Om din webbplats betjänar användare i både Europeiska unionen och Kalifornien lyder du sannolikt under två av världens mest inflytelserika integritetsregleringar: den allmänna dataskyddsförordningen (GDPR) och California Consumer Privacy Act (CCPA), i den lydelse som ändrades genom California Privacy Rights Act (CPRA). Även om båda lagarna syftar till att skydda personuppgifter skiljer de sig fundamentalt i sitt tillvägagångssätt, sin omfattning och sin tillämpning. Att förstå dessa skillnader är inte valfritt — det är väsentligt för att bygga en efterlevnadsstrategi som uppfyller båda regelverken utan onödig duplicering eller luckor. Denna artikel erbjuder ett särskilt perspektiv för svenska företag, där Integritetsskyddsmyndigheten (IMY) övervakar GDPR.
Filosofiska grunder: opt-in vs opt-out
Den mest grundläggande skillnaden mellan GDPR och CCPA ligger i deras standardmodell för samtycke.
GDPR bygger på opt-in. Enligt artikel 6 i GDPR kräver behandling av personuppgifter en rättslig grund innan någon insamling sker. För många typer av behandling — särskilt marknadsföring, profilering och analys — måste uttryckligt samtycke inhämtas från den registrerade innan data samlas in. Detta innebär att när en europeisk användare besöker din webbplats för första gången kan du inte sätta icke-nödvändiga cookies, aktivera spårningspixlar eller samla in beteendedata förrän användaren uttryckligen samtycker. I Sverige har IMY utfärdat särskilt detaljerade riktlinjer om cookies och samtycke, med betydande sanktioner för överträdelser.
CCPA bygger på opt-out. Företag får samla in och använda personuppgifter utan att inhämta förhandssamtycke (med vissa undantag för minderåriga under 16). I stället ger CCPA konsumenter rätten att i efterhand invända mot försäljning eller delning av deras personuppgifter. Företaget måste tillhandahålla en länk “Sälj inte eller dela mina personuppgifter”, men kan behandla data som standard tills konsumenten utövar den rätten.
Denna distinktion har djupgående praktiska konsekvenser. En GDPR-kompatibel webbplats som blockerar all spårning tills samtycke ges uppfyller även CCPA:s mindre restriktiva krav. Men en CCPA-kompatibel webbplats som spårar användare som standard och förlitar sig på opt-out bryter mot GDPR om den betjänar europeiska användare utan förhandssamtycke.
Omfattning och tillämpbarhet
Vem är skyddad
GDPR: Varje “registrerad” som befinner sig i Europeiska unionen, oavsett nationalitet eller bosättning. En amerikansk turist som surfar på en webbplats under ett besök i Stockholm skyddas av GDPR under det besöket. Förordningen skyddar individer (fysiska personer), inte företag.
CCPA: Kaliforniska “konsumenter”, definierade som fysiska personer bosatta i Kalifornien. Skyddet följer personens bosättning, inte fysisk plats. En invånare i Kalifornien som surfar på en webbplats under semester i Tokyo är fortfarande skyddad av CCPA.
Vilka företag måste följa lagen
GDPR: Alla organisationer, var som helst i världen, som behandlar personuppgifter om individer i EU, förutsatt att organisationen erbjuder varor eller tjänster till EU-invånare eller övervakar deras beteende (artikel 3). Det finns ingen omsättningströskel, inget minimum datavolym. En enmansblogg som samlar in e-postadresser från EU-besökare måste följa lagen. IMY har bekräftat detta tillvägagångssätt i flera beslut.
CCPA: Vinstdrivande företag som bedriver verksamhet i Kalifornien och uppfyller minst en av tre trösklar: årlig bruttointäkt över 25 miljoner dollar; köp, försäljning eller delning av personuppgifter om 100 000 eller fler konsumenter eller hushåll; eller härleda 50 % eller mer av årsinkomsten från försäljning eller delning av personuppgifter. Ideella organisationer och myndigheter är undantagna.
