California Consumer Privacy Act (CCPA), kodifierad i Cal. Civ. Code sections 1798.100 till 1798.199.100, har i grunden förändrat hur företag måste hantera personuppgifter tillhörande invånare i Kalifornien. I den lydelse som ändrades genom California Privacy Rights Act (CPRA) 2023 ställer lagen specifika krav på integritetspolicyer som går långt utöver vad många företag är vana vid. Om din webbplats samlar in personuppgifter från kaliforniska konsumenter måste din integritetspolicy uppfylla detaljerade lagstadgade krav, annars riskerar du betydande tillsynsåtgärder. Denna guide förklarar exakt vad CCPA kräver och hur du gör din integritetspolicy kompatibel.
Vem måste följa CCPA
CCPA gäller inte alla företag. Den riktar sig mot vinstdrivande enheter som bedriver verksamhet i Kalifornien och uppfyller minst en av tre trösklar fastställda i Cal. Civ. Code section 1798.140(d):
1. Årlig bruttointäkt som överstiger 25 miljoner dollar. Denna tröskel gäller företagets globala intäkter, inte bara intäkter från verksamhet i Kalifornien. Om ditt företag genererar mer än 25 miljoner dollar årligen från någon källa gäller CCPA för din hantering av kaliforniska konsumenters data.
2. Köp, försäljning eller delning av personuppgifter om 100 000 eller fler konsumenter eller hushåll. Denna tröskel höjdes från 50 000 till 100 000 genom CPRA-ändringarna. Eftersom “personuppgifter” enligt CCPA inkluderar IP-adresser, enhetsidentifierare och webbhistorik kan många onlineföretag med måttlig kalifornisk trafik nå detta antal utan att inse det.
3. Härleda 50 % eller mer av årsinkomsten från försäljning eller delning av personuppgifter. Datamäklare och reklamerberoende företag faller ofta in i denna kategori.
Även om ditt företag inte är baserat i Kalifornien måste du följa lagen om du uppfyller någon av dessa trösklar och samlar in personuppgifter från kaliforniska invånare. CCPA:s extraterritoriella räckvidd innebär att ett e-handelsföretag i Stockholm eller ett SaaS-företag i Göteborg kan omfattas av kalifornisk integritetslag.
För svenska företag som även lyder under GDPR är det väsentligt att förstå skillnaderna mellan de båda regelverken. Integritetsskyddsmyndigheten (IMY) övervakar GDPR i Sverige, kompletterat av dataskyddslagen (2018:218), med krav som på flera punkter skiljer sig från CCPA.
Vad din CCPA-integritetspolicy måste innehålla
CCPA fastställer specifika informationskrav i Cal. Civ. Code sections 1798.100(a) och 1798.130(a). Din integritetspolicy måste innehålla följande element:
Kategorier av insamlade personuppgifter. Du måste lista de kategorier av personuppgifter du har samlat in under de föregående 12 månaderna. CCPA definierar 12 kategorier i section 1798.140(v), inklusive identifierare (namn, e-post, IP-adress), kommersiell information (köphistorik), internetaktivitet (webbhistorik, sökhistorik), geolokaliseringsdata och yrkesmässig eller anställningsrelaterad information.
Ändamål för insamling. Ange för varje kategori av personuppgifter det affärsmässiga ändamålet för insamlingen. Vaga uttalanden som “för att förbättra våra tjänster” är otillräckliga. Du måste vara specifik: “för att behandla beställningar och genomföra leveranser”, “för att visa riktad reklam baserad på surfbeteende”, “för att upptäcka säkerhetsincidenter”.
Kategorier av tredje parter med vilka information delas. Om du delar personuppgifter med tredje parter, ange kategorierna av mottagare: reklamnatverk, analysleverantörer, betalningsförmedlare, molnhostingtjänster. Enligt CPRA-ändringarna måste du även ange kategorier av tredje parter till vilka information säljs eller delas för kontextöverskridande beteendebaserad reklam.
Konsumenträttigheter och hur de utövas. Din policy måste förklara de rättigheter som kaliforniska konsumenter har enligt CCPA: rätten att veta, rätten till radering, rätten att välja bort försäljning eller delning av personuppgifter, rätten att korrigera felaktig information och rätten att begränsa användningen av känsliga personuppgifter. Du måste tillhandahålla tydliga instruktioner för att skicka förfrågningar, inklusive minst två angivna metoder (ett avgiftsfritt telefonnummer och en webbadress).
