Hvad er forskellen på Californias CCPA og Europas GDPR
Mens GDPR trådte i kraft d. 25. maj 2018, gjorde CCPA det d. 1. januar 2020. Begge databeskyttelsesforordninger blev udarbejdet for at give folk mere kontrol over deres personlige data. Begge stiller strenge krav til dig som virksomhed, når I indsamler data, men de har forskellige tilgange. Lad os se, hvad de har til fælles, og se, hvad der er de vigtigste punkter, hvor de adskiller sig fra hinanden.
Hvor gælder CCPA?
CCPA beskytter indbyggere i Californien, selv når de befinder sig uden for staten. Den regulerer profitorienterede organisationer, der driver forretning i Californien, og som opfylder en af følgende betingelser:
Årlig omsætning på over 25 mio. dollars
behandler personlige oplysninger om mindst halvtreds tusinde californiere om året
50 % eller mere af den årlige omsætning stammer fra salg af personlige oplysninger
Alle virksomheder med hjemsted hvor som helst i verden, der falder ind under CCPA’s definition af en virksomhed, skal overholde reglerne.
Sådan er det for GDPR:
GDPR beskytter personer i EU (uanset nationalitet) og regulerer organisationer, der er etableret i EU, samt organisationer, der er beliggende uden for EU, hvis organisationen:
Tilbyder varer eller tjenester til eller overvåger adfærden hos registrerede personer i EU.
Har et websted, der er tilgængeligt for alle, der bor i eller besøger EU.
Alle websteder, virksomheder og organisationer (dataansvarlige) i verden skal overholde GDPR, hvis de tilbyder varer eller tjenester til enkeltpersoner i EU.
CCPA vs. GDPR:
GDPR gælder for alle websteder, virksomheder og organisationer. CCPA gælder ikke for nonprofit-organisationer eller offentlige myndigheder og gælder muligvis ikke for visse meget små virksomheder.
Sådan gives bøder ift. CCPA
Der pålægges bøder pr. overtrædelse, op til 2.500 USD pr. utilsigtet overtrædelse og 7.500 USD pr. forsætlig overtrædelse.
Sådan er det for GDPR
Op til 20 millioner euro eller 4 procent af den globale omsætning i det foregående regnskabsår, alt efter hvad der er højest.
CCPA vs. GDPR:
Der er ikke fastsat nogen grænse for de samlede bøder i CCPA, så en virksomhed, der overtræder reglerne, kan få endnu højere bøder end GDPR’s. GDPR giver mulighed for sanktioner før en egentlig overtrædelse, hvis procedurerne anses for ikke at være i overensstemmelse med reglerne, eller hvis data anses for at være i fare.
Typer af beskyttede data i CCPA
Oplysninger, der identificerer, vedrører, beskriver, kan forbindes med eller med rimelighed kan forbindes direkte eller indirekte med en bestemt forbruger eller husstand.
Sådan er det for GDPR:
Enhver oplysning vedrørende en identificeret eller identificerbar fysisk person. Anonymiserede data er udelukket.
CCPA vs. GDPR:
CCPA udelukker ikke anonymiserede eller pseudonymiserede data.
Definition af følsomme data for CCPA
CCPA bruger ikke udtrykket “følsomme personlige oplysninger”
Dette gælder for GDPR:
Følsomme oplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller medlemskab af en fagforening, genetiske data, biometriske data med henblik på entydig identifikation af en fysisk person, oplysninger om sundhed eller oplysninger om en fysisk persons seksuelle liv eller seksuelle orientering.
CCPA vs. GDPR:
I modsætning til GDPR klassificerer CCPA ikke visse typer af data som “følsomme”. Det kræver dog en særlig håndtering af visse elementer som f.eks. socialsikringsnumre og kørekortnumre, genetiske data, biometriske data m.m.
Krav om samtykke for CCPA
CCPA kræver det ikke, at jeres virksomhed indhenter samtykke, før den indsamler eller bruger personlige oplysninger. Tip: Brug DataMapper til at finde og spore alle de følsomme data, I gemmer om jeres kunder, eller søg på et bestemt navn/en bestemt liste af navne (f.eks. lister fra en region/et land).