Definition av personuppgifter
GDPR: “Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Detta inkluderar namn, e-postadresser, IP-adresser, cookie-identifierare, platsdata, onlineidentifierare och till och med pseudonymiserade data om återidentifiering är möjlig.
CCPA: “Personuppgifter” definieras bredare i vissa avseenden och omfattar information som “identifierar, hänför sig till, beskriver, rimligen kan associeras med, eller rimligen kan kopplas, direkt eller indirekt, till en viss konsument eller ett hushåll”. Tillägget av “hushåll” utvidgar skyddet bortom individen. Offentligt tillgänglig information är dock uttryckligen undantagen från CCPA:s definition, medan GDPR inte gör något sådant undantag.
Konsument-/registrerades rättigheter
Båda lagarna ger individer rättigheter avseende sina personuppgifter, men detaljerna skiljer sig:
| Rättighet | GDPR | CCPA/CPRA |
|---|---|---|
| Rätt till tillgång/kunskap | Artikel 15: rätt att få bekräftelse och kopia av alla personuppgifter | Sektion 1798.100: rätt att veta kategorier och specifika insamlade uppgifter under de senaste 12 månaderna |
| Rätt till radering | Artikel 17: rätt till radering (“rätten att bli glömd”) med breda undantag | Sektion 1798.105: rätt till radering med specificerade undantag |
| Rätt till dataportabilitet | Artikel 20: rätt att ta emot data i maskinläsbart format | Ingen motsvarighet i CCPA |
| Rätt till rättelse | Artikel 16: rätt till rättelse | Sektion 1798.106 (tillagd av CPRA): rätt att korrigera felaktig information |
| Rätt att invända mot försäljning | Ej direkt tillämpbar (samtyckesbaserad modell) | Sektion 1798.120: rätt att invända mot försäljning och delning |
| Rätt att begränsa känsliga uppgifter | Artikel 9: särskilda kategorier kräver uttryckligt samtycke | Sektion 1798.121 (CPRA): rätt att begränsa användningen av känsliga personuppgifter |
| Rätt till icke-diskriminering | Underförstått i allmänna principer | Sektion 1798.125: uttryckligt förbud mot diskriminering av konsumenter som utövar sina rättigheter |
| Svarstid | 1 månad (förlängbar till 3) | 45 dagar (förlängbar till 90) |
Vet du inte vilka regler som galler for din webbplats? WebLegals gratis regelefterlevnadsscanner analyserar din webbplats och identifierar vilka juridiska dokument och integritetskrav du behover hantera.
Rättsliga grunder för behandling
Här divergerar de två regelverken mest markant.
GDPR: Artikel 6 kräver en av sex rättsliga grunder för varje behandlingsaktivitet: samtycke, fullgörande av avtal, rättslig förpliktelse, skydd av vitala intressen, uppgift av allmänt intresse eller berättigat intresse. Valet av rättslig grund måste dokumenteras och meddelas de registrerade. För särskilda kategorier av uppgifter (artikel 9) måste ett ytterligare villkor uppfyllas, vanligtvis uttryckligt samtycke. IMY och den svenska dataskyddslagen (2018:218) ger specifik vägledning om valet av lämplig rättslig grund.
CCPA: Det finns inget begrepp “rättslig grund” i CCPA. Företag får samla in och behandla personuppgifter för alla redovisade affärsändamål. Lagen reglerar informationsgivning och opt-out-rättigheter snarare än att kräva en bekräftande motivering för varje behandlingsaktivitet.
Tillsyn och sanktioner
GDPR-tillsyn
Tillsyn utövas av dataskyddsmyndigheter i varje EU-medlemsstat. I Sverige är IMY särskilt aktiv. Maximala sanktioner enligt artikel 83 är:
- Upp till 10 miljoner euro eller 2 % av den globala årsomsättningen för lindrigare överträdelser
- Upp till 20 miljoner euro eller 4 % av den globala årsomsättningen för allvarliga överträdelser
IMY har under de senaste åren utfärdat betydande sanktionsavgifter, bland annat för kameraövervakning och otillåten behandling av personuppgifter. Myndigheterna kan också utfärda behandlingsförbud, förbud mot dataöverföring och kräva specifika korrigerande åtgärder.
