Vanliga frågor om CCPA och CPRA

Du kommer att lära dig

Läs mer om vanliga frågor om CCPA (California Consumer Privacy Act) och CPRA (California Privacy Rights Act).

Vad är CCPA?

CCPA är en lag som trädde i kraft den 1 januari 2020 och som reglerar hur företag hanterar personuppgifter från invånare i Kalifornien.

CCPA är ett svar på en upplevd lucka i integritetsskyddet i USA. företag som hanterar personuppgifter för invånare i Kalifornien är skyldiga att informera invånarna om företagets sekretesspraxis och invånarnas sekretessrättigheter, inklusive rätten till:

• Känna till den personliga information som ett företag samlar in om dem och hur den används
• radera de insamlade personuppgifterna (med vissa undantag)
• Avstå från försäljning av sina personuppgifter
• Icke-diskriminering vid utövande av CCPA-rättigheter

Vad är CPRA?

CPRA är en lag som ändrar och utökar kraven i CCPA, inklusive:

• Lägga till en "känslig personlig information" kategori 
• Fastställande av rätten att begränsa användning och utlämnande av känsliga personuppgifter
• Fastställande av rätten att korrigera felaktig personlig information
• Utvidgning av kravet på opt-out för "Sälj inte" till att omfatta "delning" av personuppgifter för kontextöverskridande reklam (eller reklam från tredje part)

CPRA träder i kraft den 1 januari 2023.

Vem måste följa CCPA och CPRA?

Företag

De flesta CCPA- och CPRA-kraven gäller för "företag", vilket definieras som företag som samlar in personuppgifter från kaliforniska konsumenter antingen på egen hand eller via leverantörer. 

CCPA gäller för företag som uppfyller något av följande villkor:

• Hanterar personuppgifter för invånare i Kalifornien
• "gör affärer" i Kalifornien (inklusive att engagera sig med individer i Kalifornien via en e-handel eller interaktiv webbplats eller applikation)
• Uppfyller ett eller flera av följande tröskelvärden:
• Har en årlig bruttoinkomst på mer än 25 miljoner dollar
• Köper, tar emot eller säljer personlig information om 50 000 eller fler invånare, hushåll eller enheter i Kalifornien årligen
• 50 procent eller mer av sin årliga inkomst kommer från "försäljning" av personuppgifter från invånare i Kalifornien (dvs. försäljning inkluderar att avslöja, göra tillgänglig, överföra eller kommunicera personuppgifter till tredje part för monetär eller annan värdefull ersättning)

CPRA ändrar denna tillämplighet enligt följande:

• Uppfyller ett eller flera av följande tröskelvärden:
• Hade en årlig bruttoinkomst på mer än 25 miljoner dollar förra året
• Köper, säljer eller delar personlig information om 100 000 eller fler invånare eller hushåll i Kalifornien årligen
• Hämtar 50 procent eller mer av sin årliga inkomst från försäljning eller delning av personuppgifter från invånare i Kalifornien (delning inkluderar att avslöja, göra tillgänglig, överföra eller kommunicera personuppgifter till en tredje part för beteendestyrd annonsering med korsat innehåll, oavsett om det är för monetärt eller annat värdefullt vederlag).

Service leverantörer och entreprenörer 

För att betraktas som en tjänsteleverantör måste en fysisk eller juridisk person:

• Behandla personuppgifter på uppdrag av ett företag 
• vara bunden av ett skriftligt avtal som föreskriver vissa begränsningar och skyldigheter kring användningen av personuppgifter, inklusive inte längre:

• • Samlande
  • Försäljning
  • Använda personuppgifterna på annat sätt än vad som är nödvändigt för att uppfylla affärssyftet

På samma sätt som för tjänsteleverantörer gäller undantaget från försäljning eller delning även för entreprenörer enligt CPRA. Leverantörer är personer eller enheter till vilka personuppgifter görs tillgängliga av en verksamhet, i enlighet med ett skriftligt avtal som ålägger liknande begränsningar och skyldigheter som gäller för en tjänsteleverantör. Entreprenörer måste också ha ett intyg på att entreprenören förstår restriktionerna och kommer att följa dem.

Observera att ett företags utlämnande av data till en tjänsteleverantör eller entreprenör inte anses vara en försäljning eller delning när det är nödvändigt för att utföra ett affärssyfte.

Vad klassas som personlig efterlevnad?

CCPA definierar personlig information mycket brett och omfattar information som identifierar, beskriver eller rimligen kan kopplas till en viss konsument eller ett visst hushåll. I praktiken innebär denna breda definition att information som kontaktinformation, transaktion data, IP-adresser (Internet Protocol), identifierare av mobila enheter, klickström data och orderinformation kan omfattas av CCPA:s definition av personuppgifter och omfattas av CCPA:s krav.

