Amerikansk privatlivslovgivning
– compliance for din hjemmeside, app og virksomhed
Amerikanske stater stiller nye krav til virksomheder, herunder om juridisk og teknisk ansvar. Compliance – overholdelse af lovkrav – kan være kompliceret. Med vores løsninger kan du undgå de usikkerheder, der er forbundet med compliance, idet vi allerede har taget os af det mest tekniske og juridiske, så du kan fokusere på at vækste din virksomhed.
Hvilken lovgivning gælder for mig?
CPRA
Den californiske privatlivslovgivning (CPRA) er baseret på CCPAs eksisterende bestemmelser, styrker forbrugerrettigheder og stiller nye krav til virksomheder, der behandler personoplysninger om californiske borgere.
Den gælder for juridiske enheder, som driver forretning i Californien med henblik på fortjeneste, som behandler forbrugeres personoplysninger, og som opfylder ét eller flere af følgende krav:
- årlige bruttoindtægter over USD 25 mio.
- køber, sælger eller deler personoplysninger om min. 100.000 forbrugere eller husholdninger årligt eller
- får min. 50 % af sine årlige indtægter fra salg eller deling* af forbrugeres personoplysninger.
* Kan inkludere tredjepartsintegrationer på din hjemmeside.
Er du usikker på, om CPRA gælder for dig? Tag denne 1-minuts quiz
VCDPA
The Virginia Consumer Data Protection Act (VCDPA) blev inkorporeret i lovgivningen i marts 2021, og Virginia blev i den forbindelse den anden amerikanske stat efter Californien, der vedtog en omfattende databeskyttelseslovgivning. VCDPA trådte i kraft den 1. januar 2023.
Den gælder personer, der driver virksomhed i Virginia eller leverer produkter eller tjenester målrettet personer bosiddende i Virginia, og som:
- I løbet af et kalenderår administrerer og behandler personoplysninger for mindst 100.000 forbrugere, eller
- administrerer og behandler personoplysninger for mindst 25.000 forbrugere, hvor over 50 % af virksomhedens bruttoindtægt stammer fra salg af personoplysninger.
CPA
Colorado Privacy Act (CPA) trådte i kraft den 1. juli 2023 og er designet til at beskytte rettigheder tilhørende indbyggere i Colorado, USA, ved at regulere, hvordan virksomheder indsamler, behandler og opbevarer personoplysninger.
Den gælder for dataansvarlige, der driver forretning i Colorado eller bevidst har forbrugere i Colorado som målgruppe for kommercielle produkter eller tjenester, og
- administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i løbet af et kalenderår eller
- får deres indtægter fra salg af personoplysninger og behandler eller administrerer personoplysninger for mindst 25.000 forbrugere.
CTDPA
Connecticut Data Privacy Act (CTDPA) trådte i kraft den 1. juli 2023 og stiller krav om, at du gør nøjagtige og forståelige privatlivsmeddelelser med information om blandt andet behandlingen af personoplysninger samt formål, forbrugerrettigheder og deling med tredjeparter tilgængelige for forbrugere.
Den gælder for personer, der driver forretning i Connecticut, USA, eller producerer produkter eller tjenester, der er målrettet indbyggere i Connecticut, og som i det forgangne kalenderår:
- Administrerede eller behandlede personoplysninger for mindst 100.000 forbrugere (undtagen personoplysninger administreret eller behandlet udelukkende for at gennemføre en betalingstransaktion) eller
- administrerede eller behandlede personoplysninger for mindst 25.000 forbrugere og fik mere end 25 % af deres bruttoindtægt fra salg af personoplysninger.
UCPA
Utah Consumer Privacy Act (UCPA) er en ny lov om forbrugerbeskyttelse i Utah, USA, som træder i kraft den 31. december 2023. UCPA har en erhvervsvenlig tilgang til forbrugernes privatliv. Formålet med UCPA er at tilbyde en praktisk standard til virksomheder og samtidig beskytte Utah-forbrugernes lovbestemte rettigheder.
Den gælder for enhver virksomhed, der:
- Driver forretning i Utah eller
- producerer et produkt eller en tjeneste målrettet forbrugere, der er bosiddende i Utah,
- har en årlig omsætning på mindst USD 25.000.000 og
- opfylder ét eller flere af følgende forhold:
- Administrerer eller behandler i løbet af et kalenderår personoplysninger for mindst 100.000 forbrugere eller
- får over 50 % af enhedens bruttoindtægt fra salg af personoplysninger og administrerer eller behandler personoplysninger for mindst 25.000 forbrugere.
TDPSA
Texas Data Privacy and Security Act (TDPSA), også kendt som H.B. 4, blev underskrevet den 18. juni af guvernør Greg Abbott og trådte i kraft den 1. juli 2024.
Loven gælder for:
- Virksomheder, der har aktiviteter i Texas;
- Producerer produkter eller tjenester til indbyggere i Texas;
- Behandler eller sælger personoplysninger; og
- Ikke kan kategoriseres som “små virksomheder” i henhold til retningslinjerne i U.S. Small Business Administration.
MTCDPA
Montana Consumer Data Privacy Act (MTCDPA) trådte i kraft den 1. oktober 2024. Denne lovgivning har til formål at give Montanas indbyggere mere kontrol over deres personoplysninger og beskytte deres privatliv i en digital verden i hastig udvikling.
Loven gælder for virksomheder, der driver forretning i Montana, USA, eller har forbrugere i Montana som målgruppe, og som opfylder et af følgende kriterier:
- Administrerer eller behandler personoplysninger for mindst 50.000 forbrugere (undtagen data vedrørende betalingstransaktioner), eller
- Administrerer eller behandler personoplysninger for mindst 25.000 forbrugere og får mere end 25 % af deres bruttoindtægt fra salg af personoplysninger.
Nonprofitvirksomheder og visse andre enheder er undtaget fra denne lov.
NJDPA
New Jersey Data Protection Act (NJDPA) har til formål at forbedre privatlivsrettighederne for forbrugere i New Jersey ved at regulere måden, hvorpå virksomheder indsamler, bruger og håndterer personoplysninger.
Det gælder for enheder, der:
- driver forretning i New Jersey eller
- tilbyder produkter eller tjenester målrettet forbrugere i New Jersey og
- administrerer eller behandler personoplysninger for mindst 100.000 forbrugere eller
- får over 50 % af deres bruttoindtægter fra salg af personoplysninger.
DPDPA
Delaware Personal Data Privacy Act (DPDPA) stiller krav om, at virksomheder skal implementere klare procedurer for databehandling og give forbrugere i Delaware rettigheder i relation til deres personoplysninger.
Dette gælder for enhver enhed, der:
- driver forretning i Delaware eller
- tilbyder produkter eller tjenester målrettet forbrugere bosiddende i Delaware og
- administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i Delaware eller
- får over 50 % af sine bruttoindtægter fra salg af personoplysninger og administrerer eller behandler personoplysninger for mindst 25.000 forbrugere i Delaware.
NHDPA
New Hampshire Data Protection Act (NHPA) har strenge krav, når det gælder databeskyttelse for forbrugere i New Hampshire, og fastsætter regler og krav for virksomheders ansvar i forbindelse med behandling af personoplysninger.
Den gælder for enhver enhed, der:
- Driver forretning i New Hampshire eller
- tilbyder produkter eller tjenester til forbrugere i New Hampshire og
- har administreret eller behandlet personoplysninger for mindst 100.000 forbrugere i det foregående kalenderår eller
- får over 50 % af sine indtægter fra salg af personoplysninger og behandler personoplysninger for mindst 25.000 forbrugere.
Nevada Privacy Law
Nevada Privacy Law giver vigtig beskyttelse af forbrugere i Nevada i forhold til virksomheders behandling af deres personoplysninger.
Den gælder for:
- Alle virksomheder, der driver forretning i Nevada eller
- tilbyder produkter eller tjenester til forbrugere i Nevada og
- administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i løbet af et kalenderår eller
- får over 50 % af sine indtægter fra salg af personoplysninger og behandler personoplysninger for mindst 25.000 forbrugere.
NDPA
Nebraska Data Privacy Act (NDPA) har til formål at give forbrugere i Nebraska rettigheder til at kontrollere deres personoplysninger, hvilket sikrer, at virksomheder overholder kravene om gennemsigtighed og ansvarlighed i deres databehandling.
Den gælder for:
- Enhver virksomhed, der har aktiviteter i Nebraska eller
- producerer eller leverer produkter eller tjenester målrettet forbrugere i Nebraska og
- har administreret eller behandlet personoplysninger for mindst 100.000 forbrugere i det foregående kalenderår eller
- får over 50 % af sine indtægter fra salg af personoplysninger og behandler personoplysninger for mindst 25.000 forbrugere.
Tidslinje for amerikansk statslovgivning
-
California Consumer Privacy Act (CCPA)
California Consumer Privacy Act (CCPA) træder i kraft med en bødefri periode på seks måneder.
California Consumer Privacy Act (CCPA)
Der holdes aktivt øje med overholdelse af kravene i CCPA, ligesom disse håndhæves af den amerikanske statsadvokat (Office of the Attorney General), herunder udstedes meddelelser om manglende overholdelse og bøder, hvis forholdet ikke bringes til ophør inden for en afhjælpningsperiode på 30 dage.
-
California Privacy Rights Act (CPRA)
CPRA starter sin look-back-periode på 12 måneder. Virksomheder skal nu tage højde for personoplysninger indsamlet og behandlet over en 12-måneders periode inden forbrugerens anmodning.
-
California Privacy Rights Act (CPRA)
California Privacy Rights Act (CPRA), en revideret udgave af CCPA, træder i kraft. Afhjælpningsperioden på 30 dage gælder ikke længere.
For at overholde CPRA skal du træffe disse forholdsregler:
Det er vigtigt at bemærke, at de forholdsregler, du skal træffe for at overholde gældende lovkrav, vil afhænge af, hvilken type virksomhed du driver, og hvilke personoplysninger du indsamler og behandler. Svar på disse hurtige spørgsmål, og find ud af, om loven gælder for din virksomhed
Her kan du finde specifik information om, hvordan du overholder ovenstående: Hvordan kan iubenda hjælpe dig med at overholde CPRA?Virginia Consumer Data Protection Act (VCDPA)
Virginia Consumer Data Protection Act (VCDPA) træder i kraft og håndhæves.
For at overholde VCDPA skal du træffe disse forholdsregler:
Det er vigtigt at bemærke, at de specifikke forholdsregler, du skal træffe for at overholde gældende lovkrav, vil afhænge af, hvilken type virksomhed du driver, hvilke personoplysninger du indsamler og behandler, og andre faktorer.
Her finder du specifik information om, hvordan du overholder ovenstående lovkrav: Hvordan kan iubenda hjælpe dig med at overholde kravene i VCDPA?
California Privacy Rights Act (CPRA)
California Privacy Rights Act (CPRA) håndhæves.
California Privacy Protection Agency holder nu aktivt øje med overholdelse af kravene i CPRA (CPPA) og giver bøder og sanktioner for manglende overholdelse af lovkravene.
Vær opmærksom på, at håndhævelsen af de endelige regulativer udstedt af California Privacy Protection Agency efter afgørelsen fra Sacramento County Superior Court er blevet forsinket til den 29. marts 2024. Beslutningen påvirker dog ikke lovbestemmelserne i henhold til CPRA, som håndhæves fra den 1. juli 2023.
Colorado Privacy Act (CPA)
Colorado Privacy Act (CPA) træder i kraft.
For at overholde CPA skal du træffe disse forholdsregler:
Her kan du finde konkret information om, hvordan du sikrer din overholdelse af ovenstående: Hvordan kan iubenda hjælpe mig med at overholde kravene i CPA?