Lagringsperioder. CPRA lade till kravet att ange lagringsperioden för varje kategori av personuppgifter, eller de kriterier som används för att fastställa lagringsperioder.
Länk “Sälj inte eller dela mina personuppgifter”. Om ditt företag säljer eller delar personuppgifter måste du tillhandahålla en tydligt märkt länk på din startsida med titeln “Sälj inte eller dela mina personuppgifter”. Denna opt-out-mekanism måste vara funktionell och enkel att använda. Enligt CPRA omfattar detta kontextöverskridande beteendebaserad reklam, inte bara traditionell dataförsäljning. En gratis cookiesamtyckebanner kan tillhandahålla denna opt-out-funktionalitet tillsammans med GDPR-samtyckehantering.
Meddelande om ekonomisk stimulans. Om du erbjuder ekonomiska stimulanser (rabatter, lojalitetsprogram) i utbyte mot insamling, försäljning eller lagring av personuppgifter måste din integritetspolicy beskriva de väsentliga villkoren för stimulansprogrammet och förklara hur konsumenter kan ansluta sig eller dra sig tillbaka.
Känsliga personuppgifter enligt CPRA
CPRA införde begreppet “känsliga personuppgifter”, som innefattar personnummer, inloggningsuppgifter till finanskonton, exakt geolokalisering, ras eller etniskt ursprung, religiösa övertygelser, innehåll i post eller textmeddelanden, genetiska data, biometrisk information, hälsoinformation och sexuell läggning.
Om ditt företag samlar in känsliga personuppgifter måste din integritetspolicy uppge detta och ge konsumenter rätt att begränsa användningen till ändamål som är nödvändiga för att tillhandahålla de begärda varorna eller tjänsterna. Du måste också inkludera en separat länk på din startsida: “Begränsa användningen av mina känsliga personuppgifter”.
Detta förstärkta skydd för känsliga datakategorier speglar liknande bestämmelser i GDPR (Artikel 9) — som i Sverige övervakas av IMY och kompletteras av dataskyddslagen — vilket återspeglar en global trend mot striktare hantering av personuppgifter med hög risk.
Vanliga efterlevnadsfel
Många företag misslyckas med CCPA-efterlevnad inte på grund av avsiktlig försummelse utan genom missförstånd av lagens krav. Här är de vanligaste felen:
Använda en GDPR-only integritetspolicy. Även om GDPR och CCPA överlappar på vissa områden kommer en integritetspolicy utformad uteslutande för GDPR-efterlevnad inte att uppfylla CCPA-kraven. CCPA har egna specifika informationskategorier, ett eget konsumenträttighetsramverk och egna opt-out-mekanismer som väsentligt skiljer sig från europeisk lagstiftning. För svenska företag som är bekanta med IMY:s krav och dataskyddslagen är det avgörande att lägga till de CCPA-specifika elementen.
Utebliven årlig uppdatering. Cal. Civ. Code section 1798.130(a)(5) kräver att företag uppdaterar sin integritetspolicy minst en gång per 12 månader. Datumet för senaste uppdatering måste visas tydligt. Många företag skapar en policy en gång och ser aldrig över den, vilket lämnar den föråldrad allteftersom deras datapraktiker utvecklas.
Ofullständiga kategoriuppgifter. Att lista “personuppgifter” som en enda kategori räcker inte. CCPA kräver detaljerad information över sina 12 uppräknade kategorier. Granska dina faktiska dataflöden, inklusive analysverktyg, reklampixlar, CRM-integrationer och betalningsförmedlare, för att säkerställa att varje kategori täcks.
Ingen fungerande opt-out-mekanism. Att ha en “Sälj inte”-länk som leder till ett trasigt formulär, en obevakad e-postadress eller en generell kontaktsida är en överträdelse. Opt-out-funktionen måste fungera, och du måste behandla förfrågningar inom 15 arbetsdagar.
Ignorera tjänsteleverantörer och uppdragstagare. CCPA skiljer mellan “tjänsteleverantörer” (som behandlar data för din räkning enligt avtal) och “tredje parter” (som tar emot data för egna ändamål). Din integritetspolicy måste korrekt karakterisera dessa relationer, och dina avtal måste innehålla CCPA-kompatibla databehandlingsvillkor. I Sverige motsvarar detta GDPR:s distinktion mellan personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 26 och 28).
