Logo Logo
Cookiebot

Hvad er CCPA?


California Consumer Privacy Act (CCPA) er en privatlivslovgivning for staten Californien, som regulerer hvordan virksomheder verden over kan behandle californiske indbyggeres persondata (”personal information”, eller PI).

CCPA træder i kraft den 1. januar 2020 og er den første lov af sin art i USA.


De tre kriterier for hvilke virksomheder der skal overholde CCPA

CCPA gælder for enhver for-profit virksomhed i hele verden, som sælger mere end 50.000 californiske indbyggeres persondata årligt, eller har en årlig bruttoindtægt der overstiger $25 millioner, eller som får mere end 50 procent af sin årlige indtægt fra salget af californiske indbyggeres personlige informationer.

Salg af PI er i CCPA defineret som, at ”sælge, leje, frigive, videregive, formidle, gøre tilgængelig, overføre, eller på anden måde kommunikere mundtligt, skriftligt, eller via elektroniske eller andre midler, en forbrugers personlige information fra virksomheden til en anden virksomhed eller tredjepart for monetært eller andet værdiskabende formål.” (1798.140.t1. Oversat af Cookiebot).

Hvis en virksomhed deler fælles branding (dvs. delt navn, servicemærke eller varemærke) med en anden virksomhed der falder under kravet for overholdelse af CCPA, vil denne virksomhed ligeledes være underlagt CCPA.

Under CCPA er californiske indbyggere (”forbrugere”) beføjet med retten til at opte ud af, at deres data bliver solgt til tredjeparter, retten til at anmode om udlevering af allerede indsamlede data, og retten til at anmode om at allerede indsamlede data slettes.

Endvidere har californiske indbyggere retten til at blive informeret og retten til lige behandling og lige priser (de må med andre ord ikke diskrimineres imod, fordi de vælger at udøve deres rettigheder).

Manglende overholdelse af CCPA kan resultere i bøder til virksomheder på $7.500 per overtrædelse og $750 per berørte forbruger i skadeerstatninger.

Ansvaret for at håndhæve CCPA ligger hos den californiske anklagemyndighed, som har indtil juli 2020 til at præcisere hvorledes dette skal gøres i praksis. Det er dog ikke ensbetydende med, at man i den mellemliggende periode januar til juli 2020 er fredet. Der kan anlægges civilretlig sag imod virksomheder for deres indsamling og salg af data allerede fra og med den 1. januar 2020.


Hvad betyder CCPA for min hjemmeside?


Hvis din virksomhed falder under en af CCPA’s tre ovennævnte kriterier og har et online domæne, er det påkrævet at du implementerer ændringer på din hjemmeside.

Din hjemmeside skal informere brugerne ved eller inden dataindsamlingen om kategorierne af personlig information der bliver indsamlet og til hvilke formål.

Din hjemmeside skal indeholde et ”Sælg ikke mine personlige informationer”-link som brugere kan anvende til at opte ud af tredjeparts datasalg.

Hvis din hjemmeside har mindreårige under 16 blandt sine brugere, skal du indhente deres samtykke (opt-in) inden du må sælge eller formidle deres personlige information til tredjeparter. Hvis den mindreårige er under 13, skal en forælder eller værge afgive samtykket for dem.

Din virksomhed skal også opdatere sin hjemmesides privatlivspolitik så den indeholder en beskrivelse af forbrugerens rettigheder og hvorledes de kan udøves. Din privatlivspolitik skal også indeholde en årligt opdateret liste over hvilke kategorier af personlig information som din virksomhed indsamler, sælger og videregiver.

Hvis din virksomhed får en verificerbar anmodning fra en forbruger der udbeder sig udleveringen af deres personlige information som du har indsamlet, skal du, uden beregning, udlevere de registrerede persondata indsamlet i de seneste 12 måneder (inklusive kilder, kommercielle formål og kategorier af tredjeparter, som disse data er blevet delt med).

Din virksomhed må ikke diskriminere på baggrund af en forbrugers valg om at udøve sin ret til at opte ud, anmode om udlevering eller sletning af sine data.


Hvordan defineres personlig information i CCPA?


