Iubenda logo
Generér

Dokumentation

Indhold

Vejledning til overholdelse af California Consumer Privacy Act (CCPA)

❗️ Vigtigt

Bemærk, at CCPA er blevet ændret ved California Privacy Rights Act (CPRA), som nu er trådt i kraft. Se denne vejledning: CPRA: Intro til CCPA 2.0 og hvordan det berører dig, samt alle oplysninger om, hvad du skal gøre, og hvad det betyder for dig.

Oplysningerne nedenfor vedrører CCPA og er ikke længere helt opdaterede.

Opdatering

California Privacy Rights Act (CPRA) bygger videre på den eksisterende California Consumer Privacy Act (CCPA) ved at beskytte forbrugernes personoplysninger yderligere. CPRA supplerer, men hverken erstatter eller ophæver, de eksisterende rammer, som er fastlagt i CCPA.

CCPA tildeler forskellige rettigheder til indbyggere i Californien og regulerer de handlinger, som virksomheder, der indsamler eller sælger personoplysninger, kan foretage. Konsekvenserne af tredjepartsbehandling af forbrugeroplysninger har dog været en smule åbne for fortolkning. Dette gav anledning til en ændring af CCPA, også kaldet California Privacy Rights Act (CPRA).

CPRA trådte i kraft i januar 2023 og behandler mere udførligt nogle få nøgleelementer i CCPA og kan betragtes som en mere omfattende udgave af loven.

💡 Vores produkter er blevet opdateret, så de er i overensstemmelse med de seneste ændringer i CPRA. Du kan se alle oplysninger om, hvad du skal gøre for at overholde reglerne, her.

Californiens lov om forbrugerbeskyttelse

Hvad er forskellen mellem CCPA og CPRA?

CPRA, eller California Privacy Rights Act, er en opdateret og udvidet udgave af CCPA. Den blev vedtaget af vælgerne i Californien i november 2020 og træder i kraft den 1. januar 2023. CPRA bygger videre på den beskyttelse, som CCPA yder, og indfører nye krav til virksomheder. Se den største forskel mellem CCPA og CPRA her → 

Hvornår finder CCPA anvendelse?

Generelt finder CCPA anvendelse, når BEGGE af følgende betingelser er opfyldt:

  • Du har en virksomhed, og
  • du henvender dig til forbrugere i Californien.

Vigtige definitioner

Forbruger

I henhold til CCPA defineres en “forbruger” som en fysisk person, der er bosiddende i Californien.

Virksomhed

I henhold til California Consumer Privacy Act defineres en “virksomhed” som en organisation med profit for øje, der indsamler personoplysninger om forbrugere, bestemmer formålet med og metoden til behandlingen, er rettet mod indbyggere i Californien (uanset om virksomheden rent faktisk er baseret i Californien eller ej), og opfylder mindst et af følgende krav:

  • har en årlig bruttoindtægt på over 25 mio. USD, eller
  • får 50 % eller mere af sine årlige indtægter fra salg af forbrugeres personoplysninger, eller
  • køber, modtager, sælger eller deler personoplysninger om 50.000 eller flere forbrugere årligt til virksomhedens kommercielle formål. Da IP-adresser også omfattes som personoplysninger – og “kommercielle formål” ganske enkelt betyder at fremme kommercielle eller økonomiske interesser – er det sandsynligt, at enhver hjemmeside med mindst 50.000 unikke besøg om året fra Californien falder ind under dette anvendelsesområde.

Personoplysninger

I henhold til California Consumer Privacy Act defineres “personoplysninger” som “oplysninger, der identificerer, relaterer sig til, beskriver, kan tilknyttes eller med rimelighed kan forbindes, direkte eller indirekte, med en bestemt forbruger eller husstand.”

