Skip to main content

Introduktion af CPRA

CPRA (California Privacy Rights Act) blev vedtaget i Californien den 3. november 2020 og trådte i kraft den 1. januar 2023. CPRA bygger videre på CCPA (California Consumer Protection Act). Bloggen her omfatter først hvad CPRA er, og hvem den påvirker. Derefter vil vi se på nogle af dets nye funktioner. Til sidst vil vi give jer nogle tips til, hvordan I kan styrke jeres CPRA-compliance.

CPRA giver bedre beskyttelse af forbrugernes personlige oplysninger

CPRA er en datalovgivning, der udvide den eksisterende CCPA, og giver yderligere privatlivsrettigheder til californiske beboere. De nye og forbedrede privatlivsrettigheder har til formål at:

  • “Sætte forbrugere på mere lige fod med virksomheder, når de forhandler med virksomhederes for at beskytte deres rettigheder.”
  • “Give forbrugerende oplysninger og værktøjer, der er nødvendige for at begrænse brugen af deres oplysninger til ikke-invasiv reklame, der tager hensyn til privatlivets fred, hvor deres personlige oplysninger ikke er sælges til eller deles med hundredvis af virksomhederes, som de aldrig har hørt om, hvis de vælger at gøre det.”

Californien har en befolkning på omkring 39 millioner mennesker, og dens økonomi rangerer den 5. højeste i verden. Derfor har statens forbrugerregler en betydelig indflydelse på verdens økonomi og forretningskultur.

I kølvandet på EU’s GDPR i 2020 fulgte Californien efter med CPRA. Denne tilføjer flere GDPR-lignende bestemmelser og bliver dermed en af de mest omfattende privatlivslove i USA. I fremtiden forventes det at være en model, som andre stater kommer til at bruge.

Sådan er CPRA forskellig fra CCPA

Selvom CPRA ikke erstatter CCPA, er der væsentlige tilføjelser. Her er et par bemærkelsesværdige nye bestememelser i CPRA:

  • 4 nye forbrugerrettigheder samt 5 udvidede rettigheder.
  • En ny definition af “virksomhed” for at udelukke mindre virksomheder og fokusere på større virksomheder, der genererer store indtægter fra indsamling, deling og salg af californiernes personlige oplysninger.
  • Nye definitioner af “personlige oplysninger” eller “PI”.
  • En introduktion og definition af begrebet “følsomme personoplysninger” eller “SPI”. Dette er en særlig kategori af personoplysninger, som I måske allerede kender fra GDPR, men som ikke blev nævnt i CCPA.
  • En “tilbagebliksperiode” til den 1. januar 2022. Alle data, der indsamles fra og med denne dato, vil være omfattet af overensstemmelseskravet.
  • Nye krav til webstedet, herunder et link med titlen “Sælg eller del ikke mine personlige oplysninger” og et link med titlen “Begræns brugen af mine følsomme personlige oplysninger” ELLER “et enkelt, tydeligt mærket link”, der let giver en forbruger mulighed for på samme tid at fravælge salg eller deling af PI og begrænse brugen eller videregivelsen af forbrugerens personlige oplysninger.
  • CPRA udvider kravet om samtykke til at dække flere scenarier.
  • Nye sikkerhedskrav, der svarer til GDPR’s. Virksomhederne skal “gennemføre rimelige sikkerhedsprocedurer og -praksis, der er tilpasset arten af de personlige oplysninger for at beskytte de personlige oplysninger mod uautoriseret eller ulovlig adgang, ødelæggelse, brug, ændring eller videregivelse”.
  • Ekstra vægt på beskyttelse af børns personoplysninger. CPRA giver forældre ret til at træffe beslutninger om brugen af deres børns data.
  • Beskyttelse af medarbejderes og uafhængige entreprenørers data.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Forbedret beskyttelse af personlige oplysninger i CPRA

CPRA’s udvidede forbrugerrettigheder omfatter 4 nye rettigheder og 5 udvidede omdefinitioner af eksisterende rettigheder.

Her er fire nye CPRA-rettigheder:

  • Retten til at rette urigtige personoplysninger. CCPA nævnte ikke denne ret.
  • Retten til at fravælge automatiseret beslutningstagning. Indbyggere i Californien kan nu sige, at de ikke ønsker, at I bruger deres personlige oplysninger (især adfærdsdata) til profilering, målrettede reklamer og meget mere.
  • Retten til at få besked om automatiseret beslutningstagning. Indbyggere i Californien kan anmode om oplysninger om, hvordan I bruger automatiseret beslutningstagning, og hvordan det kan påvirke dem.
  • Ret til at begrænse brugen af følsomme personoplysninger til “den brug, der er nødvendig for at udføre de tjenester eller levere de varer, som en gennemsnitlig forbruger, der anmoder om sådanne varer eller tjenester, med rimelighed kan forvente”.

