Bemærk, at CCPA er blevet ændret ved California Privacy Rights Act (CPRA), som nu er trådt i kraft. Se denne vejledning: CPRA: Intro til CCPA 2.0 og hvordan det berører dig, samt alle oplysninger om, hvad du skal gøre, og hvad det betyder for dig.
Oplysningerne nedenfor vedrører CCPA og er ikke længere helt opdaterede.
California Privacy Rights Act (CPRA) bygger videre på den eksisterende California Consumer Privacy Act (CCPA) ved at beskytte forbrugernes personoplysninger yderligere. CPRA supplerer, men hverken erstatter eller ophæver, de eksisterende rammer, som er fastlagt i CCPA.
CCPA tildeler forskellige rettigheder til indbyggere i Californien og regulerer de handlinger, som virksomheder, der indsamler eller sælger personoplysninger, kan foretage. Konsekvenserne af tredjepartsbehandling af forbrugeroplysninger har dog været en smule åbne for fortolkning. Dette gav anledning til en ændring af CCPA, også kaldet California Privacy Rights Act (CPRA).
CPRA trådte i kraft i januar 2023 og behandler mere udførligt nogle få nøgleelementer i CCPA og kan betragtes som en mere omfattende udgave af loven.
💡 Vores produkter er blevet opdateret, så de er i overensstemmelse med de seneste ændringer i CPRA. Du kan se alle oplysninger om, hvad du skal gøre for at overholde reglerne, her.
CPRA, eller California Privacy Rights Act, er en opdateret og udvidet udgave af CCPA. Den blev vedtaget af vælgerne i Californien i november 2020 og træder i kraft den 1. januar 2023. CPRA bygger videre på den beskyttelse, som CCPA yder, og indfører nye krav til virksomheder. Se den største forskel mellem CCPA og CPRA her →
Generelt finder CCPA anvendelse, når BEGGE af følgende betingelser er opfyldt:
I henhold til CCPA defineres en “forbruger” som en fysisk person, der er bosiddende i Californien.
I henhold til California Consumer Privacy Act defineres en “virksomhed” som en organisation med profit for øje, der indsamler personoplysninger om forbrugere, bestemmer formålet med og metoden til behandlingen, er rettet mod indbyggere i Californien (uanset om virksomheden rent faktisk er baseret i Californien eller ej), og opfylder mindst et af følgende krav:
I henhold til California Consumer Privacy Act defineres “personoplysninger” som “oplysninger, der identificerer, relaterer sig til, beskriver, kan tilknyttes eller med rimelighed kan forbindes, direkte eller indirekte, med en bestemt forbruger eller husstand.”
CCPA beskriver endvidere, at personoplysninger kan omfatte, men ikke er begrænset til:
Salg i forbindelse med CCPA er defineret som: “salg, udlejning, frigivelse, videregivelse, formidling, tilrådighedsstillelse, overførsel eller anden mundtlig, skriftlig eller elektronisk eller anden overdragelse af en forbrugers personoplysninger fra en virksomhed til en anden virksomhed eller en tredjepart mod betaling af penge eller anden modydelse“.
Selv om CCPA ikke på nuværende tidspunkt udtrykkeligt definerer “modydelse”, er det i henhold til californisk aftaleret defineret som: “[a]enhver fordel, som en anden person giver eller har aftalt at give til løftegiveren, som løftegiveren ikke er berettiget til i henhold til lovgivningen, eller enhver skade, som denne person lider eller har accepteret at lide, bortset fra den skade, som personen på tidspunktet for samtykket er retmæssigt forpligtet til at lide, som en tilskyndelse for løftegiveren, er en modydelse.” (Cal. Civ. Code § 1605).
I denne sammenhæng kan “modydelse” fortolkes bredt som værende alle aftaler, hvor der udveksles personoplysninger – og hvor den overdragende enhed modtager en fordel som den ikke ville være juridisk berettiget til uden aftalen.
CalOPPA er ikke blevet ophævet af CCPA og er stadig gældende. Dette er noget, du skal være opmærksom på, selv om definitionen af “virksomhed” ovenfor ikke gælder for dig, da du måske stadig skal overholde CalOPPA, eller måske er begge love gældende for dig. Læs mere om CalOPPA her
Hvad kræver CCPA helt præcist?
I henhold til CCPA har forbrugerne ret til at blive informeret om, hvordan deres oplysninger behandles på eller før indsamlingstidspunktet.