Connecticut Data Privacy Act (CTDPA)
Connecticut Data Privacy Act (CTDPA) træder i kraft.
For at overholde CTDPA skal du træffe disse forholdsregler:
Her kan du læse mere om, hvordan du overholder ovennævnte krav.
-
Colorado Privacy Act (CPA)
Kravene i Colorado Privacy Act, som skal sikre overholdelse af forbrugernes ret til opt-out via en universel opt-out-mekanisme, er nu trådt i kraft.
Oregon Consumer Privacy Act (OCPA)
Oregon Consumer Privacy Act (OCPA) er trådt i kraft
Bemærk, at nonprofitvirksomheder har et ekstra år indtil 1. juli 2025 til at overholde denne lov.
Texas Data Privacy and Security Act (TDPSA)
Texas Data Privacy and Security Act (TDPSA) er trådt i kraft.
Montana Consumer Data Privacy Act (MTCDPA)
Montana Consumer Data Privacy Act (MTCDPA) er trådt i kraft.
Bemærk, at nonprofitvirksomheder og visse andre enheder er undtaget fra denne lov.
-
Montana Consumer Data Privacy Act (MTCDPA)
Montana Consumer Data Privacy Act stiller nu krav om, at virksomheder anerkender og overholder universelle opt-out-signaler fra forbrugere, der fravælger salg af deres personoplysninger eller målrettede annoncer.
Utah Consumer Privacy Act (UCPA)
Håndhævelse påbegyndt.
Oregon Consumer Privacy Act (OCPA)
Håndhævelse påbegyndt.
Vigtig frist: Virksomheder skal overholde anmodninger om udøvelse af forbrugeres rettigheder og andre krav i OCPA.
Texas Data Privacy and Security Act (TDPSA)
Håndhævelse iværksættes.
Vigtig frist: Virksomheder skal påbegynde implementering af foranstaltninger vedrørende forbrugerrettigheder og datasikkerhed i henhold til TDPSA.
Montana Consumer Data Privacy Act (MTCDPA)
Håndhævelse påbegyndt.
Vigtig frist: Virksomheder skal overholde regler og krav til forbrugerrettigheder og databehandlingsforpligtelser fastlagt i MTCDPA.
-
Iowa Consumer Data Privacy Act (ICDPA)
Håndhævelse iværksættes.
Vigtig frist: Virksomheder skal overholde nye krav til privatlivsrettigheder i henhold til Iowa-loven.
Oregon Consumer Privacy Act (OCPA)
Oregon Consumer Privacy Act stiller nu krav om, at virksomheder anerkender Global Privacy Control-signaler fra browsere som Chrome, som giver brugerne mulighed for at fravælge salg af data eller målrettede annoncer.
-
New Jersey Data Protection Act (NJDPA)
Håndhævelse iværksættes.
New Hampshire Data Protection Act (NHPA)
Håndhævelse iværksættes.
Delaware Personal Data Privacy Act (DPDPA)
Håndhævelse iværksættes.
-
Nevada Privacy Law
Håndhævelse iværksættes.
Vigtig frist: Virksomheder skal overholde bestemmelserne vedrørende forbrugerrettigheder og databeskyttelse i henhold til Nevadas reviderede privatlivslov.
Nebraska Data Privacy Act (NDPA)
Håndhævelse iværksættes.
Vigtig frist: Virksomheder skal overholde alle overholdelsesfrister beskrevet i Nebraska-loven.
Hvad skal der til for at overholde den amerikanske lovgivning?
Reglerne afviger lidt fra stat til stat, og det kan være hårdt arbejde at sætte sig ind i alle tænkelige scenarier. iubendas smarte løsninger er udviklet med de mest robuste standarder, så du kan holde dig compliant med en minimal indsats. Det eneste, du skal gøre, er at vælge Amerikanske statslove i din generator – så overholder du de vigtigste amerikanske regler.
Detaljerede oplysninger via privatlivspolitikken
Amerikanske kravVirksomheder skal integrere specifikke oplysninger i deres privatlivspolitikker. Disse oplysninger omfatter beskrivelser af forbrugerrettigheder, behandlingspartnere, formål, kilder og mere. Denne information skal være fyldestgørende, opdateret og let tilgængelig på hele din hjemmeside/i hele din app.
Politikker er ugyldige, hvis de ikke indeholder de rigtige oplysninger
For at være compliant skal din politik som minimum indeholde:
- Medtag de kategorier af personoplysninger, som din virksomhed har solgt eller delt med tredjeparter inden for de seneste 12 måneder, en liste over relevante tredjeparter samt dit forretningsmæssige formål. Du skal også oplyse, hvis du ikke har solgt eller delt brugernes personoplysninger inden for de seneste 12 måneder.
- Tilføj en erklæring om, hvorvidt din virksomhed bevidst sælger eller deler personoplysninger om brugere under 16 år.
- Medtag de kategorier af personoplysninger, som din virksomhed har videregivet (til forretningsmæssige formål) til tredjeparter inden for de seneste 12 måneder, en liste over relevante tredjeparter samt dit forretningsmæssige formål. Du skal også oplyse det, hvis du ikke har videregivet forbrugernes personoplysninger inden for de forgangne 12 måneder.
- Angiv, om din virksomhed bruger eller videregiver følsomme personoplysninger til andre formål end dem, der er beskrevet i loven.
- Indsæt eventuelle links til online anmodningsformularer eller portaler, så dine brugere kan fremsætte anmodninger vedrørende de af deres personoplysninger, der indsamles, videregives eller sælges.
Her er den fulde tjekliste med oplysninger som du skal medtage i din privatlivspolitik i henhold til kravene i CPRA.
- Inkluder de kategorier af personoplysninger, der behandles af din organisation.
- Inkluder din organisations formål med behandling af personoplysninger.