Her er fem udvidede CPRA-rettigheder:

  • Opdateret ret til sletning. Virksomhederne skal nu underrette tredjeparter, som de har delt en persons data med, og bede dem slette disse data, når en indbygger i Californien sender dem en anmodning om sletning.
  • Opdateret ret til at vide. Indbyggere i Californien kan nu anmode om adgang til personlige oplysninger, der er indsamlet efter den oprindelige 12-månedersgrænse i CCPA.
  • Opdateret ret til at fravælge salget eller deling af personlige oplysninger. Retten til at fravælge salg af data var en vigtig del af CCPA. Nu kan folk også fravælge andre typer datadeling.
  • Opdaterede rettigheder og samtykker for mindreårige. Virksomheder, der deler mindreåriges adfærdsdata til reklameformål, skal nu først få den pågældende person til at give sit samtykke.
  • Opdateret ret til dataportabilitet. Indbyggere i Californien kan bede om at få deres PI overført til en ny tjenesteudbyder eller en anden organisation efter eget valg.

CPRAs nye definitioner på virksomheder

CPRA’s nye definition af omfattede virksomheder omfatter alle websteder, virksomheder eller organisationer, der:

  • har en årlig bruttoindtægt på mindst 25 millioner dollars.
  • og/eller tjener mindst 50 % af sine årlige indtægter på at sælge eller dele personlige oplysninger.
  • og/eller køber, sælger eller deler personlige oplysninger om mere end 100 000 forbrugere eller husstande årligt.

Tidligere ville mange virksomheder under CCPA-reglerne være fritaget for ansvar, medmindre de solgte store mængder data. Men nu strækker ansvaret sig til virksomheder, der deler betydelige mængder af personlige data, ikke kun dem, der sælger data.

Ændringer i CPRA-teksten ift. CCPA

1. Nye krav for “Opt out” og links
En hjemmeside skal nu indeholde et link eller en knap med titlen “Du må ikke sælge eller dele mine personlige oplysninger” OG et link eller en knap med titlen “Begræns brugen af mine følsomme personlige oplysninger”.

Som alternativt, kan I også oprette et enkelt, klart link, der nemt giver en forbruger mulighed for på samme tid at fravælge salg eller deling af PI og begrænse brugen eller videregivelsen af forbrugerens SPI.

 

2. CPRA og følsomme data
CPRA tilføjer en ny definition af “følsomme personlige oplysninger”. Ligesom hos GDPR inkluderer disse nu:

  • Race og etnicitet
  • Religiøse, politiske og filosofiske overbevisninger
  • Seksuelle oplysninger
  • Genetik og biometri
  • Sundhed og sygehistorie
  • Geolokalisering
  • Socialsikringsnummer og kørekortnummer
  • Økonomi

 

3. Nye krav om samtykke
CPRA udvider kravene til samtykke i forhold til CCPA. Her er de nye samtykkekrav:

  • Få nyt samtykke til at sælge eller dele personlige oplysninger, hvis en bruger har fravalgt det
  • Få samtykke, før I sælger eller deler personlige oplysninger om mindreårige
  • Få samtykke, før I bruger, sælger eller deler følsomme personlige oplysninger (SPI), efter at en bruger har fravalgt dem
  • Få samtykke til undtagelser for forskning
  • Få samtykke til at tilmelde sig et økonomisk incitament

Tips til overholdelse af CPRA

Selvfølgelig gør flere forbrugerrettigheder overholdelse af CPRA mere krævende for virksomheder. Så sørg for at følge nedenstående trin for at blive klar til at overholde CPRA:

  1. Identificer personlige data og følsomme personlige data i jeres systemer.
  2. Brug systemer, der giver mulighed for at sortere data efter dato eller datointerval for at overholde tilbagebliksperioden.
  3. Sæt grænser for, hvor længe I gemmer PI i e-mails og mapper.
  4. Overvåg jeres medarbejdere og jeres systemer for at sikre, at I overholder jeres politikker.
  5. Brug kryptering eller pseudonymisering til at beskytte PI i hvile og under overførsel.
  6. Sæt jer op til at kontrollere og besvare alle typer anmodninger om data.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

En smartere måde at overholde CPRA på

Hos Safe Online skaber vi løsninger, der hjælper virksomheder med at håndtere persondata og overholde forordninger som CPRA og GDPR.

DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn