Disse to californiske love former det amerikanske privatlivs- og datasikkerhedsmiljø - her er hvad du bør vide om dem
California Consumer Privacy Act (CCPA) og California Privacy Rights Act (CPRA) er to californiske love, der var de første stykker omfattende beskyttelse af privatlivets fred i USA. Siden deres passage har de inspireret en række lignende love rundt om i landet og er hurtigt ved at blive standarden for databeskyttelse og beskyttelse i USA.
Men til dels på grund af lovenes lignende forkortelser og deres lignende ordlyd er mange mennesker forvirrede over, hvad disse to love er, og hvad de betyder for både virksomheder og forbrugere. Lad os se nærmere på de to love, så vi kan forstå, hvad de er, hvordan de kan påvirke dig, og hvad du kan forvente fremadrettet.
Hvad er CCPA?
California Consumer Privacy Act of 2018 var en lov, der blev underskrevet i 2018 af den daværende guvernør i Californien Jerry Brown. Loven er en statsstatut, der forbedrede privatlivets fred og forbrugerbeskyttelse for mennesker, der bor i Californien, og det betyder, at indbyggere i Californien har ret til:
- Vide, hvilke personoplysninger der indsamles om dem
- Vide, om deres personlige data sælges eller afsløres og til hvem
- Sig nej til salg af deres personlige data
- Få adgang til disse personoplysninger
- Anmod om, at en virksomhed sletter alle personlige data, der er indsamlet om dem
- Ikke blive diskrimineret for at gøre noget af ovenstående i et forsøg på at beskytte deres privatliv
Denne lov gælder for enhver virksomhed eller for-profit organisation, der indsamler forbrugerdata, driver forretning i Californien og har et af følgende træk:
- Bruttoomsætning på over $25 millioner
- Køber, modtager eller sælger personlige oplysninger om mindst 50.000 forbrugere eller husstande
- Tjener mere end halvdelen af sin årlige omsætning på salg af forbrugerdata
Regelsættet indeholder en række bestemmelser om ansvarlighed. For eksempel skal enhver, der indsamler personlige oplysninger, have en proces for at opnå forældres eller værges samtykke for mindreårige under 13 år og bekræftende samtykke for alle 13 til 16 år.
Der skal også vises et link på webstedets startside, der siger noget i retning af “Sælg ikke mine personlige oplysninger”, som fører til en webside, der lader folk fravælge salget af personens personlige oplysninger.
Der skal også være metoder på plads for folk til at indsende anmodninger om dataadgang – som minimum skal det indeholde et gratis telefonnummer. Endelig må dataindsamleren ikke bede om opt-in samtykke fra en person, der fravælger i mindst 12 måneder.
Bøder for manglende overholdelse af reglen er bemærkelsesværdige. Virksomheder, der bliver ofre for datatyveri eller andre sikkerhedsbrud, kan pålægges at betale erstatning på op til $ 750 pr. Bosiddende og hændelse i Californien eller faktiske skader, hvis de er højere. En bøde på op til $ 7,500 for hver forsætlig overtrædelse og op til $ 2,500 for hver utilsigtet overtrædelse er også inkluderet.
Der er to bemærkelsesværdige undtagelser fra reglen: personlige sundhedsoplysninger og økonomiske oplysninger.
Hvad er CPRA?
California Privacy Rights Act of 2020, også kendt som Proposition 24 og CPRA, var et afstemningsforslag, der blev godkendt af vælgerne i Californien i 2020 med en stemme på 56 procent mod 44 procent. CPRA udvidede de forbrugerbeskyttelseslove, der var tilgængelige for indbyggere i staten, og byggede på fundamentet skabt af CCPA. CPRA erstatter ikke ligefrem CCPA – mere præcist ændrer den loven og tilføjer nye bestemmelser. CPRA trådte i kraft den 16. december 2020, men de fleste af bestemmelserne er ikke fuldt funktionsdygtige før 1. januar 2023.
CPRA etablerer blandt andet et nyt agentur, California Privacy Protection Agency, som har “fuld administrativ magt, myndighed og jurisdiktion til at implementere og håndhæve CCPA. Agenturet vil dele tilsyn med forbrugernes privatliv og håndhævelse af loven med Californiens justitsministerium. Loven kræver også, at virksomheder indhenter tilladelse fra forbrugere yngre end 16 år, før de indsamler deres data.
Andre bestemmelser i loven giver forbrugerne mulighed for at forhindre virksomheder i at dele deres personoplysninger og skaber en ramme, der forbyder indsamling af unøjagtige personoplysninger. Det begrænser også virksomhedernes mulighed for at bruge følsomme personlige oplysninger såsom præcis placering, race, etnicitet, religion, genetisk sammensætning, privat kommunikation, seksuel orientering og specifikke sundhedsoplysninger.
Hvad er virkningerne (indtil videre) af de nye love om privatlivets fred?
Indtil videre har privatlivslovgivningen haft indflydelse på udgivere og teknologivirksomheder, der havde brug for at ansætte juridiske teams til at gennemgå deres drift samt overholdelsessoftware, selvom det har haft ringe eller ingen indflydelse på annonceindtægter, annoncepriser eller lagerbeholdning, ifølge en branchegruppe. Det står i skarp kontrast til de konsekvenser, der blev set i kølvandet på den lov, der inspirerede den californiske lov – den globale databeskyttelsesforordning, der trådte i kraft et par år tidligere i Europa og havde brede globale konsekvenser.
Den reelle indvirkning kan dog ikke ses i flere år – det vil komme, da flere stater påberåber sig deres egne privatlivslove, hvilket vil lægge mere pres på føderale lovgivere for at vedtage en omfattende national lov. En national lov kan kræves af dem i branchen såvel som forbrugernes vagthunde, da det vil forenkle overholdelsen i modsætning til at have en række regler, der gælder for hver stat.
Er du forberedt på CPRA og CCPA?
CookieHub er cookie-overholdelse gjort enkelt – en komplet samtykkehåndteringsplatform, der har alt hvad du behøver for at forblive i overensstemmelse med CCPA samt en række andre regler både i USA og rundt om i verden.