- Informer dine brugere om, hvordan de kan udøve deres rettigheder (se nedenfor), herunder hvordan de kan klage over en beslutning om deres anmodninger. Du skal tilbyde én eller flere muligheder, som brugere kan benytte til at indsende en anmodning.
- Medtag de kategorier af personoplysninger, som din organisation deler med tredjeparter, hvis relevant.
- Inkluder de kategorier af tredjeparter, hvis relevant, som din organisation deler personoplysninger med.
CPA kræver specifikt, at du har en meddelelse om beskyttelse af personoplysninger, der indeholder følgende oplysninger:
- Kategorier af indsamlede eller behandlede personoplysninger.
- Formål, som kategorierne af personoplysninger behandles til.
- Hvordan og hvor forbrugere kan udøve deres rettigheder, herunder kontaktoplysningerne, og hvordan man klager over en dataansvarligs handlinger i forbindelse med en forbrugers anmodning.
- Kategorier af personoplysninger, der deles med tredjeparter, hvis relevant.
- Kategorier af tredjeparter, som personoplysninger deles med, hvis relevant.
Flere oplysninger her →
Connecticuts nye privatlivslov kræver, at du giver forbrugerne en klar og meningsfuld meddelelse om beskyttelse af personoplysninger, der er rimelig tilgængelig. Her er en tjekliste over, hvad du skal medtage i din privatlivspolitik for at overholde den nye lov:
- Kategorier af personoplysninger: Din privatlivspolitik skal indeholde en liste over de kategorier af personoplysninger , du behandler.
- Formål med behandling: Din privatlivspolitik skal tydeligt angive formålene med behandlingen af personoplysninger. Dette omfatter enhver årsag til, at du indsamler og bruger personoplysninger, for eksempel for at opfylde en kontrakt eller levere en tjeneste.
- Forbrugerrettigheder: Din privatlivspolitik skal forklare, hvordan forbrugere kan udøve deres rettigheder i henhold til loven. Dette omfatter, hvordan en forbruger kan få adgang til, rette, slette eller begrænse behandlingen af sine personoplysninger. Du skal også medtage oplysninger om, hvordan en forbruger kan klage over en beslutning i forbindelse med sin anmodning.
- Deling med tredjeparter: Hvis du deler personoplysninger med tredjeparter, skal du i din privatlivspolitik beskrive, hvilke kategorier af personoplysninger du deler.
- Kategorier af tredjeparter: Din privatlivspolitik skal også beskrive de kategorier af tredjeparter, som du deler personoplysninger med.
- Kontaktoplysninger: Din privatlivspolitik skal indeholde en aktiv mailadresse eller anden onlinemekanisme, som forbrugere kan bruge til at kontakte dig med spørgsmål eller tvivl om deres personoplysninger.
- Salg eller målrettet annoncering: Hvis du behandler personoplysninger med henblik på salg eller målrettet annoncering, skal din privatlivspolitik klart og tydeligt oplyse dette. Du skal også informere om, hvordan forbrugere kan udøve deres ret til at fravælge en sådan behandling.
Flere oplysninger her →
Hvis du er underlagt Utah Consumer Privacy Act (UCPA), skal du have en privatlivspolitik, der er rimeligt tilgængelig samt klar og utvetydig for forbrugerne. Din privatlivspolitik skal indeholde følgende:
- Kategorier af behandlede personoplysninger: Identificer de typer af personoplysninger, som din organisation indsamler og behandler, såsom navne, mailadresser og betalingsoplysninger.
- Formål med behandling af personoplysninger: Beskriv årsagerne til, at din organisation indsamler og behandler personoplysninger, for eksempel for at kunne ekspedere ordrer, yde kundesupport eller forbedre produkter eller tjenester.
- Forbrugerrettigheder: Forklar, hvordan forbrugerne kan udøve deres rettigheder, såsom retten til at få adgang til og slette deres personoplysninger. Bemærk, at UCPA ikke giver forbrugerne ret til at anmode om rettelse af unøjagtige personoplysninger.
- Deling af personoplysninger: Oplys de kategorier af personoplysninger, som din organisation deler med tredjeparter, hvis relevant. Det kan for eksempel være, at du deler betalingsoplysninger med en betalingstjenesteudbyder eller postadresser med et transportselskab.
- Tredjeparter: Identificer de kategorier af tredjeparter, som din organisation deler personoplysninger med, hvis relevant. Dette kan omfatte leverandører, tjenesteudbydere eller markedsføringspartnere.
Flere oplysninger her →
Texas Data Privacy and Security Act stiller krav om, at dataansvarlige giver forbrugerne adgang til en rimelig tilgængelig og klar meddelelse om beskyttelse af personoplysninger, der blandt andet fastlægger:
- De kategorier af personoplysninger, herunder følsomme oplysninger, hvis relevant, der behandles, samt formålet med behandlingen;
- hvordan forbrugerne kan udøve deres rettigheder; og
- de kategorier af personoplysninger, der deles med tredjeparter og de kategorier af tredjeparter, som oplysningerne deles med.
Hvis dataansvarlige sælger følsomme oplysninger, er de forpligtet til at give forbrugerne passende oplysninger. Ved visse typer databehandling skal dataansvarlige gennemføre en databeskyttelsesvurdering.
Giv adgang til en klar meddelelse om beskyttelse af personoplysninger:
- kategorier af personoplysninger, der behandles;
- behandlingsformål;
- praksis for deling;
- kontaktoplysninger; og
- hvordan man udøver sine rettigheder som forbruger.
OCDPA kræver, at dataansvarlige tilbyder forbrugerne en klar, tilgængelig og meningsfuld meddelelse om beskyttelse af personoplysninger. Denne meddelelse skal indeholde:
- De kategorier af personoplysninger (herunder følsomme oplysninger), der behandles af den dataansvarlige, samt formålet med behandlingen.
- De kategorier af personoplysninger, der deles med tredjeparter, herunder disse tredjeparters identitet.