CCPA-tillsyn och sanktioner
Kaliforniens justitieministers kontor har aktivt tillämpat CCPA sedan juli 2020. Enligt Cal. Civ. Code section 1798.155 omfattar sanktionerna:
- Upp till 2 500 $ per oavsiktlig överträdelse. Eftersom varje konsumentpost kan utgöra en separat överträdelse ackumuleras böterna snabbt. Ett dataintrång som påverkar 10 000 kaliforniska konsumenter kan teoretiskt resultera i 25 miljoner dollar i sanktioner.
- Upp till 7 500 $ per uppsåtlig överträdelse. Medvetna överträdelser av CCPA eller överträdelser som involverar personuppgifter om minderåriga under 16 år medför den högre sanktionen.
- Privat talerätt vid dataintrång. Enligt section 1798.150 kan konsumenter stämma företag direkt för dataintrång som orsakats av bristande rimliga säkerhetsåtgärder. Lagstadgat skadestånd ligger mellan 100 $ och 750 $ per konsument per incident, eller faktiskt skadestånd, beroende på vilket belopp som är högst.
California Privacy Protection Agency (CPPA), inrättad genom CPRA, delar nu tillsynsbefogenheterna med justitieministern och utfärdar aktivt föreskrifter och genomför utredningar. Läs mer om tillsynsrisker i vår artikel om CCPA-sanktioner och vår jämförelse CCPA vs GDPR.
Fyra tillvägagångssätt för CCPA-integritetspolicy efterlevnad
Anlita en integritetsadvokat
Kostnad: 3 000 till 8 000 $ för en omfattande CCPA-integritetspolicy och opt-out-infrastruktur. Tidsram: 2 till 6 veckor.
En advokat specialiserad på kalifornisk integritetsrätt genomför en detaljerad datakartläggning, granskar dina leverantörsavtal och utarbetar en policy anpassad till dina specifika datapraktiker. Detta rekommenderas för företag med komplexa dataflöden, stora datavolymer eller verksamhet i flera amerikanska delstater med egna integritetslagar. För svenska företag är en advokat som behärskar både GDPR/dataskyddslagen och CCPA idealt.
Använda ett generiskt AI-verktyg
Skenbar kostnad: 0 $. Verklig kostnad: potentiellt betydande tillsynsrisk.
Generiska AI-chatbotar kan producera text som liknar en integritetspolicy men missar ofta CCPA-specifika krav: de 12 lagstadgade kategorierna, kravet på opt-out-länk, uppgifter om känsliga personuppgifter och den krävda uppdateringsfrekvensen. En policy som ser kompatibel ut men saknar obligatoriska element skapar en falsk känsla av trygghet.
Kopiera en gratis mall
Kostnad: 0 $. Risk: hög.
Gratis CCPA-mallar online är vanligtvis generiska, föråldrade (många föregår CPRA-ändringarna) och inte anpassade till ditt specifika företag. De innehåller sällan adekvata opt-out-mekanismer eller uppgifter om tjänsteleverantörer. Att använda en mall utan väsentlig anpassning kommer sannolikt inte att uppfylla CCPA-kraven.
Använda en specialiserad juridisk dokumentgenerator
Kostnad: 14,90 € till 49,90 €. Tidsram: under 10 minuter.
En specialiserad juridisk dokumentgenerator ställer specifika frågor om dina affärsaktiviteter, datainsamlingsrutiner och tredjepartsrelationer och producerar sedan en integritetspolicy som uppfyller CCPA-kraven. Detta tillvägagångssätt erbjuder den bästa balansen mellan efterlevnadsstränghet, tillgänglighet och kostnadseffektivitet för flertalet onlineföretag.
Slutsats
CCPA ställer detaljerade och specifika krav på integritetspolicyer som går utöver allmänna bästa praxis. Om ditt företag uppfyller någon av de tre tillämplighetströsklarna måste din integritetspolicy räkna upp kategorierna av personuppgifter du samlar in, förklara dina ändamål, redovisa delning med tredje parter, beskriva konsumenträttigheter och hur de utövas, och tillhandahålla fungerande opt-out-mekanismer.
Börja med en gratis efterlevnadsskanning för att bedöma din nuvarande situation. För svenska företag som lyder under GDPR genom IMY lägger CCPA till ett extra lager av specifika skyldigheter. Med CPPA som aktivt tillämpar lagen och sanktioner som ackumuleras per överträdelse överstiger kostnaden för bristande efterlevnad vida kostnaden för att ordna din integritetspolicy. Oavsett om du anlitar en specialiserad advokat för komplexa situationer eller använder en specialiserad generator för enklare efterlevnadsbehov är det viktiga steget att agera nu. Varje dag utan en CCPA-kompatibel integritetspolicy är en dag av onödig juridisk exponering.