California Consumer Privacy Act (CCPA) är en dataskyddslag vars syfte är att utöka integritets- och konsumentskyddet för bosatta i Kalifornien i USA.
CCPA reglerar hur företag får samla in, dela och behandla personlig information (PI) om bosatta i Kalifornien.
Den nya lagen som trädde i kraft 1 januari 2020 är ett resultat av två saker. Dels vidden av den roll som personlig information spelar i moderna affärsmetoder, och dels hur insamlingen och användningen av den personliga datan har för människors personliga integritet.
Underlåtenhet att följa CCPA kan ge böter på upp till 7 500 USD för varje överträdelse och 750 USD för varje berörd användare i civila skadestånd.
CCPA kräver att du informerar dina användare (konsumenter) vid det tillfälle – eller innan – deras personliga information inhämtas.
Du måste beskriva vilka kategorier av personlig information som du inhämtar och vad uppgifterna används för (syftet). Du måste även ha med en beskrivning av konsumenträttigheter och hur dessa rättigheter utövas i din integritetspolicy.
Dina användare har rätten att begära tillgång till den personliga information som ditt företag lagrar om dem.
Som företag är du skyldig att lämna ut den nödvändiga information som inhämtats.
Dina användare har rätten att neka till försäljning av deras personliga information (även till en tredje part).
Du är skyldig att implementera en ”Sälj inte”-länk på din webbplats och i din integritetspolicy. På så sätt kan dina användare enkelt neka till inhämtning av personuppgifter.
Dina användare kan begära att deras personliga information tas bort. Om de gör det måste du tillmötesgå deras begäran.
Personlig information är enligt CCPA: namn, postadress, e-postadress, kontonamn, körkortsnummer, passnummer och andra uppgifter som kan identifiera användaren.
Om en av dina användare (konsumenter) begär tillgång till sin personliga information är du skyldig att lämna ut ett detaljerat register över de senaste 12 månaderna (vid tidpunkten för begäran).
I motsats till den allmänna dataskyddsförordningen (GDPR), som är en europeisk lag som huvudsakligen fokuserar på att webbplatsanvändarens integritet ska skyddas fullt ut redan från början, är CCPA snarare baserat på tanken om transparens och möjligheten att avstå.
Enligt CCPA måste även information finnas om överföringar av uppgifter och tidigare såld användarinformation från de senaste 12 månaderna.
