Skip to main content

Californiens CCPA vs. Europas GDPR: En sammenligning

CCPA vs. GDPR. De blev begge udarbejdet for at give folk mere kontrol over deres personlige data. Begge stiller strenge krav til dig som virksomhed, når I indsamler data, men de har forskellige tilgange. Lad os se, hvad de har til fælles, og se, hvad der er de vigtigste punkter, hvor de adskiller sig fra hinanden.

Trådte i kraft:

CCPA: 1. januar 2020
GDPR: 25. maj 2018

Anvendelsesområde

CCPA: Beskytter indbyggere i Californien, selv når de befinder sig uden for staten. Den regulerer profitorienterede organisationer, der driver forretning i Californien, og som opfylder en af følgende betingelser:

Årlig omsætning på over 25 mio. dollars
behandler personlige oplysninger om mindst halvtreds tusinde californiere om året
50 % eller mere af den årlige omsætning stammer fra salg af personlige oplysninger

Alle virksomheder med hjemsted hvor som helst i verden, der falder ind under CCPA’s definition af en virksomhed, skal overholde reglerne.

GDPR: GDPR: Beskytter personer i EU (uanset nationalitet) og regulerer organisationer, der er etableret i EU, samt organisationer, der er beliggende uden for EU, hvis organisationen:

Tilbyder varer eller tjenester til eller overvåger adfærden hos registrerede personer i EU.
Har et websted, der er tilgængeligt for alle, der bor i eller besøger EU.

Alle websteder, virksomheder og organisationer (dataansvarlige) i verden skal overholde GDPR, hvis de tilbyder varer eller tjenester til enkeltpersoner i EU.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: GDPR gælder for alle websteder, virksomheder og organisationer. CCPA gælder ikke for nonprofitorganisationer eller offentlige myndigheder og gælder muligvis ikke for visse meget små virksomheder.

Bøder

CCPA: Der pålægges bøder pr. overtrædelse, op til 2.500 USD pr. utilsigtet overtrædelse og 7.500 USD pr. forsætlig overtrædelse.

GDPR: Op til 20 millioner euro eller 4 procent af den globale omsætning i det foregående regnskabsår, alt efter hvad der er højest.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: Der er ikke fastsat nogen grænse for de samlede bøder i CCPA, så en virksomhed, der overtræder reglerne, kan få endnu højere bøder end GDPR’s. GDPR giver mulighed for sanktioner før en egentlig overtrædelse, hvis procedurerne anses for ikke at være i overensstemmelse med reglerne, eller hvis data anses for at være i fare.

Typer af beskyttede data

CCPA: Oplysninger, der identificerer, vedrører, beskriver, kan forbindes med eller med rimelighed kan forbindes direkte eller indirekte med en bestemt forbruger eller husstand.

GDPR: Enhver oplysning vedrørende en identificeret eller identificerbar fysisk person. Anonymiserede data er udelukket.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: CCPA udelukker ikke anonymiserede eller pseudonymiserede data.

Definition af følsomme data

CCPA: Bruger ikke udtrykket “følsomme personlige oplysninger”

GDPR: Følsomme oplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller medlemskab af en fagforening, genetiske data, biometriske data med henblik på entydig identifikation af en fysisk person, oplysninger om sundhed eller oplysninger om en fysisk persons seksuelle liv eller seksuelle orientering.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: I modsætning til GDPR klassificerer CCPA ikke visse typer af data som “følsomme”. Det kræver dog en særlig håndtering af visse elementer som f.eks. socialsikringsnumre og kørekortnumre, genetiske data, biometriske data m.m.

Krav om samtykke

CCPA: Kræver ikke, at din virksomhed indhenter samtykke, før den indsamler eller bruger personlige oplysninger. Tip: Brug DataMapper til at finde og spore alle de følsomme data, I gemmer om jeres kunder, eller søg på et bestemt navn/en bestemt liste af navne (f.eks. lister fra en region/et land).