- Oplysninger om enhver behandlingsaktivitet i forbindelse med målrettede annoncer.
- Vejledning i, hvordan forbrugerne kan kontakte den dataansvarlige og udøve deres rettigheder til beskyttelse af personoplysninger, herunder processen for klager.
New Jersey Data Protection Act (NJDPA) stiller krav om, at virksomheder har en privatlivsmeddelelse med følgende væsentlige oplysninger:
- Kategorier af indsamlede personoplysninger: Din privatlivspolitik skal angive, hvilke typer af personoplysninger, du indsamler eller behandler (fx navn, kontaktoplysninger og betalingsoplysninger).
- Formål med behandling: Du skal tydeligt angive formålene med din behandling af personoplysninger, fx opfyldelse af ordrer, levering af tjenester eller markedsføring.
- Forbrugerrettigheder: Din privatlivspolitik skal beskrive, hvordan forbrugerne kan udøve deres rettigheder i henhold til NJDPA, herunder hvordan de kan få adgang til, rette eller slette deres personoplysninger, og hvordan de kan fravælge salg eller målrettet annoncering af deres personoplysninger.
- Deling med tredjeparter: Din politik skal indeholde en detaljeret beskrivelse af de kategorier af eventuelle personoplysninger, du deler med tredjeparter, hvis relevant.
- Kategorier af tredjeparter: Du skal angive typerne af tredjeparter, som du deler personoplysninger med, fx tjenesteleverandører, markedsføringspartnere eller leverandører.
Flere oplysninger her →
Delaware Personal Data Privacy Act (DPDPA) fastlægger krav om, at din privatlivsmeddelelse skal indeholde følgende:
- Kategorier af indsamlede personoplysninger: Angiv de kategorier af personoplysninger, du behandler (fx navn samt kontakt- og betalingsoplysninger).
- Formål med behandling: Angiv tydeligt formålene med din behandling af data, herunder kontraktopfyldelse og levering af tjenester.
- Forbrugerrettigheder: Forklar, hvordan forbrugere kan udøve deres rettigheder i henhold til DPDPA, herunder tilgå, slette og begrænse deres personoplysninger. Den bør også indeholde oplysninger om, hvordan man fravælger salg eller behandling af personoplysninger til målrettet annoncering.
- Deling med tredjeparter: Oplys de kategorier af personoplysninger, du deler med eventuelle tredjeparter.
- Kategorier af tredjeparter: Identificer de tredjeparter, du deler personoplysninger med, fx analyseudbydere, tjenesteleverandører og samarbejdspartnere.
Flere oplysninger her →
I henhold til New Hampshire Data Protection Act (NHDPA) skal din privatlivspolitik inkludere følgende:
- Kategorier af indsamlede personoplysninger: Angiv, hvilke typer af personoplysninger du indsamler, fx navne, e-mailadresser og betalingsoplysninger.
- Formål med behandling: Beskriv, hvorfor du indsamler og behandler personoplysninger, hvad enten det er med henblik på kontraktopfyldelse, levering af tjenester eller markedsføring.
- Forbrugerrettigheder: Informér forbrugerne om deres ret til at få adgang til, rette eller slette deres personoplysninger, samt hvordan de kan udøve disse rettigheder i henhold til New Hampshire-loven. Inkluder oplysninger om fravalg af salg eller behandling med henblik på målrettet annoncering.
- Deling med tredjeparter: Din politik skal beskrive, hvilke kategorier af personoplysninger du deler med tredjeparter.
- Kategorier af tredjeparter: Identificer, hvilke tredjepartskategorier du deler personoplysninger med, fx tjenesteleverandører, samarbejdspartnere og markedsføringsvirksomheder.
Flere oplysninger her →
Nevada Privacy Law stiller krav om, at virksomheder inkluderer følgende oplysninger i deres privatlivspolitikker:
- Kategorier af indsamlede personoplysninger: Angiv, hvilke typer af personoplysninger du indsamler (fx kontaktoplysninger og onlineidentifikatorer).
- Formål med behandling: Angiv årsagerne til, at du indsamler og behandler personoplysninger, fx levering af tjenester, kontraktopfyldelse eller markedsføring.
- Forbrugerrettigheder: Du skal beskrive forbrugernes rettigheder til at fravælge salg af deres personoplysninger, herunder hvordan de gør brug af denne ret.
- Deling med tredjeparter: Angiv, hvilke personoplysninger, hvis relevant, du deler med tredjeparter.
- Kategorier af tredjeparter: Angiv, hvilke tredjeparter du deler personoplysninger med, fx betalingsudbydere, tjenesteleverandører eller annoncepartnere.
Flere oplysninger her →
Nebraska Data Privacy Act fastlægger krav om, at din privatlivspolitik skal indeholde følgende:
- Kategorier af indsamlede personoplysninger: Identificer de personoplysninger, du behandler (fx kontaktoplysninger og økonomiske data).
- Formål med behandling: Beskriv årsagerne til din behandling af personoplysninger, fx kontraktopfyldelse, levering af tjenester eller udførelse af markedsføringsaktiviteter.
- Forbrugerrettigheder: Forklar, hvordan forbrugere kan udøve deres rettigheder i henhold til NDPA, herunder tilgå, slette og begrænse behandlingen af deres personoplysninger samt fravælge salg af data eller målrettet annoncering.
- Deling med tredjeparter: Din privatlivspolitik skal beskrive, hvilke personoplysninger du deler med tredjeparter.
- Kategorier af tredjeparter: Du skal identificere, hvilke typer af tredjeparter du deler personoplysninger med, fx leverandører, tjenesteleverandører eller samarbejdspartnere.
Flere oplysninger her →
Generator af privatlivs- og cookiepolitik
Kan tilpasses baseret på over 2000 bestemmelser, tilgængelig på op til 27 sprog og automatisk opdateret, hvis der sker ændringer i loven. Vores generator gør det muligt at oprette et juridisk dokument på få minutter og integrere det på din hjemmeside eller i din app nemt og hurtigt.