I henhold til California Consumer Privacy Act skal du oplyse:
I henhold til CCPA har forbrugerne ret til at få adgang til deres personoplysninger, når de på en verificerbar måde anmoder om det.*
Forbrugerne har især ret til at få adgang til:
*Ved verificerbar måde eller “verificerbar anmodning fra en forbruger” forstås en anmodning, der fremsættes af en forbruger, af en forbruger på vegne af forbrugerens mindreårige barn, eller af en fysisk person eller en person, der er registreret hos myndighederne, og som af forbrugeren er bemyndiget til at handle på forbrugerens vegne, og som virksomheden med rimelighed kan verificere … er den forbruger, som virksomheden har indsamlet personoplysninger om. Cal. Civ. Code § 1798.140(y)
Du skal give forbrugerne to eller flere metoder til at anmode om indsigt, herunder som minimum et gratis telefonnummer og, hvis virksomheden har en hjemmeside, en webadresse. Du skal også gøre en rimelig indsats for at kontrollere, at den person, der fremsætter anmodningen, enten er den forbruger, oplysningerne vedrører, eller er bemyndiget til at anmode om disse oplysninger på vegne af forbrugeren som beskrevet ovenfor.
I henhold til California Consumer Privacy Act er retten til dataportabilitet kombineret med retten til indsigt i henhold til paragraf 1798.100 (d).
Når virksomheder opfylder anmodninger om anmodninger om adgang “elektronisk”, kræves det også, at oplysningerne leveres til forbrugeren i “et bærbart og, i det omfang det er teknisk muligt, anvendeligt format, der gør det muligt for forbrugeren at overføre disse oplysninger til en anden enhed uden hindring“.
Anmodninger om oplysninger skal efterkommes uden beregning inden 45 dage efter forbrugerens verificerbare anmodning. Denne frist kan forlænges yderligere én gang med yderligere 45 dage, hvis det er rimeligt nødvendigt, og forudsat at forbrugeren underrettes om forlængelsen inden for den første 45 dages periode.
De oplysninger, der fremlægges for at imødekomme denne anmodning, bør omfatte de 12 måneder, der ligger forud for modtagelsen af anmodningen.
Virksomheder skal svare enten pr. almindelig post eller i elektronisk form (f.eks. e-mail, download af filer osv.). Hvis oplysningerne leveres elektronisk, skal de ifølge loven være “bærbare”, dvs. de skal leveres i et format, der er let at bruge, og som gør det muligt at overføre oplysningerne til en anden enhed uden hindringer.
CCPA giver forbrugerne ret til at anmode om at få slettet alle personoplysninger, der er blevet indsamlet om dem. Hvis du modtager en verificerbar anmodning om sletning fra en forbruger, skal du slette forbrugerens personoplysninger fra dine registre og give eventuelle tilknyttede tjenesteudbydere instruks om at slette forbrugerens personoplysninger fra deres registre.
Du skal give forbrugerne to eller flere metoder til at indgive anmodninger, herunder som minimum et gratis telefonnummer og, hvis virksomheden har en hjemmeside, en webadresse. Du skal også gøre en rimelig indsats for at kontrollere, at den person, der fremsætter anmodningen, enten er den forbruger, oplysningerne vedrører, eller er bemyndiget til at anmode om disse oplysninger på vegne af forbrugeren som beskrevet ovenfor.
Denne anmodning skal efterkommes uden beregning inden 45 dage efter forbrugerens verificerbare anmodning. Denne frist kan forlænges yderligere én gang med yderligere 45 dage, hvis det er rimeligt nødvendigt, og forudsat at forbrugeren underrettes om forlængelsen inden for den første 45 dages periode.
Virksomhederne er ikke forpligtet til at efterkomme anmodningen om sletning, hvis oplysningerne er nødvendige:
I henhold til CCPA har en forbruger til enhver tid ret til at meddele en virksomhed, der sælger vedkommendes personoplysninger til tredjepart, at virksomheden skal stoppe med at sælge sådanne personoplysninger.
Som nævnt ovenfor betyder “sælge”, “salg” eller “solgt” i henhold til CCPA salg, udlejning, frigivelse, videregivelse, udbredelse, tilrådighedsstillelse, overførsel eller anden mundtlig, skriftlig eller elektronisk kommunikation af en virksomheds personoplysninger om en forbruger til en anden virksomhed eller en tredjepart, mod betaling af penge eller anden modydelse.
To mindre indlysende eksempler på, hvad der kunne* betragtes som “salg” i henhold til CCPA, er:
*Husk på, at nogle elementer kan ændre sig på dette stadie af gennemførelsen, efterhånden som loven finpudses yderligere.
