Skip to main content

1 februari 2020 6 minuter avläsning

California Consumer Privacy Act (CCPA) träder i kraft från och med idag, 1 januari 2020

När vi firar början av det nya året tittar vi närmare på den nya Kaliforniens nya integritetslagstiftning för 2020, som kommer att ha en inverkan på hur företag hanterar personuppgifter. Kallas California Consumer Privacy Acteller CCPA, det är tänkt att ge invånarna i Kalifornien mer kontroll över hur deras personuppgifter lagras och behandlas. Från och med idag, den 1 januari 2020, är denna integritetslag i kraft.

Vem kommer den nya lagstiftningen att påverka? Vad är det viktigaste att veta om CCPA? Vad kan du göra för att se till att du som webbplatsägare följer den?

Den nya lagen kommer att påverka de flesta webbplatsägare och operatörer, som det tidigare skedde med den europeiska GDPR. Ändå är CCPA på många sätt inte lika strikt som GDPRoch riktar sig mer uttryckligen till företag som säljer konsumenters personuppgifter.

Vilka webbplatser kommer CCPA att påverka?

Först och främst är effekterna av lagen begränsade till invånare i Kalifornien. Detta betyder dock inte att företag utanför Kalifornien inte kommer att behöva följa lagen om de har att göra med kunder från denna delstat. Eftersom invånare i Kalifornien kan komma åt vilken webbplats som helst, oavsett var den drivs från, betyder det i princip att alla webbplatsägare, i USA och utomlands, bör vidta åtgärder för att följa CCPA.

Vi har sett detta tidigare med GDPR-lagen i Europa, som riktade sig till alla företag som hanterade EU-medborgares personuppgifter. När GDPR trädde i kraft följde webbplatsägare i USA och på andra håll antingen GDPR för alla sina kunder eller beslutade sig för att helt enkelt blockera åtkomsten till deras webbplatser om besöket utfördes från en IP i EU.

Om du driver en webbplats i någon av de andra amerikanska delstaterna, kanske du står inför ett liknande val här. Om du har råd att utelämna dina kunder som bor i Kalifornien, finns det möjlighet att blockera besök från kaliforniska IP-adresser. Men dataskyddslagar kommer sannolikt att vara på dagordningen för lagstiftare i framtiden också. Det är inte oförutsägbart att fler, om inte alla stater, kommer att anta liknande lagstiftning i framtiden. Så istället för att gradvis blockera potentiella kunder kan det vara klokare att följa efter nu, oavsett var ditt företag är beläget.

För det andra, till skillnad från GDPR, är effekterna av lagen något begränsade. CCPA kommer endast att gälla följande företag:

  • de med bruttointäkter på minst 25 miljoner dollar
  • de som har personlig information om minst 50 000 invånare i Kalifornien/hushåll/enheter per år
  • minst 50 % av deras årliga intäktergenereras från försäljning av personuppgifter från kalifornier

Om din webbplats samlar in personlig information, men inte faller under någon av ovanstående kategorier, är du fri att göra affärer som vanligt. Dessa varningar är ett tydligt tecken på att lagen inte utformades med småföretagare i åtanke, utan snarare att den riktar sig till företag som tjänar på att sälja stora uppsättningar personlig information. Se dock till att kontrollera antalet unika besökare från Kalifornien du har på din webbplats. Om det antalet överstiger 50 000 under ett år måste du överväga CCPA-efterlevnad.

Vad anses vara personuppgifter enligt CCPA?

Det är ingen stor skillnad från vad vi redan diskuterat i GDPR-relaterade ämnen tidigare, eftersom personuppgifterna som är involverade är i stort sett desamma: namn, e-postadresser, plats, biometriska dataetc. Lagen definierar detta som all information som "identifierar, relaterar till, beskriver, kan förknippas med, eller rimligen skulle kunna kopplas, direkt eller indirekt, till en viss konsument eller hushåll." Observera att allmänt tillgänglig information, såväl som avidentifieradeller samlad konsumentinformation, inte anses vara personlig information enligt CCPA.

Vad behöver jag göra för att vara CCPA-kompatibel?

Du kan fortfarande samla in och till och med sälja personlig information, men du måste göra det enkelt för användare att välja bort denna process. Lagen säger uttryckligen att om ett företag säljer användarnas personliga information måste det tillhandahålla en tydlig länk på deras hemsida, med titeln "Sälj inte min personliga information". Det är också olagligt att erbjuda olika tjänster eller funktioner baserat på valet att välja att in- eller välja bort. Alla kunder måste fortfarande dra nytta av samma tjänster.

I likhet med GDPR måste du ge kunder rätten till dataåtkomst, att radera deras personuppgifteroch att begära utlämnande av alla kategorier av personuppgiftersom samlas in och säljs (om så är fallet). Detta kommer att göras på årsbasis. På begäran måste du tillhandahålla personuppgifter från de senaste 12 månaderna före begäran. Kunden får dessutom endast lämna in sådana krav högst två gånger per år.

Se också till att inkludera följande i din integritetspolicy:

  • alla kategorier av information som du samlar in och bearbetar
  • vad dessa kategorier av information används till
  • hur informationen samlas in
  • hur är förfarandet för att begära tillgång till, ändra, flytta eller radera sina personuppgifter
  • hur identiteten på den person som lämnar en begäran verifieras
  • om personuppgifter säljs måste detta beskrivas här
  • hur man väljer bort försäljning av deras data

Betyder efterlevnad av GDPR automatiskt att du också är CCPA-kompatibel?

Inte nödvändigtvis, men om du har vidtagit åtgärder för att följa GDPR är du också CCPA-kompatibel. Samtliga villkor ovan finns även i GDPR, med undantag för uttryckliga regler för försäljning av personuppgifter.

Vilka är riskerna med att inte följa CCPA?

Den största risken som webbplatsägare står inför är ett dataintrång. Enligt lagen ansvarar företaget för att förhindra obehörig åtkomst och stöld av konsumenters data. Om detta skulle hända har alla användare vars data läckt rätt att ansöka om skadestånd till ett belopp mellan $100 och $750. Ett stort dataintrång, där data från tusentals användare stjäls, kan potentiellt leda till att ett företag går i konkurs. Multiplicera 1000 x $750 och du får en uppskattning av effekten.

Men innan det blir någon civilrättslig talan har företag 30 dagar på sig att "bota den uppmärksammade överträdelsen", om det är möjligt.

Analytics Tools CCPA-efterlevnad

Eftersom avidentifierade data, såväl som aggregerade data, inte faller under reglerna i CCPA, är de flesta analysverktyg sannolikt kompatibla som standard. Du bör dock se till att läsa databehandlingsavtalet och integritetspolicyn för sådana tredje parter, för att säkerställa att du har all information om användningen av personuppgifter. Som en del av strävan att följa GDPR har även Visitor Analytics blivit CCPA-kompatibel. Vårt företag ägnar sig inte åt försäljning eller delning av data med andra. De uppgifter vi samlar in kan inte kopplas till identiteten för någon individ eller hushåll eller enhet.

Om du behöver mer information om den nya integritetslagen kan du läsa hela texten i 1.81.5. California Consumer Privacy Acthär. Om du vill veta mer om hur Visitor Analytics följer integritetslagar, läs vår integritetspolicyoch databearbetningsavtal.