GDPR: Samtykke skal indhentes som en frit givet, specifik, informeret og utvetydig tilkendegivelse af den registreredes ønsker, hvorved den registrerede ved en erklæring eller ved en klar bekræftende handling giver sit samtykke til behandling af personoplysninger om ham eller hende.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: Mens GDPR klart definerer og kræver udtrykkeligt samtykke før behandling af personoplysninger, gør CCPA det ikke. CCPA kræver dog, at virksomhederne gør det nemt for brugerne at fravælge salg af deres data til enhver tid.

Krav til privatlivspolitikken

CCPA: Virksomhederne skal give forbrugerne en omfattende beskrivelse af deres online- og offlinepraksis for indsamling, brug, videregivelse og salg af personlige oplysninger og af forbrugernes rettigheder i forbindelse med deres personlige oplysninger. Politikken skal være:

Let at læse og forstå for forbrugerne.
Brug et klart og ligefremt sprog og undgå teknisk eller juridisk jargon.
Brug et format, der gør politikken læsbar, også på mindre skærme, hvis det er relevant.
være tilgængelig på de sprog, som virksomheden i sin normale drift leverer kontrakter, ansvarsfraskrivelser, salgsannoncer og andre oplysninger til forbrugere i Californien på.
være rimeligt tilgængelige for handicappede forbrugere.
skal offentliggøres online via et iøjnefaldende link med ordet “privatlivets fred” på virksomhedens hjemmeside eller på download- eller landingssiden for en mobilapplikation.

Forbrugere i Californien har ret til at vide, hvilke personlige oplysninger en virksomhed indsamler om dem, og hvordan de bruges og deles. Virksomhederne skal give forbrugerne visse oplysninger i en liste over “meddelelse ved opkrævning”:

De kategorier af personlige oplysninger, som virksomheder indsamler om forbrugere.
De formål, som de bruger kategorierne af oplysninger til.

Hvis virksomheden sælger forbrugernes personlige oplysninger, skal meddelelsen om indsamling indeholde et link til ikke at sælge samt et link til virksomhedens privatlivspolitik, hvor forbrugerne kan få en mere fuldstændig beskrivelse af virksomhedens praksis med hensyn til beskyttelse af personlige oplysninger og af deres rettigheder til beskyttelse af personlige oplysninger.

GDPR: Organisationer er forpligtet til at give de registrerede visse oplysninger, før de behandler deres personoplysninger, uanset om personoplysningerne indsamles direkte fra de registrerede eller ej. Den bør omfatte:

Oplysninger om identitet og kontaktoplysninger for den dataansvarlige, den dataansvarliges repræsentant, hvis det er relevant, og den dataansvarliges databeskyttelsesansvarlige, hvis det er relevant
Formålet med behandlingen
Det lovlige grundlag for behandlingen
Modtagerne eller kategorierne af modtagere af personoplysninger
Hvis den dataansvarlige har til hensigt at overføre personoplysninger uden for EU sammen med den mekanisme, der anvendes til overførslen, samt de oplysninger, der er nødvendige for at sikre en retfærdig og gennemsigtig behandling

For at overholde GDPR skal alle meddelelser om beskyttelse af personlige oplysninger være:

Kortfattet
Let tilgængelig
Let at forstå
I et klart og tydeligt sprog

Når behandlingen involverer et barn, skal oplysningerne præsenteres i et så klart og tydeligt sprog, at barnet let kan forstå dem.

Opfyldelse af de registreredes rettigheder

CCPA: Virksomhederne er ansvarlige for at verificere identiteten af den anmodende part. Bekræfter modtagelse af anmodningerne inden for 10 arbejdsdage. Fristen for at svare på en anmodning om beskyttelse af privatlivets fred er 45 dage fra modtagelsen af forbrugerens anmodning. Fristen kan forlænges, hvis det er rimeligt nødvendigt. De anmodninger om offentliggørelse af personoplysninger, som virksomhederne skal efterkomme, er begrænset til 2 anmodninger pr. 12-måneders periode.

GDPR: De registeransvarlige skal svare på de registreredes anmodninger om rettigheder “uden unødig forsinkelse” og normalt inden for 30 dage efter modtagelsen af anmodningen. Svartiden kan forlænges til yderligere to måneder i tilfælde af komplekse anmodninger.

CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: 30 dages frist for GDPR-anmodninger og 45 dages frist for CCPA-anmodninger.