Hvis du “sælger” forbrugernes personoplysninger til tredjeparter, skal du oplyse forbrugerne om dette og også oplyse dem om, at de har ret til at fravælge salg af deres personoplysninger (jf. “Retten til at blive informeret” ovenfor).
Det må ikke være et krav, at en forbruger skal oprette en konto for at foretage dette fravalg (“opt-out”). Denne proces bør i stedet faciliteres via et link “Sælg ikke mine personoplysninger” (“DNSMPI“) på din hjemmeside eller i din privatlivsmeddelelse.
Hvis en virksomhed modtager en instruks fra en forbruger om ikke at sælge forbrugerens personoplysninger, er det forbudt at sælge forbrugerens personoplysninger, medmindre forbrugeren efterfølgende giver udtrykkelig tilladelse til salg af personoplysninger (“opt-in”).
Virksomhederne må kun bede om forbrugerens tilladelse én gang mere, og først 12 måneder efter, at forbrugeren har fravalgt det.
Det er forbudt for virksomheder at sælge forbrugerens personoplysninger, hvis virksomheden er bekendt med, at forbrugeren er under 16 år. I sådanne tilfælde må virksomhederne kun sælge oplysningerne, hvis:
I henhold til CCPA er det forbudt for virksomheder at forskelsbehandle forbrugere, der udøver deres rettigheder i henhold til loven. Forbudte former for forskelsbehandling omfatter:
En virksomhed må kun opkræve eller tilbyde forskellige priser, takster, niveauer, kvalitet af varer eller tjenesteydelser i tilfælde, hvis denne forskel står i rimeligt forhold til den værdi, der leveres til forbrugeren med forbrugerens data.
En virksomhed tilbyder f.eks. en standardrabat på 30 % på et produkt som et incitament til at genkøbe produktet en måned efter forbrugerens første køb af det samme produkt. I løbet af denne periode udøver forbrugeren sin ret til sletning og anmoder om at få sine personoplysninger slettet. I dette tilfælde kan virksomheden, fordi den ikke længere har de forbrugeroplysninger, der viser, at forbrugeren tidligere har købt produktet, ikke med rimelighed tilbyde den pågældende forbruger den sædvanlige rabat på 30 %.
En virksomhed kan tilbyde økonomiske incitamenter, herunder betalinger til forbrugere, som kompensation for indsamling af personoplysninger, salg af personoplysninger eller sletning af personoplysninger. I sådanne tilfælde skal sådanne økonomiske incitamenter oplyses til brugerne på din hjemmeside og i din privatlivspolitik.
Det er forbudt for virksomheder at anvende økonomiske incitamenter, der er “uretfærdige, urimelige, tvangsmæssige eller ågeragtige i deres natur”.
Nogle har kaldt CCPA for “den californiske databeskyttelseslovgivning“, men her kan du se, hvor disse to love om beskyttelse af personoplysninger reelt er sammenlignelige:
| CCPA | Den europæiske databeskyttelsesforordning | |
|---|---|---|
| Håndhævende organ? | Statsadvokaten i staten Californien, USA. | Nationale databeskyttelsesmyndigheder (EU-medlemsstater). |
| Hvem skal overholde kravene? | Alle virksomheder med profit for øje, der henvender sig til californiske forbrugere og enten:
|
Alle enheder (nonprofit- eller andre enheder – herunder ngo’er, enkeltpersoner og offentlige enheder), der henvender sig til forbrugere i EU, eller som er baseret i EU. |
| Hvilke typer af data er beskyttet? | Alle data, der vedrører eller kan knyttes til en bestemt forbruger eller husstand, med undtagelse af offentlige myndighedernes registre. | Alle data, der kan føre til identifikation af en person. |
| Bliver IP-adresser betragtet som personoplysninger? | ||
| Er der krav om samtykke før behandling? | Kun i tilfælde af mindreårige og i tilfælde af tidligere opt-out. | Ja, medmindre et andet retsgrundlag legitimt finder anvendelse. |
| Skal virksomhederne give forbrugerne mulighed for at fravælge eller tilbagekalde deres samtykke? | Ja, de skal tilvejebringe et DNSMPI-link og imødekomme anmodninger om fravalg. | Brugerne har både ret til at tilbagekalde deres samtykke og ret til at gøre indsigelse mod behandlingen (kan også være relevant i tilfælde, hvor behandlingen er baseret på et andet retsgrundlag end samtykke). |