Vis meddelelse, og tillad opt-out
Ifølge CPRA (CCPA med ændringer) er du forpligtet til at vise en meddelelse enten på eller inden tidspunktet for indsamling. I denne meddelelse skal du informere forbrugerne om, hvilke kategorier af personoplysninger du indsamler og til hvilke formål. Forbrugerne skal også have mulighed for at fravælge denne behandling. Som virksomhed er du derfor ansvarlig for at informere forbrugerne om denne mulighed og tilvejebringe en sådan opt-out-foranstaltning.
Du skal især:
- Finde ud af, om dine forbrugere er bosiddende i Californien, og om de har besøgt din hjemmeside før
- Give dem en opt-out-mulighed via et DNSMPI-link
- Instruere relevante tredjeparter om at ophøre med at behandle forbrugernes oplysninger, når du modtager en opt-out-anmodning.
- Præsentere dem for en meddelelse, der indeholder de nødvendige oplysninger, ved første hjemmesidebesøg
Bemærk, at der i henhold til VCDPA ikke er nogen indikationer på, at opt-out-links, der gør det muligt for brugere at fravælge behandling af personoplysninger til bestemte formål, er påkrævet.
Bestemmelserne i VCDPA behandler faktisk brugernes opt-out-rettigheder på samme måde som alle andre brugerrettigheder i loven.
Din virksomhed skal overholde brugernes anmodninger på følgende måde:
- Du skal efterkomme anmodningen inden for 45 dage. Svarperioden kan forlænges én gang med yderligere 45 dage, i det omfang det er rimeligt, så længe du informerer din bruger om en sådan forlængelse inden for den indledende 45-dages svarperiode, herunder årsagen til forlængelsen.
- Hvis du afviser at handle på dine brugeres anmodning, skal du informere dem om en sådan afvisning inden for 45 dage, herunder om den relevante begrundelse og vejledning i, hvordan de klager over beslutningen;
- Hvis du ikke kan godkende en anmodning ved at bruge kommercielt rimelige bestræbelser, er du ikke forpligtet til at efterkomme anmodningen, og du er i givet fald berettiget til at bede brugeren om yderligere oplysninger, i det omfang det findes rimeligt og nødvendigt for at godkende brugeren og dennes anmodning.
Bemærk, at der i henhold til CPA ikke er nogen indikationer på, at opt-out-links, der gør det muligt for forbrugeren at fravælge behandling af personoplysninger til bestemte formål, er påkrævet. Hvis du imidlertid behandler personoplysninger til målrettet annoncering eller salg, er du forpligtet til at tilvejebringe en klar og tydeligt synlig metode, som giver forbrugerne mulighed for at udøve deres opt-out-ret.
Denne metode skal være klart og tydeligt beskrevet i meddelelsen om beskyttelse af personoplysninger og være nem at tilgå uden om meddelelsen.
Du skal også give forbrugerne mulighed for at fravælge behandlingen af deres personoplysninger til målrettet annoncering eller salg gennem en opt-out-præference sendt via en platform, teknologi eller mekanisme med forbrugerens samtykke.
Denne mekanisme må/skal:
- ikke stille andre dataansvarlige ringere
- kræve et bekræftende og entydigt valg fra forbrugerens side
- være nem at bruge
- være så konsistent som muligt med andre lignende mekanismer, der kræves af føderale eller statslige love eller regler, og
- gøre det muligt for den dataansvarlige at vurdere, om forbrugeren er bosiddende i Connecticut, USA, og har fremsat en legitim anmodning om opt-out.
I henhold til Utah Consumer Privacy Act (UCPA) har forbrugere ret til at fravælge behandling af deres personoplysninger til målrettet annoncering eller salg af deres personoplysninger til tredjeparter. Loven giver dog ikke specifikke retningslinjer for, hvordan du skal give forbrugerne mulighed for at udøve denne ret.
For at overholde UCPA skal du:
- give forbrugerne mulighed for at sende opt-out-anmodninger og
- specificere den ret, de agter at udøve.
Det er vigtigt at bemærke, at opt-out-links i henhold til UCPA kun kommer i betragtning i forhold til forbrugernes ret til fravælge behandlingen af følsomme data.
TDPSA kræver opt-in-brugersamtykke i følgende situationer:
- Opt-in-samtykke til behandling af følsomme oplysninger: Dataansvarlige kan ikke behandle følsomme oplysninger uden brugerens udtrykkelige samtykke. Når dataansvarlige behandler børns følsomme persondata, er de endvidere forpligtet til at overholde Children's Online Privacy Protection Act af 1998.
- Opt-in-samtykke til behandling af børns data: I denne lov defineres børn som mindreårige under 13 år.
Virksomheder kan generelt behandle forbrugernes data uden deres samtykke, hvis behandlingsformålene er de samme som oprindeligt oplyst. Til formål, der ikke med rimelighed er nødvendige for og forenelige med dem, som oprindeligt blev angivet i privatlivspolitikken, er det nødvendigt at indhente brugerens samtykke.
Virksomheder skal indhente forbrugernes samtykke til følgende formål:
- Behandling af følsomme oplysninger.
- Behandling af personoplysninger for børn i alderen 13-16 år med henblik på salg og målrettede annoncer, hvis virksomheden er bekendt med deres alder.
Gør det nemt for forbrugerne at trække deres samtykke tilbage. Når en forbruger tilbagekalder sit samtykke, skal du ophøre med den relevante behandling af deres personoplysninger inden for 45 dage.
Opt-out-mekanismer
- Oplys, om personoplysninger skal sælges eller anvendes til målrettede annoncer.
- Gør metoder til fravalg af datasalg, målrettede annoncer og profilering tilgængelige for forbrugere.
