Amerikansk privatlivslovgivning – compliance for din hjemmeside, app og virksomhed
Amerikanske stater stiller nye krav til virksomheder, herunder om juridisk og teknisk ansvar. Compliance – overholdelse af lovkrav – kan være kompliceret. Med vores løsninger kan du undgå de usikkerheder, der er forbundet med compliance, idet vi allerede har taget os af det mest tekniske og juridiske, så du kan fokusere på at vækste din virksomhed.
Generelt kan amerikanske staters privatlivslovgivning, fx CPRA (CCPA med ændringer) og VCDPA, gælde for dig, hvis du har målbrugere bosiddende i disse stater og samtidig opfylder ét eller flere af nedenstående krav.
CPRA
VCDPA
CPA
CTDPA
UCPA
TDPSA
MTCDPA
OCPA
Den californiske privatlivslovgivning (CPRA) er baseret på CCPAs eksisterende bestemmelser, styrker forbrugerrettigheder og stiller nye krav til virksomheder, der behandler personoplysninger om californiske borgere.
Den gælder for juridiske enheder, som driver forretning i Californien med henblik på fortjeneste, som behandler forbrugeres personoplysninger, og som opfylder ét eller flere af følgende krav:
årlige bruttoindtægter over USD 25 mio.
køber, sælger eller deler personoplysninger om min. 100.000 forbrugere eller husholdninger årligt eller
får min. 50 % af sine årlige indtægter fra salg eller deling* af forbrugeres personoplysninger.
* Kan inkludere tredjepartsintegrationer på din hjemmeside.
The Virginia Consumer Data Protection Act (VCDPA) blev inkorporeret i lovgivningen i marts 2021, og Virginia blev i den forbindelse den anden amerikanske stat efter Californien, der vedtog en omfattende databeskyttelseslovgivning. VCDPA trådte i kraft den 1. januar 2023.
Den gælder personer, der driver virksomhed i Virginia eller leverer produkter eller tjenester målrettet personer bosiddende i Virginia, og som:
I løbet af et kalenderår administrerer og behandler personoplysninger for mindst 100.000 forbrugere, eller
administrerer og behandler personoplysninger for mindst 25.000 forbrugere, hvor over 50 % af virksomhedens bruttoindtægt stammer fra salg af personoplysninger.
Colorado Privacy Act (CPA) trådte i kraft den 1. juli 2023 og er designet til at beskytte rettigheder tilhørende indbyggere i Colorado, USA, ved at regulere, hvordan virksomheder indsamler, behandler og opbevarer personoplysninger.
Den gælder for dataansvarlige, der driver forretning i Colorado eller bevidst har forbrugere i Colorado som målgruppe for kommercielle produkter eller tjenester, og
administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i løbet af et kalenderår eller
får deres indtægter fra salg af personoplysninger og behandler eller administrerer personoplysninger for mindst 25.000 forbrugere.
Connecticut Data Privacy Act (CTDPA) trådte i kraft den 1. juli 2023 og stiller krav om, at du gør nøjagtige og forståelige privatlivsmeddelelser med information om blandt andet behandlingen af personoplysninger samt formål, forbrugerrettigheder og deling med tredjeparter tilgængelige for forbrugere.
Den gælder for personer, der driver forretning i Connecticut, USA, eller producerer produkter eller tjenester, der er målrettet indbyggere i Connecticut, og som i det forgangne kalenderår:
Administrerede eller behandlede personoplysninger for mindst 100.000 forbrugere (undtagen personoplysninger administreret eller behandlet udelukkende for at gennemføre en betalingstransaktion) eller
administrerede eller behandlede personoplysninger for mindst 25.000 forbrugere og fik mere end 25 % af deres bruttoindtægt fra salg af personoplysninger.
Utah Consumer Privacy Act (UCPA) er en ny lov om forbrugerbeskyttelse i Utah, USA, som træder i kraft den 31. december 2023. UCPA har en erhvervsvenlig tilgang til forbrugernes privatliv. Formålet med UCPA er at tilbyde en praktisk standard til virksomheder og samtidig beskytte Utah-forbrugernes lovbestemte rettigheder.
Den gælder for enhver virksomhed, der:
Driver forretning i Utah eller
producerer et produkt eller en tjeneste målrettet forbrugere, der er bosiddende i Utah,
har en årlig omsætning på mindst USD 25.000.000 og
opfylder ét eller flere af følgende forhold:
Administrerer eller behandler i løbet af et kalenderår personoplysninger for mindst 100.000 forbrugere eller
får over 50 % af enhedens bruttoindtægt fra salg af personoplysninger og administrerer eller behandler personoplysninger for mindst 25.000 forbrugere.