Dette gælder for GDPR:
Samtykke skal indhentes som en frit givet, specifik, informeret og utvetydig tilkendegivelse af den registreredes ønsker, hvorved den registrerede ved en erklæring eller ved en klar bekræftende handling giver sit samtykke til behandling af personoplysninger om ham eller hende.
CCPA vs. GDPR: Mens GDPR klart definerer og kræver udtrykkeligt samtykke før behandling af personoplysninger, gør CCPA det ikke. CCPA kræver dog, at virksomhederne gør det nemt for brugerne at fravælge salg af deres data til enhver tid.
CCPA og krav til privatlivspolitik
Virksomhederne skal give forbrugerne en omfattende beskrivelse af deres online- og offlinepraksis for indsamling, brug, videregivelse og salg af personlige oplysninger og af forbrugernes rettigheder i forbindelse med deres personlige oplysninger. Politikken skal være:
Let at læse og forstå for forbrugerne.
Brug et klart og ligefremt sprog og undgå teknisk eller juridisk jargon.
Brug et format, der gør politikken læsbar, også på mindre skærme, hvis det er relevant.
være tilgængelig på de sprog, som virksomheden i sin normale drift leverer kontrakter, ansvarsfraskrivelser, salgsannoncer og andre oplysninger til forbrugere i Californien på.
være rimeligt tilgængelige for handicappede forbrugere.
skal offentliggøres online via et iøjnefaldende link med ordet “privatlivets fred” på virksomhedens hjemmeside eller på download- eller landingssiden for en mobilapplikation.
Forbrugere i Californien har ret til at vide, hvilke personlige oplysninger en virksomhed indsamler om dem, og hvordan de bruges og deles. Virksomhederne skal give forbrugerne visse oplysninger i en liste over “meddelelse ved opkrævning”:
De kategorier af personlige oplysninger, som virksomheder indsamler om forbrugere.
De formål, som de bruger kategorierne af oplysninger til.
Hvis virksomheden sælger forbrugernes personlige oplysninger, skal meddelelsen om indsamling indeholde et link til ikke at sælge samt et link til virksomhedens privatlivspolitik, hvor forbrugerne kan få en mere fuldstændig beskrivelse af virksomhedens praksis med hensyn til beskyttelse af personlige oplysninger og af deres rettigheder til beskyttelse af personlige oplysninger.
Dette gælder for GDPR:
Organisationer er forpligtet til at give de registrerede visse oplysninger, før de behandler deres personoplysninger, uanset om personoplysningerne indsamles direkte fra de registrerede eller ej. Den bør omfatte:
Oplysninger om identitet og kontaktoplysninger for den dataansvarlige, den dataansvarliges repræsentant, hvis det er relevant, og den dataansvarliges databeskyttelsesansvarlige, hvis det er relevant
Formålet med behandlingen
Det lovlige grundlag for behandlingen
Modtagerne eller kategorierne af modtagere af personoplysninger
Hvis den dataansvarlige har til hensigt at overføre personoplysninger uden for EU sammen med den mekanisme, der anvendes til overførslen, samt de oplysninger, der er nødvendige for at sikre en retfærdig og gennemsigtig behandling
For at overholde GDPR skal alle meddelelser om beskyttelse af personlige oplysninger være:
Kortfattet
Let tilgængelig
Let at forstå
I et klart og tydeligt sprog
Når behandlingen involverer et barn, skal oplysningerne præsenteres i et så klart og tydeligt sprog, at barnet let kan forstå dem.
Opfyldelse af de registreredes rettigheder i CCPA
Virksomhederne er ansvarlige for at verificere identiteten af den anmodende part. Bekræfter modtagelse af anmodningerne inden for 10 arbejdsdage. Fristen for at svare på en anmodning om beskyttelse af privatlivets fred er 45 dage fra modtagelsen af forbrugerens anmodning. Fristen kan forlænges, hvis det er rimeligt nødvendigt. De anmodninger om offentliggørelse af personoplysninger, som virksomhederne skal efterkomme, er begrænset til 2 anmodninger pr. 12-måneders periode.
Dette gælder for GDPR:
De registeransvarlige skal svare på de registreredes anmodninger om rettigheder “uden unødig forsinkelse” og normalt inden for 30 dage efter modtagelsen af anmodningen. Svartiden kan forlænges til yderligere to måneder i tilfælde af komplekse anmodninger.
