Hvordan overholder man CCPA?

Dataforordningen California Consumer Protection Act (CCPA) trådte i kraft den 1. januar 2020. Den beskytter data- og privatlivsrettigheder for indbyggere i Californien, eller bosatte uden for Californien. Bemærk venligst, at den nye California Privacy Rights Act (CPRA) ændrer CCPA fra januar 2023. Læs om CPRA her.

CCPA er en datalovgivning, der beskytter indbyggere i Californien, selv når de befinder sig uden for staten. Den regulerer profitorienterede organisationer, der driver forretning i Californien, og som opfylder en af følgende betingelser:

• Årlig omsætning på over 25 mio. dollars
• Behandler personlige oplysninger om mindst halvtreds tusinde californiere om året
• 50% eller mere af den årlige omsætning stammer fra salg af personlige oplysninger

Enhver virksomhed, baseret hvor som helst i verden, der passer ind under CCPA’s definition af en virksomhed, skal overholde ordningen. CCPA gælder dog ikke for nonprofit-organisationer eller statslige organer, og det gælder muligvis ikke for meget små virksomheder.

Der pålægges bøder pr. overtrædelse, op til 2.500 USD pr. utilsigtet overtrædelse og 7.500 USD pr. forsætlig overtrædelse.

Da selv utilsigtede overtrædelser er underlagt bøder, er det vigtigt at man tager ansvar for de data, man gemmer, og være sikker på, at man beskytter dem. Dette inkluderer alle de data, éns medarbejdere gemmer. Medarbejderfejl er den mest almindelige årsag til databrud. Af denne grund bør man gøre awareness-træning til en topprioritet.

CCPA definerer persondata som information, der identificerer, relaterer til, beskriver, kan forbindes med eller med rimelighed kan forbindes direkte eller indirekte med en bestemt forbruger eller husstand. CCPA udelukker ikke anonymiserede eller pseudonymiserede data.

Nøglen til at overholde er at vide, hvor mange personlige data I gemmer, og hvor de er. Så sørg for at beskytte den.

CCPA bruger ikke udtrykket “følsomme personlige oplysninger”. Det kræver dog, at I håndterer visse genstande med særlig omhu. Dette inkluderer CPR-numre og kørekortnumre, genetiske data, biometriske data og mere.

For at overholde dette skal I tjekke dine systemer for ID-numre og sikre jer, at I beskytter dem ordentligt.

Samtykke er et almindeligt anvendt juridisk grundlag for indsamling af data. CCPA kræver dog ikke, at jeres virksomhed indhenter samtykke før indsamling eller brug af personlige oplysninger. I har brug for samtykke, hvis I skal sælge nogens data.

Ifølge CCPA skal I indhente samtykke, hvis I har til hensigt at sælge oplysningerne til en tredjepart. I bør gøre det nemt for brugerne at fravælge salget af deres data til enhver tid.

Virksomhederne skal give forbrugerne en omfattende beskrivelse af deres online- og offlinepraksis for indsamling, brug, videregivelse og salg af personlige oplysninger og af forbrugernes rettigheder i forbindelse med deres personlige oplysninger. Politikken skal være:

• Let at læse og forstå for forbrugerne.
• Brug et klart og ligefremt sprog og undgå teknisk eller juridisk jargon.
• Brug et format, der gør politikken læsbar, også på mindre skærme, hvis det er relevant.
• Være tilgængelig på de sprog, som virksomheden i sin normale drift leverer kontrakter, ansvarsfraskrivelser, salgsannoncer og andre oplysninger til forbrugere i Californien på.
• Være rimeligt tilgængelige for handicappede forbrugere.
• Skal offentliggøres online via et iøjnefaldende link med ordet “privatlivets fred” på virksomhedens hjemmeside eller på download- eller landingssiden for en mobilapplikation.

Forbrugere i Californien har ret til at vide, hvilke personlige oplysninger en virksomhed indsamler om dem, og hvordan de bruges og deles. Virksomhederne skal give forbrugerne visse oplysninger i en liste over “meddelelse ved opkrævning”:

• De kategorier af personlige oplysninger, som virksomheder indsamler om forbrugere.
• De formål, som de bruger kategorierne af oplysninger til.

Hvis virksomheden sælger forbrugernes personlige oplysninger, skal meddelelsen om indsamling indeholde et link til ikke at sælge samt et link til virksomhedens privatlivspolitik, hvor forbrugerne kan få en mere fuldstændig beskrivelse af virksomhedens praksis med hensyn til beskyttelse af personlige oplysninger og af deres rettigheder til beskyttelse af personlige oplysninger.

