Det finns en ny sekretesslag som trädde i kraft den 1 januari 2020 och alla skyndar sig för att göra sina webbplatser överensstämmande. Låter det bekant? Om du känner av Deja Vu, oroa dig inte, vi kommer också ihåg GDPR.

Medan GDPR var en övergripande lag för att skydda Europeiska unionens medborgares integritetsrättigheter, handlar denna nya lag om integritetsrättigheter för invånare i Kalifornien. Tillåt oss att presentera dig för California Consumer Protection Act 2018 (CCPA), en lag som syftar till att ge kalifornierna mer kontroll över sina personuppgifter.

I den här guiden kommer vi att gå igenom följande:

Observera att denna vägledning endast är avsedd för information och bör inte betraktas som juridisk rådgivning.

Vad är CCPA?

CCPA är en sekretesslag som gick igenom den 28 juni 2018. En version av denna lag introducerades ursprungligen som ett initiativ i statliga omröstningen november 2017 av en fastighetsutvecklare. Utvecklaren erbjöd Kaliforniens lagstiftare att han skulle dra tillbaka sitt förslag (vilket var ganska hårt mot företag) om en liknande sekretesslag antogs.

Lagstiftarna införde, ändrade och godkände sin version av CCPA på totalt sju dagar. Lagen har sedan dess ändrats några gånger och California Attorney General har också släppt förordningar som syftar till att klargöra kraven i denna nya lag. Du hittar CCPA:s fullständiga text, med de godkända ändringsförslagen här och de föreslagna förordningarna här.

Enligt lagstiftare antogs CCPA eftersom:

  1. Tillväxten av teknik har begränsat Kaliforniens invånares förmåga att ordentligt skydda sin integritet
  2. Kalifornisk lag har inte hållit jämna steg med det faktum att konsumenterna delar mer och mer personuppgifter med företag
  3. Obehörigt utlämnande av personuppgifter och förlust av sekretess kan ha förödande effekter på människor
  4. Cambridge Analytica-skandalen har ökat ropet efter integritetskontroller och öppenhet i databehandlingspraxis.

Slutligen är det uppenbart att människor önskar integritet och mer kontroll över sin information, och CCPA antogs för att uppfylla den önskan. På samma sätt som GDPR, uppfyller CCPA denna önskan genom att ge vissa rättigheter till konsumenterna, eller i detta fall till invånare i Kalifornien. Dessa rättigheter är som följer:

  1. Rätten att veta vilka personuppgifter som samlas in om dem
  2. Rätten att veta om sina personuppgifter säljs eller lämnas ut och till vem
  3. Rätten att säga nej till försäljning av sina personuppgifter
  4. Rätten att begära att sina personuppgifter raderas
  5. Rätten att få tillgång till sina personuppgifter
  6. Rätten till lika service och pris, även om de utövar sina integritetsrättigheter

För vem gäller CCPA?

Det knepiga och, ibland mest förvirrande med sekretesslagar är att räkna ut om de gäller för ditt företag. Sekretesslagar skapas för att skydda personuppgifter för invånarna eller medborgarna i en viss stat eller ett visst land, inte företagen.

Detta innebär att företag utanför Kalifornien fortfarande kan omfattas av denna lag. CCPA gäller för ”företag” som definieras som en vinstdrivande juridisk person som bedriver verksamhet i Kalifornien och uppfyller ett av följande tröskelvärden:

  1. Har årliga bruttointäkter på mer än $25 000 000
  2. Köper eller mottar årligen, för affärsändamål eller kommersiella ändamål, säljer eller delar, personuppgifter om 50 000 eller fler kaliforniska konsumenter, hushåll eller enheter, eller
  3. Härleder 50% eller mer av sina årliga intäkter från att sälja personuppgifter om kaliforniska konsumenter.

Om du tänker att CCPA tekniskt sett endast gäller stora företag, har du delvis korrekt. På grund av den mycket breda definitionen av försäljning av personuppgifter, är en stor del av CCPA-överensstämmelse hanteringen av leverantörer.

Det innebär att om du gör affärer med, eller agerar som leverantör till stora företag, kan de kräva att du följer CCPA via kontraktet. Så, om du är ett litet företag som inte uppfyller tröskelvärdena ovan, kan du fortfarande behöva uppmärksamma och uppfylla dessa krav.

