California Consumer Privacy Act (CCPA) er en milepæl inden for regulering af forbrugerrettigheder, den første af sin art i USA. Det har til formål at give forbrugerne større kontrol over, hvordan deres personoplysninger indsamles og anvendes af virksomheder.
CCPA er bygget op omkring visse rettigheder, der gør det muligt for forbrugerne at se, rette, slette og kontrollere deres data. Lad os se på de syv nøglerettigheder, der er indeholdt i CCPA.
Hvad er de syv rettigheder, som CCPA giver forbrugerne?
CCPA er bygget op omkring centrale rettigheder, som forbrugerne har til at udøve kontrol over deres personoplysninger. Lovgivningen gælder for de fleste for-profit virksomheder , der håndterer personlige oplysninger om beboere i Californien.
California Privacy Rights Act (CPRA) ændrer CCPA og tilføjer regler for virksomheder, der sælger personlige oplysninger – find ud af mere om forskellene mellem CCPA og CPRA her.
Her er de syv forbrugerrettigheder, der er fastsat i CCPA (som ændret ved CPRA):
1.Ret til at vide om personlige oplysninger indsamlet af en virksomhed
2.Ret til at vide, hvordan personlige oplysninger bruges og deles
3. Ret til at slette personlige oplysninger indsamlet om dig (med nogle få undtagelser)
4. Ret til at fravælge salg eller deling af personlige oplysninger
5. Ret til ikke-diskrimination for udøvelse af CCPA-rettigheder
6. Ret til at rette unøjagtige personlige oplysninger, som en virksomhed har
7. Ret til at begrænse brug og videregivelse af følsomme personoplysninger
1. Ret til at vide om personlige oplysninger indsamlet af en virksomhed
Forbrugerne skal informeres om, hvilke personlige oplysninger der indsamles og til hvilket formål, på indsamlingsstedet. Denne meddelelse bør gives, hver gang en virksomhed begynder at indsamle nye former for personlige oplysninger, og hvis data begynder at blive brugt til et nyt formål.
Samtidig med at virksomhederne bekræfter, hvilke data der indsamles, bør de også informere forbrugeren om deres ret til at anmode om sletning af dataene.
Forbrugerne har ret til at anmode om en bærbar (let tilgængelig) kopi af alle personlige oplysninger, som en virksomhed har indsamlet om dem i de foregående 12 måneder.
For at imødekomme en anmodning skal en virksomhed bekræfte de kategorier af kilder til personlige oplysninger, der er blevet indsamlet, formålet med indsamlingen, de kategorier af tredjeparter, som dataene er blevet delt med, og de specifikke personlige oplysninger, der er blevet indsamlet.
Der bør være to måder at anmode om videregivelse (f.eks. Telefonlinje og e-mail), og det skal ske uden beregning.
2. Ret til at vide, hvordan personlige oplysninger bruges og deles
Forbrugerne bør informeres, når en organisation sælger eller deler de personlige oplysninger, de har indsamlet om dem.
Når en organisation har til hensigt at indsamle personlige oplysninger, skal det angives, hvordan disse vil blive brugt – herunder hvor de vil blive solgt eller delt. Dette gør det muligt for brugerne at fravælge salg eller deling af forbrugerens personlige oplysninger.
3. Ret til at slette personlige oplysninger indsamlet om dig (med nogle få undtagelser)
Indbyggere i Californien kan indgive en forbrugeranmodning om, at en virksomhed sletter alle personlige oplysninger, der er indsamlet om dem i de foregående 12 måneder. Virksomheden skal bekræfte forbrugerens identitet for at efterkomme anmodningen.
Hvis der anvendes tredjepartstjenesteudbydere, bør de også være forpligtet til at slette forbrugerens personoplysninger. Der er nogle få undtagelser fra denne ret, f.eks. hvor personlige oplysninger opbevares for at beskytte den offentlige sikkerhed, af hensyn til ytringsfriheden eller for at overholde juridiske forpligtelser.
4. Ret til at fravælge salg eller deling af personlige oplysninger
Indbyggere i Californien kan anmode om, at en virksomhed ikke sælger deres personlige oplysninger til tredjeparter. For at gøre det muligt for forbrugerne at udøve denne ret bør virksomhederne have et lettilgængeligt link med et “sælg ikke mine personlige oplysninger” på deres websteder, som forbrugerne kan vælge.
Virksomheder må ikke kræve, at forbrugerne opretter en konto for at fravælge tredjepartssalg af data, men dem med eksisterende konti kan blive bedt om at fravælge ved hjælp af deres konto.
5. Ret til ikke-diskrimination for udøvelse af CCPA-rettigheder
Virksomheder må ikke behandle forbrugerne forskelligt baseret på deres valg om, hvordan deres personoplysninger håndteres. Hvis en forbruger f.eks. nægter tilladelse til, at vedkommendes personoplysninger sælges til tredjeparter, bør dette ikke resultere i et lavere serviceniveau eller højere priser.
På den anden side tillader CCPA virksomheder at tilbyde økonomiske incitamenter til varer og tjenester, hvor dette er rimeligt relateret til den værdi, der leveres af forbrugerdata.
6. Ret til at rette unøjagtige personlige oplysninger, som en virksomhed har
Forbrugerne har ret til at rette alle oplysninger om dem, som de mener er forkerte.
7. Ret til at begrænse brug og videregivelse af følsomme personoplysninger
Følsomme personlige oplysninger er data, der afslører noget, der kan identificere, skadeligt eller skadeligt for en person. Dette inkluderer personnumre, kørekortnummer, bankkontooplysninger, nøjagtig geolokalisering, genetiske data, racemæssig oprindelse, seksualitet, religiøs tro eller fagforeningsmedlemskab.
Disse data er begrænset til kun at blive brugt, hvor det er nødvendigt for at levere produkter eller tjenester til forbrugerne. Virksomheder er forpligtet til at underrette forbrugerne, før de bruger denne type data, og forbrugerne skal have ret til at fravælge.
Er du CCPA-kompatibel?
Virksomheder står over for en udfordring med at sikre, at deres websteder og systemer er CCPA-kompatible uden at påvirke brugeroplevelsen eller funktionaliteten. Overtrædelser af CCPA kan dog straffes af California Attorney General med bøder på op til $ 7.500 pr. Overtrædelse – så det er vigtigt at være kompatibel.
CCPA er ikke den eneste lovgivning, virksomheder skal forstå. EU’s generelle databeskyttelsesforordning (GDPR) har lignende krav til CCPA – men med nogle vigtige forskelle.
CookieHub kan hjælpe dig med at forstå cookiebannerkrav og implementere reglerne, så du er compliant, men også tilbyde en glat, positiv oplevelse for dine kunder. Kontakt os for at diskutere dine krav.