller faktiske skader – alt efter hvad der er størst. Det er uden at tage hensyn til de indirekte omkostninger for et brands omdømme og status.
Derfor er overholdelse afgørende. Her er de bedste måder at blive CCPA-kompatibel på:
- Informerer altid forbrugerne om, hvordan og hvornår deres personoplysninger håndteres, bruges eller deles.
- Få altid tilladelse fra forbrugerne, før de indsamler deres data.
- Oprethold en opdateret privatlivspolitik, der gennemgås årligt.
- Give forbrugerne adgang til deres data.
- Give forbrugerne mulighed for at anmode om, at deres personoplysninger slettes.
- Giv en fuldstændig forklaring til en forbruger om CCPA, og hvordan den regulerer deres databeskyttelsesrettigheder.
- Virksomheder, der sælger personoplysninger, skal oprette en Sælg ikke mine personoplysninger-side.
Dette er en omfattende tjekliste, der hjælper med at kickstarte din compliance-indsats. Den er dog ikke udtømmende. Der er også softwarepakker tilgængelige, der hjælper med at understøtte CCPA-overholdelse.
Og du kan også henvise til selve lovgivningen her.
Konklusion
Ligesom andre databeskyttelseslove, såsom GDPR, regulerer CCPA indsamling og brug af personoplysninger. Det er i øjeblikket kun begrænset til indbyggere i Californien og gælder ikke for virksomheder beliggende uden for Californien.
For sådanne virksomheder er det afgørende at sikre CCPA-tilpasning for at undgå bøder og skader på en virksomheds omdømme.
Kilder:
https://www.truevault.com/ccpa-guide/ccpa-enforcement-and-penalties
https://www.pacificdataintegrators.com/insights/ccpa-compliance
https://contractbook.com/blog/what-is-ccpa-and-how-do-you-become-compliant
https://www.oag.ca.gov/privacy/ccpa
https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html
https://www.cpomagazine.com/data-protection/ccpa-vs-gdpr-spot-the-difference/
https://www.oag.ca.gov/privacy/ccpa
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5