Dessutom, om du designar webbplatser för företag som är stora och behöver följa CCPA, måste du också vara uppmärksam eftersom denna lag kommer att påverka hur du designar dessa webbplatser.

Vilka är konsekvenserna av att inte följa CCPA?

CCPA kommer i allmänhet att verkställas av California Attorney General. Böter för bristande överensstämmelse är $2 500 per överträdelse eller $7 500 per avsiktlig överträdelse. ”Per överträdelse” förstås i allmänhet vara per person vars integritetsrättigheter du kränkt.

Så, om du har 100 besökare från Kalifornien och inte har en korrekt Sekretesspolicy, kan dina böter snabbt bli upp mot $250 000. Det är lätt att se hur detta snabbt kan blåsas upp till en mycket stor siffra.

Om du bara måste följa CCPA via kontrakt kan en följd av bristande överensstämmelse vara förlusten av den kunden eller affärsförbindelsen. Om du måste bygga en CCPA-kompatibel webbplats, kan konsekvensen av bristande efterlevnad innebära din klient få böter och du stäms i gengäld eller dåliga recensioner som skadar din webbdesign verksamhet.

Så förbereder du din WordPress-webbplats för CCPA

Om du har en webbplats på WordPress som måste vara CCPA-kompatibel kommer vi att gå igenom några av de steg som du kan vidta för att se till att du följer CCPA. De steg som du tar för att förbereda dig för CCPA kan innefatta:

Om allt detta verkar som en hel del arbete, är det för att det är det. Oroa dig inte, vi kommer också att ge dig några av våra favoritverktyg och resurser som du kan använda för att hjälpa dig att förbereda dig.

Anställ en advokat med sekretesslagserfarenhet

Som du snart kommer att se finns det mycket som krävs för att följa CCPA. Lagen och reglerna kan vara svåra att tolka, minst sagt.

Om du är osäker på rätt väg för dig, bör du anlita en advokat som specialiserat sig på sekretess eftersom de kommer att kunna peka dig i rätt riktning och ge dig värdefulla råd som är specifika för din situation.

Om du är osäker på vilken advokat du ska välja, kolla in International Association of Privacy Professionals lista över advokatbyråer som arbetar inom sekretessområdet.

Förstå vilka personuppgifter du samlar in

CCPA kräver att du berättar för konsumenterna vilka kategorier av personuppgifter du samlar in. Du bör gå igenom din webbplats och skapa en lista.

Ta en titt igenom alla dina sidor och alla de formulär som du använder, inklusive kontaktformulär, nyhetsbrevsregistreringsformulär, kontoskapandeformulär, kommentarformulär, kassaformulär, och alla andra former formulär du kanske använder och deras tillhörande plugins.

Som visas nedan, samlar till exempel standardformuläret i WordPress som används för att ge kommentarer på blogginlägg in namn och e-post:

Kommentarsformulär på Kinsta
Kommentarsformulär på Kinsta

Sätt också ihop en lista över personuppgifter som du samlar in från andra källor. Tänk Analytics-programvara, Hotjar, information om en e-handelbutiks kassasida eller WordPress-registreringssida, och liknande.

Lägg sedan till de personuppgifter som du samlar in från dessa formulär i kategorier som gör det möjligt för konsumenten att enkelt förstå vilka uppgifter du samlar in. Exempel på kategorier av personuppgifter kan inkludera:

  1. Identifieringsuppgifter
  2. Ekonomisk information
  3. Kommersiell information
  4. Biometrisk information
  5. Information om Internetaktivitet och
  6. Platsinformation

Förstå från vilka källor du samlar in dessa personuppgifter

CCPA kräver att du lämnar ut från vilka källor du samlar in personuppgifter Exempel på källor kan inkludera:

  1. Direkt från konsumenten
  2. Undersökningar
  3. Spårningspixlar
  4. Observation och registrering av aktiviteter såsom genom användning av cookies och
  5. Personuppgiftsåtersäljare

Förstå om du lämnar ut personuppgifter till tredje part

CCPA kräver att du upplyser om att du lämnar ut personuppgifter till tredje part. När de frågas om de delar sina personuppgifter är de flesta människors första svar ett något förolämpat ”Nej”.

Ta lite tid och verkligen fungera på vilka integrationer du har gjort med din webbplats.

Går nyhetsbrevsprenumerationer direkt till ett e-postmarknadsföringsverktyg som MailChimp?

Loggas formulärinlämningar i ett kundrelationshanteringsverktyg som HubSpot?

Får din webbutvecklare en notis när någon skickar in ett formulär?

Om så är fallet delar du data med tredje part och du måste upplysa om det.

Skapa en ”sälj inte mina personuppgifter”-sida

Om du säljer personuppgifter om kaliforniska konsumenter måste du ha en sida med titeln ”Sälj inte mina personuppgifter” eller ”Sälj inte min info”. Denna webbsida måste innehålla följande information:

  1. En beskrivning av konsumentens rätt att välja bort försäljningen av sina personuppgifter
  2. Ett webbformulär genom vilket konsumenten kan lämna in sin begäran om att välja bort
  3. Instruktioner för andra metoder genom vilka konsumenten kan lämna in sin begäran om att välja bort försäljning
  4. En länk till din Sekretesspolicy
  5. De bevis som krävs när en konsument vill utse en auktoriserad representant att lämna in en begäran om att välja bort försäljning för deras räkning

Nedan kan du se ett exempel på en hemsidas sidfot som innehåller en hyperlänk till sidan ”Sälj inte mina personuppgifter”.

Exempel på en "Sälj inte mina personuppgifter"-sida
Exempel på en ”Sälj inte mina personuppgifter”-sida

Skapa ett sekretessmeddelande

CCPA kräver att du ger kaliforniska konsumenter ett sekretessmeddelande vid tidpunkten för insamling av personuppgifter.

Observera att CCPA inte kräver att en konsument ger samtycke till insamling av personuppgifter, vilket är en stor avvikelse från de krav som ingick i GDPR.

Ett sekretessmeddelande är som en mini-Sekretesspolicy: det ger en snabb och kondenserad förklaring av vilka personuppgifter som samlas in, vad de kommer att användas för och andra upplysningar.

Meddelandet måste utformas och presenteras för konsumenten på ett sätt som är lätt att läsa och måste vara förståeligt för den genomsnittliga personen. Meddelandet måste:

  1. Använd enkelt och okomplicerat språk och undvik teknisk eller juridisk jargong
  2. Använd ett format som drar konsumenternas uppmärksamhet till meddelandet och gör meddelandet läsbart, inklusive på mindre skärmar
  3. Var tillgänglig på de språk där du tillhandahåller avtal, friskrivningsklausuler, försäljningsmeddelanden eller annan information till konsumenterna
  4. Var tillgänglig för konsumenter med funktionshinder

Ditt sekretessmeddelande måste innehålla följande information:

  1. En lista över kategorier av personuppgifter du samlar in från konsumenter. Varje kategori som du listar måste ge konsumenten en meningsfull förståelse för de personuppgifter som samlas in
  2. För varje kategori av uppgifter, de affärs- eller kommersiella ändamål för vilka de kommer att användas
  3. Om du säljer personuppgifter, en länk med titeln ”Sälj inte mina personuppgifter” eller ”Sälj inte min info”. Denna länk bör leda till en webbsida där konsumenterna kan utöva sin rätt att säga nej till försäljning av personuppgifter

Om du inte vill skapa ett sekretessmeddelande kan du helt enkelt ge konsumenterna en länk till din sekretesspolicy när du samlar in personuppgifter. Nedan är ett exempel på ett Kalifornien-specifikt sekretessmeddelande.

Kalifornien-specifikt sekretessmeddelande
Kalifornien-specifikt sekretessmeddelande

Skapa en sekretesspolicy

CCPA kräver också att du har en sekretesspolicy. Syftet med sekretesspolicyn är att ge konsumenten en grundlig beskrivning av din praxis när det gäller insamling, användning, utlämning, och försäljning av personuppgifter och de integritetsrättigheter som konsumenterna får enligt CCPA.

Sekretesspolicyn måste uppfylla samma läsbarhet, format, och tillgänglighetskrav som sekretessmeddelandet.

Sekretesspolicyn måste dock också vara tillgänglig i ett extra format som gör det möjligt för konsumenten att enkelt skriva ut det. Sekretesspolicyn måste publiceras på din webbplats via en iögonfallande länk med ordet ”sekretess” på din webbplats startsida.