Texas Data Privacy and Security Act (TDPSA), også kendt som H.B. 4, blev underskrevet den 18. juni af guvernør Greg Abbott og trådte i kraft den 1. juli 2024.
Loven gælder for:
Virksomheder, der har aktiviteter i Texas;
Producerer produkter eller tjenester til indbyggere i Texas;
Behandler eller sælger personoplysninger; og
Ikke kan kategoriseres som “små virksomheder” i henhold til retningslinjerne i U.S. Small Business Administration.
Montana Consumer Data Privacy Act (MTCDPA) trådte i kraft den 1. oktober 2024. Denne lovgivning har til formål at give Montanas indbyggere mere kontrol over deres personoplysninger og beskytte deres privatliv i en digital verden i hastig udvikling.
Loven gælder for virksomheder, der driver forretning i Montana, USA, eller har forbrugere i Montana som målgruppe, og som opfylder et af følgende kriterier:
Administrerer eller behandler personoplysninger for mindst 50.000 forbrugere (undtagen data vedrørende betalingstransaktioner), eller
Administrerer eller behandler personoplysninger for mindst 25.000 forbrugere og får mere end 25 % af deres bruttoindtægt fra salg af personoplysninger.
Nonprofitvirksomheder og visse andre enheder er undtaget fra denne lov.
Oregon Consumer Privacy Act (OCPA) blev underskrevet som lov af guvernør Tina Kotek den 18. juli 2023 og trådte i kraft den 1. juli 2024. Denne lov er designet til at styrke indbyggernes ret til privatliv i Oregon.
OCPA gælder for virksomheder, der driver forretning i Oregon eller leverer produkter eller tjenester til indbyggere i Oregon, der:
Administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i Oregon, eller
Administrerer eller behandler personoplysninger for mindst 25.000 forbrugere i Oregon og får 25 % af deres årlige bruttoindtægt fra salg af disse oplysninger.
Nonprofitvirksomheder har yderligere et år indtil 1. juli 2025 til at sikre overholdelse af denne lov.
CPRA
Den californiske privatlivslovgivning (CPRA) er baseret på CCPAs eksisterende bestemmelser, styrker forbrugerrettigheder og stiller nye krav til virksomheder, der behandler personoplysninger om californiske borgere.
Den gælder for juridiske enheder, som driver forretning i Californien med henblik på fortjeneste, som behandler forbrugeres personoplysninger, og som opfylder ét eller flere af følgende krav:
årlige bruttoindtægter over USD 25 mio.
køber, sælger eller deler personoplysninger om min. 100.000 forbrugere eller husholdninger årligt eller
får min. 50 % af sine årlige indtægter fra salg eller deling* af forbrugeres personoplysninger.
* Kan inkludere tredjepartsintegrationer på din hjemmeside.
The Virginia Consumer Data Protection Act (VCDPA) blev inkorporeret i lovgivningen i marts 2021, og Virginia blev i den forbindelse den anden amerikanske stat efter Californien, der vedtog en omfattende databeskyttelseslovgivning. VCDPA trådte i kraft den 1. januar 2023.
Den gælder personer, der driver virksomhed i Virginia eller leverer produkter eller tjenester målrettet personer bosiddende i Virginia, og som:
I løbet af et kalenderår administrerer og behandler personoplysninger for mindst 100.000 forbrugere, eller
administrerer og behandler personoplysninger for mindst 25.000 forbrugere, hvor over 50 % af virksomhedens bruttoindtægt stammer fra salg af personoplysninger.
CPA
Colorado Privacy Act (CPA) trådte i kraft den 1. juli 2023 og er designet til at beskytte rettigheder tilhørende indbyggere i Colorado, USA, ved at regulere, hvordan virksomheder indsamler, behandler og opbevarer personoplysninger.
Den gælder for dataansvarlige, der driver forretning i Colorado eller bevidst har forbrugere i Colorado som målgruppe for kommercielle produkter eller tjenester, og
administrerer eller behandler personoplysninger for mindst 100.000 forbrugere i løbet af et kalenderår eller
får deres indtægter fra salg af personoplysninger og behandler eller administrerer personoplysninger for mindst 25.000 forbrugere.
CTDPA
Connecticut Data Privacy Act (CTDPA) trådte i kraft den 1. juli 2023 og stiller krav om, at du gør nøjagtige og forståelige privatlivsmeddelelser med information om blandt andet behandlingen af personoplysninger samt formål, forbrugerrettigheder og deling med tredjeparter tilgængelige for forbrugere.
Den gælder for personer, der driver forretning i Connecticut, USA, eller producerer produkter eller tjenester, der er målrettet indbyggere i Connecticut, og som i det forgangne kalenderår:
Administrerede eller behandlede personoplysninger for mindst 100.000 forbrugere (undtagen personoplysninger administreret eller behandlet udelukkende for at gennemføre en betalingstransaktion) eller
administrerede eller behandlede personoplysninger for mindst 25.000 forbrugere og fik mere end 25 % af deres bruttoindtægt fra salg af personoplysninger.
