Skip to main content

1. februar 2020 6 minutter lest

California Consumer Privacy Act (CCPA) trer i kraft fra og med i dag, 1. januar 2020

Når vi feirer starten på det nye året, ser vi nærmere på den nye personvernloven i California for 2020, som vil ha innvirkning på måten bedrifter håndterer personopplysninger på. Kalt California Consumer Privacy Acteller CCPA, er den ment å gi innbyggerne i California mer kontroll over måten deres personlige data lagres og behandles på. Fra og med i dag, 1. januar 2020, er denne personvernloven i kraft.

Hvem vil denne nye lovgivningen påvirke? Hva er de viktigste tingene å vite om CCPA? Hva kan du gjøre for å sikre at du som nettstedeier overholder den?

Den nye loven er bundet til å påvirke de fleste nettstedeiere og -operatører, slik det tidligere skjedde med den europeiske GDPR. Likevel er CCPA på mange måter ikke så streng som GDPRog er mer eksplisitt rettet mot selskaper som selger forbrukernes personopplysninger.

Hvilke nettsteder vil CCPA påvirke?

Først av alt er virkningene av loven begrenset til innbyggere i California. Dette betyr imidlertid ikke at virksomheter utenfor California ikke trenger å overholde loven hvis de handler med kunder fra denne staten. Siden innbyggere i California kan få tilgang til et hvilket som helst nettsted, uavhengig av hvor det drives fra, betyr det i utgangspunktet at alle nettstedseiere, i USA og i utlandet, bør ta skritt for å overholde CCPA.

Vi har sett dette før med GDPR-loven i Europa, som var rettet mot alle selskaper som håndterer personopplysninger til EU-borgere. På det tidspunktet GDPR trådte i kraft, overholdt nettsideeiere i USA og andre steder enten GDPR for alle sine kunder, eller bestemte seg for å blokkere tilgangen til nettsidene deres hvis besøket ble utført fra en IP i EU.

Hvis du driver et nettsted i noen av de andre amerikanske statene, kan det hende du står overfor et lignende valg her. Hvis du har råd til å utelate kundene dine som bor i California, er det mulighet for å blokkere besøk fra kaliforniske IP-er. Imidlertid vil personvernlovgivning sannsynligvis være på agendaen til lovgivere også i fremtiden. Det er ikke uforutsigbart at flere, om ikke alle stater, vil vedta lignende lovverk i fremtiden. Så i stedet for gradvis å blokkere potensielle kunder ute, kan det være lurere å følge dem nå, uavhengig av hvor virksomheten din befinner seg.

For det andre, i motsetning til GDPR, er virkningene av loven noe begrenset. CCPA gjelder kun følgende selskaper:

  • de med bruttoinntekter på minst 25 millioner dollar
  • de som har personlig informasjon om minst 50 000 California innbyggere/husholdninger /enheter per år
  • minst 50 % av deres årlige inntektergenereres fra salg av personopplysninger til kaliforniere

Hvis nettstedet ditt samler inn personlig informasjon, men ikke faller inn under en av kategoriene ovenfor, står du fritt til å gjøre forretninger som vanlig. Disse forbeholdene er et tydelig tegn på at loven ikke ble utformet med småbedriftseiere i tankene, men snarere at den retter seg mot selskaper som tjener på å selge store sett med personlig informasjon. Sørg imidlertid for å sjekke antallet unike besøkende fra California du har på nettstedet ditt. Hvis dette tallet overstiger 50 000 i løpet av et år, må du vurdere CCPA-samsvar.

Hva anses som personopplysninger under CCPA?

Det er ikke en stor forskjell fra det vi allerede har diskutert i GDPR-relaterte emner tidligere, da personopplysningene som er involvert er stort sett de samme: navn, e-postadresser, plassering, biometriske dataosv. Loven definerer dette som all informasjon som "identifiserer, forholder seg til, beskriver, er i stand til å bli assosiert med, eller kan med rimelighet knyttes, direkte eller indirekte, til en bestemt forbruker eller husholdning". Vær oppmerksom på at offentlig tilgjengelig informasjonså vel som avidentifiserteller samlet forbrukerinformasjonikke anses som personlig informasjon under CCPA.

