Skip to main content

1. februar 2020 6 minutter læst

California Consumer Privacy Act (CCPA) træder i kraft fra i dag, den 1. januar 2020

    Når vi fejrer starten på det nye år, kigger vi nærmere på den nye californiske privatlivslov for 2020, som vil have en indflydelse på den måde, virksomheder håndterer personlige data på. Kaldet California Consumer Privacy Acteller CCPA, det er beregnet til at give indbyggerne i Californien mere kontrol over den måde, deres personlige data opbevares og behandles på. Fra i dag, den 1. januar 2020, er denne privatlivslov i kraft.

    Hvem vil denne nye lovgivning påvirke? Hvad er de vigtigste ting at vide om CCPA? Hvad kan du gøre for at sikre dig, at du som webstedsejer overholder den?

    Den nye lov er bundet til at påvirke de fleste webstedsejere og -operatører, som det tidligere skete med den europæiske GDPR. Alligevel er CCPA på mange måder ikke så streng som GDPRog er mere eksplicit rettet mod virksomheder, der sælger forbrugernes personlige data.

    Hvilke websteder vil CCPA påvirke?

    Først og fremmest er virkningerne af loven begrænset til indbyggere i Californien. Dette betyder dog ikke, at virksomheder uden for Californien ikke skal overholde loven, hvis de handler med kunder fra denne stat. Da indbyggere i Californien kan få adgang til et hvilket som helst websted, uanset hvor det drives fra, betyder det dybest set, at alle webstedsejere, i USA og i udlandet, bør tage skridt hen imod CCPA-overholdelse.

    Det har vi set før med GDPR-loven i Europa, der var rettet mod alle virksomheder, der håndterede EU-borgeres personlige oplysninger. På det tidspunkt, hvor GDPR trådte i kraft, overholdt webstedsejere i USA og andre steder enten GDPR for alle deres kunder eller besluttede blot at blokere adgangen til deres websteder, hvis besøget blev udført fra en IP i EU.

    Hvis du driver et websted i en af de andre amerikanske stater, står du muligvis over for et lignende valg her. Hvis du har råd til at udelade dine kunder, der bor i Californien, er der mulighed for at blokere besøg fra californiske IP'er. Men love om databeskyttelse vil sandsynligvis også være på dagsordenen for lovgivere i fremtiden. Det er ikke uforudsigeligt, at flere, hvis ikke alle stater, vil vedtage lignende lovgivning i fremtiden. Så i stedet for gradvist at udelukke potentielle kunder, kan det være klogere at overholde nu, uanset hvor din virksomhed er placeret.

    For det andet, i modsætning til GDPR, er virkningerne af loven noget begrænsede. CCPA vedrører kun følgende virksomheder:

    • dem med en bruttoindtægt på mindst 25 millioner dollars
    • dem, der har personlige oplysninger om mindst 50.000 californiske beboere/husstande /enheder om året
    • mindst 50 % af deres årlige omsætninggenereres fra salg af persondata fra californiere

    Hvis din hjemmeside indsamler personlige oplysninger, men ikke falder ind under en af ovenstående kategorier, så er du fri til at drive forretning som normalt. Disse forbehold er et klart tegn på, at loven ikke er designet med små virksomhedsejere i tankerne, men snarere, at den er rettet mod virksomheder, der tjener på at sælge store sæt personlige oplysninger. Sørg dog for at tjekke antallet af unikke besøgende fra Californien, du har på din hjemmeside. Hvis dette antal overstiger 50.000 på et år, skal du overveje CCPA-overholdelse.

    Hvad betragtes som personoplysninger under CCPA?

    Der er ikke den store forskel fra det, vi allerede har diskuteret i GDPR-relaterede emner tidligere, da de involverede personoplysninger stort set er de samme: navne, e-mailadresser, placering, biometriske dataosv. Loven definerer dette som enhver information, der "identificerer, relaterer sig til, beskriver, er i stand til at blive forbundet med eller med rimelighed kan forbindes direkte eller indirekte med en bestemt forbruger eller husstand". Bemærk venligst, at offentligt tilgængelige oplysningersåvel som afidentificeredeeller aggregerede forbrugeroplysningerikke betragtes som personlige oplysninger under CCPA.

