The California Consumer Privacy Act (CCPA) og California Privacy Rights Act (CPRA) er vigtige reguleringer, der har til formål at beskytte californiske indbyggeres privatlivsrettigheder. Disse love gælder for en bred vifte af virksomheder, herunder dem, der er placeret udenfor Californien, men som indsamler personoplysninger fra californiske indbyggere. Hvis din virksomhed opfylder nogen af de følgende kriterier, skal den overholde CCPA og CPRA:
Få et gratis cookie-banner nu
Det er ligegyldigt, om du er i USA, Europa eller et andet sted.
Det er essentielt for virksomheder at forstå og overholde disse reguleringer for at undgå potentielle bøder og juridiske konsekvenser. Ved at overholde CCPA og CPRA kan virksomheder demonstrere deres engagement i at respektere forbrugernes privatlivsrettigheder og opbygge tillid hos deres kunder.
Vigtige punkter
- Virksomheder med en årlig bruttoindkomst over 25 millioner dollars skal overholde CCPA og CPRA.
- Virksomheder, der køber, sælger eller deler personoplysninger fra 50.000 eller flere forbrugere, husstande eller enheder, skal overholde CCPA og CPRA, uanset deres indkomst.
- Virksomheder, der får 50 % eller mere af deres årlige indkomst fra at sælge forbrugernes personoplysninger, falder ind under CCPA og CPRA’s jurisdiktion.
- Selvom en virksomhed ikke er baseret i Californien, skal den overholde CCPA og CPRA, hvis den indsamler personoplysninger fra californiske indbyggere og opfylder de specificerede kriterier.
- CCPA gælder for personoplysninger såsom navne, adresser, socialforsikringsnumre, samt data om købsvaner, internetaktivitet, geolokation og endda biometriske oplysninger.
Virksomhedens størrelse og omfang
Når det kommer til virksomhedens størrelse og omfang, er der nogle vigtige faktorer at overveje. Først og fremmest, lad os tale om størrelsen af en virksomhed. Dette refererer til antallet af medarbejdere og den indkomst, den genererer. Små virksomheder har typisk færre end 100 medarbejdere, mens mellemstore virksomheder har mellem 100 og 999 medarbejdere. Store virksomheder har derimod over 1.000 medarbejdere. Lad os nu tale om omfanget af en virksomhed.
Dette refererer til rækken af produkter eller tjenester, der tilbydes, samt den geografiske rækkevidde af virksomheden. En virksomhed med et smalt omfang kan kun tilbyde en eller to produkter eller tjenester, mens en virksomhed med et bredt omfang kan tilbyde et bredt udvalg af produkter eller tjenester.
På samme måde kan en virksomhed med et lokalt omfang kun operere i en by eller region, mens en virksomhed med et globalt omfang kan operere i flere lande. Det er vigtigt for virksomheder at forstå deres størrelse og omfang, fordi det kan påvirke, hvordan de reguleres. For eksempel kan større virksomheder være underlagt strengere reguleringer, såsom California Consumer Privacy Act (CCPA), der har til formål at beskytte californiske indbyggeres privatlivsrettigheder.
Virksomheder, der falder ind under CCPA’s jurisdiktion, skal sikre, at de overholder dens krav, såsom at give forbrugerne besked om deres datainnsamlingspraksis og give forbrugerne mulighed for at fravælge salg af deres personlige oplysninger. Afslutningsvis er forståelsen af din virksomheds størrelse og omfang afgørende for at sikre overholdelse af reguleringer som CCPA. Uanset om du er en lille lokal virksomhed eller en stor global virksomhed, er det vigtigt at vide, hvor du falder på spektret, så du kan tage de nødvendige skridt for at beskytte dine kunders privatliv og sikre, at du opererer inden for lovens rammer.
