Hvad er CCPA?
California Consumer Privacy Act (CCPA) er en privatlivslovgivning for staten Californien, som regulerer hvordan virksomheder verden over kan behandle californiske indbyggeres persondata (”personal information”, eller PI).
CCPA trådte i kraft den 1. januar 2020 og er den første lov af sin art i USA. Fra 1. januar 2023 træder California Privacy Rights Act (CPRA) i kraft som en ændring og udvidelse af CCPA. Få mere at vide om CPRA.
De tre kriterier for hvilke virksomheder der skal overholde CCPA
CCPA gælder for enhver for-profit virksomhed i hele verden, som sælger mere end 50.000 californiske indbyggeres persondata årligt, eller har en årlig bruttoindtægt der overstiger $25 millioner, eller som får mere end 50 procent af sin årlige indtægt fra salget af californiske indbyggeres personlige informationer.
Salg af PI er i CCPA defineret som, at ”sælge, leje, frigive, videregive, formidle, gøre tilgængelig, overføre, eller på anden måde kommunikere mundtligt, skriftligt, eller via elektroniske eller andre midler, en forbrugers personlige information fra virksomheden til en anden virksomhed eller tredjepart for monetært eller andet værdiskabende formål.” (1798.140.t1. Oversat af Cookiebot CMP).
Hvis en virksomhed deler fælles branding (dvs. delt navn, servicemærke eller varemærke) med en anden virksomhed der falder under kravet for overholdelse af CCPA, vil denne virksomhed ligeledes være underlagt CCPA.
Under CCPA er californiske indbyggere (”forbrugere”) beføjet med retten til at opte ud af, at deres data bliver solgt til tredjeparter, retten til at anmode om udlevering af allerede indsamlede data, og retten til at anmode om at allerede indsamlede data slettes.
Endvidere har californiske indbyggere retten til at blive informeret og retten til lige behandling og lige priser (de må med andre ord ikke diskrimineres imod, fordi de vælger at udøve deres rettigheder).
Manglende overholdelse af CCPA kan resultere i bøder til virksomheder på $7.500 per overtrædelse og $750 per berørte forbruger i skadeerstatninger.
Hvad betyder CCPA for min hjemmeside?
Hvis din virksomhed falder under en af CCPA’s tre ovennævnte kriterier og har et online domæne, er det påkrævet at du implementerer ændringer på din hjemmeside.
Din hjemmeside skal informere brugerne ved eller inden dataindsamlingen om kategorierne af personlig information der bliver indsamlet og til hvilke formål.
Din hjemmeside skal indeholde et ”Sælg ikke mine personlige informationer”-link som brugere kan anvende til at opte ud af tredjeparts datasalg.
Hvis din hjemmeside har mindreårige under 16 blandt sine brugere, skal du indhente deres samtykke (opt-in) inden du må sælge eller formidle deres personlige information til tredjeparter. Hvis den mindreårige er under 13, skal en forælder eller værge afgive samtykket for dem.
Din virksomhed skal også opdatere sin hjemmesides privatlivspolitik så den indeholder en beskrivelse af forbrugerens rettigheder og hvorledes de kan udøves. Din privatlivspolitik skal også indeholde en årligt opdateret liste over hvilke kategorier af personlig information som din virksomhed indsamler, sælger og videregiver.
Hvis din virksomhed får en verificerbar anmodning fra en forbruger der udbeder sig udleveringen af deres personlige information som du har indsamlet, skal du, uden beregning, udlevere de registrerede persondata indsamlet i de seneste 12 måneder (inklusive kilder, kommercielle formål og kategorier af tredjeparter, som disse data er blevet delt med).
Din virksomhed må ikke diskriminere på baggrund af en forbrugers valg om at udøve sin ret til at opte ud, anmode om udlevering eller sletning af sine data.
Hvordan defineres personlig information i CCPA?
Personlig information bliver i CCPA defineret som ”information som identificerer, vedrører, beskriver, er rimeligt i stand til at blive forbundet med, direkte eller indirekte, en specifik forbruger eller husstand.” (1798.140.o1, Oversat af Cookiebot CMP).
Personlig information inkluderer under CCPA direkte identifikatorer (såsom personnavn, alias, postadresse, sygesikringsnummer), unikke identifikatorer (såsom cookies, IP adresser og kontonumre), biometriske data (såsom ansigts- og stemmeoptagelser), geolokationsdata (såsom lokationshistorik), internet-aktivitet (såsom browsing-historik, søgehistorik, data om interaktion med en hjemmeside eller app), sensitiv information (såsom sundhedsdata, personkarakteristik, adfærd, religiøs eller politisk overbevisning, seksuelle præferencer, beskæftigelse samt data om uddannelse, finansiel situation og medicinske informationer).