CCPA vs. GDPR:
30 dages frist for GDPR-anmodninger og 45 dages frist for CCPA-anmodninger.
CCPA og Ret til at blive informeret/Ret til at vide
Virksomhederne skal efter anmodning oplyse de kategorier og specifikke dele af de personlige oplysninger, de har indsamlet om en forbruger.
Dette gælder for GDPR:
Oplysninger, der er relevante for databehandlingen, skal gives i en kortfattet, gennemsigtig, forståelig og let tilgængelig form og i et klart og tydeligt sprog til den registrerede. De registeransvarlige skal give:
Identitet og kontaktoplysninger for den dataansvarlige, den dataansvarliges repræsentant og den databeskyttelsesansvarlige, hvis det er relevant.
Formålet med og retsgrundlaget for behandlingen.
De legitime interesser, der forfølges af den dataansvarlige eller af en tredjepart, når behandlingen er baseret på legitime interesser.
De kategorier af personoplysninger, der indsamles.
Modtagerne af personoplysningerne.
Hvis den dataansvarlige har til hensigt at overføre personoplysninger til et tredjeland eller en international organisation, hvor det er relevant, skal han/hun oplyse dette sammen med en henvisning til de passende eller passende sikkerhedsforanstaltninger og midlerne til at få en kopi af dem, eller hvor de er blevet stillet til rådighed.
De oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, uanset om personoplysningerne indsamles hos den registrerede eller ej. Disse oplysninger omfatter varigheden af opbevaring af data, den dataansvarliges legitime interesser og eksistensen af retten til adgang, sletning, berigtigelse, begrænsning af behandling, dataportabilitet og indgivelse af en klage til en tilsynsmyndighed.
Oplysninger i tilfælde af automatiseret beslutningstagning, herunder profilering, på det tidspunkt, hvor personoplysningerne blev indhentet.
Bemærk:
GDPR’s “ret til at blive informeret” og CCPA’s “ret til at vide” ligner hinanden i princippet, og begge kræver et detaljeret svar på de relaterede anmodninger om data.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let
CCPA og Ret til adgang
Forbrugerne har ret til at anmode om, at en virksomhed offentliggør:
De kategorier af personlige oplysninger, der indsamles.
De kategorier af kilder, hvorfra der indsamles personoplysninger.
Det forretningsmæssige eller kommercielle formål.
De kategorier af tredjeparter, som virksomheden deler personlige oplysninger med.
De specifikke personlige oplysninger, som virksomheden har om en forbruger.
Hvis en virksomhed sælger personlige oplysninger eller videregiver dem til forretningsformål, har forbrugerne ret til at anmode om at få oplyst, hvilke kategorier af oplysninger der sælges eller videregives på denne måde.
Dette gælder for GDPR:
De registrerede har ret til at få en bekræftelse fra den dataansvarlige på, om personoplysninger behandles eller ej, og til at få adgang til personoplysningerne. Når den dataansvarlige besvarer en anmodning om dataadgang, skal han angive følgende:
Formålet med behandlingen
De berørte kategorier af personoplysninger.
De modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til.
Opbevaringsperioden eller, hvis det ikke er muligt, de kriterier, der anvendes til at fastsætte denne periode.
Eksistensen af registreredes rettigheder.
Kilden til personoplysningerne, hvis personoplysningerne ikke indsamles fra den registrerede, og alle tilgængelige oplysninger.
Retten til at indgive en klage til tilsynsmyndigheden.
Eksistensen af dataoverførsler.
Forekomsten af automatiseret beslutningstagning.
Anmodninger om at få en kopi af personlige oplysninger kan afvises, hvis imødekommelse af anmodningen vil påvirke andres rettigheder og frihedsrettigheder negativt.
CCPA og Ret til sletning/blokering/begrænsning
Forbrugerne har ret til at anmode om sletning af deres personlige oplysninger, som virksomheden har indsamlet. Virksomheden bør svare hurtigt og informere forbrugeren om, hvorvidt deres anmodning er blevet opfyldt.
Dette gælder for GDPR:
Retten til sletning af personoplysninger gælder i følgende tilfælde: GDPR: Retten til sletning af personoplysninger gælder i følgende tilfælde:
Personoplysningerne er ikke længere nødvendige til de formål, hvortil de blev indsamlet.
