I september 2022 indvilligede onlineforhandleren Sephora i at betale 1,2 millioner dollars for overtrædelse af California Consumer Privacy Act (CCPA) – første gang Californiens justitsminister tog offentlige håndhævelsesforanstaltninger siden lovens indførelse i 2020.
Flytningen signalerede en afslutning på afregningsperioden for dataloven og starten på en hårdere tilgang til håndhævelse. Hvis du ikke er sikker på, at din organisation overholder CCPA, er det tid til at træde op – ellers kan du blive udsat for en straf.
Lad os se på konsekvenserne af at overtræde CCPA og den bedste måde at opfylde CCPA-overholdelseskrav på.
CCPA-sanktioner
CCPA gælder for for-profit virksomheder, der indsamler eller behandler personoplysninger fra indbyggere i Californien.
CCPA fastsætter mekanismer til at straffe manglende overholdelse af Californiens lov. En overtrædelse kan omfatte:
– Ikke at have en CCPA-kompatibel privatlivspolitik
– Ikke at svare på en forbrugeranmodning om videregivelse af data som krævet af CCPA
– Ikke at give den rette underretning om personoplysninger, der indsamles
– Ikke at tillade brugere at fravælge salg af deres personlige oplysninger
– Diskriminerende politikker over for brugere, der udøver CCPA-rettigheder
Det er vigtigt at bemærke, at der gælder en “helbredelsesperiode” for CCPA-overtrædelser. Statsadvokaten er forpligtet til at give virksomheder 30 dage til at opnå CCPA-overholdelse. Hvis problemerne ikke afhjælpes inden for denne frist, kan der anvendes sanktioner. Der har været nogen kritik af denne bestemmelse, så vær opmærksom på mulige ændringer i fremtiden.
CCPA skelner mellem forsætlige og ikke-forsætlige overtrædelser af loven. Når en virksomhed er blevet officielt underrettet af statsadvokaten, kan manglende overholdelse efter perioden på 30 dage fortolkes som en forsætlig overtrædelse.
CCPA-bøder
CCPA fastsætter sanktioner for manglende overholdelse. California Attorney General er bemyndiget til at gribe ind over for dem, der overtræder CCPA.
Den maksimale civile straf for en utilsigtet CCPA-overtrædelse er $ 2,500 pr. Overtrædelse. For forsætlige overtrædelser er den maksimale bøde $ 7,500 pr. Overtrædelse. Der er ikke fastsat noget loft over det samlede bødebeløb, der kan opkræves.
De maksimale bødebeløb lyder måske ret beskedne, men hvis det blev konstateret, at en virksomhed forsætligt havde begået tusinder eller endda hundredtusinder af forsætlige overtrædelser, for eksempel ved ikke at opfylde CCPA-fravalgskravene, kunne det samlede beløb være enormt.
Det skal bemærkes, at $ 2,500 og $ 7,500 er de maksimale niveauer, der er fastsat for sanktioner. Når retten overvejer, hvilke sanktioner der skal anvendes, vil den overveje flere faktorer såsom arten, grovheden og vedholdenheden af adfærden, om den var forsætlig, den periode, hvor overtrædelserne fandt sted, antallet af overtrædelser og tiltaltes betalingsmidler.
Borgerne har også en privat ret til at anlægge sag, hvor en CCPA-krænkelsesrettighed finder sted, der resulterer i uautoriseret adgang, tyveri eller videregivelse af personoplysninger, hvor overtrædelsen er resultatet af manglende opretholdelse af rimelige sikkerhedsprocedurer og -praksis. Hvad der tæller som “rimeligt”, bedømmes i forhold til arten af forbrugerens pågældende personlige oplysninger.
CCPA tillader forbrugere at kræve $ 750 pr. Forbruger pr. Hændelse eller at søge faktiske skader, hvor tab kan påvises at være opstået som følge af overtrædelsen. Igen er dette en relativt ny lov, og advokater vil sandsynligvis forsøge at udfordre disse bestemmelser, især omkring muligheden for at anlægge gruppesøgsmål, så pas på udviklingen.
Igen, hvor privatpersoner giver meddelelse om en overtrædelse, har virksomheden 30 dage til at løse problemet uden at blive udsat for yderligere handling.
Sådan undgår du bøder og sanktioner
Den enkleste måde at undgå at skulle betale CCPA-sanktioner på er at forstå og overholde lovens krav. Sanktioner for overtrædelse af CCPA er kun en konsekvens af manglende overholdelse – et databrud kan resultere i meget mere alvorlig skade på din virksomhed gennem mistede kunder, negativ omtale, reduceret kreditvurdering, mangel på investorer og så videre.
For at sikre, at du overholder CCPA, skal du overveje disse trin:
1. Opdater din privatlivspolitik – denne skal være CCPA-kompatibel med årlige gennemgange for at sikre, at den forbliver opdateret
2. Udfør en intern gennemgang – kortlæg hvordan personlige oplysninger flyder gennem din organisation for at markere eventuelle problemer
3. Tjek dine forbrugermeddelelser – giver du nok oplysninger om, hvordan og hvornår du indsamler personlige oplysninger?
4. Sørg for, at du kan opretholde CCPA-rettigheder – for eksempel kan du overholde fristen på 45 dage for at overholde anmodninger om videregivelse af personoplysninger?
5. Oprethold en robust dataopgørelse – du skal vide nøjagtigt, hvornår og hvor data kommer ind i dine systemer – en automatiseret opgørelse kan hjælpe med overholdelse
6. Forbered dig på databrud – fejl sker, og databrud kan ske på trods af en organisations bedste indsats. Forberedelse af et svar kan hjælpe med at minimere skaden, hvis der opstår et brud
Se vores praktiske tjekliste for overholdelse af CCPA for at få flere oplysninger.
Cookie-notifikationer er en vigtig del af CCPA-overholdelse – har du brug for hjælp til at sikre, at dine er op til jobbet? Kontakt CookieHub for at diskutere dine behov.