Hva må jeg gjøre for å være CCPA-kompatibel?

Du kan fortsatt samle inn og til og med selge personlig informasjon, men du må gjøre det enkelt for brukere å velge bort denne prosessen. Loven sier eksplisitt at hvis en bedrift selger personlig informasjon til brukerne, må den gi en tydelig lenke på hjemmesiden deres, med tittelen "Ikke selg min personlige informasjon". Det er også ulovlig å tilby forskjellige tjenester eller funksjoner basert på valget om å melde seg inn eller melde seg ut. Alle kunder må fortsatt dra nytte av de samme tjenestene.

I likhet med GDPR, må du gi kundene rett til datatilgang, slette deres personlige dataog be om utlevering av alle kategorier av personopplysningersom samles inn og selges (hvis det er tilfelle). Dette vil bli gjort på årsbasis. På forespørsel må du oppgi personopplysningene fra de siste 12 månedene før forespørselen. Kunden kan også kun fremsette slike krav maksimalt to ganger per år.

Sørg også for å inkludere følgende i personvernreglene dine:

  • alle kategorier av informasjon du samler inn og behandler
  • hva disse informasjonskategoriene brukes til
  • hvordan informasjonen samles inn
  • hva er prosedyren for å be om tilgang til, endre, flytte eller slette sine personopplysninger
  • hvordan identiteten til personen som sender inn en forespørsel verifiseres
  • hvis personopplysninger selges, må dette beskrives her
  • hvordan du velger bort salg av dataene deres

Betyr GDPR-overholdelse automatisk at du også er CCPA-kompatibel?

Ikke nødvendigvis, men sjansen er stor for at hvis du har tatt skritt for å overholde GDPR, er du også CCPA-kompatibel. Alle betingelsene ovenfor finnes også i GDPR, med unntak av eksplisitte regler for salg av personopplysninger.

Hva er risikoen ved å ikke overholde CCPA?

Den største risikoen som nettstedeiere står overfor er datainnbrudd. Etter loven er selskapet ansvarlig for å hindre uautorisert tilgang og tyveri av forbrukernes data. Hvis dette skulle skje, har enhver bruker hvis data er lekket rett til å søke om erstatning for et beløp mellom $100 og $750. Et stort datainnbrudd, hvor dataene til tusenvis av brukere blir stjålet, kan potensielt føre til at en bedrift går konkurs. Multipliser 1000 x $750 og du får et estimat på virkningen.

Men før det er noe sivilt søksmål, har selskaper 30 dager på seg til å "kurere det registrerte bruddet", hvis det er mulig.

Overholdelse av CCPA for analyseverktøy

Siden avidentifiserte data, så vel som aggregerte data, ikke faller inn under reglene til CCPA, er de fleste analyseverktøy sannsynligvis kompatible som standard. Du bør imidlertid sørge for å lese databehandlingsavtalen og personvernreglene til slike tredjeparter, for å sikre at du har all informasjon om bruken av personopplysninger. Som en del av arbeidet med å overholde GDPR, har Visitor Analytics blitt CCPA-kompatibel også. Vårt firma engasjerer seg ikke i salg eller deling av data med andre. Dataene vi samler inn kan ikke kobles til identiteten til noen enkeltperson eller husholdning eller enhet.

Hvis du trenger mer detaljer om den nye personvernloven, kan du lese hele teksten til 1.81.5. California Consumer Privacy Acther. Hvis du vil vite mer om hvordan Visitor Analytics overholder personvernlovgivningen, vennligst les vår personvernerklæringog databehandlingsavtale.

Alt-i-ett Analytics-app

Begynn å få unik innsikt med besøksanalyse

Bli med oss på reisen vår, og vi kan love at all vår innsats vil bli rettet mot stadig å oppgradere tjenestene våre for å matche alle dine behov for nettstedadministrasjon.