Den registrerede trækker sit samtykke tilbage.
Den registrerede gør indsigelse mod databehandling på grundlag af legitim interesse.
Den registrerede gør indsigelse mod, at oplysninger behandles til direkte markedsføringsformål.
Personoplysninger behandles ulovligt.
Personoplysninger skal slettes for at overholde en retlig forpligtelse.
Et barn ønsker at slette data i forbindelse med levering af informationssamfundstjenester til et barn.
CCPA vs. GDPR: GDPR’s ret til sletning gælder kun, hvis anmodningen opfylder en af seks specifikke betingelser, mens CCPA’s ret til sletning er bred og ubegrænset (selv om den kan anfægtes af virksomheder).
CCPA og Ret til dataportabilitet
Som svar på forbrugernes anmodninger skal en virksomhed give personlige oplysninger sikkert i et let anvendeligt format, der gør det let for forbrugeren at overføre oplysningerne fra en enhed til en anden enhed uden hindringer.
Dette gælder for GDPR:
Den dataansvarlige bør sende de ønskede data i et struktureret, almindeligt anvendt og maskinlæsbart format og fremsende dataene til en anden dataansvarlig uden hindringer, når det er teknisk muligt at gøre det, når der anmodes herom. GDPR begrænser udøvelsen af retten til dataportabilitet, hvis det har en negativ indvirkning på andres rettigheder og frihedsrettigheder.
CCPA vs. GDPR:
GDPR giver forbrugerne en yderligere specifik ret til at anmode om, at virksomheder overfører deres data direkte til en anden dataansvarlig.
CCPA og Ret til at gøre indsigelse mod automatiseret beslutningstagning
I CCPA er der ingen.
Dette gælder for GDPR:
GDPR giver registrerede personer ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, og som har retsvirkninger eller på lignende måde påvirker dem væsentligt. Forbuddet mod automatiseret beslutningstagning gælder ikke, hvis behandlingen er tilladt ved lov, er nødvendig for at forberede og gennemføre en kontrakt eller sker med den registreredes udtrykkelige samtykke. I sådanne situationer kræver GDPR, at de dataansvarlige gennemfører passende foranstaltninger til at beskytte den registreredes rettigheder, frihedsrettigheder og legitime interesser; som minimum retten til at få menneskelig indgriben fra den dataansvarliges side, til at give udtryk for sit synspunkt og til at anfægte beslutningen.
CCPA og Ret til berigtigelse
I CCPA er der ingen.
Dette gælder for GDPR:
De registrerede har ret til at anmode om berigtigelse af urigtige personoplysninger og til at få ufuldstændige personoplysninger suppleret. Denne rettighed er tæt forbundet med princippet om nøjagtighed i GDPR, som kræver, at de registeransvarlige skal holde personoplysninger korrekte.
CCPA og Ret til at gøre indsigelse
I CCPA er der ingen, men forbrugeren har dog ret til at fravælge salg af deres data.
Dette gælder for GDPR:
GDPR giver registrerede personer ret til at gøre indsigelse og tilbagekalde deres samtykke til behandling af personoplysninger. De registrerede har ret til at gøre indsigelse mod behandlingen af deres personoplysninger, hvis behandlingen er baseret på legitime interesser, offentlige interesser eller den registreredes samtykke. Som følge af en gyldig indsigelse må den registeransvarlige ikke længere behandle den registreredes personoplysninger, medmindre den registeransvarlige kan påvise tvingende, legitime grunde til behandlingen. Disse grunde skal være tilstrækkeligt tvingende til at tilsidesætte den registreredes interesser, rettigheder og frihedsrettigheder. De registrerede har også ret til at gøre indsigelse mod, at deres oplysninger behandles til direkte markedsføringsformål.
Vil I have GDPR-ryddet op i jeres mails?
Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.
CCPA og Ret til at fravælge
Forbrugerne har ret til når som helst at bede virksomheder, der sælger personlige oplysninger om forbrugeren til tredjeparter, om at stoppe dette salg. Virksomhederne skal vente mindst 12 måneder, før de beder forbrugerne om at vælge at give tilladelse til at sælge deres data igen.