- Anerkend verificerbare opt-out-signaler fra autoriserede agenter, herunder globale opt-out-mekanismer.
Inden 1. januar 2025 skal virksomheder give forbrugerne mulighed for at fravælge målrettede annoncer og salg af deres personoplysninger ved hjælp af opt-out-signaler.
For at behandle personoplysninger ud over, hvad der med rimelighed kan anses for at være nødvendigt til de formål, der oprindeligt blev oplyst til forbrugerne, skal enhederne indhente opt-in-samtykke fra forbrugerne. De samme retningslinjer for samtykke gælder for indsamling og behandling af følsomme oplysninger.
OCPA opstiller klare krav til samtykke:
- Forbrugernes samtykke skal udgøre en klar bekræftende handling.
- Samtykket skal være utvetydigt og informeret.
- Samtykkemekanismen må ikke tilsløre, underminere eller svække forbrugernes beslutningstagning.
- Forbrugerne skal til enhver tid på en nem og tilsvarende måde kunne trække deres samtykke tilbage.
- Manglende handling fra forbrugerens side udgør ikke et samtykke.
Derudover kræves der aktivt samtykke fra en værge til at behandle oplysninger om børn under 13 år, herunder til målrettede annoncer eller salg af deres oplysninger.
I henhold til New Jersey Data Protection Act (NJDPA) skal virksomheder sikre en klar og tydelig mekanisme til forbrugere, der ønsker at fravælge salg af deres personoplysninger samt behandling af deres personoplysninger til målrettet annoncering. Denne mekanisme skal:
- være brugervenlig og tilgængelig for forbrugere,
- sikre et bekræftende og entydigt valg fra forbrugerens side,
- være i overensstemmelse med andre opt-out-mekanismer fastlagt i henhold til føderale eller statslige krav og regler.
Endvidere skal virksomheder imødekomme opt-out-anmodninger og træffe de nødvendige foranstaltninger hurtigst muligt.
Delaware Personal Data Privacy Act (DPDPA) fastsætter krav om, at virksomheder skal give forbrugere mulighed for at fravælge salg af deres personoplysninger eller behandling af personoplysninger til målrettet annoncering (opt-out). Opt-out-mekanismen skal:
- nemt kunne tilgås og bruges af forbrugerne,
- give klare instrukser, med hensyn til hvordan man indsender en opt-out-anmodning,
- overholde alle gældende føderale eller statslige regler og krav vedrørende præferencer for beskyttelse af personoplysninger.
Mekanismen skal også sikre, at virksomheder kan verificere identiteten af den forbruger, der fremsætter anmodningen.
I henhold til New Hampshire Data Protection Act har forbrugere ret til at fravælge behandling af deres personoplysninger til målrettet annoncering eller salg. Virksomheder er forpligtet til at:
- sikre en klar og brugervenlig metode til forbrugere til indsendelse af opt-out-anmodninger,
- gøre det muligt for forbrugere at indsende anmodninger via en let tilgængelig grænseflade,
- sørge for, at opt-out-mekanismer overholder såvel statslige som føderale privatlivslove.
Forbrugeres opt-out-anmodninger skal øjeblikkeligt imødekommes, og forbrugere skal informeres om, hvordan deres personoplysninger vil blive behandlet.
Nevada Privacy Law giver forbrugere ret til at fravælge salg af deres personoplysninger. For at overholde denne lov skal virksomheder:
- sikre en let tilgængelig mekanisme, som forbrugere kan bruge i forbindelse med indsendelse af opt-out-anmodninger,
- tydeliggøre, hvordan forbrugere kan udnytte deres ret til at fravælge salg af data,
- sørge for, at opt-out-mekanismen er så enkel og ligetil som muligt.
Virksomheder er forpligtet til at respektere forbrugeres opt-out-anmodninger og informere om, at deres præferencer er modtaget og registreret.
Nebraska Data Privacy Act fastsætter krav om, at virksomheder skal give forbrugere mulighed for at fravælge salg af personoplysninger eller behandling af disse til målrettet annoncering. For at overholde NDPA skal virksomheder:
- sikre en klar og tilgængelig opt-out-mekanisme til forbrugerne,
- sørge for, at mekanismen er nem at bruge og overholder øvrige føderale og statslige krav og regler,
- tydeliggøre for forbrugerne, hvordan deres data vil blive brugt, herunder hvordan de kan udøve deres opt-out-rettigheder.
Når der indsendes en opt-out-anmodning, skal virksomheder reagere på den hurtigt og i overensstemmelse med forbrugerens præferencer.
Privacy Controls and Cookie Solution for CPRA og VCDPA
Informer forbrugere, og administrer opt-out. IAB CCPA (CPRA) Compliance Framework integreret.
Med vores løsning får du:
Vis linket "Sælg ikke mine personoplysninger" (DNSMPI) i meddelelsen og andre steder på din hjemmeside/i din app og gør det nemmere at vælge opt-out i forbindelse med salg
Automatisk registrering og anvendelse af de korrekte standarder (inklusive forskellige versioner af standarder) baseret på placering. Med vores løsning kan du anvende både CPRA (CCPA med ændringer) og GDPR-standarder for samme brugere, i det omfang det er påkrævet
Nem registrering og videregivelse af brugerpræferencer (fx opt-out) til annonceleverandører, der understøtter IAB CCPA (CPRA) Compliance Framework (såsom Google og AdRoll)
Føring af opdaterede optegnelser over manuelt opt-out
Amerikanske kravSom nævnt ovenfor giver de fleste statslove ligesom CPRA (CCPA med ændringer) brugerne ret til opt-out, når det gælder deling af deres personoplysninger. I situationer, hvor behandlingen i nogen grad foregår manuelt (dvs. ikke i forbindelse med onlinescripts, som det er tilfældet med direkte e-mailmarkedsføring), kan der være behov for, at virksomheder manuelt implementerer anmodningen om opt-out i forhold til deling.