CCPA beskriver endvidere, at personoplysninger kan omfatte, men ikke er begrænset til:

  • identifikatorer som f.eks. et navn, et alias, en postadresse, en unik personlig identifikator, en onlineidentifikator, en IP-adresse, en e-mailadresse, et kontonavn, et CPR-nummer, et kørekortnummer, et pasnummer eller andre lignende identifikatorer
  • kommercielle oplysninger, herunder oplysninger om personlige ejendele, produkter eller tjenesteydelser, der er købt, erhvervet eller overvejet, eller andre købs- eller forbrugshistorikker eller -tendenser
  • biometriske oplysninger
  • oplysninger om internet- eller andre elektroniske netværksaktiviteter, herunder browserhistorik, søgehistorik og oplysninger om interaktion med hjemmesider, applikationer eller annoncer
  • geoplaceringsoplysninger
  • lyd, elektroniske, visuelle, termiske, lugtbaserede eller lignende oplysninger
  • fag- eller beskæftigelsesrelaterede oplysninger
  • uddannelsesoplysninger – ud over, hvad der er offentligt tilgængeligt som defineret her, eller
  • enhver konklusion, der drages ud fra oplysninger som de ovenfor anførte, og som anvendes til at skabe en profil om en forbruger, der afspejler forbrugerens præferencer, karakteristika, psykologiske tendenser, forudsætninger, adfærd, holdninger, intelligens og evner.

Salg

Salg i forbindelse med CCPA er defineret som: “salg, udlejning, frigivelse, videregivelse, formidling, tilrådighedsstillelse, overførsel eller anden mundtlig, skriftlig eller elektronisk eller anden overdragelse af en forbrugers personoplysninger fra en virksomhed til en anden virksomhed eller en tredjepart mod betaling af penge eller anden modydelse“.

Modydelse

Selv om CCPA ikke på nuværende tidspunkt udtrykkeligt definerer “modydelse”, er det i henhold til californisk aftaleret defineret som: “[a]enhver fordel, som en anden person giver eller har aftalt at give til løftegiveren, som løftegiveren ikke er berettiget til i henhold til lovgivningen, eller enhver skade, som denne person lider eller har accepteret at lide, bortset fra den skade, som personen på tidspunktet for samtykket er retmæssigt forpligtet til at lide, som en tilskyndelse for løftegiveren, er en modydelse.” (Cal. Civ. Code § 1605).

I denne sammenhæng kan “modydelse” fortolkes bredt som værende alle aftaler, hvor der udveksles personoplysninger – og hvor den overdragende enhed modtager en fordel som den ikke ville være juridisk berettiget til uden aftalen.

Vigtigt

CalOPPA er ikke blevet ophævet af CCPA og er stadig gældende. Dette er noget, du skal være opmærksom på, selv om definitionen af “virksomhed” ovenfor ikke gælder for dig, da du måske stadig skal overholde CalOPPA, eller måske er begge love gældende for dig. Læs mere om CalOPPA her

Forbrugerens rettigheder i henhold til CCPA

Hvad kræver CCPA helt præcist?

Retten til at blive informeret

I henhold til CCPA har forbrugerne ret til at blive informeret om, hvordan deres oplysninger behandles på eller før indsamlingstidspunktet.

I henhold til California Consumer Privacy Act skal du oplyse:

  • de kategorier af personoplysninger, som virksomheden indsamler, sælger eller deler
  • de kategorier af tredjeparter , som virksomheden deler personoplysninger med
  • de kategorier af kilder, hvorfra disse oplysninger er indsamlet
  • det forretningsmæssige/kommercielle formål med at indsamle eller sælge forbrugernes personoplysninger
  • forbrugernes rettigheder, og hvordan de udøver dem, og
  • hvordan forbrugeren kan gøre indsigelse mod salg af sine data via et link “Sælg ikke mine data” (hvis der sælges data).

Retten til adgang

I henhold til CCPA har forbrugerne ret til at få adgang til deres personoplysninger, når de på en verificerbar måde anmoder om det.*

Forbrugerne har især ret til at få adgang til:

  • de kategorier af personoplysninger, der er indsamlet om dem i de seneste 12 måneder
  • specifikke oplysninger, der er indsamlet om dem
  • de kategorier af kilder, hvorfra virksomheden har indsamlet oplysningerne
  • formålet med at indsamle eller sælge oplysningerne
  • de kategorier af tredjeparter, som virksomheden deler personoplysninger med
  • de kategorier af personoplysninger, der er solgt, og de kategorier af tredjeparter, som personoplysningerne er blevet solgt til
  • de kategorier af personoplysninger, der videregives til forretningsformål.