Typer af data dækket
Når det kommer til CCPA-overholdelse, er det afgørende at forstå de datatyper, der er dækket af reguleringen. Dette omfatter personoplysninger såsom navne, adresser, socialforsikringsnumre og andre identifikatorer, der kan bruges til at skelne eller spore en persons identitet. Derudover dækker CCPA data relateret til karakteristika eller egenskaber ved personer, såsom deres købsvaner, browserhistorik og interaktioner med hjemmesider eller onlinetjenester.
Endvidere udvider CCPA sin dækning til data vedrørende husstande. Dette omfatter oplysninger om husstandens medlemmer, deres præferencer og aktiviteter. Reguleringen omfatter også data relateret til kommercielle oplysninger, herunder optegnelser over produkter eller tjenester købt, opnået eller overvejet. Desuden adresserer CCPA data om internet- eller andre elektroniske netværksaktiviteter.
Dette dækker oplysninger om en persons browserhistorik, søgehistorik og interaktioner med hjemmesider og reklamer. Derudover dækker reguleringen geolocation-data, som refererer til specifikke steder forbundet med en person. Det er vigtigt at bemærke, at CCPA også inkluderer biometriske oplysninger såsom fingeraftryk og nethindescanninger samt sensoriske data som lydoptagelser og visuelle billeder. Endelig dækker reguleringen professionel eller ansættelsesrelateret information om personer. Afslutningsvis dækker CCPA omfattende en bred vifte af datatyper, som virksomheder skal håndtere i overensstemmelse med reguleringen. At forstå disse dækkede datatyper er afgørende for at sikre, at organisationer opfylder deres forpligtelser under CCPA og beskytter forbrugernes privatlivsrettigheder.
Undtagelser og fritagelser
Undtagelser og fritagelser er en vigtig del af CCPA-overholdelse, idet de giver visse situationer, hvor virksomheder muligvis ikke er forpligtede til at opfylde forbrugeranmodninger. Disse undtagelser og fritagelser er designet til at balancere forbrugernes rettigheder med virksomhedernes legitime behov for at operere og beskytte deres interesser. Det er essentielt for virksomheder at forstå disse undtagelser og fritagelser for at sikre overholdelse af CCPA. En central undtagelse er undtagelsen for offentligt tilgængelige oplysninger, der gælder for personlige oplysninger, der lovligt er tilgængelige fra føderale, statslige eller lokale offentlige optegnelser.
Denne undtagelse tillader virksomheder at udelukke sådanne oplysninger fra CCPA-krav, da de allerede er bredt tilgængelige for offentligheden gennem officielle kanaler. En anden vigtig undtagelse er undtagelsen for medarbejderoplysninger, der gælder for personlige oplysninger indsamlet fra jobansøgere, medarbejdere og kontrahenter. Denne undtagelse giver lidt manøvrerum for virksomheder i håndteringen af deres interne personaledata uden at være underlagt alle CCPA-krav.
Derudover er der fritagelser for visse typer data behandlingsaktiviteter, såsom dem, der er dækket af Gramm-Leach-Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA), og Fair Credit Reporting Act (FCRA). Disse fritagelser anerkender, at disse specifikke regulatoriske rammer allerede giver robuste privatlivsbeskyttelser for de typer data, de dækker, så virksomheder, der er underlagt disse reguleringer, kan være fritaget for visse CCPA-krav.
Det er vigtigt at bemærke, at mens undtagelser og fritagelser giver en vis fleksibilitet for virksomheder, bør de ikke opfattes som smuthuller for at undgå CCPA-overholdelse. Virksomheder bør stadig tage en proaktiv tilgang til at beskytte forbrugerens privatliv og ære deres rettigheder under CCPA, selv i situationer, hvor undtagelser eller fritagelser kan gælde. Ved at forstå og omhyggeligt anvende disse undtagelser og fritagelser kan virksomheder navigere i det komplekse landskab af CCPA-overholdelse samtidig med, at de opretholder deres ansvar over for forbrugerne.
