Skip to main content

California Consumer Privacy Act (CCPA)

TL; DR

California Consumer Privacy Act (CCPA) trädde i kraft den 1 januari 2020. Det är en viktig lagstiftning som syftar till att skydda kaliforniens personuppgifter och försöka ge dem mer kontroll över dessa uppgifter. I vissa avseenden är det den amerikanska versionen av General Data Protection Regulation (GDPR). Och liksom GDPR går dess effekter långt utanför dess egna gränser, dess tillämplighet är inte betingad av territoriet.

Vad är CCPA?

California Consumer Privacy Act (CCPA), som antogs 2018 och träder i kraft den 1 januari 2020, ger Kaliforniens konsumenter ytterligare rättigheter och skydd om hur företag kan använda deras personliga information. CCPA ålägger företag många skyldigheter, liknande dem som åläggs genom den allmänna dataskyddsförordningen (GDPR) som antagits av Europeiska unionen (EU). CCPA är dock lite mer överseendeoch fokuserar mer på potentiell försäljning av personuppgifter.

Baserat på lagstiftning som infördes sommaren 2018, ger Kaliforniens nya integritetslagstiftning konsumenter rätt att be ett företag att avslöja detaljer om den personliga information som det samlar in om konsumenten.

Kaliforniens konsumenträttigheter

Närmare bestämt har förslaget till lag nr. 3752 i California Assembly har följande konsumentskyddsrättigheter:

  • Kaliforniens rätt att veta vilka personuppgifter som samlas in om dem.
  • Kaliforniens rätt att veta om deras personliga information säljs eller avslöjas och till vem.
  • Kaliforniens rätt att säga nej till försäljning av personuppgifter.
  • Kaliforniens rätt att få tillgång till sina personuppgifter.
  • Kaliforniens rätt till lika priser och tjänster, även om de utövar sina integritetsrättigheter.

Vem drabbas

CCPA gäller alla företag som hanterar personuppgifter för medborgare i Kalifornien, oavsett varifrån de verkar. Detta är särskilt viktigt för alla webbplatser som kalifornier kan komma åt och oavsiktligt lämnar sina personuppgifter på (t.ex. IP, plats etc.).

CCPA anses dock vara mer överseende eftersom det endast tillämpas på specifika företag och det utesluter oftast småföretag. De som riktar sig är företag:

  • som har en årlig bruttointäkter på över 25 miljoner dollar;
  • som köper, samlar in eller säljer personlig information om 50 000 eller fler konsumenter eller hushåll;
  • som tjänar mer än hälften av sina årliga intäkter från försäljning av konsumenters personliga information.

Organisationer måste implementera och upprätthålla rimliga säkerhetsprocedurer och rutiner för skydd av konsumentdata.