*Ved verificerbar måde eller “verificerbar anmodning fra en forbruger” forstås en anmodning, der fremsættes af en forbruger, af en forbruger på vegne af forbrugerens mindreårige barn, eller af en fysisk person eller en person, der er registreret hos myndighederne, og som af forbrugeren er bemyndiget til at handle på forbrugerens vegne, og som virksomheden med rimelighed kan verificere … er den forbruger, som virksomheden har indsamlet personoplysninger om. Cal. Civ. Code § 1798.140(y)

Du skal give forbrugerne to eller flere metoder til at anmode om indsigt, herunder som minimum et gratis telefonnummer og, hvis virksomheden har en hjemmeside, en webadresse. Du skal også gøre en rimelig indsats for at kontrollere, at den person, der fremsætter anmodningen, enten er den forbruger, oplysningerne vedrører, eller er bemyndiget til at anmode om disse oplysninger på vegne af forbrugeren som beskrevet ovenfor.

Retten til portabilitet

I henhold til California Consumer Privacy Act er retten til dataportabilitet kombineret med retten til indsigt i henhold til paragraf 1798.100 (d).

Når virksomheder opfylder anmodninger om anmodninger om adgang “elektronisk”, kræves det også, at oplysningerne leveres til forbrugeren i “et bærbart og, i det omfang det er teknisk muligt, anvendeligt format, der gør det muligt for forbrugeren at overføre disse oplysninger til en anden enhed uden hindring“.

Anmodninger om oplysninger skal efterkommes uden beregning inden 45 dage efter forbrugerens verificerbare anmodning. Denne frist kan forlænges yderligere én gang med yderligere 45 dage, hvis det er rimeligt nødvendigt, og forudsat at forbrugeren underrettes om forlængelsen inden for den første 45 dages periode.

De oplysninger, der fremlægges for at imødekomme denne anmodning, bør omfatte de 12 måneder, der ligger forud for modtagelsen af anmodningen.

Leveringsformat

Virksomheder skal svare enten pr. almindelig post eller i elektronisk form (f.eks. e-mail, download af filer osv.). Hvis oplysningerne leveres elektronisk, skal de ifølge loven være “bærbare”, dvs. de skal leveres i et format, der er let at bruge, og som gør det muligt at overføre oplysningerne til en anden enhed uden hindringer.

Undtagelser og begrænsninger

  • Forbrugere må højst indsende 2 anmodninger i løbet af en periode på 12 måneder.
  • Enkeltstående engangsbehandlinger er undtaget, hvis oplysningerne ikke sælges eller opbevares af virksomheden eller på anden måde anvendes til at reidentificere personen.
  • Det er ikke nødvendigt at svare, hvis virksomheden ikke har indsamlet oplysninger om den pågældende forbruger.

Retten til at blive slettet

CCPA giver forbrugerne ret til at anmode om at få slettet alle personoplysninger, der er blevet indsamlet om dem. Hvis du modtager en verificerbar anmodning om sletning fra en forbruger, skal du slette forbrugerens personoplysninger fra dine registre og give eventuelle tilknyttede tjenesteudbydere instruks om at slette forbrugerens personoplysninger fra deres registre.

Du skal give forbrugerne to eller flere metoder til at indgive anmodninger, herunder som minimum et gratis telefonnummer og, hvis virksomheden har en hjemmeside, en webadresse. Du skal også gøre en rimelig indsats for at kontrollere, at den person, der fremsætter anmodningen, enten er den forbruger, oplysningerne vedrører, eller er bemyndiget til at anmode om disse oplysninger på vegne af forbrugeren som beskrevet ovenfor.

Denne anmodning skal efterkommes uden beregning inden 45 dage efter forbrugerens verificerbare anmodning. Denne frist kan forlænges yderligere én gang med yderligere 45 dage, hvis det er rimeligt nødvendigt, og forudsat at forbrugeren underrettes om forlængelsen inden for den første 45 dages periode.

Undtagelser og begrænsninger

Virksomhederne er ikke forpligtet til at efterkomme anmodningen om sletning, hvis oplysningerne er nødvendige:

  • for at gennemføre den transaktion, som personoplysningerne blev indsamlet til
  • med henblik på levering af en vare eller en tjenesteydelse, som forbrugeren har anmodet om, eller for på anden måde at gennemføre en aftale mellem virksomheden og forbrugeren
  • til at opdage sikkerhedshændelser, yde beskyttelse mod ondsindet, vildledende, svigagtig eller ulovlig aktivitet eller retsforfølge dem, der er ansvarlige for denne aktivitet
  • til fejlfinding med henblik på at identificere og reparere fejl
  • til at udøve ytringsfrihed eller udøve en anden forbrugers ret til ytringsfrihed
  • for at overholde Californiens lov om beskyttelse af privatlivets fred i forbindelse med elektronisk kommunikation (California Electronic Communications Privacy Act, CalECPA)
  • til offentlig eller fagfællebedømt videnskabelig, historisk eller statistisk forskning i offentlighedens interesse
  • for at opfylde en retlig forpligtelse
  • til udelukkende at muliggøre interne anvendelser, der med rimelighed er i overensstemmelse med forbrugerens forventninger baseret på forbrugerens forhold til virksomheden
  • udelukkende til intern brug på en lovlig måde, der er forenelig med den sammenhæng, hvori forbrugeren har afgivet oplysningerne.

Retten til opt-out (retten til at sige nej til salg af data)

I henhold til CCPA har en forbruger til enhver tid ret til at meddele en virksomhed, der sælger vedkommendes personoplysninger til tredjepart, at virksomheden skal stoppe med at sælge sådanne personoplysninger.

Hvad er et salg i henhold til California Consumer Privacy Act, og hvordan “sælger” man personoplysninger?

Som nævnt ovenfor betyder “sælge”, “salg” eller “solgt” i henhold til CCPA salg, udlejning, frigivelse, videregivelse, udbredelse, tilrådighedsstillelse, overførsel eller anden mundtlig, skriftlig eller elektronisk kommunikation af en virksomheds personoplysninger om en forbruger til en anden virksomhed eller en tredjepart, mod betaling af penge eller anden modydelse.

To mindre indlysende eksempler på, hvad der kunne* betragtes som “salg” i henhold til CCPA, er:

  • deling af brugeroplysninger med annoncenetværk og andre tredjeparter med henblik på at vise målrettede reklamer for at opnå en fordel, herunder indtægter, eller endda
  • brug af et analyseprogram fra tredjepart til retargeting eller på anden måde generering af en brugerprofil med henblik på salg til forbrugeren.

*Husk på, at nogle elementer kan ændre sig på dette stadie af gennemførelsen, efterhånden som loven finpudses yderligere.

Hvis du “sælger” forbrugernes personoplysninger til tredjeparter, skal du oplyse forbrugerne om dette og også oplyse dem om, at de har ret til at fravælge salg af deres personoplysninger (jf. “Retten til at blive informeret” ovenfor).

Det må ikke være et krav, at en forbruger skal oprette en konto for at foretage dette fravalg (“opt-out”). Denne proces bør i stedet faciliteres via et link “Sælg ikke mine personoplysninger” (“DNSMPI“) på din hjemmeside eller i din privatlivsmeddelelse.

Hvis en virksomhed modtager en instruks fra en forbruger om ikke at sælge forbrugerens personoplysninger, er det forbudt at sælge forbrugerens personoplysninger, medmindre forbrugeren efterfølgende giver udtrykkelig tilladelse til salg af personoplysninger (“opt-in”).

Virksomhederne må kun bede om forbrugerens tilladelse én gang mere, og først 12 måneder efter, at forbrugeren har fravalgt det.

Retten til opt-in (forudgående samtykke for mindreårige)

Det er forbudt for virksomheder at sælge forbrugerens personoplysninger, hvis virksomheden er bekendt med, at forbrugeren er under 16 år. I sådanne tilfælde må virksomhederne kun sælge oplysningerne, hvis:

  • forbrugeren er mellem 13 og 16 år og har givet sit samtykke, eller
  • forbrugeren er under 13 år, og forbrugerens forælder eller værge har accepteret det på forbrugerens vegne.

Retten til ikke at blive udsat for forskelsbehandling (selv hvis forbrugeren udøver sin ret til privatlivets fred)

I henhold til CCPA er det forbudt for virksomheder at forskelsbehandle forbrugere, der udøver deres rettigheder i henhold til loven. Forbudte former for forskelsbehandling omfatter:

  • Afvisning af varer eller tjenesteydelser til forbrugeren.
  • Opkrævning af forskellige priser eller takster for varer eller tjenesteydelser, herunder ved hjælp af rabatter eller andre fordele eller ved at pålægge sanktioner.
  • At levere et andet niveau eller en anden kvalitet af varer eller tjenesteydelser til forbrugeren, hvis forbrugeren gør brug af sine rettigheder i henhold til dette afsnit.
  • At foreslå, at forbrugeren får tilbudt en anden pris eller takst for varer eller tjenesteydelser eller et andet niveau eller en anden kvalitet af varer eller tjenesteydelser.