| Gælder beskyttelsen også for interaktioner mellem virksomheder (B2B)? | Nej, CCPA gælder kun for forbrugere. | GDPR skelner ikke mellem beskyttelsen af B2B- og B2C-interaktioner (Business to Consumer), men anvender blot beskyttelsen for “registrerede personer“, der defineres som “identificerbare fysiske personer” med bopæl i EU. |
| Sikkerhedskrav? | CCPA indeholder ingen specifikke sikkerhedskrav, men giver forbrugerne en udtrykkelig ret til at anlægge sag om erstatning som følge af en virksomheds manglende implementering af passende sikkerhedspraksis. | GDPR kræver, at både dataansvarlige og databehandlere implementerer sikkerhedsforanstaltninger, der passer til den særlige risiko, der er involveret. Disse foranstaltninger skal være “state of the art”, hvilket betyder, at de skal være på højde med de nyeste standarder. |
| Sanktioner ved manglende overholdelse? | Bøder på op til 7.500 USD pr. overtrædelse. CCPA giver også forbrugerne ret til at anlægge erstatningssøgsmål. | Bøder på op til 20 mio. EUR (22 mio. USD) eller 4 % af den årlige globale omsætning – alt efter hvad der er højest – samt potentielle revisioner og sanktioner. GDPR giver også de registrerede personer ret til at anlægge sag, hvis deres rettigheder er blevet krænket. |
| Oversigt over gældende brugerrettigheder | ||
| Retten til at blive informeret | ||
| Retten til adgang | ||
| Retten til portabilitet | ||
| Retten til berigtigelse | × | |
| Retten til at blive slettet | ||
| Retten til at gøre indsigelse | I en vis grad omfattet af retten til fravalg | |
Forbrugerne har ret til at sagsøge* virksomheder, der overtræder loven. De tilknyttede bøder vil være på mellem 100 og 750 USD eller et højere beløb i forhold til den faktiske skade (hvis der kan dokumenteres større skade).
*Dette gælder kun for selve virksomhederne og ikke for “tjenesteudbydere”, der handler på vegne af virksomheden.
Staten kan anlægge sag om op til 2.500 USD pr. overtrædelse for virksomheder, der utilsigtet overtræder CCPA, og bøder på op til 7.500 USD pr. overtrædelse for virksomheder, der begår forsætlige overtrædelser.
Selv om disse bøder måske ikke virker særligt store i forhold til andre love om beskyttelse af privatlivets fred, skal du huske på, at disse bøder gælder pr. overtrædelse og pr. forbruger. For en virksomhed med blot nogle få kunder kan disse bøder løbe op i et stort beløb.
Overholdelse af CCPA er i lighed med overholdelse af andre love om beskyttelse af privatlivets fred omfattende og involverer en egentlig gennemgang, planlægning og teknisk og juridisk implementering. Oftest er det dog gennemførelsen, der viser sig at kræve den største indsats.
Det er her, iubenda kommer ind i billedet. Implementeringen kan være kompliceret. Vi hjælper dig ved at tilbyde effektive softwareløsninger – understøttet af vores internationale juridiske team – som giver dig mulighed for at håndtere selv de mest komplekse situationer med få klik og som kan tilpasses fuldt ud efter behov (læs mere om vores løsninger, og hvordan de kan hjælpe dig, her).
Uanset hvordan du vælger at gribe implementeringsprocessen an, er der stadig nogle få grundlæggende trin, du skal tage, før du overhovedet når til implementeringsfasen. Lad os se nærmere på dem og resten af implementeringsprocessen nedenfor.
Måske er et af de vigtigste trin at gennemgå og vurdere dine egne processer og systemer på en ærlig måde.
Nogle spørgsmål, du kan stille dig selv her, er:
På baggrund af svarene i ovenstående trin skal du strukturere og inkludere de relevante erklæringer i din privatlivspolitik og eventuelt på det sted, hvor der indsamles data (f.eks. en kontaktformular), hvis det er relevant.
Sørg for at medtage oplysninger om:
Rettighederne til adgang, portabilitet og sletning skal opfyldes uden omkostninger for forbrugeren inden for 45 dage efter modtagelse af en verificerbar anmodning. Opfyldelsesfristen kan forlænges (kun én gang) med yderligere 45 dage, hvis det er nødvendigt, forudsat at forbrugeren er blevet underrettet herom.
Når anmodninger om adgang og portabilitet imødekommes, skal de oplysninger, der returneres til forbrugeren, sendes i et let anvendeligt og let overførbart format.
Hvis en forbruger udøver sin opt-out-rettighed (retten til at sige nej til salg af sine data), skal du efterkomme anmodningen, når du modtager den.