Ret til at blive informeret/Ret til at vide

CCPA: Virksomhederne skal efter anmodning oplyse de kategorier og specifikke dele af de personlige oplysninger, de har indsamlet om en forbruger.

GDPR: Oplysninger, der er relevante for databehandlingen, skal gives i en kortfattet, gennemsigtig, forståelig og let tilgængelig form og i et klart og tydeligt sprog til den registrerede. De registeransvarlige skal give:

Identitet og kontaktoplysninger for den dataansvarlige, den dataansvarliges repræsentant og den databeskyttelsesansvarlige, hvis det er relevant.
Formålet med og retsgrundlaget for behandlingen.
De legitime interesser, der forfølges af den dataansvarlige eller af en tredjepart, når behandlingen er baseret på legitime interesser.
De kategorier af personoplysninger, der indsamles.
Modtagerne af personoplysningerne.
Hvis den dataansvarlige har til hensigt at overføre personoplysninger til et tredjeland eller en international organisation, hvor det er relevant, skal han/hun oplyse dette sammen med en henvisning til de passende eller passende sikkerhedsforanstaltninger og midlerne til at få en kopi af dem, eller hvor de er blevet stillet til rådighed.
De oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, uanset om personoplysningerne indsamles hos den registrerede eller ej. Disse oplysninger omfatter varigheden af opbevaring af data, den dataansvarliges legitime interesser og eksistensen af retten til adgang, sletning, berigtigelse, begrænsning af behandling, dataportabilitet og indgivelse af en klage til en tilsynsmyndighed.
Oplysninger i tilfælde af automatiseret beslutningstagning, herunder profilering, på det tidspunkt, hvor personoplysningerne blev indhentet.

Vigtigste at tage med sig: GDPR’s “ret til at blive informeret” og CCPA’s “ret til at vide” ligner hinanden i princippet, og begge kræver et detaljeret svar på de relaterede anmodninger om data.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Ret til adgang

    CCPA: Forbrugerne har ret til at anmode om, at en virksomhed offentliggør:

    De kategorier af personlige oplysninger, der indsamles.
    De kategorier af kilder, hvorfra der indsamles personoplysninger.
    Det forretningsmæssige eller kommercielle formål.
    De kategorier af tredjeparter, som virksomheden deler personlige oplysninger med.
    De specifikke personlige oplysninger, som virksomheden har om en forbruger.
    Hvis en virksomhed sælger personlige oplysninger eller videregiver dem til forretningsformål, har forbrugerne ret til at anmode om at få oplyst, hvilke kategorier af oplysninger der sælges eller videregives på denne måde.

    GDPR: De registrerede har ret til at få en bekræftelse fra den dataansvarlige på, om personoplysninger behandles eller ej, og til at få adgang til personoplysningerne. Når den dataansvarlige besvarer en anmodning om dataadgang, skal han angive følgende:

    Formålet med behandlingen
    De berørte kategorier af personoplysninger.
    De modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til.
    Opbevaringsperioden eller, hvis det ikke er muligt, de kriterier, der anvendes til at fastsætte denne periode.
    Eksistensen af registreredes rettigheder.
    Kilden til personoplysningerne, hvis personoplysningerne ikke indsamles fra den registrerede, og alle tilgængelige oplysninger.
    Retten til at indgive en klage til tilsynsmyndigheden.
    Eksistensen af dataoverførsler.
    Forekomsten af automatiseret beslutningstagning.

    Anmodninger om at få en kopi af personlige oplysninger kan afvises, hvis imødekommelse af anmodningen vil påvirke andres rettigheder og frihedsrettigheder negativt.

    Ret til sletning/blokering/begrænsning

    CCPA: Forbrugerne har ret til at anmode om sletning af deres personlige oplysninger, som virksomheden har indsamlet. Virksomheden bør svare hurtigt og informere forbrugeren om, hvorvidt deres anmodning er blevet opfyldt.