Undtagelser og begrænsninger

  • En virksomhed må kun opkræve eller tilbyde forskellige priser, takster, niveauer, kvalitet af varer eller tjenesteydelser i tilfælde, hvis denne forskel står i rimeligt forhold til den værdi, der leveres til forbrugeren med forbrugerens data.

    En virksomhed tilbyder f.eks. en standardrabat på 30 % på et produkt som et incitament til at genkøbe produktet en måned efter forbrugerens første køb af det samme produkt. I løbet af denne periode udøver forbrugeren sin ret til sletning og anmoder om at få sine personoplysninger slettet. I dette tilfælde kan virksomheden, fordi den ikke længere har de forbrugeroplysninger, der viser, at forbrugeren tidligere har købt produktet, ikke med rimelighed tilbyde den pågældende forbruger den sædvanlige rabat på 30 %.

  • En virksomhed kan tilbyde økonomiske incitamenter, herunder betalinger til forbrugere, som kompensation for indsamling af personoplysninger, salg af personoplysninger eller sletning af personoplysninger. I sådanne tilfælde skal sådanne økonomiske incitamenter oplyses til brugerne på din hjemmeside og i din privatlivspolitik.

    Det er forbudt for virksomheder at anvende økonomiske incitamenter, der er “uretfærdige, urimelige, tvangsmæssige eller ågeragtige i deres natur”.

CCPA sammenlignet med GDPR (et overblik)

Nogle har kaldt CCPA for “den californiske databeskyttelseslovgivning“, men her kan du se, hvor disse to love om beskyttelse af personoplysninger reelt er sammenlignelige:

CCPA Den europæiske databeskyttelsesforordning
Håndhævende organ? Statsadvokaten i staten Californien, USA. Nationale databeskyttelsesmyndigheder (EU-medlemsstater).
Hvem skal overholde kravene? Alle virksomheder med profit for øje, der henvender sig til californiske forbrugere og enten:
  • behandler personoplysninger om mindst 50.000 californiske forbrugere (IP-adresser betragtes som personoplysninger, så dette vil gælde for enhver hjemmeside med mindst 50.000 besøg fra californiske forbrugere), eller
  • får mindst 50 % af sine indtægter fra deling af oplysninger om californiske forbrugere mod betaling – i form af penge eller andet – eller
  • har en årlig omsætning på 25 mio. eller mere.
Alle enheder (nonprofit- eller andre enheder – herunder ngo’er, enkeltpersoner og offentlige enheder), der henvender sig til forbrugere i EU, eller som er baseret i EU.
Hvilke typer af data er beskyttet? Alle data, der vedrører eller kan knyttes til en bestemt forbruger eller husstand, med undtagelse af offentlige myndighedernes registre. Alle data, der kan føre til identifikation af en person.
Bliver IP-adresser betragtet som personoplysninger?
Er der krav om samtykke før behandling? Kun i tilfælde af mindreårige og i tilfælde af tidligere opt-out. Ja, medmindre et andet retsgrundlag legitimt finder anvendelse.
Skal virksomhederne give forbrugerne mulighed for at fravælge eller tilbagekalde deres samtykke? Ja, de skal tilvejebringe et DNSMPI-link og imødekomme anmodninger om fravalg. Brugerne har både ret til at tilbagekalde deres samtykke og ret til at gøre indsigelse mod behandlingen (kan også være relevant i tilfælde, hvor behandlingen er baseret på et andet retsgrundlag end samtykke).
Gælder beskyttelsen også for interaktioner mellem virksomheder (B2B)? Nej, CCPA gælder kun for forbrugere. GDPR skelner ikke mellem beskyttelsen af B2B- og B2C-interaktioner (Business to Consumer), men anvender blot beskyttelsen for “registrerede personer“, der defineres som “identificerbare fysiske personer” med bopæl i EU.
Sikkerhedskrav? CCPA indeholder ingen specifikke sikkerhedskrav, men giver forbrugerne en udtrykkelig ret til at anlægge sag om erstatning som følge af en virksomheds manglende implementering af passende sikkerhedspraksis. GDPR kræver, at både dataansvarlige og databehandlere implementerer sikkerhedsforanstaltninger, der passer til den særlige risiko, der er involveret. Disse foranstaltninger skal være “state of the art”, hvilket betyder, at de skal være på højde med de nyeste standarder.
Sanktioner ved manglende overholdelse? Bøder på op til 7.500 USD pr. overtrædelse. CCPA giver også forbrugerne ret til at anlægge erstatningssøgsmål. Bøder på op til 20 mio. EUR (22 mio. USD) eller 4 % af den årlige globale omsætning – alt efter hvad der er højest – samt potentielle revisioner og sanktioner. GDPR giver også de registrerede personer ret til at anlægge sag, hvis deres rettigheder er blevet krænket.
Oversigt over gældende brugerrettigheder
Retten til at blive informeret
Retten til adgang
Retten til portabilitet
Retten til berigtigelse ×
Retten til at blive slettet
Retten til at gøre indsigelse I en vis grad omfattet af retten til fravalg