Personlig information bliver i CCPA defineret som ”information som identificerer, vedrører, beskriver, er rimeligt i stand til at blive forbundet med, direkte eller indirekte, en specifik forbruger eller husstand.” (1798.140.o1, Oversat af Cookiebot).

Personlig information inkluderer under CCPA direkte identifikatorer (såsom personnavn, alias, postadresse, sygesikringsnummer), unikke identifikatorer (såsom cookies, IP adresser og kontonumre), biometriske data (såsom ansigts- og stemmeoptagelser), geolokationsdata (såsom lokationshistorik), internet-aktivitet (såsom browsing-historik, søgehistorik, data om interaktion med en hjemmeside eller app), sensitiv information (såsom sundhedsdata, personkarakteristik, adfærd, religiøs eller politisk overbevisning, seksuelle præferencer, beskæftigelse samt data om uddannelse, finansiel situation og medicinske informationer).

Personlig information inkluderer også udledte data, som kan lede til identifikation af et individ eller en husstand.

Aggregeret og anonym information er undtaget fra CCPA, medmindre den på nogen måde er gen-identificerbar.

Det vil sige at data som i sig selv ikke udgør personlig information, kan under CCPA blive til det hvis det kan bruges – via udledelse eller kombination med andre data – til at identificere et individ eller en husstand.


Hvad siger CCPA om cookies? 


Cookies og andre tracking-teknologier til hjemmesider er klassificeret som unikke identifikatorer og udgør en del af CCPA’s definition af personlig information.

Cookies er en af de mest almindelige teknologier i verden til at give hjemmesider mulighed for at indsamle personlig information om slutbrugere.

Førstepartscookies (sat af hjemmesiden selv) indsamler ofte anonyme data mhp. hjemmesidens basale funktionalitet og slettes når browservinduet lukkes.

Tredjepartscookies, på den anden side (sat af bl.a. tech-selskaber og sociale medie-platforme) indsamler mange personlige, ofte sensitive informationer om forbrugere, og kan opbevares i op til hundrede år.

Selv data indsamlet på din hjemmeside via cookies som isoleret set ikke udgør personlig information (såsom anonymiseret analytics data), men som ved brug af udledelse eller kombination med andre data mhp. identifikation af og forbindelsen af enheder, opbygningen af personprofiler og til målrettet markedsføring, kan i sidste ende blive betragtet som personlig information under CCPA.

Hvis din virksomhed falder under en eller flere af de tre kategorier for virksomheder, der skal overholde CCPA, så er du ansvarlig for enhver type personlig information, du indsamler om californiske indbyggere via din hjemmesides cookies. Forbrugere kan anmode om udlevering af den PI der er indsamlet på din hjemmeside i de foregående 12 måneder, såvel som kræve, at du sletter denne data.

Du skal derfor vide hvilken data din hjemmeside indsamler, hvordan den indsamler den og til hvilke formål, og med hvem (hvilke tredjeparter) den deler denne data.

Cookiebot er en markedsledende løsning til kontrol af cookies og håndtering af samtykker som sikrer overholdelse af GDPR og, fra og med januar 2020, også CCPA.

Cookiebot er en teknologi som dybdescanner din hjemmeside og finder alle cookies og lignende tracking og automatisk kontrollerer dem, så du og dine slutbrugere kan have fuld vished om hvilken personlig information som bliver indsamlet og hvilke tredjeparter den deles med.

Cookiebot tilvejebringer også overholdelse af CCPA for virksomheder ved at implementere det påkrævede ”Ikke sælg min personlige information”-link med cookiedeklarationen som scanneren genererer, såvel som at tilbyde opt-in bannere til at indhente samtykke fra mindreårige under 16.

Prøv Cookiebot gratis i dag.


Kilder


Læs mere om CCPA

Den officielle CCPA lovtekst

Læs mere om CCPA compliance

Find ud af detaljerne i CCPA's definition af personlig information

Læs mere om CCPA og cookies

Læs mere om forbrugerrettighederne i CCPA

Se vores CCPA vs GDPR sammenligning

Hvad er GDPR?

Læs mere om GDPR i USA

Ny Google Consent Mode 

Cookiebot integrerer perfekt med den nye Google Consent Mode.

Gør din brug af cookies og online tracking compliant

Prøv gratis nu