    GDPR: Retten til sletning af personoplysninger gælder i følgende tilfælde: GDPR: Retten til sletning af personoplysninger gælder i følgende tilfælde:

    Personoplysningerne er ikke længere nødvendige til de formål, hvortil de blev indsamlet.
    Den registrerede trækker sit samtykke tilbage.
    Den registrerede gør indsigelse mod databehandling på grundlag af legitim interesse.
    Den registrerede gør indsigelse mod, at oplysninger behandles til direkte markedsføringsformål.
    Personoplysninger behandles ulovligt.
    Personoplysninger skal slettes for at overholde en retlig forpligtelse.
    Et barn ønsker at slette data i forbindelse med levering af informationssamfundstjenester til et barn.

    CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: GDPR’s ret til sletning gælder kun, hvis anmodningen opfylder en af seks specifikke betingelser, mens CCPA’s ret til sletning er bred og ubegrænset (selv om den kan anfægtes af virksomheder).

    Ret til dataportabilitet

    CCPA: Som svar på forbrugernes anmodninger skal en virksomhed give personlige oplysninger sikkert i et let anvendeligt format, der gør det let for forbrugeren at overføre oplysningerne fra en enhed til en anden enhed uden hindringer.

    GDPR: Den dataansvarlige bør sende de ønskede data i et struktureret, almindeligt anvendt og maskinlæsbart format og fremsende dataene til en anden dataansvarlig uden hindringer, når det er teknisk muligt at gøre det, når der anmodes herom. GDPR begrænser udøvelsen af retten til dataportabilitet, hvis det har en negativ indvirkning på andres rettigheder og frihedsrettigheder.

    CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: GDPR giver forbrugerne en yderligere specifik ret til at anmode om, at virksomheder overfører deres data direkte til en anden dataansvarlig.

    Ret til at gøre indsigelse mod automatiseret beslutningstagning

    CCPA: Ingen

    GDPR: GDPR giver registrerede personer ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, og som har retsvirkninger eller på lignende måde påvirker dem væsentligt. Forbuddet mod automatiseret beslutningstagning gælder ikke, hvis behandlingen er tilladt ved lov, er nødvendig for at forberede og gennemføre en kontrakt eller sker med den registreredes udtrykkelige samtykke. I sådanne situationer kræver GDPR, at de dataansvarlige gennemfører passende foranstaltninger til at beskytte den registreredes rettigheder, frihedsrettigheder og legitime interesser; som minimum retten til at få menneskelig indgriben fra den dataansvarliges side, til at give udtryk for sit synspunkt og til at anfægte beslutningen.

    Ret til berigtigelse

    CCPA: Ingen

    GDPR: De registrerede har ret til at anmode om berigtigelse af urigtige personoplysninger og til at få ufuldstændige personoplysninger suppleret. Denne rettighed er tæt forbundet med princippet om nøjagtighed i GDPR, som kræver, at de registeransvarlige skal holde personoplysninger korrekte.

    Ret til at gøre indsigelse

    CCPA: Ingen, men forbrugeren har dog ret til at fravælge salg af deres data.

    GDPR: GDPR giver registrerede personer ret til at gøre indsigelse og tilbagekalde deres samtykke til behandling af personoplysninger. De registrerede har ret til at gøre indsigelse mod behandlingen af deres personoplysninger, hvis behandlingen er baseret på legitime interesser, offentlige interesser eller den registreredes samtykke. Som følge af en gyldig indsigelse må den registeransvarlige ikke længere behandle den registreredes personoplysninger, medmindre den registeransvarlige kan påvise tvingende, legitime grunde til behandlingen. Disse grunde skal være tilstrækkeligt tvingende til at tilsidesætte den registreredes interesser, rettigheder og frihedsrettigheder. De registrerede har også ret til at gøre indsigelse mod, at deres oplysninger behandles til direkte markedsføringsformål.

    Ret til at fravælge

    CCPA: Forbrugerne har ret til når som helst at bede virksomheder, der sælger personlige oplysninger om forbrugeren til tredjeparter, om at stoppe dette salg. Virksomhederne skal vente mindst 12 måneder, før de beder forbrugerne om at vælge at give tilladelse til at sælge deres data igen.

    GDPR: Ingen, men retten til at gøre indsigelse kan bruges på samme måde.