Konsekvenser af manglende overholdelse

Forbrugerne har ret til at sagsøge* virksomheder, der overtræder loven. De tilknyttede bøder vil være på mellem 100 og 750 USD eller et højere beløb i forhold til den faktiske skade (hvis der kan dokumenteres større skade).
*Dette gælder kun for selve virksomhederne og ikke for “tjenesteudbydere”, der handler på vegne af virksomheden.

Staten kan anlægge sag om op til 2.500 USD pr. overtrædelse for virksomheder, der utilsigtet overtræder CCPA, og bøder på op til 7.500 USD pr. overtrædelse for virksomheder, der begår forsætlige overtrædelser.

Selv om disse bøder måske ikke virker særligt store i forhold til andre love om beskyttelse af privatlivets fred, skal du huske på, at disse bøder gælder pr. overtrædelse og pr. forbruger. For en virksomhed med blot nogle få kunder kan disse bøder løbe op i et stort beløb.

Sådan overholder du CCPA

Overholdelse af CCPA er i lighed med overholdelse af andre love om beskyttelse af privatlivets fred omfattende og involverer en egentlig gennemgang, planlægning og teknisk og juridisk implementering. Oftest er det dog gennemførelsen, der viser sig at kræve den største indsats.

Det er her, iubenda kommer ind i billedet. Implementeringen kan være kompliceret. Vi hjælper dig ved at tilbyde effektive softwareløsninger – understøttet af vores internationale juridiske team – som giver dig mulighed for at håndtere selv de mest komplekse situationer med få klik og som kan tilpasses fuldt ud efter behov (læs mere om vores løsninger, og hvordan de kan hjælpe dig, her).

Uanset hvordan du vælger at gribe implementeringsprocessen an, er der stadig nogle få grundlæggende trin, du skal tage, før du overhovedet når til implementeringsfasen. Lad os se nærmere på dem og resten af implementeringsprocessen nedenfor.

Vurder og gennemgå

Måske er et af de vigtigste trin at gennemgå og vurdere dine egne processer og systemer på en ærlig måde.

Nogle spørgsmål, du kan stille dig selv her, er:

  • Hvilke kategorier af personoplysninger indsamler jeg, og hvilke kategorier af tredjeparter deler jeg disse oplysninger med?
  • Hvilke kilder indsamler jeg disse oplysninger fra, og hvad er deres kategorier (f.eks. analyse)?
  • Hvad er baggrunden for eller formålet med min dataindsamling?
  • Hvilke forbrugerrettigheder i henhold til CCPA gælder for mine behandlingsaktiviteter?
  • Er jeg teknisk i stand til at opfylde berettigede anmodninger fra forbrugere, f.eks. anmodninger om sletning og adgang?
    • Hvordan kan jeg holde styr på, hvornår sådanne anmodninger er blevet opfyldt?
    • Har jeg styr på alle de tjenesteudbydere, der har adgang til forbrugernes personoplysninger på mine vegne?
    • Kan jeg på pålidelig vis kontakte disse parter for at opfylde f.eks. anmodninger om sletning?
    • Fører jeg pålidelige registre over de oplysninger og kategorier af personoplysninger, jeg indsamler for hver enkelt forbruger?
  • Har jeg adgang til de dokumenter, der er nødvendige for at fremlægge de lovpligtige oplysninger?
  • Hvilke undtagelser er rimelige og reelt set gældende for mit scenarie?

