California Consumer Privacy Act (CCPA) er en statsbaseret databeskyttelseslov, der kontrollerer, hvordan organisationer håndterer personlige oplysninger (PI) for indbyggere i Californien. Den trådte i kraft den 1. januar 2020 og markerede den første omfattende moderne databeskyttelseslov i USA. California Privacy Rights Act (CPRA), som trådte i kraft den 1. januar 2023, udvider og ændrer CCPA.
CCPA gælder for profitvirksomheder verden over, der behandler oplysninger om over 50.000 californiske indbyggere årligt, har en bruttoårsomsætning på over millioner, eller får over 50 % af deres indtægter fra salg af californiske indbyggeres personlige oplysninger. Loven giver californiere flere rettigheder over deres data og opstiller specifikke webstedskrav for overholdelse. Manglende overholdelse kan føre til betydelige bøder.
Få et gratis cookie-banner nu
Det er ligegyldigt, om du er i USA, Europa eller et andet sted.
Vigtige punkter:
- Anvendelse og omfang:
- CCPA gælder globalt for profitvirksomheder, der behandler personlige oplysninger fra over 50.000 californiske indbyggere, tjener over millioner årligt eller får mere end halvdelen af deres indtægter fra salg af indbyggerdata.
- Forbrugernes rettigheder:
- Californiske indbyggere har ret til at fravælge datasalg, anmode om adgang til indsamlede data, anmode om sletning af data, blive underrettet og være fri for diskrimination for at udøve disse rettigheder.
- Krav til overholdelse:
- Virksomheder skal opdatere privatlivspolitikker, give et link til “Sælg eller del ikke mine personlige oplysninger”, indhente samtykke fra mindreårige under 16 år og informere brugerne om dataindsamling og formålene med den.
- Definition af personlige data:
- Personlige data inkluderer direkte identifikatorer (f.eks. navne, personnumre), unikke identifikatorer (f.eks. cookies, IP-adresser), biometriske data, geolokation, internetaktivitet og følsomme oplysninger som sundheds- og finansdata.
- CPRA-udvidelser:
- CPRA inkluderer datadeling, udvider forbrugernes rettigheder (f.eks. ret til rettelse, begrænse brugen af følsomme data) og opretter California Privacy Protection Agency (CPPA) til tilsyn. Det gælder for virksomheder, der behandler eller deler information om over 100.000 indbyggere, og understreger ansvarlig håndtering af cookie-data.
Hvornår gælder CCPA?
CCPA gælder for profit-virksomheder verden over, hvis de:
- Behandler personlige oplysninger om mere end 50.000 indbyggere i Californien årligt
- Har en årlig bruttoindkomst på over 25 millioner dollar
- Tjener mere end 50% af deres årlige indkomst fra at sælge personlige oplysninger om indbyggere i Californien
- CCPA definerer “salg” af personlige oplysninger som salg, udlejning, frigivelse, afsløring, spredning, tilgængeliggørelse, overførsel eller på anden måde kommunikation af en forbrugers personlige oplysninger for penge eller anden værdifuld modydelse.
Under CCPA har indbyggere i Californien (forbrugere) ret til:
- Fravælge, at deres data sælges
- Anmode om offentliggørelse af indsamlede data (adgangsret)
- Anmode om sletning af indsamlede data
- Blive informeret og ikke blive diskrimineret for at udøve deres rettigheder
- Manglende overholdelse kan føre til bøder: 7.500 dollar per overtrædelse og 750 dollar per berørt bruger i civilretlige skader.
Hvordan gør du din hjemmeside CCPA-kompatibel?
Hvis din virksomhed opfylder nogen CCPA-grænser og har en hjemmeside, skal du:
- Informere brugerne før eller ved dataindsamling om, hvilke typer personlige oplysninger der indsamles og hvorfor
Tilføje et link “Sælg ikke mine personlige oplysninger” for at give brugerne mulighed for at fravælge tredjeparts datasalg. (Efter CPRA skal dette lyde “Sælg ikke eller del mine personlige oplysninger.”) - Få samtykke inden salg eller afsløring af personlige oplysninger om mindreårige under 16 år. For mindreårige under 13 skal en forælder eller værge give samtykke.