UCPA
Utah Consumer Privacy Act (UCPA) er en ny lov om forbrugerbeskyttelse i Utah, USA, som træder i kraft den 31. december 2023. UCPA har en erhvervsvenlig tilgang til forbrugernes privatliv. Formålet med UCPA er at tilbyde en praktisk standard til virksomheder og samtidig beskytte Utah-forbrugernes lovbestemte rettigheder.
Den gælder for enhver virksomhed, der:
Driver forretning i Utah eller
producerer et produkt eller en tjeneste målrettet forbrugere, der er bosiddende i Utah,
har en årlig omsætning på mindst USD 25.000.000 og
opfylder ét eller flere af følgende forhold:
Administrerer eller behandler i løbet af et kalenderår personoplysninger for mindst 100.000 forbrugere eller
får over 50 % af enhedens bruttoindtægt fra salg af personoplysninger og administrerer eller behandler personoplysninger for mindst 25.000 forbrugere.
TDPSA
Texas Data Privacy and Security Act (TDPSA), også kendt som H.B. 4, blev underskrevet den 18. juni af guvernør Greg Abbott og trådte i kraft den 1. juli 2024.
Loven gælder for:
Virksomheder, der har aktiviteter i Texas;
Producerer produkter eller tjenester til indbyggere i Texas;
Behandler eller sælger personoplysninger; og
Ikke kan kategoriseres som “små virksomheder” i henhold til retningslinjerne i U.S. Small Business Administration.
MTCDPA
Texas Data Privacy and Security Act (TDPSA), også kendt som H.B. 4, blev underskrevet den 18. juni af guvernør Greg Abbott og trådte i kraft den 1. juli 2024.
Loven gælder for:
Virksomheder, der har aktiviteter i Texas;
Producerer produkter eller tjenester til indbyggere i Texas;
Behandler eller sælger personoplysninger; og
Ikke kan kategoriseres som “små virksomheder” i henhold til retningslinjerne i U.S. Small Business Administration.
Tidslinje for amerikansk statslovgivning
California Consumer Privacy Act (CCPA) træder i kraft med en bødefri periode på seks måneder.
Der holdes aktivt øje med overholdelse af kravene i CCPA, ligesom disse håndhæves af den amerikanske statsadvokat (Office of the Attorney General), herunder udstedes meddelelser om manglende overholdelse og bøder, hvis forholdet ikke bringes til ophør inden for en afhjælpningsperiode på 30 dage.
CPRA starter sin look-back-periode på 12 måneder. Virksomheder skal nu tage højde for personoplysninger indsamlet og behandlet over en 12-måneders periode inden forbrugerens anmodning.
California Privacy Rights Act (CPRA), en revideret udgave af CCPA, træder i kraft. Afhjælpningsperioden på 30 dage gælder ikke længere.
For at overholde CPRA skal du træffe disse forholdsregler:
Virginia Consumer Data Protection Act (VCDPA) træder i kraft og håndhæves.
For at overholde VCDPA skal du træffe disse forholdsregler:
Det er vigtigt at bemærke, at de specifikke forholdsregler, du skal træffe for at overholde gældende lovkrav, vil afhænge af, hvilken type virksomhed du driver, hvilke personoplysninger du indsamler og behandler, og andre faktorer.
California Privacy Protection Agency holder nu aktivt øje med overholdelse af kravene i CPRA (CPPA) og giver bøder og sanktioner for manglende overholdelse af lovkravene.
Vær opmærksom på, at håndhævelsen af de endelige regulativer udstedt af California Privacy Protection Agency efter afgørelsen fra Sacramento County Superior Court er blevet forsinket til den 29. marts 2024. Beslutningen påvirker dog ikke lovbestemmelserne i henhold til CPRA, som håndhæves fra den 1. juli 2023.
Colorado Privacy Act (CPA) træder i kraft.
For at overholde CPA skal du træffe disse forholdsregler:
Connecticut Data Privacy Act (CTDPA) træder i kraft.
For at overholde CTDPA skal du træffe disse forholdsregler:
Her kan du læse mere om, hvordan du overholder ovennævnte krav.
Utah Consumer Privacy Act (UCPA) træder i kraft.
For at overholde UCPA skal du træffe disse forholdsregler:
kan du læse mere om, hvordan du overholder ovennævnte krav.
Kravene i Colorado Privacy Act, som skal sikre overholdelse af forbrugernes ret til opt-out via en universel opt-out-mekanisme, er nu trådt i kraft.
Oregon Consumer Privacy Act (OCPA) er trådt i kraft
Bemærk, at nonprofitvirksomheder har et ekstra år indtil 1. juli 2025 til at overholde denne lov.
Texas Data Privacy and Security Act (TDPSA) er trådt i kraft
Montana Consumer Data Privacy Act (MTCDPA) er trådt i kraft.
Bemærk, at nonprofitvirksomheder og visse andre enheder er undtaget fra denne lov.
Montana Consumer Data Privacy Act stiller nu krav om, at virksomheder anerkender og overholder universelle opt-out-signaler fra forbrugere, der fravælger salg af deres personoplysninger eller målrettede annoncer.
Oregon Consumer Privacy Act stiller nu krav om, at virksomheder anerkender Global Privacy Control-signaler fra browsere som Chrome, som giver brugerne mulighed for at fravælge salg af data eller målrettede annoncer.
Hvad skal der til for at overholde den amerikanske lovgivning?
Reglerne afviger lidt fra stat til stat, og det kan være hårdt arbejde at sætte sig ind i alle tænkelige scenarier. iubendas smarte løsninger er udviklet med de mest robuste standarder, så du kan holde dig compliant med en minimal indsats. Det eneste, du skal gøre, er at vælge Amerikanske statslove i din generator – så overholder du de vigtigste amerikanske regler.
Detaljerede oplysninger via privatlivspolitikken
Amerikanske krav
Virksomheder skal integrere specifikke oplysninger i deres privatlivspolitikker. Disse oplysninger omfatter beskrivelser af forbrugerrettigheder, behandlingspartnere, formål, kilder og mere. Denne information skal være fyldestgørende, opdateret og let tilgængelig på hele din hjemmeside/i hele din app.
Politikker er ugyldige, hvis de ikke indeholder de rigtige oplysninger
For at være compliant skal din politik som minimum indeholde:
Medtag de kategorier af personoplysninger, som din virksomhed har solgt eller delt med tredjeparter inden for de seneste 12 måneder, en liste over relevante tredjeparter samt dit forretningsmæssige formål. Du skal også oplyse, hvis du ikke har solgt eller delt brugernes personoplysninger inden for de seneste 12 måneder.
Tilføj en erklæring om, hvorvidt din virksomhed bevidst sælger eller deler personoplysninger om brugere under 16 år.
Medtag de kategorier af personoplysninger, som din virksomhed har videregivet (til forretningsmæssige formål) til tredjeparter inden for de seneste 12 måneder, en liste over relevante tredjeparter samt dit forretningsmæssige formål. Du skal også oplyse det, hvis du ikke har videregivet forbrugernes personoplysninger inden for de forgangne 12 måneder.
Angiv, om din virksomhed bruger eller videregiver følsomme personoplysninger til andre formål end dem, der er beskrevet i loven.
Indsæt eventuelle links til online anmodningsformularer eller portaler, så dine brugere kan fremsætte anmodninger vedrørende de af deres personoplysninger, der indsamles, videregives eller sælges.
Inkluder de kategorier af personoplysninger, der behandles af din organisation.
Inkluder din organisations formål med behandling af personoplysninger.
Informer dine brugere om, hvordan de kan udøve deres rettigheder (se nedenfor), herunder hvordan de kan klage over en beslutning om deres anmodninger. Du skal tilbyde én eller flere muligheder, som brugere kan benytte til at indsende en anmodning.
Medtag de kategorier af personoplysninger, som din organisation deler med tredjeparter, hvis relevant.
Inkluder de kategorier af tredjeparter, hvis relevant, som din organisation deler personoplysninger med.
CPA kræver specifikt, at du har en meddelelse om beskyttelse af personoplysninger, der indeholder følgende oplysninger:
Kategorier af indsamlede eller behandlede personoplysninger.
Formål, som kategorierne af personoplysninger behandles til.
Hvordan og hvor forbrugere kan udøve deres rettigheder, herunder kontaktoplysningerne, og hvordan man klager over en dataansvarligs handlinger i forbindelse med en forbrugers anmodning.
Kategorier af personoplysninger, der deles med tredjeparter, hvis relevant.
Kategorier af tredjeparter, som personoplysninger deles med, hvis relevant.
Connecticuts nye privatlivslov kræver, at du giver forbrugerne en klar og meningsfuld meddelelse om beskyttelse af personoplysninger, der er rimelig tilgængelig. Her er en tjekliste over, hvad du skal medtage i din privatlivspolitik for at overholde den nye lov:
Kategorier af personoplysninger: Din privatlivspolitik skal indeholde en liste over de kategorier af personoplysninger , du behandler.
Formål med behandling: Din privatlivspolitik skal tydeligt angive formålene med behandlingen af personoplysninger. Dette omfatter enhver årsag til, at du indsamler og bruger personoplysninger, for eksempel for at opfylde en kontrakt eller levere en tjeneste.
Forbrugerrettigheder: Din privatlivspolitik skal forklare, hvordan forbrugere kan udøve deres rettigheder i henhold til loven. Dette omfatter, hvordan en forbruger kan få adgang til, rette, slette eller begrænse behandlingen af sine personoplysninger. Du skal også medtage oplysninger om, hvordan en forbruger kan klage over en beslutning i forbindelse med sin anmodning.
Deling med tredjeparter: Hvis du deler personoplysninger med tredjeparter, skal du i din privatlivspolitik beskrive, hvilke kategorier af personoplysninger du deler.
Kategorier af tredjeparter: Din privatlivspolitik skal også beskrive de kategorier af tredjeparter, som du deler personoplysninger med.
Kontaktoplysninger: Din privatlivspolitik skal indeholde en aktiv mailadresse eller anden onlinemekanisme, som forbrugere kan bruge til at kontakte dig med spørgsmål eller tvivl om deres personoplysninger.
Salg eller målrettet annoncering: Hvis du behandler personoplysninger med henblik på salg eller målrettet annoncering, skal din privatlivspolitik klart og tydeligt oplyse dette. Du skal også informere om, hvordan forbrugere kan udøve deres ret til at fravælge en sådan behandling.
Hvis du er underlagt Utah Consumer Privacy Act (UCPA), skal du have en privatlivspolitik, der er rimeligt tilgængelig samt klar og utvetydig for forbrugerne. Din privatlivspolitik skal indeholde følgende:
Kategorier af behandlede personoplysninger: Identificer de typer af personoplysninger, som din organisation indsamler og behandler, såsom navne, mailadresser og betalingsoplysninger.
Formål med behandling af personoplysninger: Beskriv årsagerne til, at din organisation indsamler og behandler personoplysninger, for eksempel for at kunne ekspedere ordrer, yde kundesupport eller forbedre produkter eller tjenester.
Forbrugerrettigheder: Forklar, hvordan forbrugerne kan udøve deres rettigheder, såsom retten til at få adgang til og slette deres personoplysninger. Bemærk, at UCPA ikke giver forbrugerne ret til at anmode om rettelse af unøjagtige personoplysninger.
Deling af personoplysninger: Oplys de kategorier af personoplysninger, som din organisation deler med tredjeparter, hvis relevant. Det kan for eksempel være, at du deler betalingsoplysninger med en betalingstjenesteudbyder eller postadresser med et transportselskab.
Tredjeparter: Identificer de kategorier af tredjeparter, som din organisation deler personoplysninger med, hvis relevant. Dette kan omfatte leverandører, tjenesteudbydere eller markedsføringspartnere.
Texas Data Privacy and Security Act stiller krav om, at dataansvarlige giver forbrugerne adgang til en rimelig tilgængelig og klar meddelelse om beskyttelse af personoplysninger, der blandt andet fastlægger:
De kategorier af personoplysninger, herunder følsomme oplysninger, hvis relevant, der behandles, samt formålet med behandlingen;
hvordan forbrugerne kan udøve deres rettigheder; og
de kategorier af personoplysninger, der deles med tredjeparter og de kategorier af tredjeparter, som oplysningerne deles med.
Hvis dataansvarlige sælger følsomme oplysninger, er de forpligtet til at give forbrugerne passende oplysninger.
Ved visse typer databehandling skal dataansvarlige gennemføre en databeskyttelsesvurdering.
Giv adgang til en klar meddelelse om beskyttelse af personoplysninger:
kategorier af personoplysninger, der behandles;
behandlingsformål;
praksis for deling;
kontaktoplysninger; og
hvordan man udøver sine rettigheder som forbruger.
OCDPA kræver, at dataansvarlige tilbyder forbrugerne en klar, tilgængelig og meningsfuld meddelelse om beskyttelse af personoplysninger. Denne meddelelse skal indeholde:
De kategorier af personoplysninger (herunder følsomme oplysninger), der behandles af den dataansvarlige, samt formålet med behandlingen.
De kategorier af personoplysninger, der deles med tredjeparter, herunder disse tredjeparters identitet.
Oplysninger om enhver behandlingsaktivitet i forbindelse med målrettede annoncer.
Vejledning i, hvordan forbrugerne kan kontakte den dataansvarlige og udøve deres rettigheder til beskyttelse af personoplysninger, herunder processen for klager.
Løsning
Generator af privatlivs- og cookiepolitik
Opret din privatlivs- og cookiepolitik på få minutter.
Kan tilpasses baseret på over 2000 bestemmelser, tilgængelig på op til 27 sprog og automatisk opdateret, hvis der sker ændringer i loven. Vores generator gør det muligt at oprette et juridisk dokument på få minutter og integrere det på din hjemmeside eller i din app nemt og hurtigt.
Ifølge CPRA (CCPA med ændringer) er du forpligtet til at vise en meddelelse enten på eller inden tidspunktet for indsamling. I denne meddelelse skal du informere forbrugerne om, hvilke kategorier af personoplysninger du indsamler og til hvilke formål. Forbrugerne skal også have mulighed for at fravælge denne behandling. Som virksomhed er du derfor ansvarlig for at informere forbrugerne om denne mulighed og tilvejebringe en sådan opt-out-foranstaltning.
Du skal især:
Finde ud af, om dine forbrugere er bosiddende i Californien, og om de har besøgt din hjemmeside før
Instruere relevante tredjeparter om at ophøre med at behandle forbrugernes oplysninger, når du modtager en opt-out-anmodning.
Præsentere dem for en meddelelse, der indeholder de nødvendige oplysninger, ved første hjemmesidebesøg
Bemærk, at der i henhold til VCDPA ikke er nogen indikationer på, at opt-out-links, der gør det muligt for brugere at fravælge behandling af personoplysninger til bestemte formål, er påkrævet.
Bestemmelserne i VCDPA behandler faktisk brugernes opt-out-rettigheder på samme måde som alle andre brugerrettigheder i loven.
Din virksomhed skal overholde brugernes anmodninger på følgende måde:
Du skal efterkomme anmodningen inden for 45 dage. Svarperioden kan forlænges én gang med yderligere 45 dage, i det omfang det er rimeligt, så længe du informerer din bruger om en sådan forlængelse inden for den indledende 45-dages svarperiode, herunder årsagen til forlængelsen.
Hvis du afviser at handle på dine brugeres anmodning, skal du informere dem om en sådan afvisning inden for 45 dage, herunder om den relevante begrundelse og vejledning i, hvordan de klager over beslutningen;
Hvis du ikke kan godkende en anmodning ved at bruge kommercielt rimelige bestræbelser, er du ikke forpligtet til at efterkomme anmodningen, og du er i givet fald berettiget til at bede brugeren om yderligere oplysninger, i det omfang det findes rimeligt og nødvendigt for at godkende brugeren og dennes anmodning.
Bemærk, at der i henhold til CPA ikke er nogen indikationer på, at opt-out-links, der gør det muligt for forbrugeren at fravælge behandling af personoplysninger til bestemte formål, er påkrævet. Hvis du imidlertid behandler personoplysninger til målrettet annoncering eller salg, er du forpligtet til at tilvejebringe en klar og tydeligt synlig metode, som giver forbrugerne mulighed for at udøve deres opt-out-ret.
Denne metode skal være klart og tydeligt beskrevet i meddelelsen om beskyttelse af personoplysninger og være nem at tilgå uden om meddelelsen.
Du skal også give forbrugerne mulighed for at fravælge behandlingen af deres personoplysninger til målrettet annoncering eller salg gennem en opt-out-præference sendt via en platform, teknologi eller mekanisme med forbrugerens samtykke. Denne mekanisme må/skal:
ikke stille andre dataansvarlige ringere
kræve et bekræftende og entydigt valg fra forbrugerens side
være nem at bruge
være så konsistent som muligt med andre lignende mekanismer, der kræves af føderale eller statslige love eller regler, og
gøre det muligt for den dataansvarlige at vurdere, om forbrugeren er bosiddende i Connecticut, USA, og har fremsat en legitim anmodning om opt-out.
I henhold til Utah Consumer Privacy Act (UCPA) har forbrugere ret til at fravælge behandling af deres personoplysninger til målrettet annoncering eller salg af deres personoplysninger til tredjeparter. Loven giver dog ikke specifikke retningslinjer for, hvordan du skal give forbrugerne mulighed for at udøve denne ret.
For at overholde UCPA skal du:
give forbrugerne mulighed for at sende opt-out-anmodninger og
specificere den ret, de agter at udøve.
Det er vigtigt at bemærke, at opt-out-links i henhold til UCPA kun kommer i betragtning i forhold til forbrugernes ret til fravælge behandlingen af følsomme data.
TDPSA kræver opt-in-brugersamtykke i følgende situationer:
Opt-in-samtykke til behandling af følsomme oplysninger: Dataansvarlige kan ikke behandle følsomme oplysninger uden brugerens udtrykkelige samtykke. Når dataansvarlige behandler børns følsomme persondata, er de endvidere forpligtet til at overholde Children's Online Privacy Protection Act af 1998.
Opt-in-samtykke til behandling af børns data: I denne lov defineres børn som mindreårige under 13 år.