    Sikkerhedsforanstaltninger og brud på datasikkerheden

    CCPA: CCPA stiller ikke direkte krav om datasikkerhed. Der indføres en ret til at anlægge sag mod visse databrud, der skyldes overtrædelse af en virksomheds pligt til at indføre og opretholde rimelige sikkerhedsmetoder og -procedurer, der er tilpasset risikoen i henhold til gældende californisk lovgivning.

    GDPR: kræver, at organisationer skal vedtage passende tekniske og organisatoriske foranstaltninger for at sikre sikkerheden i forbindelse med behandling af personoplysninger. Disse foranstaltninger kan omfatte følgende:

    Kryptering og pseudonymisering af personoplysninger
    Sikring af integritet, fortrolighed og tilgængelighed af behandlingssystemet
    Hurtig genoprettelse af tilgængeligheden af og adgangen til personoplysninger
    Vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.

    I henhold til GDPR skal organisationer underrette tilsynsmyndighederne om ethvert brud på persondatasikkerheden, der sandsynligvis vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder, uden unødig forsinkelse og senest 72 timer efter at de har fået kendskab til bruddet. Oplysningerne kan også gives i flere omgange, og enhver forsinkelse skal begrundes. Organisationer skal også uden unødig forsinkelse underrette berørte registrerede personer om et brud på persondatasikkerheden, som sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

    CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: CCPA kræver ikke udtrykkeligt kryptering, det gør GDPR. Kryptering reducerer dog en virksomheds ansvar i forbindelse med brud på databeskyttelseslove i henhold til begge love. Hvis en virksomhed rammes af et brud, men dataene var krypterede, kan virksomhedens ansvar helt eller delvist reduceres.

    Krav om databeskyttelsesansvarlig (DPO)

    CCPA: Ikke påkrævet

    GDPR: Organisationer skal udpege en databeskyttelsesrådgiver, hvis databehandlingsaktiviteterne udføres af en offentlig myndighed (undtagen domstole i deres egenskab af retsinstanser), hvis organisationens kerneaktiviteter består af regelmæssig og systematisk overvågning i stor skala, eller hvis organisationens kerneaktiviteter består af følsomme personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Organisationer skal offentliggøre kontaktoplysningerne for den databeskyttelsesansvarlige og videregive dem til tilsynsmyndigheden.

    CCPA vs. GDPR – det vigtigste punkt, hvor der er forskel: CCPA kræver ikke en virksomheds DPO, som GDPR gør. Hvis I vælger ikke at udnævne en databeskyttelsesansvarlig, bør I have en plan for databeskyttelse og overholdelse, som omfatter software til dataadministration/overholdelse, der kan hjælpe dig med at udføre de opgaver, der normalt tildeles en databeskyttelsesansvarlig.

    Registreringer og dokumentation af databehandling og anmodninger

    CCPA: En virksomhed skal opbevare optegnelser over forbrugernes anmodninger i henhold til CCPA, og hvordan den har reageret på anmodningerne i mindst 24 måneder. Virksomheden skal indføre og opretholde rimelige sikkerhedsprocedurer og -praksis ved opbevaring af disse optegnelser. (c) Optegnelserne kan opbevares i form af en billet eller logbog, forudsat at billetten eller logbogen indeholder datoen for anmodningen, anmodningens art, den måde, hvorpå anmodningen blev fremsat, datoen for virksomhedens svar, arten af svaret og grundlaget for afslaget på anmodningen, hvis anmodningen afvises helt eller delvist.

    GDPR: Dataansvarlige er forpligtet til at føre en fortegnelse over behandlingsaktiviteter. Denne forpligtelse gælder ikke for organisationer med færre end 250 personer, medmindre behandlingen sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Med henblik på at påvise overholdelse af reglerne skal de registeransvarlige også dokumentere brud på persondatasikkerheden og erklæringer om samtykke, når databehandlingen er baseret på de registreredes samtykke.

    Vigtigste at tage med sig: Begge forordninger kræver omfattende dokumentation.

    Dokumentation med vores software


    DataMapper
    registrerer jeres metoder til datalagring.

    RequestManager
     dokumenterer hvert trin i dataanmodningsprocessen.

    ShareSimple
     logger samtykker, før I deler personlige data sikkert med e-mail.

    Mere information

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR