Skip to main content

Introduktion af CPRA



California Privacy Rights Act (CPRA)

blev vedtaget i Californien den 3. november 2020 og træder i kraft den 1. november 2020.st
i januar 2023. Håndhævelsen er planlagt til at begynde den 1st juli 2023.

Det kan give jer flere måneder til at forberede jer, hvis I endnu ikke har gjort det!

Lad os se på, hvad CPRA er til for, hvem det påvirker, og hvordan jeres virksomhed og jeres hjemmeside kan overholde det.

Selv hvis I ikke tror, at Californiens love vil påvirke jeres virksomhed, kan I holde jer ajour med de nye globale regler om beskyttelse af personlige oplysninger og få et godt indblik i, hvad datatilsynsmyndighederne vil fokusere på i 2023 og fremover.

Bedre beskyttelse af forbrugernes privatlivets fred

CPRA udvider den eksisterende CCPA

California Consumer Privacy Act (CCPA),

der giver yderligere rettigheder til beskyttelse af privatlivets fred for indbyggere i Californien. Det er hensigten til:

  • “Sæt dem [consumers] på mere lige fod [with companies] når de forhandler med virksomhederes for at beskytte deres rettigheder.”
  • “Giv forbrugerende oplysninger og værktøjer, der er nødvendige for at begrænse brugen af deres oplysninger til ikke-invasiv reklame, der tager hensyn til privatlivets fred, hvor deres personlige oplysninger ikke er sælges til eller deles med hundredvis af virksomhederes, som de aldrig har hørt om, hvis de vælger at gøre det.”

Den nye lov omfatter også beskyttelse af oplysninger om ansatte og selvstændige leverandører. Den vil tilføje GDPR-lignende bestemmelser og blive en af de mest omfattende love om beskyttelse af privatlivets fred i USA. Det forventes at blive en model, som andre stater kan følge.

Vigtigste CPRA-ændringer

Her er nogle få bemærkelsesværdige træk ved CPRA:

  • En ny definition af “virksomhed” for at udelukke mindre virksomheder og fokusere på større virksomheder, der genererer store indtægter fra indsamling, deling og salg af californiernes personlige oplysninger.
  • Nye definitioner af “personlige oplysninger” eller “PI”.
  • En introduktion og definition af begrebet “følsomme personoplysninger” eller “SPI”. Dette er en særlig kategori af personoplysninger, som I måske allerede kender fra GDPR, men som ikke blev nævnt i CCPA.
  • En “tilbagebliksperiode” til den 1. januar 2022. Alle data, der indsamles fra og med denne dato, vil være omfattet af overensstemmelseskravet.
  • Nye krav til webstedet, herunder et link med titlen “Sælg eller del ikke mine personlige oplysninger” og et link med titlen “Begræns brugen af mine følsomme personlige oplysninger” ELLER “et enkelt, tydeligt mærket link”, der let giver en forbruger mulighed for på samme tid at fravælge salg eller deling af PI og begrænse brugen eller videregivelsen af forbrugerens personlige oplysninger.
  • CPRA udvider kravet om samtykke til at dække flere scenarier.
  • Nye sikkerhedskrav, der svarer til GDPR’s. Virksomhederne skal “gennemføre rimelige sikkerhedsprocedurer og -praksis, der er tilpasset arten af de personlige oplysninger for at beskytte de personlige oplysninger mod uautoriseret eller ulovlig adgang, ødelæggelse, brug, ændring eller videregivelse”.
  • Ekstra vægt på beskyttelse af børns personoplysninger. CPRA giver forældre ret til at træffe beslutninger om brugen af deres børns data.

Nye og forbedrede rettigheder til beskyttelse af privatlivets fred i CPRA

CPRA’s udvidede forbrugerrettigheder omfatter 4 nye rettigheder og 5 udvidede omdefinitioner af eksisterende rettigheder.

Her er fire nye CPRA-rettigheder:

  • Retten til at rette urigtige personoplysninger. CCPA nævnte ikke denne ret.
  • Retten til at fravælge automatiseret beslutningstagning. Indbyggere i Californien kan nu sige, at de ikke ønsker, at I bruger deres personlige oplysninger (især adfærdsdata) til profilering, målrettede reklamer og meget mere.
  • Retten til at få besked om automatiseret beslutningstagning. Indbyggere i Californien kan anmode om oplysninger om, hvordan I bruger automatiseret beslutningstagning, og hvordan det kan påvirke dem.
  • Ret til at begrænse brugen af følsomme personoplysninger til “den brug, der er nødvendig for at udføre de tjenester eller levere de varer, som en gennemsnitlig forbruger, der anmoder om sådanne varer eller tjenester, med rimelighed kan forvente”.