Virksomheder kan generelt behandle forbrugernes data uden deres samtykke, hvis behandlingsformålene er de samme som oprindeligt oplyst. Til formål, der ikke med rimelighed er nødvendige for og forenelige med dem, som oprindeligt blev angivet i privatlivspolitikken, er det nødvendigt at indhente brugerens samtykke.
Virksomheder skal indhente forbrugernes samtykke til følgende formål:
Behandling af følsomme oplysninger.
Behandling af personoplysninger for børn i alderen 13-16 år med henblik på salg og målrettede annoncer, hvis virksomheden er bekendt med deres alder.
Gør det nemt for forbrugerne at trække deres samtykke tilbage. Når en forbruger tilbagekalder sit samtykke, skal du ophøre med den relevante behandling af deres personoplysninger inden for 45 dage.
Opt-out-mekanismer
Oplys, om personoplysninger skal sælges eller anvendes til målrettede annoncer.
Gør metoder til fravalg af datasalg, målrettede annoncer og profilering tilgængelige for forbrugere.
Anerkend verificerbare opt-out-signaler fra autoriserede agenter, herunder globale opt-out-mekanismer.
Inden 1. januar 2025 skal virksomheder give forbrugerne mulighed for at fravælge målrettede annoncer og salg af deres personoplysninger ved hjælp af opt-out-signaler.
For at behandle personoplysninger ud over, hvad der med rimelighed kan anses for at være nødvendigt til de formål, der oprindeligt blev oplyst til forbrugerne, skal enhederne indhente opt-in-samtykke fra forbrugerne. De samme retningslinjer for samtykke gælder for indsamling og behandling af følsomme oplysninger.
OCPA opstiller klare krav til samtykke:
Forbrugernes samtykke skal udgøre en klar bekræftende handling.
Samtykket skal være utvetydigt og informeret.
Samtykkemekanismen må ikke tilsløre, underminere eller svække forbrugernes beslutningstagning.
Forbrugerne skal til enhver tid på en nem og tilsvarende måde kunne trække deres samtykke tilbage.
Manglende handling fra forbrugerens side udgør ikke et samtykke.
Derudover kræves der aktivt samtykke fra en værge til at behandle oplysninger om børn under 13 år, herunder til målrettede annoncer eller salg af deres oplysninger.
Løsning
Privacy Controls and Cookie Solution for CPRA og VCDPA
Visning af samtykkebanner for at informere brugere
Vis linket "Sælg ikke mine personoplysninger" (DNSMPI) i meddelelsen og andre steder på din hjemmeside/i din app og gør det nemmere at vælge opt-out i forbindelse med salg
Automatisk registrering og anvendelse af de korrekte standarder (inklusive forskellige versioner af standarder) baseret på placering. Med vores løsning kan du anvende både
CPRA (CCPA med ændringer) og GDPR-standarder for samme brugere, i det
omfang det er påkrævet
Nem registrering og videregivelse af brugerpræferencer (fx opt-out) til annonceleverandører, der understøtter IAB CCPA (CPRA) Compliance Framework (såsom Google og AdRoll)
iubendas Cookie Solution understøtter signaler til opt-out-præferencer
såsom GPC
og GPP
i henhold til CPRA
Føring af opdaterede optegnelser over manuelt opt-out
Amerikanske krav
Som nævnt ovenfor giver de fleste statslove ligesom CPRA (CCPA med ændringer) brugerne ret til opt-out, når det gælder deling af deres personoplysninger. I situationer, hvor behandlingen i nogen grad foregår manuelt (dvs. ikke i forbindelse med onlinescripts, som det er tilfældet med direkte e-mailmarkedsføring), kan der være behov for, at virksomheder manuelt implementerer anmodningen om opt-out i forhold til deling.
Love som CPRA stiller også krav om, at brugere ikke må kontaktes i en periode på minimum 12 måneder efter anmodningen. Af denne årsag er det en god ide at føre optegnelser over opt-out-oplysninger, fx den specifikke bruger, dato og underleverandører, der skal informeres i tilfælde af anmodninger.
Løsning
Consent Database
Vores Consent Database hægtes på dine onlineformularer, så du automatisk kan sende oplysninger om brugerpræferencer, fx opt-out via API, til et centralt styret dashboard. Du kan registrere alle relevante oplysninger, inklusive dato og tidspunkt for opt-out, den version af privatlivspolitikken, der var tilgængelig for brugeren på tidspunktet for opt-out, bruger-id, mail og ip-adresse til hjælp i forbindelse med anmodning om bekræftelse.
Med vores register over databehandlingsaktiviteter kan du føre nøjagtige optegnelser med de oplysninger, der er nødvendige for at efterkomme forbrugeres anmodninger så nøjagtigt som muligt.