Love som CPRA stiller også krav om, at brugere ikke må kontaktes i en periode på minimum 12 måneder efter anmodningen. Af denne årsag er det en god ide at føre optegnelser over opt-out-oplysninger, fx den specifikke bruger, dato og underleverandører, der skal informeres i tilfælde af anmodninger.
Consent Database
Register over databehandlingsaktiviteter
Med vores register over databehandlingsaktiviteter kan du føre nøjagtige optegnelser med de oplysninger, der er nødvendige for at efterkomme forbrugeres anmodninger så nøjagtigt som muligt.
Løsningen registrerer:
- Sikkerhedsoplysninger, fx om hvilke medarbejdere i din organisation der har adgang til brugeroplysninger;
- registrerede underleverandører, der behandler personoplysninger på dine vegne;
- manuelt tilføjede formål med behandlingen;
- dataindsamlingsmetoder og meget mere.
Sanktioner og bøder for manglende overholdelse af lovkrav
Bøder på
USD 2.500 pr. overtrædelse eller
USD 7.500 pr. overtrædelse, hvis forsætligt, eller hvis det vedrører personoplysninger om et barn.
Bøde på
op til USD 7.500 pr. overtrædelse.
Bøderne ser måske ikke ud af det store, når man sammenligner med andre privatlivslovgivninger. Men husk, at bøderne gælder pr. overtrædelse pr. forbruger. Selvom en virksomhed kun har få kunder, kan bøderne sammenlagt udgøre en temmelig stor sum.
Hvad er i grove træk de vigtigste krav til hjemmesider og app-ejere?
Deling og profilering
Hvis du har brugere, som er bosiddende i USA, vil du muligvis også skulle overholde lovkrav i CPRA og VCDPA, for så vidt angår profilering eller deling af brugeroplysninger. Det betyder, at du skal informere brugere om, at du behandler deres data til dette formål og giver dem mulighed for at stoppe delingen (fravælge).
Samtykkeregistre
I nogle regioner, fx Europa og Brasilien, stilles der krav om, at du fører optegnelser over indhentede samtykker (også kendt som samtykkeregister). I mange tilfælde vil de samtykker, du indhenter, blive anset for at være ugyldige uden disse registre – og det vil være en overtrædelse af loven.
Tværregionale krav
Hvis du har brugere i forskellige regioner (fx Europa og USA), kan der samtidig stilles krav om, at du overholder lovgivningen i flere forskellige regioner, fx Californiens CPRA eller den europæiske GDPR. Det betyder, at du skal have regionsspecifikke oplysninger i dine privatlivsdokumenter m.m.
Brugt af over 140.000 kunder i over 100 lande
Kom i gang med compliance for USA
PRØV FØRST, BESLUT DIG SENERE, eller FORTSÆT MED GRATIS VERSION
3126363 selvopdaterende dokumenter er allerede blevet genereret
FAQ
Sådan overholder du CPRA
CPRA trådte i kraft den 1. januar 2023 og vil blive håndhævet fra og med 1. juli 2023.
iubenda holder altid øje med de seneste opdateringer og sørger for, at alle dine dokumenter og produkter tilpasses i god tid for at sikre, at du overholder loven.
Hvis du allerede har implementeret CCPA-foranstaltninger, kan det være en god ide, at du går i gang med at gennemgå dine processer og i den forbindelse er opmærksom på et par ting:
Sådan sikrer du overholdelse af VCDPA
USA får endnu en lov om databeskyttelse med Virginias databeskyttelseslov (VCDPA).
VCDPA trådte i kraft den 1. januar 2023.
Hvis din organisation er omfattet af VCDPA, skal du begynde at se dig om efter pålidelige complianceløsninger udarbejdet af jurister.
Så hvis du ikke allerede har en, kan du begyndte at forberede alt, hvad du kan i dag, så skal vi nok give dig besked, når bestemmelserne ligger klar til dig!
Dokumentation og vejledninger
Er du i tvivl om, hvad du har brug for?
Læs vores vejledning til at komme godt i gang
Chat med os live, eller kontakt support
Du kan også deltage i vores næste webinar og få en oversigt over juridiske krav samt stille spørgsmål live
En 360°-løsning, der sikrer, at dine hjemmesider og apps overholder lovkrav
Compliance til hjemmesider og apps
Generator af privatlivs- og cookiepolitik
Opret din privatlivs- og cookiepolitik på få minutter.
Kan tilpasses baseret på over 2000 bestemmelser, tilgængelig på op til 27 sprog og automatisk opdateret, hvis der sker ændringer i loven. Vores generator gør det muligt at oprette et juridisk dokument på få minutter og integrere det på din hjemmeside eller i din app nemt og hurtigt.
Privacy Controls and Cookie Solution
Administrer samtykkeindstillinger for ePrivacy, GDPR, CPRA (CCPA med ændringer) og LGPD. Integreret med IAB TCF og CCPA Compliance Framework.
Med vores løsning kan du vise et fuldt tilpasset cookiebanner/samtykkebanner, indhente cookiesamtykke, implementere forebyggende blokering (inklusive automatisk blokering), konfigurere annonceindstillinger og meget mere.
Compliance til din organisation
Consent Database
Indhent samtykke i henhold til GDPR og LGPD, og dokumentér opt-in og opt-out af CPRA (CCPA med ændringer) via dine online formularer.
Vores løsning kan uden problemer integreres med dine formularer til samtykkeindhentning og synkroniseres med dine juridiske dokumenter. Omfatter et brugervenligt dashboard til gennemgang af samtykkeoptegnelser for dine aktiviteter.
Register over databehandlingsaktiviteter
Dokumentér alle databehandlingsaktiviteter i din organisation.
For at overholde privatlivslovgivning og især GDPR skal virksomheder registrere, hvordan de opbevarer og bruger data, de indsamler om deres brugere. Med vores løsning vil du nemt kunne dokumentere alle databehandlingsaktiviteter i din organisation.