Fremlæg de nødvendige oplysninger

På baggrund af svarene i ovenstående trin skal du strukturere og inkludere de relevante erklæringer i din privatlivspolitik og eventuelt på det sted, hvor der indsamles data (f.eks. en kontaktformular), hvis det er relevant.

Sørg for at medtage oplysninger om:

  • de kategorier af personoplysninger, du har indsamlet, solgt eller delt i de seneste 12 måneder
  • de kategorier af tredjeparter , som du har delt og/eller kan dele personoplysningerne med
  • de kategorier af kilder, hvorfra du indsamler forbrugernes personoplysninger
  • det forretningsmæssige/kommercielle formål med at indsamle eller sælge forbrugerens personoplysninger
  • de gældende forbrugerrettigheder, og hvordan de kan udøves

Opfyldelse af forbrugerrettigheder

Rettighederne til adgang, portabilitet og sletning skal opfyldes uden omkostninger for forbrugeren inden for 45 dage efter modtagelse af en verificerbar anmodning. Opfyldelsesfristen kan forlænges (kun én gang) med yderligere 45 dage, hvis det er nødvendigt, forudsat at forbrugeren er blevet underrettet herom.

Når anmodninger om adgang og portabilitet imødekommes, skal de oplysninger, der returneres til forbrugeren, sendes i et let anvendeligt og let overførbart format.

Hvis en forbruger udøver sin opt-out-rettighed (retten til at sige nej til salg af sine data), skal du efterkomme anmodningen, når du modtager den.

I tilfælde, hvor du er vidende om, at forbrugeren er en mindreårig under 16 år, må du ikke sælge vedkommendes oplysninger, medmindre du udtrykkeligt har fået tilladelse hertil af en forælder eller værge (for mindreårige under 13 år), eller hvis du udtrykkeligt har fået tilladelse hertil af den mindreårige forbruger i tilfælde, hvor den mindreårige er mellem 13 og 16 år.

Tilføj en meddelelse om salg og et DNSMPI-link til din hjemmeside

Som et krav i forbindelse med forbrugerens ret til at fravælge salg af oplysninger skal du sørge for et let tilgængeligt, klart og tydeligt link til “Sælg ikke mine personoplysninger” (“DNSMPI“) på din hjemmeside og i din privatlivspolitik (med passende oplysninger om den tilhørende forbrugerrettighed).

Linket skal lede brugeren til en side, hvor han eller hun kan fravælge salg af sine personoplysninger.

Hvis det er teknisk muligt, kan du hoste og omdirigere indbyggerne i Californien til en separat hjemmeside med det synlige DNSMPI-link.

Du må ikke diskriminere mod forbrugere, der udøver deres rettigheder

Den service, kvalitet, det niveau og/eller de priser, du opkræver/tilbyder til forbrugerne, må ikke påvirkes af eller være afhængig af, om de har valgt at håndhæve deres rettigheder. De eneste undtagelser til denne regel er de tilfælde, hvor værdien af den tilbudte tjeneste eller vare afhænger af de data, der er indsamlet om forbrugeren (se eksemplet ovenfor).

Du må tilbyde økonomiske incitamenter (herunder betalinger) til forbrugere til gengæld for adgang til deres personoplysninger, men du må kun bruge økonomiske incitamenter, som er rimelige og som ikke udgør tvang eller afpresning. I alle disse tilfælde skal forbrugerne først informeres om sådanne incitamenter på din hjemmeside.

Gennemgå dine processer med jævne mellemrum

Love er ligesom de mennesker, behov og idéer, de understøtter, ofte dynamiske “levende” ting. På samme måde kan dine egne forretningsformål, partnere og processer ændre sig med tiden.

Det er derfor vigtigt, at du regelmæssigt gennemgår og vurderer dine interne processer, tekniske muligheder og juridiske dokumenter og holder dem ajour med lovgivningen.

Hvordan kan iubenda hjælpe dig med at overholde CCPA?

Overholdelse kan generelt være kompliceret – det kan være en stor udfordring at finde ud af den rigtige måde at anvende loven på og få de tekniske specifikationer til at fungere for din hjemmeside og din virksomhed.

Vores løsninger gør det tunge tekniske og juridiske arbejde, så du kan fokusere på at udvikle din virksomhed.

CCPA-kompatibel generator af privatlivs- og cookiepolitik

Alle privatlivspolitikker, der genereres med iubenda, giver dig mulighed for at overholde CCPA, da de indeholder muligheden for nemt at anvende de juridiske standarder, der er defineret i CCPA, i forhold til californiske brugere.

