Den Europæiske Unions (EU) generelle forordning om databeskyttelse (GDPR) og California Consumer Privacy Act (CCPA) har mange ligheder: De blev indført omkring samme tid, de giver begge forbrugerne større rettigheder over deres data, og de har begge virkninger på globalt plan – men der er også vigtige forskelle.
Så hvad er nogle af de vigtigste forskelle mellem GDPR og CCPA? Hvordan kan du være sikker på, at dit websted er kompatibelt?
CCPA vs. GDPR
| Area | CCPA | GDPR |
|---|---|---|
| Scope | For-profit business trading in California with gross annual revenue over $25 million, or processing data of over 50,000 consumers, households or devices or deriving over 50% of annual revenue from selling consumer data Non-profits controlled by a for-profit parent company are also covered | Data controllers and processors either established in the EU or located outside the EU but processing the data of EU data subjects in connection with selling goods or services or monitoring consumer behavior in the EU |
| Beneficiaries of protection | California residents, including where they are travelling out of state | Data subjects, meaning where data relates to identified or identifiable individuals. |
| Type of information | Personal information - this identifies, relates to, describes or is capable of being associated with, or may reasonably be linked (directly or indirectly) to a particular consumer or household. Some categories of personal information are identified as falling within the definition | Personal data - information relating to an identified or identifiable subject. Some categories of personal data can only be processed if a lawful justification can be found |
| Privacy notice | Privacy notice must confirm what categories of personal data are collected and for what intended purpose. Third parties must give consumer the opportunity to opt out of their data being re-sold | Data controllers must provide detailed information about how data is collected and processed, including whether third parties are involved |
| Right to access | Consumers can request disclosure of their data, which must be provided free of charge in a portable format | Data subjects can access their data following a written request, which must be provided in a portable format |
| Right to delete | Consumers can request the deletion of their data, although there are some grounds for organizations to refuse | Data subjects can request erasure of personal data if it falls within one of six circumstances |
| Right to correct | Consumers can ask for incorrect data about them to be corrected | Data subjects can ask for incorrect data about them to be corrected |
| Right to refuse | Consumers can opt out of their data being processed for particular purposes such as direct marketing, profiling and research | Consent must be given before personal data is collected and this can be withdrawn subsequently |
| Right to opt out of third party sales | Users must be given the opportunity to opt out of consumers’ personal information being sold on to third parties | No specific right to opt out of third party sales but data subjects can opt out of processing data for marketing and withdraw consent for data processing |
| Freedom from discrimination | Individuals have the right to freedom from discrimination where they exercise CCPA rights, for example withholding services if an individual opts out of data collection | The right not to be discriminated against is not explicitly stated |
| Security controls | Data security requirements are not contained in the CCPA but if a business violates its duty to implement reasonable security practices, individuals may be able to seek damages | Data controllers and processors are required to select appropriate technical and organizational measures to manage security risk |
| Enforcement | Breaches can be punished by a fine applied by the California Attorney General of up to $2,500 per violation or $7,500 for intentional violations. There is no cap on the total fine amount. Businesses are given 30 days to rectify breaches before fines are assessed. Individuals can only bring a lawsuit privately where businesses can be shown to be in violation of their duty to implement reasonable security procedures and only for a specific category of personal information, which excludes redacted or encrypted data | Fines are capped at €20 million or 4% of annual global turnover. Individuals can also take court action seeking compensation from a data controller or processor |
Enkeltpersoners rettigheder i henhold til CCPA og GDPR
Mens de to love gælder for forskellige jurisdiktioner, deler de nogle ligheder med hensyn til de rettigheder, de giver enkeltpersoner.
Ret til at blive informeret
Både CCPA og GDPR kræver, at virksomheder informerer enkeltpersoner om indsamling, brug og deling af deres personlige oplysninger. Dette omfatter levering af en meddelelse om beskyttelse af personlige oplysninger og angivelse af de formål, hvortil dataene vil blive behandlet.
Ret til indsigt
Enkeltpersoner har ret til at anmode om adgang til deres personlige oplysninger, der opbevares af en virksomhed i henhold til både CCPA og GDPR. Dette giver dem mulighed for at se, hvilke data der behandles, og kontrollere deres nøjagtighed.
Ret til berigtigelse
For at overholde GDPR har enkeltpersoner ret til at anmode om rettelse af unøjagtige eller ufuldstændige personlige oplysninger. Selvom CCPA ikke udtrykkeligt giver denne ret, kan virksomheder stadig være nødt til at rette unøjagtige data for at overholde andre CCPA-krav.
Ret til sletning/sletning
Både CCPA og GDPR giver enkeltpersoner ret til at anmode om sletning af deres personlige oplysninger under visse omstændigheder, såsom når dataene ikke længere er nødvendige til det formål, de blev indsamlet, eller hvis personen trækker sit samtykke tilbage.
Ret til dataportabilitet
GDPR giver enkeltpersoner ret til at få deres personlige oplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, så de kan overføre dem til en anden controller. CCPA tilbyder ikke udtrykkeligt denne ret, men det giver enkeltpersoner mulighed for at anmode om deres personlige oplysninger i et let anvendeligt format.
Ret til indsigelse/begrænsning af behandling
I henhold til GDPR kan enkeltpersoner gøre indsigelse mod behandlingen af deres personlige oplysninger til specifikke formål, såsom direkte markedsføring, og kan anmode om begrænsninger for behandlingen i visse situationer. CCPA giver ikke en tilsvarende ret, men kræver, at virksomheder respekterer anmodninger om “Sælg ikke mine personlige oplysninger” fra forbrugere.
Ret til at fravælge salg af personlige oplysninger
CCPA giver forbrugerne ret til at fravælge en virksomheds salg af deres personlige oplysninger. GDPR har ikke en specifik tilsvarende bestemmelse, men enkeltpersoner kan udøve deres ret til at gøre indsigelse mod behandling baseret på legitime interesser eller til direkte markedsføringsformål, som kan opnå et lignende resultat.
Ret til ikke-forskelsbehandling
Både CCPA og GDPR forbyder virksomheder at diskriminere enkeltpersoner, der udøver deres privatlivsrettigheder. Dette omfatter opkrævning af forskellige priser, levering af forskellige serviceniveauer eller nægtelse af varer og tjenester helt.
Det er vigtigt at bemærke, at disse rettigheder ikke er absolutte og kan være underlagt undtagelser afhængigt af de specifikke omstændigheder og lovkrav.
Forstår du forskellene mellem CCPA og GDPR?
CCPA og GDPR dækker meget af det samme område, men der er nogle vigtige forskelle mellem de to regimer. Efterhånden som flere lande udarbejder deres egen datalovgivning, er det vigtigt at være opdateret med detaljerne om, hvad du skal gøre for at opfylde CCPA-kravene, overholde GDPR-samtykkekravene og andre regler, der gælder for dine aktiviteter.
Hvorfor ikke lade CookieHub hjælpe dig med at administrere dine cookiepolitikker, så du kan være sikker på, at du opfylder kravene forskellige steder?