Folk kan stille en række forskellige anmodninger om deres data. Fristen for at svare på en anmodning om privatliv er 45 dage fra modtagelsen af forbrugerens anmodning. I kan muligvis få forlænget fristen, når det med rimelighed er nødvendigt. Folk kan fremsætte op til 2 anmodninger pr. 12-måneders periode.

For at overholde dette skal I først sikre jer, at I bekræfter hver enkelt anmoders identitet. Bekræft modtagelsen af anmodningerne inden for 10 hverdage. Opfyld alle anmodninger inden for 45 dage.

I skal oplyse de kategorier og specifikke stykker personlige oplysninger, I har indsamlet om en forbruger efter anmodning.

Ifølge CCPA skal I sende et detaljeret svar, når nogen beder om mere information om deres data.

Forbrugerne har ret til at anmode om, at en virksomhed offentliggør:

• De kategorier af personlige oplysninger, der indsamles.
• De kategorier af kilder, hvorfra der indsamles personoplysninger.
• Det forretningsmæssige eller kommercielle formål.
• De kategorier af tredjeparter, som virksomheden deler personlige oplysninger med.
• De specifikke personlige oplysninger, som virksomheden har om en forbruger.
• Hvis en virksomhed sælger personlige oplysninger eller videregiver dem til forretningsformål, har forbrugerne ret til at anmode om at få oplyst, hvilke kategorier af oplysninger der sælges eller videregives på denne måde.

Søg og saml de data, I gemmer om en person, og send derefter et detaljeret svar på deres spørgsmål om, hvordan I bruger, opbevarer og beskytter dem inden for 45 dage.

Forbrugere har ret til at anmode om sletning af deres personlige oplysninger indsamlet af virksomheden. Virksomheden bør reagere hurtigt for at informere forbrugeren, hvis deres anmodning er blevet opfyldt. CCPA’s ret til at slette er bred og ubegrænset, men virksomheder kan anfægte anmodninger.

Søg og saml de data, I gemmer om en person, slet dem fra jeres systemer, og send dem derefter en bekræftelse på, at I har gjort det inden for 45 dage.

Som svar på forbrugernes anmodninger skal en virksomhed give personlige oplysninger sikkert i et let anvendeligt format, der gør det let for forbrugeren at overføre oplysningerne fra en enhed til en anden enhed uden hindringer.

Sørg for at samle de data, I gemmer om personen, og send dem sikkert til vedkommende i et brugervenligt format.

CCPA introducerer en ny ret, retten til at “fravælge” salget af deres data. Forbrugere har til enhver tid ret til at henvise virksomheder, der sælger personlige oplysninger om forbrugeren til tredjeparter, om at stoppe dette salg.

Gør det nemt for folk at fravælge salget af deres data. Stop altid med at sælge en persons data, når de fravælger. Vent derefter mindst 12 måneder, før I beder forbrugerne om at tillade, at deres data sælges.

CCPA specificerer ikke datasikkerhedskrav. Den diskuterer dog “rimelig sikkerhedspraksis og -procedurer, der er passende for risikoen”. Den har også regler om at handle i tilfælde af et databrud. For eksempel dem, der skyldes “overtrædelser af en virksomheds pligt til at implementere og vedligeholde rimelig sikkerhedspraksis og -procedurer”.

For at overholde, skal I sørge for at bruge kryptering til at beskytte data og reducere jeres ansvar.

CCPA kræver, at I opbevarer fortegnelser over forbrugeranmodninger. Derudover har virksomheder, der indsamler, køber eller sælger personlige oplysninger fra mere end 4 millioner forbrugere, særlige registrerings- og uddannelsesforpligtelser.

For at overholde det skal I føre registre over alle forbrugeranmodninger. I bør også opbevare dokumentation for, hvordan I reagerede på anmodninger modtaget i mindst 24 måneder før. Før optegnelser i et billet- eller logformat. Inkluder datoen for anmodningen, typen af anmodningen, en beskrivelse af, hvordan personen fremsatte sin anmodning, datoen for jeres svar og en beskrivelse af jeres svar. Hvis I afslår en anmodning, skal I føre et register over grundlaget for afslaget. Sørg for at beskytte jeres dokumentation.

Californien er den femtestørste økonomi i verden efter USA, Kina, Japan og Tyskland. Det betyder, at mange virksomheder verden over bliver nødt til at overholde CCPA, fordi de indsamler data, der tilhører californiske borgere. Hos Safe Online udvikler vi løsninger, der hjælper virksomheder med at beskytte deres følsomme data og overholde dataforordninger såsom CCPA. Vores løsninger er:

• California Attorney General: CCPA Guide

• CPPA: California Privacy Protection Agency

• IAPP: CCPA vs GDPR Overview