Vores løsning gør det nemt for dig at opfylde de øgede krav ved:

  • At vise CCPA-relateret sprog, oplysninger og instruktioner , således som det kræves i henhold til loven.
  • At angive tjenester, der er aktive på din hjemmeside, som kan udgøre et salg i henhold til CCPA’s definition (således som det kræves i henhold til loven).
  • Automatisk at opdatere din indlejrede privatlivspolitik med CCPA-teksten , når den er aktiveret i generatoren – dvs. du behøver ikke at integrere koden på din hjemmeside.

💡 Få mere at vide om vores Generator af privatlivs- og cookiepolitik.

Privacy Controls and Cookie Solution til CCPA: Vis en meddelelse om indsamling og et link med “Må ikke sælges”

Vores løsning hjælper dig med at opfylde CCPA-kravet om at informere californiske brugere om eventuel salgsaktivitet ved besøg på hjemmesiden og giver også disse brugere mulighed for at fravælge det (således som det kræves i henhold til loven).

Mere specifikt giver vores Privacy Controls and Cookie Solution dig mulighed for at gøre følgende:

  • Vise en CCPA-meddelelse om indsamling.
  • Vise et link til “Sælg ikke mine personoplysninger” (DNSMPI)-link i meddelelsen om indsamling (således som kræves i henhold til lovgivningen), og du har også mulighed for at tilføje linket til din hjemmeside for at gøre det nemt for brugeren at få adgang til det (således som det kræves i henhold til lovgivningen) og dermed understøtte fravalg af salg af oplysninger.
  • Automatisk registrere og anvende de korrekte standarder (herunder flere standarder) afhængigt af lokation. Vores løsning giver dig mulighed for at anvende både CCPA- og GDPR-standarder for de samme brugere, når det er påkrævet i henhold til lovgivningen.
  • Understøtte IAB’s CCPA Compliance Framework (Interactive Advertising Bureau), som fastlægger en proces for udgivere og deres partnere til at overholde de nye bestemmelser om salg af forbrugeroplysninger til teknologivirksomheder.
  • Manuelt at blokere scripts, der ikke overholder IAB CCPA Compliance Framework. Vores løsning vil automatisk blokere (manuelt) taggede scripts, når en bruger fravælger dem.

💡 Få mere at vide om, hvordan du aktiverer disse funktioner.

Consent Database og Register over databehandlingsaktiviteter til ajourførte oplysninger

Som nævnt ovenfor giver CCPA forbrugerne ret til at foretage opt-out. I tilfælde, hvor behandlingen er delvis manuel (dvs. ikke relateret til onsite scripts, som f.eks. i tilfælde af direkte e-mailmarkedsføring), kan virksomhederne være nødt til manuelt at implementere en løsning til opt-out.

Desuden foreskriver CCPA, at brugere, der har foretaget opt-out, ikke må kontaktes i mindst 12 måneder derefter. Derfor er det klogt at registrere oplysninger om opt-out, f.eks. den pågældende bruger, datoen og underleverandører, der skal underrettes i tilfælde af anmodninger.

Consent Database

Vores Consent Database hænger sammen med dine webformularer, så du automatisk kan videregive oplysninger om forbrugerpræferencer, som f.eks. opt-out, via API til et visuelt dashboard, der administreres centralt.

Du kan registrere alle relevante oplysninger, herunder dato og klokkeslæt for opt-out, den version af privatlivspolitikken, som brugeren havde adgang til på det pågældende tidspunkt, bruger-ID, e-mail og endda IP-adresse for at hjælpe med at verificere anmodningen.

💡 Læs mere om vores Consent Database.

Register over databehandlingsaktiviteter

Med vores Register over databehandlingsaktiviteter kan du helt præcist registrere de relevante oplysninger, der er nødvendige for at opfylde forbrugernes anmodninger korrekt.

Løsningen registrerer:

  • sikkerhedsoplysninger, f.eks. hvilke personer i din organisation, der har adgang til brugeroplysninger
  • eventuelle registrerede underleverandører, der behandler personoplysninger på dine vegne
  • manuelt tilføjede formål med behandlingen
  • dataindsamlingsmetoder og meget mere.

Gør din hjemmeside CCPA-kompatibel på få minutter

Begynd at generere

Se også