I tilfælde, hvor du er vidende om, at forbrugeren er en mindreårig under 16 år, må du ikke sælge vedkommendes oplysninger, medmindre du udtrykkeligt har fået tilladelse hertil af en forælder eller værge (for mindreårige under 13 år), eller hvis du udtrykkeligt har fået tilladelse hertil af den mindreårige forbruger i tilfælde, hvor den mindreårige er mellem 13 og 16 år.
Som et krav i forbindelse med forbrugerens ret til at fravælge salg af oplysninger skal du sørge for et let tilgængeligt, klart og tydeligt link til “Sælg ikke mine personoplysninger” (“DNSMPI“) på din hjemmeside og i din privatlivspolitik (med passende oplysninger om den tilhørende forbrugerrettighed).
Linket skal lede brugeren til en side, hvor han eller hun kan fravælge salg af sine personoplysninger.
Hvis det er teknisk muligt, kan du hoste og omdirigere indbyggerne i Californien til en separat hjemmeside med det synlige DNSMPI-link.
Den service, kvalitet, det niveau og/eller de priser, du opkræver/tilbyder til forbrugerne, må ikke påvirkes af eller være afhængig af, om de har valgt at håndhæve deres rettigheder. De eneste undtagelser til denne regel er de tilfælde, hvor værdien af den tilbudte tjeneste eller vare afhænger af de data, der er indsamlet om forbrugeren (se eksemplet ovenfor).
Du må tilbyde økonomiske incitamenter (herunder betalinger) til forbrugere til gengæld for adgang til deres personoplysninger, men du må kun bruge økonomiske incitamenter, som er rimelige og som ikke udgør tvang eller afpresning. I alle disse tilfælde skal forbrugerne først informeres om sådanne incitamenter på din hjemmeside.
Love er ligesom de mennesker, behov og idéer, de understøtter, ofte dynamiske “levende” ting. På samme måde kan dine egne forretningsformål, partnere og processer ændre sig med tiden.
Det er derfor vigtigt, at du regelmæssigt gennemgår og vurderer dine interne processer, tekniske muligheder og juridiske dokumenter og holder dem ajour med lovgivningen.
Overholdelse kan generelt være kompliceret – det kan være en stor udfordring at finde ud af den rigtige måde at anvende loven på og få de tekniske specifikationer til at fungere for din hjemmeside og din virksomhed.
Vores løsninger gør det tunge tekniske og juridiske arbejde, så du kan fokusere på at udvikle din virksomhed.
Alle privatlivspolitikker, der genereres med iubenda, giver dig mulighed for at overholde CCPA, da de indeholder muligheden for nemt at anvende de juridiske standarder, der er defineret i CCPA, i forhold til californiske brugere.
Vores løsning gør det nemt for dig at opfylde de øgede krav ved:
💡 Få mere at vide om vores Generator af privatlivs- og cookiepolitik.
Vores løsning hjælper dig med at opfylde CCPA-kravet om at informere californiske brugere om eventuel salgsaktivitet ved besøg på hjemmesiden og giver også disse brugere mulighed for at fravælge det (således som det kræves i henhold til loven).
Mere specifikt giver vores Privacy Controls and Cookie Solution dig mulighed for at gøre følgende:
💡 Få mere at vide om, hvordan du aktiverer disse funktioner.
Som nævnt ovenfor giver CCPA forbrugerne ret til at foretage opt-out. I tilfælde, hvor behandlingen er delvis manuel (dvs. ikke relateret til onsite scripts, som f.eks. i tilfælde af direkte e-mailmarkedsføring), kan virksomhederne være nødt til manuelt at implementere en løsning til opt-out.
Desuden foreskriver CCPA, at brugere, der har foretaget opt-out, ikke må kontaktes i mindst 12 måneder derefter. Derfor er det klogt at registrere oplysninger om opt-out, f.eks. den pågældende bruger, datoen og underleverandører, der skal underrettes i tilfælde af anmodninger.
Vores Consent Database hænger sammen med dine webformularer, så du automatisk kan videregive oplysninger om forbrugerpræferencer, som f.eks. opt-out, via API til et visuelt dashboard, der administreres centralt.
Du kan registrere alle relevante oplysninger, herunder dato og klokkeslæt for opt-out, den version af privatlivspolitikken, som brugeren havde adgang til på det pågældende tidspunkt, bruger-ID, e-mail og endda IP-adresse for at hjælpe med at verificere anmodningen.
💡 Læs mere om vores Consent Database.
Med vores Register over databehandlingsaktiviteter kan du helt præcist registrere de relevante oplysninger, der er nødvendige for at opfylde forbrugernes anmodninger korrekt.
Løsningen registrerer:
💡 Læs mere om Registret over databehandlingsaktiviteter.