Din sekretesspolicy måste innehålla följande information:

  1. En beskrivning av de kaliforniska konsumenternas rättigheter enligt CCPA
  2. En eller flera metoder genom vilka konsumenterna kan lämna in en begäran om att utöva sina rättigheter. Om du säljer personuppgifter, en länk till din ”Sälj inte mina personuppgifter” eller ”Sälj inte min info”-sida där konsumenten kan utöva sin rätt att säga nej till försäljning av deras personuppgifter
  3. En lista över kategorier av personuppgifter som du samlat in under de senaste 12 månaderna
  4. En lista över kategorier av källor från vilka du samlar in personuppgifter
  5. De kommersiella eller affärsmässiga ändamål för vilka du använder personuppgifterna
  6. En lista över kategorier av personuppgifter som du sålde under de senaste 12 månaderna och en lista över kategorier av tredje parter till vilka du sålde personuppgifterna. Om du inte har sålt personuppgifter, måste du upplysa om detta faktum
  7. En lista över kategorier av personuppgifter som du lämnat ut under de senaste 12 månaderna och en lista över kategorier av tredje parter till vilka du lämnat ut personuppgifterna. Om du inte har sålt personuppgifter, måste du upplysa om detta faktum
  8. Hur en konsument kan utse en auktoriserad representant att utöva integritetsrättigheter för deras räkning;
  9. En kontakt som en konsument kan nå för eventuella frågor eller problem
  10. Datum då Sekretesspolicyn senast uppdaterades
  11. Om du säljer personuppgifter om 4 000 000 eller fler kaliforniska konsumenter per år, måste du inkludera ytterligare upplysningar också

Verktyg och resurser som kan hjälpa dig att följa CCPA

Alla dessa efterlevnads- och upplysningskrav kan tyckas skrämmande. Lyckligtvis finns det en hel del användbara verktyg som du kan använda för att få din webbplats och ditt företag redo:

Termageddon

termageddon
Termageddon

Termageddon: en programvara som tjänst, som genererar sekretesspolicyer som är anpassade för ditt företag. Vi uppdaterar våra kunders Sekretesspolicy när lagarna ändras och ser till att dina policyer alltid är uppdaterade.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: CCPA kräver att vissa företag tillhandahåller ett avgiftsfritt telefonnummer som en av de metoder som konsumenterna kan använda för att utöva sina integritetsrättigheter. CCPA Toll Free hjälper dig att uppfylla detta krav.

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

Orricks CCPA Readiness Assessment: det här verktyget hjälper dig att förstå hur fullt du är förberedd för CCPA genom att ställa enkla ”ja” eller ”nej”-frågor. Du kan också använda det här verktyget som en slags checklista för beredskap.

CCPA Opt-Out by CookiePro

CCPA Opt-Out WordPress plugin
CCPA Opt-Out WordPress plugin

CCPA Opt-Out: med detta plugin kan du anpassa och lägga till en ”Sälj inte-knapp” till din webbplats.

IAPP

IAPP
IAPP

IAPP: International Association of Privacy Professionals är den största integritetsgruppen i världen. Kolla in deras hemsida för en ständigt uppdaterad lista över integritets-nyheter, resurser och leverantörer.

Kinsta och CCPA

Kinsta är fast beslutna om att alltid skydda personuppgifter och säkerhet, och vi är glada att bekräfta att vi inte säljer konsumentinformation från Kalifornien till tredje part. Se vår sekretesspolicy och avsnitt 15 i våra användarvillkor för ytterligare information.

Sammanfattning

Även om CCPA inte har så bred påverkan som GDPR, är det fortfarande en mycket stor faktor och bör inte tas lättvindigt.

CCPA är verkligen en första i sitt slag i USA och andra stater följer nu Kaliforniens exempel. Räknat slutet av 2019, har faktiskt nio stater föreslagit sina egna sekretesslagar.

Dessa lagar citerar antingen CCPA som inspiration eller är praktiskt taget fullständiga kopior av CCPA. Det är uppenbart att CCPA har banat väg för mer sekretessregler och att kraven för sekretess-efterlevnad online inte kommer försvinna i närmsta taget.

Nu är det din tur: vad tycker du om CCPA? Förbereder du din webbplats för det? Låt oss veta i kommentarerna!

Donata Kalnenaite

Donata Kalnenaite är en sekretess- och teknikadvokat som hjälper andra att förstå och följa integritetslagar. Hon är VD för Termageddon, en sekretesspolicygenerator som automatiskt uppdaterar sina kunders policyer när lagarna ändras. Följ dem på X för att hålla dig uppdaterad med allt som rör integritet: @termageddon.