Dette gælder for GDPR:
Ingen, men retten til at gøre indsigelse kan bruges på samme måde.
Sikkerhedsforanstaltninger og brud på datasikkerheden
CCPA stiller ikke direkte krav om datasikkerhed. Der indføres en ret til at anlægge sag mod visse databrud, der skyldes overtrædelse af en virksomheds pligt til at indføre og opretholde rimelige sikkerhedsmetoder og -procedurer, der er tilpasset risikoen i henhold til gældende californisk lovgivning.
Dette gælder for GDPR:
kræver, at organisationer skal vedtage passende tekniske og organisatoriske foranstaltninger for at sikre sikkerheden i forbindelse med behandling af personoplysninger. Disse foranstaltninger kan omfatte følgende:
Kryptering og pseudonymisering af personoplysninger
Sikring af integritet, fortrolighed og tilgængelighed af behandlingssystemet
Hurtig genoprettelse af tilgængeligheden af og adgangen til personoplysninger
Vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
I henhold til GDPR skal organisationer underrette tilsynsmyndighederne om ethvert brud på persondatasikkerheden, der sandsynligvis vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder, uden unødig forsinkelse og senest 72 timer efter at de har fået kendskab til bruddet. Oplysningerne kan også gives i flere omgange, og enhver forsinkelse skal begrundes. Organisationer skal også uden unødig forsinkelse underrette berørte registrerede personer om et brud på persondatasikkerheden, som sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
CCPA vs. GDPR:
CCPA kræver ikke udtrykkeligt kryptering, det gør GDPR. Kryptering reducerer dog en virksomheds ansvar i forbindelse med brud på databeskyttelseslove i henhold til begge love. Hvis en virksomhed rammes af et brud, men dataene var krypterede, kan virksomhedens ansvar helt eller delvist reduceres.
Krav om databeskyttelsesansvarlig (DPO)
Hos CCPA er det Ikke påkrævet.
Dette gælder for GDPR:
Organisationer skal udpege en databeskyttelsesrådgiver, hvis databehandlingsaktiviteterne udføres af en offentlig myndighed (undtagen domstole i deres egenskab af retsinstanser), hvis organisationens kerneaktiviteter består af regelmæssig og systematisk overvågning i stor skala, eller hvis organisationens kerneaktiviteter består af følsomme personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Organisationer skal offentliggøre kontaktoplysningerne for den databeskyttelsesansvarlige og videregive dem til tilsynsmyndigheden.
CCPA vs. GDPR:
CCPA kræver ikke en virksomheds DPO, som GDPR gør. Hvis I vælger ikke at udnævne en databeskyttelsesansvarlig, bør I have en plan for databeskyttelse og overholdelse, som omfatter software til dataadministration/overholdelse, der kan hjælpe dig med at udføre de opgaver, der normalt tildeles en databeskyttelsesansvarlig.
Registreringer og dokumentation af databehandling og anmodninger
En virksomhed skal opbevare optegnelser over forbrugernes anmodninger i henhold til CCPA, og hvordan den har reageret på anmodningerne i mindst 24 måneder. Virksomheden skal indføre og opretholde rimelige sikkerhedsprocedurer og -praksis ved opbevaring af disse optegnelser. (c) Optegnelserne kan opbevares i form af en billet eller logbog, forudsat at billetten eller logbogen indeholder datoen for anmodningen, anmodningens art, den måde, hvorpå anmodningen blev fremsat, datoen for virksomhedens svar, arten af svaret og grundlaget for afslaget på anmodningen, hvis anmodningen afvises helt eller delvist.
Dette gælder for GDPR:
Dataansvarlige er forpligtet til at føre en fortegnelse over behandlingsaktiviteter. Denne forpligtelse gælder ikke for organisationer med færre end 250 personer, medmindre behandlingen sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Med henblik på at påvise overholdelse af reglerne skal de registeransvarlige også dokumentere brud på persondatasikkerheden og erklæringer om samtykke, når databehandlingen er baseret på de registreredes samtykke.
Bemærk:
Begge forordninger kræver omfattende dokumentation.
Overhold CCPA på den smarte måde
I Safe Online laver vi løsninger, der hjælper virksomheder med at håndtere persondata og overholde forordninger som GDPR og CCPA.
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let
Sebastian Allerelli
Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