Her er fem udvidede CPRA-rettigheder:

  • Opdateret ret til sletning. Virksomhederne skal nu underrette tredjeparter, som de har delt en persons data med, og bede dem slette disse data, når en indbygger i Californien sender dem en anmodning om sletning.
  • Opdateret ret til at vide. Indbyggere i Californien kan nu anmode om adgang til personlige oplysninger, der er indsamlet efter den oprindelige 12-månedersgrænse i CCPA.
  • Opdateret ret til at fravælge salget

    eller deling

    af personlige oplysninger. Retten til at fravælge salg af data var en vigtig del af CCPA. Nu kan folk også fravælge andre typer datadeling.
  • Opdaterede rettigheder og samtykker for mindreårige. Virksomheder, der deler mindreåriges adfærdsdata til reklameformål, skal nu først få den pågældende person til at give sit samtykke.
  • Opdateret ret til dataportabilitet. Indbyggere i Californien kan bede om at få deres PI overført til en ny tjenesteudbyder eller en anden organisation efter eget valg.

CPRA udvidet anvendelsesområde og nye definitioner af virksomheder

Ny definition af omfattede “virksomheder”.

CPRA’s nye definition af omfattede virksomheder omfatter alle websteder, virksomheder eller organisationer, der:

  • har en årlig bruttoindtægt på mindst 25 millioner dollars.
  • og/eller tjener mindst 50 % af sine årlige indtægter på at sælge eller dele personlige oplysninger.
  • og/eller køber, sælger eller deler personlige oplysninger om mere end 100 000 forbrugere eller husstande årligt.

Dette medfører større ansvar for virksomheder, der er afhængige af indsamling og deling af personlige oplysninger.

Bemærk, at CPRA nu udvider ansvaret til at omfatte virksomheder, der
deler
betydelige mængder af personoplysninger, samt dem, der deler betydelige mængder af personoplysninger, og dem, der
sælger
dem.

Få en GRATIS licens til ShareSimple i dag!

This is custom heading element

Dit websted skal nu indeholde et link eller en knap med titlen “Du må ikke sælge eller dele mine personlige oplysninger” OG et link eller en knap med titlen “Begræns brugen af mine følsomme personlige oplysninger”.

I kan også oprette et enkelt, klart mærket link, der nemt giver en forbruger mulighed for på samme tid at fravælge salg eller deling af PI og begrænse brugen eller videregivelsen af forbrugerens SPI.

CPRA og følsomme data

I henhold til CPRA defineres “følsomme personoplysninger” (SPI), og ligesom “følsomme data” i henhold til andre globale bestemmelser omfatter SPI data vedrørende:

  • Race og etnicitet
  • Religiøse, politiske og filosofiske overbevisninger
  • Sex life or sexual orientation
  • Genetik og biometri
  • Sundhed og sygehistorie
  • Geolokalisering
  • Socialsikringsnummer og kørekortnummer
  • Økonomi

Nye krav om samtykke

  • Få nyt samtykke til at sælge eller dele personlige oplysninger, hvis en bruger har fravalgt det
  • Få samtykke, før I sælger eller deler personlige oplysninger om mindreårige
  • Få samtykke, før I bruger, sælger eller deler følsomme personlige oplysninger (SPI), efter at en bruger har fravalgt dem
  • Få samtykke til undtagelser for forskning
  • Få samtykke til at tilmelde dig et økonomisk incitament

Tips til overholdelse af CPRA

  1. Identificer personlige data og følsomme personlige data i jeres systemer.
  2. Brug systemer, der giver mulighed for at sortere data efter dato eller datointerval for at overholde tilbagebliksperioden.
  3. Sæt grænser for, hvor længe I gemmer PI i e-mails og mapper.
  4. Overvåg jeres medarbejdere og jeres systemer for at sikre, at I overholder jeres politikker.
  5. Brug kryptering eller pseudonymisering til at beskytte PI i hvile og under overførsel.
  6. Sæt jer op til at kontrollere og besvare alle typer anmodninger om data.

Reglerne om beskyttelse af privatlivets fred er kommet for at blive

Strenge regler om beskyttelse af privatlivets fred er kommet for at blive. Uanset hvor i verden jeres virksomhed befinder sig, er ovenstående tips bedste praksis til at overholde reglerne og bevare jeres kunders tillid.

Få mere at vide om software, der kan hjælpe →

Sebastian Allerelli