Den 1 januari 2020 kommer även invånarna i Kalifornien att få liknande rättigheter som invånarna i EU i och med att California Consumer Privacy Act (CCPA) börjar gälla. Då kommer Företag och organisationer som bedriver verksamhet i Kalifornien att behöva börja följa statens nya integritetslagstiftning som fastställer en laglig och verkställbar rätt till integritet för alla i Kalifornien. De nya reglerna är inte bara för företag baserade i Kalifornien; de gäller alla företag som bedriver verksamhet i staten precis som GDPR gäller för alla företag och organisationer som registrerar EU-medborgare.
I likhet med Europeiska unionens allmänna dataskyddsförordning (GDPR) som trädde i kraft 2018, lovar Kaliforniens lagstiftning stora böter för företag som bryter mot bestämmelserna. Medan många företag i Europa och särskilt här i Sverige fortfarande avvaktar med anpassa sin verksamhet efter GDPR, detta trots dess mycket hypade lansering. Nu har dock olika instanser inom EU börjat med att verkställa lagstiftningen och de senaste bötesbeloppen som drabbat British Airways (180 miljoner pund för ett dataintrång som drabbade 500 000) och Marriott (99,2 miljoner pund för hackning av personlig information från 380 miljoner hotellgäster) visst uppseende och borde få även mindre företag och verksamheter som har avvaktat att börja visa ett visst intresse för att anpassa sin verksamhet.
Det var många företag i Kalifornien som förra året var tvungna att anpassa sig efter GDPR, nu måste de också följa CCPA. Om ditt företag samlar in uppgifter om kunder i Kalifornien och du bygger kundprofiler för personliga marknadsföringskampanjer, måste du göra samma arbete där som man tidigare har gjort för att anpassa sig till GDPR inom EU, om man nu hade kunder där. Annars riskerar man även stora böter i Kalifornien.
Även om CCPA skiljer sig något från GDPR, ger det konsumenterna jämförbara rättigheter att kontrollera och invända mot användningen av sina uppgifter. Båda förordningarna kräver att företag lagrar data säkert, är öppna om de typer av personuppgifter som samlas in och hanterar konsumentförfrågningar om radering av personuppgifter (”rätten att glömmas”), vilket innebär att de kan begära att du tar bort personuppgifter från alla system i din organisation.
Men GDPR och CCPA är bara början av en globala trend. Över hela världen övervägs eller antas nya lagar om integritet och efterlevnad av dem. Nio stater i USA har infört lagförslag som skulle innebära breda skyldigheter för företag att ge konsumenterna öppenhet och kontroll över personligt identifierbar information. På internationell nivå är tendensen till skärpta sekretessbestämmelser helt klart ett globalt fenomen som inget företag eller organisation kan ignorera.
Vad är CCPA?
CCPA ger följande skydd för personuppgifter för konsumenter i Kalifornien:
- Äganderätt: Skyddar konsumenternas rätt att berätta för ett företag att inte dela eller sälja personlig information
- Kontrollera: Ger konsumentkontroll över den personliga information som samlas in om dem
- Säkerhet: Håller företag som ansvarar för att skydda personlig information
Vilka företag gäller det?
Till skillnad från GDPR kommer inte CCPA att gälla alla företag, som det ser ut nu kommer de gälla för företag med följande kriterier;
- Företaget har intäkter som överstiger 25 miljoner dollar
- Företaget köper, tar emot, säljer eller delar personlig information från 50 000 eller fler konsumenter, hushåll eller enheter för kommersiella ändamål
- 50% av företagets årliga intäkter kommer från att sälja konsumenters personliga information
Pierre Gustafsson
GDPR Coach, Arbore AB