CCPA-tillsyn
Tillsynen delas mellan Kaliforniens justitieminister och CPPA:
- Upp till 2 500 $ per oavsiktlig överträdelse
- Upp till 7 500 $ per uppsåtlig överträdelse eller överträdelse som involverar minderåriga
- Privat talerätt vid dataintrång: 100 $ till 750 $ per konsument per incident
Dataöverföringar
GDPR: Överföringar av personuppgifter utanför EU/EES begränsas av kapitel V i GDPR. Överföringar kräver ett adekvansbeslu, standardavtalsklausuler (SCC), bindande företagsbestämmelser eller annan godkänd överföringsmekanism.
CCPA: Det finns inga begränsningar för internationella dataöverföringar under CCPA. Lagen reglerar hur data samlas in, används, säljs och delas, men begränsar inte var de lagras eller behandlas geografiskt.
Praktisk efterlevnadsstrategi för företag i två jurisdiktioner
Om din webbplats betjänar både EU- och Kalifornien-användare, här är ett praktiskt tillvägagångssätt för svenska företag:
1. Börja med GDPR-efterlevnad. GDPR-kraven är generellt strängare. En GDPR-kompatibel integritetspolicy, samtyckesmekanism och databehandlingsrutiner uppfyller de flesta CCPA-krav. Följ IMY:s riktlinjer och kraven i dataskyddslagen.
2. Lägg till CCPA-specifika element. Lägg till de uppgifter och mekanismer som CCPA kräver och GDPR inte: länken “Sälj inte eller dela mina personuppgifter”, informationsramverket med 12 kategorier, opt-out för känsliga personuppgifter och den årliga uppdateringen med datumstämpel.
3. Implementera geolokaliseringsbaserat samtycke. Anvand en samtyckeshanteringsplattform som detekterar anvandarens plats och tillampar lamplig samtyckesmodell: opt-in for EU-besokare, opt-out-rattigheter for kaliforniska besokare. WebLegals gratis cookiebanner hanterar GDPR-samtycke och kan anvandas som grund for din multi-jurisdiktionsstrategi.
4. Håll separata register. GDPR kräver register över behandlingsaktiviteter (artikel 30). CCPA kräver dokumentation av konsumentförfrågningar och svar. Upprätthåll båda. I Sverige kontrollerar IMY regelbundet förekomsten av behandlingsregister.
5. Granska leverantörsavtal. Se till att dina avtal med personuppgiftsbiträden (GDPR) och tjänsteleverantörer (CCPA) uppfyller kraven i båda regelverken. Terminologin skiljer sig, men den underliggande skyldigheten — att kontrollera hur tredje parter hanterar dina användares data — är densamma.
Slutsats
GDPR och CCPA representerar två distinkta tillvägagångssätt för integritetsreglering: europeiskt övergripande samtycke kontra kalifornisk riktad transparens. Inget av dem omfattar det andra. Ett företag som betjänar användare i båda jurisdiktionerna behöver en efterlevnadsstrategi som adresserar GDPR:s samtyckeskrav, ramverket för rättsliga grunder och begränsningar för dataöverföringar, jämte CCPA:s specifika informationskategorier, opt-out-mekanismer och sanktionsstruktur per överträdelse.
Kostnaden för dubbel bristande efterlevnad är betydande. Kostnaden för att bygga en enhetlig integritetsstrategi som uppfyller båda regelverken är hanterbar — och långt lägre än tillsynsrisken vid felaktig hantering. För svenska företag som övervakas av IMY och exponeras för CCPA är prioriteten att adressera båda regelverken nu snarare än retroaktivt efter en tillsynsåtgärd.