    Hvad skal jeg gøre for at være CCPA-kompatibel?

    Du kan stadig indsamle og endda sælge personlige oplysninger, men du skal gøre det nemt for brugerne at fravælge denne proces. Loven siger udtrykkeligt, at hvis en virksomhed sælger brugernes personlige oplysninger, skal den give et klart link på deres hjemmeside med titlen "Sælg ikke mine personlige oplysninger". Det er også ulovligt at tilbyde forskellige tjenester eller funktioner baseret på valget om at til- eller fravælge. Alle kunder skal stadig nyde godt af de samme tjenester.

    I lighed med GDPR skal du give kunder ret til dataadgang, til at slette deres personlige dataog til at anmode om offentliggørelse af alle kategorier af persondata,der indsamles og sælges (hvis det er tilfældet). Dette vil blive gjort på årsbasis. På anmodning skal du oplyse personoplysningerne fra de foregående 12 måneder forud for anmodningen. Kunden kan desuden kun indgive sådanne krav maksimalt to gange om året.

    Sørg også for at inkludere følgende i din privatlivspolitik:

    • alle kategorier af oplysninger, du indsamler og behandler
    • hvad disse informationskategorier bruges til
    • hvordan oplysningerne indsamles
    • hvordan er proceduren for at anmode om adgang til, ændre, flytte eller slette sine personoplysninger
    • hvordan identiteten på den person, der indsender en anmodning, verificeres
    • hvis persondata sælges, skal dette beskrives her
    • hvordan man fravælger salg af deres data

    Betyder overholdelse af GDPR automatisk, at du også er CCPA-kompatibel?

    Ikke nødvendigvis, men chancerne er, at hvis du har taget skridt til at overholde GDPR, er du også CCPA-kompatibel. Alle ovenstående betingelser findes også i GDPR, med undtagelse af eksplicitte regler for salg af persondata.

    Hvad er risikoen ved ikke at overholde CCPA?

    Den største risiko for webstedsejere er brud på datasikkerheden. I henhold til loven er virksomheden ansvarlig for at forhindre uautoriseret adgang og tyveri af forbrugernes data. Hvis dette skulle ske, har enhver bruger, hvis data er lækket, ret til at ansøge om erstatning for et beløb mellem $100 og $750. Et stort databrud, hvor tusindvis af brugeres data bliver stjålet, kan potentielt føre en virksomhed til konkurs. Gang 1000 x $750, og du får et estimat af virkningen.

    Men før der er et civilt søgsmål, har virksomheder 30 dage til at "kurere den bemærkede overtrædelse", hvis det er muligt.

    Overholdelse af CCPA-analyseværktøjer

    Da afidentificerede datasåvel som aggregerede dataikke falder ind under reglerne i CCPA, er de fleste analyseværktøjer sandsynligvis kompatible som standard. Du bør dog sørge for at læse databehandleraftalen og privatlivspolitikkerne for sådanne tredjeparter for at sikre dig, at du har alle oplysninger om brugen af personlige data. Som en del af bestræbelserne på at overholde GDPR er Visitor Analytics også blevet CCPA-kompatibel. Vores virksomhed engagerer sig ikke i salg eller deling af data med andre. De data, vi indsamler, kan ikke forbindes med identiteten på nogen enkeltperson eller husstand eller enhed.

    Hvis du har brug for flere detaljer om den nye privatlivslov, kan du læse den fulde tekst af 1.81.5. California Consumer Privacy Acther. Hvis du gerne vil vide mere om, hvordan Visitor Analytics overholder lovgivningen om beskyttelse af personlige oplysninger, bedes du læse vores privatlivspolitikog databehandlingsaftale.