Personlig information inkluderer også udledte data, som kan lede til identifikation af et individ eller en husstand.
Aggregeret og anonym information er undtaget fra CCPA, medmindre den på nogen måde er gen-identificerbar.
Det vil sige at data som i sig selv ikke udgør personlig information, kan under CCPA blive til det hvis det kan bruges – via udledelse eller kombination med andre data – til at identificere et individ eller en husstand.
Hvad siger CCPA om cookies?
Cookies og andre tracking-teknologier til hjemmesider er klassificeret som unikke identifikatorer og udgør en del af CCPA’s definition af personlig information.
Cookies er en af de mest almindelige teknologier i verden til at give hjemmesider mulighed for at indsamle personlig information om slutbrugere.
Førstepartscookies (sat af hjemmesiden selv) indsamler ofte anonyme data mhp. hjemmesidens basale funktionalitet og slettes når browservinduet lukkes.
Tredjepartscookies, på den anden side (sat af bl.a. tech-selskaber og sociale medie-platforme) indsamler mange personlige, ofte sensitive informationer om forbrugere, og kan opbevares i op til hundrede år.
Selv data indsamlet på din hjemmeside via cookies som isoleret set ikke udgør personlig information (såsom anonymiseret analytics data), men som ved brug af udledelse eller kombination med andre data mhp. identifikation af og forbindelsen af enheder, opbygningen af personprofiler og til målrettet markedsføring, kan i sidste ende blive betragtet som personlig information under CCPA.
Hvilke ændringer vil træde i kraft for virksomheder og beboere i Californien fra 1. januar 2023?
Den nye California Privacy Rights Act (CPRA) gælder også for kommercielle organisationer med en årlig bruttoindtægt på mere end 25 mio. USD, eller hvor over 50 procent af den årlige omsætning kommer fra salg eller deling af personlige oplysninger om indbyggere i Californien. CPRA ændrer dog en af de tre grænseværdier: Minimumsantallet af indbyggere eller husstande i Californien, hvis personlige oplysninger behandles og/eller deles af disse virksomheder, er steget til 100.000. B2B-data indgår også i CPRA, og kontrolinstansen, California Privacy Protection Agency (CPPA), er blevet etableret.
Mens CCPA kun omfatter salg af personlige oplysninger, inkluderer CPRA deling af data. Forordningen udvider eller ændrer samtidig forbrugernes eksisterende rettigheder, og der er flere nye: retten til ændringer, at ukorrekte oplysninger om dem kan ændres, retten til begrænset brug af data, der kategoriseres som følsomme personlige oplysninger, retten til at anmode om information om automatiseret beslutningstagning og sandsynlige resultater af brugen af sådanne processer samt retten til at framelde sig brugen af automatiseret beslutningstagningsteknologi med hensyn til egne personlige oplysninger. Få mere at vide om CPRA og omfanget.
Hvis din virksomhed ligger inden for en af grænseværdierne for overholdelse af CCPA/CPRA, er du ansvarlig for de personlige oplysninger, du indsamler om indbyggere i Californien via cookies på din hjemmeside, hvis oplysningerne sælges eller deles. Forbrugere kan anmode om at få oplyst, hvilke personlige oplysninger om dem der er indsamlet på din hjemmeside inden for de seneste 12 måneder, samt anmode om, at du retter eller sletter disse data.
Du skal derfor vide hvilken data din hjemmeside indsamler, hvordan den indsamler den og til hvilke formål, og med hvem (hvilke tredjeparter) den deler denne data.
Vores Consent Management Platform (CMP) hjælper med at sikre overholdelse af den europæiske GDPR og ePrivacy-Direktivet, CCPA og CPRA samt andre bestemmelser.
CMP-teknologien dybdescanner din hjemmeside, finder alle cookies og lignende tracking og automatisk kontrollerer dem, så du og dine slutbrugere kan have fuld vished om hvilken personlig information som bliver indsamlet og hvilke tredjeparter den deles med, hvis brugerne giver deres samtykke til det.
Vi tilvejebringer også overholdelse af CCPA og CPRA for virksomheder ved at implementere det påkrævede ”Sælg eller del ikke min personlige information”-link med cookiedeklarationen som scanneren genererer, såvel som at tilbyde opt-in bannere til at indhente samtykke fra mindreårige under 16.
Prøv Cookiebot CMP gratis i dag.
Kilder
Find ud af detaljerne i CCPA’s definition af personlig information
Læs mere om forbrugerrettighederne i CCPA