CPRA skapar en ny kategori av personuppgifter, "känsliga personuppgifter", och ger konsumenterna en ny rätt att begränsa användningen och utlämnandet av deras känsliga uppgifter. 

Känslig personlig information enligt CPRA inkluderar: 

• Personnummer
• Körkortets registreringsnummer 
• Passnummer
• Konto-legitimation
• Exakt geolokalisering
• Ras eller etniskt ursprung
• Religiös övertygelse
• Biometriska data
• Genetiska data
• Hälsa data 
• Information om en konsuments sexliv eller sexuella läggning
• Innehållet i en konsuments post, e-post och textmeddelande om inte företaget är den avsedda mottagaren av kommunikationen 

Vad behöver jag göra för att förbereda mig?

CCPA och CPRA är komplexa lagar. Den här artikeln innehåller de viktigaste skyldigheterna enligt CCPA och CPRA som kan relatera till användningen av Klaviyo Service, men den tar inte hänsyn till alla krav som kan gälla för ditt företag. Vänligen kontakta din juridiska rådgivare för specifik rådgivning. 

Om CCPA och CPRA är tillämpliga på ditt företag bör du beakta följande rättigheter och upplysningar.

Meddelande

Ditt företag måste ha en sekretesspolicy på din webbplats som är tillgänglig på alla punkter där du samlar in personuppgifter, till exempel registreringsformulär. Policyn bör bland annat innehålla följande:

• Kategorier av personuppgifter som företaget samlar in, säljer och på annat sätt lämnar ut för affärsändamål
• Kategorier av källor till personuppgifterna 
• Affärsmässiga eller kommersiella syften för att samla in eller sälja personuppgifterna
• Beskrivning av följande konsumenträttigheter och de angivna metoderna för att lämna in förfrågningar:
• Rätt att radera personuppgifter
• Rätt att få tillgång till kategorier och specifika delar av personuppgifter
• Rätten att välja bort försäljning eller delning av personlig information
• Rätten att inte utsättas för repressalier

CPRA utökar denna lista över konsumenträttigheter till att omfatta: 

• Rätt att korrigera felaktig information
• Rätt att begränsa användning och utlämnande av känsliga personuppgifter
• Rätt att välja bort automatiserad teknik för beslutsfattande

CPRA kräver också att företag inkluderar följande ytterligare upplysningar:

• Om individens personliga information säljs eller delas
• Den tid som företaget avser att behålla varje kategori av personuppgifter eller de kriterier som företaget kommer att använda för att avgöra hur länge det kommer att behålla sådan information
• Om företaget samlar in "känslig personlig information":
• En separat redogörelse som identifierar de kategorier av känslig information som samlas in
• Användningen av och syftet med detta data
• Om sådan information säljs eller delas

Rätt till undantag

Konsumenterna har rätt att när som helst välja bort försäljning av sina personuppgifter data till tredje part. Ditt företag måste sluta sälja personuppgifter efter att ha mottagit begäran, såvida inte konsumenten ger ett senare uttryckligt tillstånd. Företag måste vänta minst 12 månader innan de ber en konsument att välja tillbaka till försäljning av personlig information. För att möjliggöra denna opt-out-rätt måste företag bland annat

• Tillhandahålla en tydlig och iögonfallande länk på företagets hemsida med rubriken "Sälj inte mina personuppgifter". Länken ska göra det möjligt för en konsument, eller en person som konsumenten har bemyndigat, att välja bort försäljningen av konsumentens personuppgifter
• Inte kräva att en konsument skapar ett konto för att ge företaget instruktioner om att inte sälja konsumentens personuppgifter.

Konsumenter har också rätt att när som helst välja bort att deras personliga data säljs av en tredje part som har köpt konsumentens personliga data från ett företag. Tredje part måste upphöra med försäljningen efter att ha mottagit begäran om avregistrering, såvida inte konsumenten lämnar ett senare uttryckligt tillstånd.

Andra konsumenträttigheter

Företag måste ha processer för att verifiera en kalifornisk invånares identitet när de svarar på förfrågningar om åtkomst till eller radering av personuppgifter. När en begäran har mottagits från en person bosatt i Kalifornien och deras identitet har bekräftats, se till att inkludera följande när du fyller i begäran i tillämpliga fall för att respektera deras rättigheter. 