Løsningen registrerer:
Sikkerhedsoplysninger, fx om hvilke medarbejdere i din organisation der har adgang til brugeroplysninger;
registrerede underleverandører, der behandler personoplysninger på dine vegne;
Sanktioner og bøder for manglende overholdelse af lovkrav
Bøder på USD 2.500 pr. overtrædelse eller USD 7.500 pr. overtrædelse, hvis forsætligt, eller hvis det vedrører personoplysninger om et barn.
Bøde på op til USD 7.500 pr. overtrædelse.
Bøderne ser måske ikke ud af det store, når man sammenligner med andre privatlivslovgivninger. Men husk, at bøderne gælder pr. overtrædelse pr. forbruger. Selvom en virksomhed kun har få kunder, kan bøderne sammenlagt udgøre en temmelig stor sum.
Hvad er i grove træk de vigtigste krav til hjemmesider og app-ejere?
Deling og profilering
Hvis du har brugere, som er bosiddende i USA, vil du muligvis også skulle overholde lovkrav i CPRA og VCDPA, for så vidt angår profilering eller deling af brugeroplysninger. Det betyder, at du skal informere brugere om, at du behandler deres data til dette formål og giver dem mulighed for at stoppe delingen (fravælge).
Samtykkeregistre
I nogle regioner, fx Europa og Brasilien, stilles der krav om, at du fører optegnelser over indhentede samtykker (også kendt som samtykkeregister). I mange tilfælde vil de samtykker, du indhenter, blive anset for at være ugyldige uden disse registre – og det vil være en overtrædelse af loven.
Tværregionale krav
Hvis du har brugere i forskellige regioner (fx Europa og USA), kan der samtidig stilles krav om, at du overholder lovgivningen i flere forskellige regioner, fx Californiens CPRA eller den europæiske GDPR. Det betyder, at du skal have regionsspecifikke oplysninger i dine privatlivsdokumenter m.m.
Brugt af over 140.000 kunder i over 100 lande
“Hvis du ligesom mig er en del af et lille team og er træt af at opdatere din privatlivspolitik, hver gang du tilføjer kode på din hjemmeside, så vil iubenda helt sikkert være noget for dig. Den er vanvittigt prisvenlig og supernem at bruge.”
PRØV FØRST, BESLUT DIG SENERE, eller FORTSÆT MED GRATIS VERSION
3094420 selvopdaterende dokumenter er allerede blevet genereret
FAQ
Sådan overholder du CPRA
CPRA trådte i kraft den 1. januar 2023 og vil blive håndhævet fra og med 1. juli 2023.
iubenda holder altid øje med de seneste opdateringer og sørger for, at alle dine dokumenter og produkter tilpasses i god tid for at sikre, at du overholder loven.
Hvis du allerede har implementeret CCPA-foranstaltninger, kan det være en god ide, at du går i gang med at gennemgå dine processer og i den forbindelse er opmærksom på et par ting:
USA får endnu en lov om databeskyttelse med Virginias databeskyttelseslov (VCDPA).
VCDPA trådte i kraft den 1. januar 2023.
Hvis din organisation er omfattet af VCDPA, skal du begynde at se dig om efter pålidelige complianceløsninger udarbejdet af jurister.
Så hvis du ikke allerede har en, kan du begyndte at forberede alt, hvad du kan i dag, så skal vi nok give dig besked, når bestemmelserne ligger klar til dig!
En 360°-løsning, der sikrer, at dine hjemmesider og apps overholder lovkrav
Compliance til hjemmesider og apps
Generator af privatlivs- og cookiepolitik
Opret din privatlivs- og cookiepolitik på få minutter.
Kan tilpasses baseret på over 2000 bestemmelser, tilgængelig på op til 27 sprog og automatisk opdateret, hvis der sker ændringer i loven. Vores generator gør det muligt at oprette et juridisk dokument på få minutter og integrere det på din hjemmeside eller i din app nemt og hurtigt.
Administrer samtykkeindstillinger for ePrivacy, GDPR, CPRA (CCPA med ændringer) og LGPD. Integreret med IAB TCF og CCPA Compliance Framework.
Med vores løsning kan du vise et fuldt tilpasset cookiebanner/samtykkebanner, indhente cookiesamtykke, implementere forebyggende blokering (inklusive automatisk blokering), konfigurere annonceindstillinger og meget mere.
Vores løsning kan uden problemer integreres med dine formularer til samtykkeindhentning og synkroniseres med dine juridiske dokumenter. Omfatter et brugervenligt dashboard til gennemgang af samtykkeoptegnelser for dine aktiviteter.
Dokumentér alle databehandlingsaktiviteter i din organisation.
For at overholde privatlivslovgivning og især GDPR skal virksomheder registrere, hvordan de opbevarer og bruger data, de indsamler om deres brugere. Med vores løsning vil du nemt kunne dokumentere alle databehandlingsaktiviteter i din organisation.