Opdater din fortrolighedspolitik til at specificere forbrugernes rettigheder og hvordan de kan udøves, og inkluder en årligt opdateret liste over indsamlede, solgte, og/eller offentligtgjorte kategorier af personlige oplysninger - Giv, uden omkostninger, optegnelser over personlige oplysninger indsamlet i de sidste 12 måneder, hvis anmodet af en forbruger. Dette inkluderer kilder, kommercielle formål og kategorier for deling med tredjeparter.
- Ikke diskriminere mod forbrugere, der udøver deres rettigheder til at fravælge, anmode om offentliggørelse, korrektion eller sletning.
Hvad er personlige data?
Personlige data, som defineret af CCPA, er enhver information, der identificerer, vedrører, beskriver eller kan associeres med en bestemt forbruger eller husstand. Dette inkluderer:
- Direkte identifikatorer som rigtigt navn, postadresse eller social sikkerhedsnummer
- Unikke identifikatorer som cookies, IP-adresser eller kontonavne
- Biometriske data som ansigts- og stemmeoptagelser
- Geolokationsdata som lokalitetshistorie
- Internetaktivitet som browserhistorik, søgehistorik og interaktionsdata
- Følsomme oplysninger som sundhedsdata, personlige karakteristika, adfærd, religiøse eller politiske overbevisninger, seksuelle præferencer samt beskæftigelses- og uddannelsesdata
- Personlige oplysninger inkluderer også data, der kan identificere en enkeltperson eller husstand ved slutning. Agregerede og anonyme data er undtaget, medmindre de kan genidentificeres.
Hvad siger CCPA om cookies?
Cookies og andre sporingsteknologier er unikke identifikatorer under CCPA’s definition af personlige oplysninger. De bruges ofte på hjemmesider til at indsamle personlige oplysninger. Førsteparts cookies indsamler anonym data til essentielle hjemmesidefunktioner og slettes, når browseren lukkes. Tredjeparts cookies indsamler ofte personlige oplysninger, som kan opbevares i op til 100 år.
Data, der indsamles via cookies på din hjemmeside, kan betragtes som personlige oplysninger under CCPA. Selv anonymiserede analytics-data kan identificere enkeltpersoner, når de kombineres med andre data.
Hvad ændrede sig for virksomheder og beboere i Californien den 1. januar 2023?
Med CPRA skal profitorganisationer overholde, hvis de:
- Har en årlig bruttoindtægt på over millioner
- Tjener mere end 50% af deres årlige indtægt fra salg eller deling af personlige oplysninger om indbyggere i Californien
- CPRA øger også grænsen for behandling og/eller deling af personlige oplysninger om over 100.000 indbyggere i Californien eller husstande. Det omfatter
- B2B-data og opretter California Privacy Protection Agency (CPPA) til tilsyn og håndhævelse. CPRA udvider CCPA’s dækning til datadeling
- og udvider forbrugerrettighederne, tilføjer nye rettigheder til korrektion, begrænser brugen af følsomme personoplysninger, anmoder om oplysninger om automatiseret beslutningstagning og fravælger sådanne processer.
Virksomheder skal håndtere cookie-indsamlede data ansvarligt. Forbrugere kan anmode om offentliggørelse, korrektion eller sletning af data, der er indsamlet i de sidste 12 måneder. Din organisation skal kende og administrere, hvilke data der indsamles gennem din hjemmeside, dens formål og deling med tredjeparter.
Vores Consent Management Platform (CMP) hjælper dig med at opretholde overholdelse af GDPR, CCPA, CPRA og andre regler. CMP’en scanner din hjemmeside for cookies og sporingsteknologier og informerer dig og dine brugere om indsamlede personlige oplysninger og deres brug. Den giver også det nødvendige link “Sælg eller del ikke mine personlige oplysninger” og tilmeldings-/frameldingsbannere for mindreårige under 16 år.