California Consumer Privacy Act (CCPA) er en personvernlov som har til hensikt å forbedre personvernrettigheter og forbrukerbeskyttelse for innbyggere i California, USA.
CCPA regulerer hvordan bedrifter kan innhente, dele og behandle personlig informasjon (PI) om innbyggere i California.
Loven trådte i kraft 1. januar 2020, og er et resultat av økt oppmerksomhet på hvordan virksomheter behandler personlig informasjon i praksis – på hvilken effekt denne innhentingen og behandlingen av personopplysninger har på forbrukernes rett til personvern.
Overtredelse av CCPA-reglene kan føre til bøter på opptil $ 7500 per brudd og $ 750 for hver berørt bruker i sivile skader.
CCPA krever at du informerer brukerne (forbrukerne) på tidspunktet for - eller før - innsamlingen av deres personlige informasjon.
Du må beskrive hvilke kategorier av personlig informasjon du samler inn og hva dataene brukes til (formål). Videre må du inkludere en beskrivelse av forbrukerrettigheter og hvordan du kan utøve disse rettighetene i personvernreglene dine.
Brukerne dine har rett til å be om tilgang til personlige informasjon bedriften din lagrer om dem.
Som bedrift må du oppgi den nødvendige informasjonen som er samlet inn.
Brukerne dine har rett til å velge bort salg av personopplysninger (også til tredjepart).
Det kreves at du implementerer en lenke "Ikke selg" på nettstedet ditt, og i din personvern policy. På denne måten kan brukerne dine enkelt velge bort personlig datainnsamling.
Brukerne dine kan be om å få slettet sin personlige informasjon. Hvis de gjør det, må du oppfylle deres forespørsel.
Personlig informasjon under CCPA er: navn, postadresse, e-postadresse, kontonavn, førerkortnummer, passnummer og andre data som kan identifisere brukeren din.
Hvis en av brukerne (forbrukeren) ber om tilgang til deres personopplysninger, må du oppgi en detaljert oversikt over de siste 12 månedene (på tidspunktet for forespørselen).
I forhold til den europeiske General Data Protection Regulation, som hovedsakelig fokuserer på brukerens personvern på nettstedet, har CCPA mer fokus på utvetydighet og transparens, samt muligheten til å fravelge deling av data.
CCPA stiller også krav til å være informativ omkring dataoverførsler og tidligere solgt brukerinformasjon, 12 måneder tilbake i tid.
