Läs in merKaliforniens konsumentskyddslagen (CCPA)är en dataskyddslagstiftning som antas i delstaten Kalifornien, USA, utformad för att skydda integritetsrättigheterna för Kalifornienbor genom att ge dem mer kontroll över sina personuppgifter. Den trädde i kraft den 1 januari 2020. Nedan följer en översikt över de viktigaste elementen och bestämmelserna i CCPA:
1.Syftet med CCPA
CCPA syftar till att ge Kaliforniens invånare öppenhet om hur deras personuppgifter samlas in, används och delas av företag. Det ger individer möjlighet att få tillgång till, radera och kontrollera sina personuppgifter.
2.Vem gäller CCPA på?
CCPA gäller för vinstdrivande företag som uppfyller ett eller flera av följande kriterier:
- Årsintäkterpå över 25 miljoner dollar.
- Köper, säljer eller delar personuppgifterav 100 000 eller fler Kalifornien konsumenter eller hushåll.
- Härledar 50% eller mer av årsintäkternafrån att sälja Kaliforniens konsumenters personuppgifter.
Även företag utanför Kalifornien måste följa om de uppfyller dessa tröskelvärden och behandlar personuppgifter om invånare i Kalifornien.
3.Vad är personuppgifter under CCPA?
CCPA definierar personuppgifter som i stort sett all information som kan kopplas till en viss individ eller hushåll. Detta inkluderar, men är inte begränsat till:
- Namn, adress, telefonnummer, e-post.
- Personnummer, körkortsnummer.
- Internetaktivitet, IP-adress och geolokaliseringsdata.
- Köphistorik, webbhistorik.
- Anställnings- och utbildningsinformation.
- Biometriska data.
Det innehåller också eventuella slutsatser som dras från data som kan skapa en profil om en individs preferenser, egenskaper, psykologiska trender och beteenden.
4.Konsumenträttigheter enligt CCPA
CCPA beviljar följande rättigheter till invånare i Kalifornien:
a.Rätt att veta
Konsumenterna har rätt att begära:
- De kategorier och specifika personuppgifter som samlas in om dem.
- De kategorier av källor från vilka deras information samlades in.
- Affärs- eller kommersiella ändamål för att samla in eller sälja sina personuppgifter.
- De kategorier av tredje part som deras information delas med.
b.Rätt att radera
Konsumenterna kan begära att ett företag raderar sina personuppgifter som har samlats in, med vissa undantag (t.ex. om uppgifterna är nödvändiga för att slutföra en transaktion, uppfylla en rättslig skyldighet eller av säkerhetsändamål).
c.Rätt att avanmäla försäljning av personuppgifter
Konsumenterna har rätt att välja bort försäljning av sina personuppgifter till tredje part. Företag måste tillhandahålla en tydlig och iögonfallande länk "Sälj inte mina personuppgifter" på sin webbplats för att underlätta denna opt-out-process.
d.Rätt till icke-diskriminering
Konsumenterna kan inte diskrimineras för utövandet av sina CCPA-rättigheter. Det innebär att företag inte kan:
- Förneka varor eller tjänster.
- Ladda olika priser eller priser.
- Tillhandahålla en annan nivå eller servicekvalitet, såvida inte skillnaderna rimligen är relaterade till värdet av konsumentens uppgifter.
5.Skyldigheter för företag enligt CCPA
Företag som omfattas av CCPA måste följa flera krav:
a.Tillhandahåll sekretessmeddelanden
Företagen ska informera konsumenterna, vid eller före datainsamlingen, om vilka typer av personuppgifter som samlas in och de ändamål för vilka de kommer att användas. Denna information presenteras vanligtvis i en sekretesspolicy.
b.Svara på konsumentförfrågningar
- Företag är skyldiga att verifiera och svara på konsumenternas förfrågningar om att komma åt, ta bort eller välja bort inom 45 dagar.
- De måste tillhandahålla en metod för konsumenter att lämna in dessa förfrågningar, till exempel ett avgiftsfritt nummer eller ett webbformulär.
c.Utbildning och inspelning
- Anställda som hanterar konsumentförfrågningar om integritet måste utbildas i hur CCPA ska följas.
- Företag måste föra register över konsumenternas önskemål och hur de hanterades i minst 24 månader.
d.Datasäkerhet
- CCPA ålägger företag en skyldighet att genomföra och upprätthålla rimliga säkerhetsrutiner och praxis för att skydda konsumenternas personuppgifter.
6.Böter och straff
CCPA möjliggör verkställighet avKalifornien Advokat General, liksom privata stämningar under särskilda omständigheter:
- Avsiktliga kränkningarkan leda till böter på upp till $ 7,500 per överträdelse.
- Oavsiktliga överträdelserkan resultera i böter på $2 500 per överträdelse om inte korrigeras inom 30 dagar efter att frågan underrättats.
- Konsumenter kan också väcka privata stämningar om deras personuppgifter exponeras på grund av ett företags underlåtenhet att genomföra rimliga säkerhetsåtgärder, med lagstadgade skador som sträcker sig från $ 100 till $ 750 per incident eller faktiska skador, beroende på vilket som är störst.
7.Kaliforniens sekretesslagen (CPRA)
År 2020 godkände Kaliforniens väljareKaliforniens sekretesslagen (CPRA), som expanderar på CCPA. HLR träder i kraft den 1 januari 2023 och inför flera ytterligare rättigheter och skyldigheter, bland annat:
- Rätt till rättelse: Konsumenterna kan begära att felaktiga personuppgifter korrigeras.
- Utökad rätt att välja bort: Konsumenterna kan välja bort inte bara försäljning av personuppgifter utan också delning av personuppgifter för riktad reklam.
- Känsliga personuppgifter: HLR inför nya regler för användning och utlämnande av känsliga personuppgifter (t.ex. finansiella uppgifter, ras, hälsouppgifter).
- Skapande av Kaliforniens sekretessbyrå (CPPA): CPRA inrättar denna byrå för att upprätthålla integritetslagstiftningen och ge vägledning till företag och konsumenter.
8.Jämförelser med GDPR
Även om CCPA är en stor integritetslagstiftning i USA, skiljer den sig frånDataskyddsförordningen (GDPR)på flera sätt:
- Tillämplighet: GDPR gäller globalt för alla organisationer som behandlar personuppgifter om EU-invånare, medan CCPA endast gäller för Kalifornien-invånare.
- Samtycke: GDPR kräver bekräftande samtycke till datainsamling, medan CCPA tillåter företag att samla in och använda personuppgifter om inte konsumenten väljer bort.
- Konsumenträttigheter: GDPR ger bredare rättigheter, till exempel rätten till dataportabilitet och mer omfattande skydd kring automatiserat beslutsfattande.
CCPA är en av de mest omfattande dataskyddslagarna i USA och representerar en övergång till ökad datatransparens och konsumentkontroll över personuppgifter. Lagen sätter grunden för framtida integritetslagstiftning i USA och jämförs ofta med internationella dataskyddslagar som GDPR.