Der er en ny privatlivslov, der træder i kraft den 1. januar 2020, for at være nøjagtig, og alle kæmper for at gennemføre overholdelsen. Lyder det velkendt? Hvis du føler deja vu, så tag det roligt, vi hos Kinsta husker også GDPR.
Mens GDPR var en overordnet lov til beskyttelse af privatlivets fred for borgerne i Den Europæiske Union, vedrører denne nye lov privatlivets fred for indbyggere i Californien. Tillad os at introducere dig til California Consumer Protection Act of 2018 (CCPA), en lov, der er designet til at give californiere mere kontrol over deres personlige oplysninger.
I denne vejledning leder vi dig gennem følgende:
- En kort oversigt over CCPA, dens mål og hvilke rettigheder den giver
- Hvem CCPA gælder
- Konsekvenser af ikke at overholde CCPA
- Tips til, hvordan du gør dit WordPress-websted CCPA-kompatibelt
- Nyttige værktøjer til CCPA compliance
- Kinsta og CCPA
Bemærk, at denne vejledning kun er til informationsformål og bør ikke betragtes som juridisk rådgivning.
Hvad er CCPA?
CCPA er en privatlivslov, der blev vedtaget den 28. juni 2018. En version af denne lov blev oprindeligt indført som et initiativ til den statslige afstemning i november 2017 af en ejendomsudvikler. Udvikleren tilbød den californiske lovgiver en aftale om, at han ville trække sin afstemning tilbage (hvilket var ret hårdt for virksomhederne), hvis en lignende privatlivslov blev vedtaget.
Lovgiver indførte, ændrede og vedtog deres version af CCPA i løbet af i alt syv dage. Loven er siden blevet ændret et par gange mere, og den amerikanske justitsadvokat har også frigivet regler, der sigter mod at afklare kravene i denne nye lov. Du kan finde den fulde tekst af CCPA med de vedtagne ændringsforslag her og de foreslåede regler her.
Ifølge lovgivere blev CCPA vedtaget, fordi:
- Væksten i teknologi har begrænset californiernes evne til korrekt at beskytte og beskytte deres privatliv
- Californiens lovgivning har ikke holdt trit med det faktum, at forbrugere deler flere og flere personlige oplysninger med virksomhederne
- Uautoriseret videregivelse af personlige oplysninger og tab af privatlivets fred kan have ødelæggende virkninger på mennesker
- Cambridge Analytica-skandalen har øget ønsket om privatlivskontrol og gennemsigtighed i datapraksis.
Endelig er det klart, at folk ønsker privatliv og mere kontrol over deres information, og CCPA blev vedtaget for at opfylde dette ønske. Ligesom med GDPR opfylder CCPA dette ønske ved at give visse rettigheder til forbrugere eller, i dette tilfælde, til beboere i Californien. Disse rettigheder er som følger:
- Retten til at vide, hvilke personlige oplysninger der indsamles om dem
- Retten til at vide, om deres personlige oplysninger sælges eller videregives, og til hvem
- Ret til at sige nej til salg af deres personlige oplysninger
- Retten til at anmode om sletning af deres personlige oplysninger
- Retten til at få adgang til deres personlige oplysninger
- Retten til lige service og pris, selvom de udøver deres privatlivets rettigheder
Hvem gælder CCPA for?
Den vanskelige og til tider den mest forvirrende del af privatlivets fred er at finde ud af, om de gælder for din virksomhed. Privatlivslovene er oprettet for at beskytte de personlige oplysninger fra beboerne eller borgerne i en bestemt stat eller land, ikke virksomhederne.
Dette betyder, at virksomheder uden for Californien stadig kan være underlagt denne lov. CCPA gælder for “virksomheder”, der er defineret som en profit-juridisk enhed, der driver forretning i Californien og overholder en af følgende tærskler:
- Har en årlig bruttoindtægt på mere end 25.000.000 USD
- Køber eller modtager årligt, til erhvervsmæssige eller kommercielle formål, personlige oplysninger fra 50.000 eller flere californiske forbrugere, husholdninger eller enheder eller
- Afleder 50% eller mere af sine årlige indtægter fra salg af personlige oplysninger fra californiske forbrugere.
Hvis du overvejer, at CCPA teknisk kun gælder for store virksomheder, er du delvist korrekt. På grund af den meget brede definition af salg af personlige oplysninger er en stor del af CCPA-overholdelsen forvaltningen af leverandører.
Dette betyder, at hvis du handler med eller fungerer som en leverandør til store virksomheder, kan de kræve, at du overholder CCPA via kontrakt. Så hvis du er et lille firma, der ikke opfylder ovennævnte tærskler, skal du muligvis stadig være opmærksom på- og overholde disse krav.
Hvis du desuden designer websteder til virksomheder, der er store og har brug for at overholde CCPA, bliver du nødt til at være opmærksom, ligesom denne lov vil påvirke, hvordan du designer disse websteder.
Hvad er konsekvenserne af ikke at overholde CCPA?
CCPA vil generelt blive håndhævet af Californiens retsadvokat. Bøder for manglende overholdelse er 2.500 USD pr. overtrædelse eller 7.500 USD pr. forsætlig overtrædelse. “Pr. overtrædelse” forstås generelt pr. person, hvis privatlivets rettigheder du har krænket.
Så hvis du har 100 besøgende fra Californien og ikke har en i overensstemmelse med fortrolighedspolitik, kan dine bøder hurtigt løbe op i 250.000 USD. Det er let at se, hvordan dette kan løbe ind i et meget stort antal.
Hvis du kun skal overholde CCPA via kontrakt, kan en konsekvens af manglende overholdelse være tabet af denne kunde eller forretningsforholdet. Hvis du er nødt til at opbygge et CCPA-kompatibelt websted, kan konsekvensen af manglende overholdelse betyde, at din klient får udskrevet en bøde, og at du bliver sagsøgt til gengæld eller modtager dårlige anmeldelser, der skader din webdesign-virksomhed.
Sådan klargør du dit WordPress-websted til CCPA
Hvis du har et websted på WordPress, der skal være CCPA-kompatibel, vil vi lede dig gennem et par af de trin du kan tage, for at sikre, at du overholder CCPA. De trin,du tager for at forberede CCPA, kan omfatte:
- Ansætter en advokat til beskyttelse af personlige oplysninger
- Forstå, hvilke personlige oplysninger du indsamler
- Forståelse fra hvilke kilder du indsamler disse personlige oplysninger
- Opret en “Sælg ikke mine personlige oplysninger” side
- Oprettelse af en privatlivsmeddelelse
- Oprettelse af en privatlivspolitik
Hvis alt dette virker som en masse arbejde, så har du ret. Vær dog ikke bange, vi giver dig også nogle af vores foretrukne værktøjer og ressourcer, som du kan bruge til at hjælpe dig med at forberede dig.
Ansæt en advokat til beskyttelse af personlige oplysninger
Som du snart ser, er der meget der følger med at overholde CCPA. Loven og reglerne kan mildest talt være vanskelige at fortolke.
Hvis du er usikker på den rigtige vej for dig, skal du ansætte en advokat, der er specialiseret i privatliv, da de vil være i stand til at pege dig i den rigtige retning og give dig værdifuld rådgivning, der er specifik for din situation.
Hvis du ikke er sikker på, hvilken advokat du skal vælge, kan du tjekke listen over International Association of Privacy Professionals over advokatfirmaer, der arbejder inden for privatlivets fred.
Forstå, hvilke personlige oplysninger du samler
CCPA kræver, at du fortæller forbrugerne, hvilke kategorier af personlige oplysninger, du indsamler. Du skal gå gennem dit websted og oprette en liste.
Se gennem alle dine sider og alle de formularer, du bruger, herunder kontaktformularer, tilmeldingsformularer til nyhedsbrev, formularer til oprettelse af konto, formularer til indsendelse af kommentarer, formularer til udtjekning og eventuelle andre formularer, du måtte bruge og deres tilknyttede plugins.
Som f.eks. Som vist forneden, er standardformularen i WordPress, der bruges til at give kommentarer til blogindlæg, indsamler navn og e-mail:
Saml også en liste over personlige oplysninger, som du indsamler fra andre kilder. Tænk Analytics-software, Hotjar, information om en e-handels-kasseside eller WordPress-registreringsside og lignende.
Sæt derefter de personoplysninger, du indsamler fra disse formularer, i kategorier, der gør det muligt for forbrugeren let at forstå, hvilke personlige oplysninger du indsamler. Eksempler på kategorierne med personlig information kan omfatte:
- Identificering af oplysninger
- Økonomisk information
- Kommerciel information
- Biometriske oplysninger
- Internetaktivitetsinformation og
- Geolocation information
Forstå fra hvilke kilder du samler disse personlige oplysninger
CCPA kræver, at du videregiver fra hvilke kilder, du indsamler personlige oplysninger. Eksempler på kilder kan omfatte:
- Direkte fra forbrugeren
- Surveys
- Sporing af pixels
- Observation og registrering af aktiviteter såsom brug af cookies og
- Forhandlere af data
Forstå, om du afslører personlige oplysninger til tredjepart
CCPA kræver, at du videregiver, om du videregiver personlige oplysninger til tredjepart. Når de bliver spurgt, om de deler data, er de fleste menneskers oprindelige svar et lidt fornærmet “nej”.
Tag dig tid og tænk virkelig over, hvilke integrationer du har lavet med dit websted.
Går abonnement på nyhedsbrev direkte til et e-mail-marketingværktøj som MailChimp?
Blir formularindsendelser logget ind i et customer relationship management tool som HubSpot?
Modtager din webudvikler en advarsel, hver gang du får en formularindsendelse?
I så fald deler du data med tredjepart, og du er nødt til at afsløre det.
Opret en Sælg ikke min personlige informationsside
Hvis du sælger de personlige oplysninger fra californiske forbrugere, skal du have en webside med titlen “Sælg ikke mine personlige oplysninger” eller “Må ikke sælge mine oplysninger.” Denne webside skal indeholde følgende oplysninger:
- En beskrivelse af forbrugerens ret til at fravælge salget af deres personlige oplysninger
- En webformular, som forbrugeren kan indsende deres anmodning om at fravælge
- Instruktioner til andre metoder, som forbrugeren kan indsende deres anmodning om at fravælge
- Et link til din privatlivspolitik
- Ethvert bevis kræves, når en forbruger ønsker at udpege en autoriseret agent til at indsende en anmodning om at fravælge dem på deres vegne
Nedenfor kan du se et eksempel på sidefoden til en hjemmeside, der inkluderer et hyperlink til siden “Må ikke sælge mine personlige oplysninger”.
Opret en privatlivsmeddelelse
CCPA kræver, at du giver californiske forbrugere en besked om beskyttelse af personlige oplysninger på tidspunktet for indsamling af personlige oplysninger.
Bemærk, at CCPA ikke kræver, at en forbruger giver tilladelse til indsamling af personlige oplysninger, hvilket er en ganske afvigelse fra kravene, vi så i GDPR.
En privatlivsmeddelelse er som en mini-privatlivspolitik: den giver en hurtig og kondenseret forklaring af, hvilke personlige oplysninger der er indsamlet, hvad de vil blive brugt til og andre afsløringer.
Meddelelsen skal designes og præsenteres for forbrugeren på en måde, der er let at læse og skal være forståelig for den gennemsnitlige person. Meddelelsen skal:
- Brug almindeligt og ligetil sprog og undgå teknisk eller juridisk jargon
- Brug et format, der henleder forbrugerne til opmærksomheden og gør meddelelsen læsbar, også på mindre skærme
- Vær tilgængelig på de sprog, hvor du leverer kontrakter, ansvarsfraskrivelser, salgsmeddelelser eller anden information til forbrugerne
- Være tilgængelig for forbrugere med handicap
Din beskyttelse af personlige oplysninger skal indeholde følgende oplysninger:
- En liste over kategorier af personlige oplysninger, du indsamler fra forbrugere. Hver kategori, som du angiver, skal give forbrugeren en meningsfuld forståelse af de indsamlede personlige oplysninger
- For hver kategori af oplysninger, det eller de forretningsmæssige eller kommercielle formål, som den vil blive brugt til
- Hvis du sælger personlige oplysninger, skal der være et link med titlen “Sælg ikke mine personlige oplysninger” eller “Sælg ikke mine oplysninger.” Dette link skal føre til en webside, hvor forbrugere kan udøve deres ret til at sige nej til salg af personlige oplysninger
Hvis du ikke ønsker at oprette en privatlivsmeddelelse, kan du blot give forbrugerne et link til din privatlivspolitik på tidspunktet for indsamling af personlige oplysninger. Nedenfor er et eksempel på en Californien-specifik personlige meddelelser.
Opret en privatlivspolitik
CCPA kræver også, at du har en privatlivspolitik. Formålet med fortrolighedspolitikken er at give forbrugeren en grundig beskrivelse af din praksis vedrørende indsamling, brug, videregivelse og salg af personlige oplysninger og de rettigheder til beskyttelse af personlige oplysninger, som forbrugerne modtager under CCPA.
Fortrolighedspolitikken skal opfylde de samme krav til teksten, format, tilgængelighed og tilgængelighed som privatlivs meddelelsen.
Imidlertid skal fortrolighedspolitikken også være tilgængelig i et ekstra format, der gør det muligt for forbrugeren let at udskrive den. Privatlivspolitikken skal offentliggøres på dit websted gennem et iøjnefaldende link ved hjælp af ordet “privatliv” på dit websteds hjemmeside.
Din privatlivspolitik skal indeholde følgende oplysninger:
- En beskrivelse af de californiske forbrugers rettigheder i henhold til CCPA
- En eller flere metoder, som forbrugerne kan indsende anmodninger om at udøve deres rettigheder på. Hvis du sælger personlige oplysninger, er der et link til din side “Må ikke sælge mine personlige oplysninger” eller “Må ikke sælge mine oplysninger”, hvor forbrugeren kan udøve sin ret til at sige nej til salg af deres personlige oplysninger
- En liste over kategorier af personlige oplysninger, som du har samlet i de sidste 12 måneder
- En liste over kategorier af kilder, hvorfra du indsamler de personlige oplysninger
- Det eller de forretningsmæssige eller kommercielle formål, som du bruger de personlige oplysninger til
- En liste over kategorier af personlige oplysninger, som du solgte i de sidste 12 måneder, og en liste over kategorier af tredjepart, som du solgte disse personlige oplysninger til. Hvis du ikke har solgt nogen personlige oplysninger, skal du oplyse om det
- En liste over kategorier af personlige oplysninger, som du har videregivet i de sidste 12 måneder, og en liste over kategorier af tredjepart, som du har videregivet disse personlige oplysninger til. Hvis du ikke har afsløret nogen personlige oplysninger, skal du afsløre det faktum
- Hvordan en forbruger kan udpege en autoriseret agent til at fremsætte anmodninger om at udøve deres privatlivsret på deres vegne;
- En kontakt, som en forbruger kan nå for spørgsmål eller bekymringer
- Datoen for hvornår beskyttelse af personlige oplysninger sidst blev opdateret
- Hvis du sælger de personlige oplysninger fra 4.000.000 eller flere californiske forbrugere om året, skal du også medtage yderligere oplysninger
Værktøjer og ressourcer, der kan hjælpe dig med at overholde CCPA
Alle disse krav til overholdelse og oplysning kan virke skræmmende. Heldigvis er der ganske mange nyttige værktøjer, som du kan bruge til at gøre dit websted og din virksomhed klar:
Termageddon
Termageddon: en software som en tjeneste, der genererer fortrolighedspolitikker, der tilpasses til din virksomhed. Vi opdaterer vores kunders privatlivspolitik, hver gang lovene ændres, og sørger for, at dine politikker altid forbliver ajour.
CCPA Toll Free
CCPA Toll Free: CCPA kræver, at nogle virksomheder opgiver et gratis telefonnummer som en af de metoder, som forbrugerne kan bruge til at udøve deres privatlivets rettigheder. CCPA Toll-Free hjælper dig med at imødekomme dette krav.
Orrick’s CCPA Readiness Assessment
Orrick’s CCPA Readiness Assessment: dette værktøj hjælper dig med at forstå, hvor fuldt du er forberedt på CCPA ved at stille dig enkle “ja” eller “nej” spørgsmål. Du kan også bruge dette værktøj som en slags tjekliste til beredskab.
CCPA Opt-Out by CookiePro
CCPA Opt-Out: dette plugin giver dig mulighed for at tilpasse og tilføje en “Sælg ikke-knap” til dit websted.
IAPP
IAPP: International Association of Privacy Professionals er den største fortrolighedsgruppe i verden. Tjek deres websted for en konstant opdatering af listen over privatlivsnyheder, ressourcer og leverandører.
Kinsta og CCPA
Kinsta er forpligtet til databeskyttelse og sikkerhed, og vi er glade for at bekræfte, at vi sælger ikke kunders personlige oplysninger i Californien til tredjepart. Se vores privatlivspolitik og sektion 15 i vores servicevilkår for yderligere oplysninger.
Resumé
Selvom CCPA ikke har så bred anvendelse som GDPR, er det stadig en meget stor aftale og den bør ikke tages let på.
CCPA er virkelig en første af sin art i USA, og andre stater følger nu Californiens eksempel. Fra slutningen af 2019 har ni stater foreslået deres egne personlige regninger.
Disse regninger citerer CCPA som inspiration eller er praktisk talt komplette kopier af CCPA. Det er tydeligt, at CCPA har banet vejen for flere fortrolighedsregler, og at kravene til overholdelse af privatlivets fred online ikke snart forsvinder.
Nu er det din tur: hvad synes du om CCPA? Forbereder du dit websted til det? Fortæl os det i kommentarerne!
Skriv et svar