Rätt att få veta: En konsument kan begära att företaget avslöjar sin insamling och behandling av sin personliga information, inklusive: 

• Kategorier av personuppgifter som samlats in om den konsumenten (under de senaste 12 månaderna)
• Kategorier av källor från vilka personuppgifterna samlas in 
• Affärsmässigt eller kommersiellt syfte för att samla in eller sälja personlig information
• Kategorier av tredje parter till vilka företaget har lämnat ut personuppgifter
• Kategorier av information som verksamheten säljer eller lämnar ut till tredje part
• Specifika delar av den personliga information som företaget har samlat in om den konsumenten

CPRA ändrar och utökar denna rätt att kräva:

• Tillhandahålla information om de kategorier av personuppgifter som "delas" med tredje part
• Ta bort 12-månaders look-tillbaka-begränsningen genom att kräva att ett företag tillhandahåller mer än 12 månaders information, så länge ett sådant avslöjande inte skulle vara "omöjligt" eller "innebära en oproportionerlig ansträngning" (detta krav skulle inte gälla för någon data som samlats in av företaget före 1 januari 2022)

Rätt till radering: Näringsidkaren måste radera konsumentens uppgifter (med vissa undantag) och meddela sin tjänsteleverantör att radera konsumentens uppgifter. Enligt CPRA måste företaget meddela sina tjänsteleverantörer och entreprenörer och även meddela alla tredje parter till vilka företaget har sålt eller delat (för kontextöverskridande reklamändamål) konsumentens personuppgifter, såvida inte detta "visar sig omöjligt eller innebär oproportionerliga ansträngningar". Dessutom måste varje tjänsteleverantör också meddela sin egen tjänsteleverantör i senare led att radera konsumentens information. 

Rätt att korrigera felaktig personlig information: När ett företag får en verifierad begäran om att korrigera felaktig personlig information måste företaget använda "kommersiellt rimliga ansträngningar" för att korrigera nämnda personliga information enligt konsumentens anvisningar. Ytterligare vägledning om denna skyldighet förväntas från California Attorney General.

Du bör också notera att om konsumenten är yngre än 13 år krävs en förälders eller vårdnadshavares uttryckliga samtycke (opt-in) innan hans eller hennes personuppgifter säljs. Om konsumenten är mellan 13 och 16 år krävs uttryckligt samtycke från individen innan vi säljer hans eller hennes personuppgifter.

Uppfylla konsumenternas önskemål 

Du måste ha minst två angivna metoder för konsumenter att skicka in förfrågningar om information.

Dessa bör åtminstone omfatta:

• Ett avgiftsfritt telefonnummer (vissa företag som uteslutande verkar online och har en direkt relation med den konsument från vilken de samlar in personuppgifter är undantagna från kravet på avgiftsfritt nummer)
• Webbadress, om företaget har en webbplats 

Konsumentens begäran måste behandlas inom 45 dagar från det att begäran mottagits, per post eller elektroniskt (i ett format som gör det möjligt för konsumenten att lämna den till en annan enhet) eller via ett användarkonto. Svarstiden kan förlängas med ytterligare 45 dagar om det är rimligt nödvändigt på grund av komplexiteten och antalet förfrågningar, och om den som begärt informationen underrättas om förlängningen (med angivande av skälen till detta). Förfarandet för att begära upplysningar måste också vara kostnadsfritt.

Företag är inte skyldiga att utföra mer än två förfrågningar per konsument under en 12-månadersperiod.

Vilken är Klaviyo:s roll enligt CCPA och CPRA när det gäller tjänsten Klaviyo?

Klaviyo inte har någon direkt relation med de personer vars personuppgifter samlas in av vår kund och butik på vår plattform. Klaviyo fungerar som en tjänsteleverantör, medan våra kunder är företagen eftersom vi behandlar personuppgifterna på uppdrag av våra kunder.

Klaviyoskyldigheter gentemot kund som tjänsteleverantör framgår av vårt personuppgiftsbiträdesavtal. 

Vad gör Klaviyo för att kund ska kunna uppfylla kraven?

Klaviyo kund har möjlighet och verktyg för att tillgodose förfrågningar från invånare i Kalifornien om att utöva sina konsumenträttigheter att få tillgång till, radera eller korrigera personuppgifter enligt CCPA och CPRA. Specifikt:

• Plattformen gör det möjligt för kund att rapportera om den personliga information som den upprätthåller om slutanvändare som svar på åtkomstförfrågningar.
• Plattformen möjliggör radering av personlig information som den upprätthåller om slutanvändare som svar på raderingsförfrågningar och korrigering av felaktig personlig information på profil i Klaviyo.
• Klaviyo inte support och begränsar insamling och lagring av känslig personlig information, enligt vår policy för godtagbar användning .

Ytterligare resurser

• Så hanterar du GDPR- och CCPA-förfrågningar
• Kaliforniens lag om konsumentskydd
• Förstå samtycke i profiler