USA:s sekretess
IAB GPP: Implementera amerikanska dataskyddslagar på ett lagligt sätt
Gör din webbplats eller app kompatibel med de juridiska kraven för de nya amerikanska dataskyddslagarna.
- Lätt att integrera
- Stöder CCPA/CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), UCPA (Utah), CAPDP (Connecticut), US National Privacy, bland annat
- Officiellt stöd för den nya IAB GPP Standard
- Inklusive ”Sälj inte”, GPC och andra funktioner
- Opt In eller Opt Out
- Anpassningsbar design
- Cookie-crawler redan integrerad
- Omfattande rapportering
Vi har redan hjälpt mer än 25 000 webbplatser att följa GDPR, TDDDG och ePrivacy
Våra kunder inkluderar några av de största webbplatserna och de mest kända varumärkena i världen.
… och många fler.
Hur gör jag min webbplats eller app kompatibel med USA:s nya integritetslagar?
Om ditt företag faller under en av de många integritetslagarna (se avsnittet lagar) måste du följa dessa lagar. I de flesta stater betyder detta:
- Webbplatsbesökare/appanvändare måste informeras om typen, syftet och innehållet i databehandlingen
- Webbplatsbesökare/appanvändare måste ha rätt att invända mot databehandling (opt-out)
- I vissa fall måste samtycke erhållas före databehandling (opt-in)
- Olika grundläggande regler gäller för hur uppgifter får behandlas, såsom principen om dataminimering, säkerhet, transparens eller hantering av känsliga uppgifter
Konkret betyder detta i de flesta fall: En opt-out-lösning måste installeras på webbplatsen eller appen för att ge användarna nödvändig information och möjliggöra opt-out.
BEHOV AV OSS SEKRETESSÖVERENSSTÄMMELSE
… men jag bearbetar ingen data alls!?
Ett svar vi hör mycket från amerikanska kunder är att de faktiskt inte behandlar någon data och därför gäller inte dataskyddslagar för dem.
Det är viktigt att notera här att webbplats- och appoperatörer är ansvariga för de uppgifter som behandlas på deras webbplats eller i deras app . Därför gäller dataskyddslagarna särskilt för företag om de uppfyller något av följande villkor:
1. Om data behandlas för våra egna ändamål , till exempel via spårningsverktyg som Google Analytics, Matomo, Hotjar eller liknande
2. Att dela data med tredje part är också ett bearbetningssteg. Data delas till exempel genom att integrera ett tredjepartsplugin i webbplatsen eller appen. Detta gäller YouTube-videor, Facebook-plugins, Google Maps, chattprogram eller betalningsleverantörer som PayPal
3. Närhelst reklam integreras i webbplatsen eller appen, överförs data automatiskt till annonsören . Överföringen förstås som ett steg i databehandlingen.
Medan stater skiljer sig lite åt när samtycke till databehandling måste ges, kräver praktiskt taget alla dataskyddslagar att de ska väljas bort. När det gäller CCPA/CPRA måste detta implementeras uttryckligen med hjälp av en länk som säger ”Sälj eller dela inte min personliga information”.
Bli följsam i 5 steg
Med consentmanager kan du enkelt följa olika amerikanska dataskyddslagar:
- 1. Registrera dig gratis nu och aktivera ditt consentmanager
- 2. Integrera consentmanager kod på din webbplats genom att kopiera och klistra in
- 3. Anpassa opt-out-designen efter dina önskemål
- 4. Skapa och integrera länken ”Sälj eller dela inte min personliga information”.
- 5. Håll dig kompatibel tack vare automatiska uppdateringar
Rekommenderas av jurister och dataskyddsombud
Den nya Standard IAB GPP
Gör webbplatsen säker med nya standarder: IAB GPP
För att på ett transparent sätt signalera opt-in eller opt-out inom webbplatsen eller appen till alla integrerade verktyg, plugins och reklamleverantörer utvecklades den så kallade IAB GPP- Standard av IAB.
- GPP står för Global Privacy Platform och definierar olika metoder och gränssnitt såsom en CMP (Consent Management Provider, även känd som ”Cookie Banner” eller ”Privacy Notice”) som registrerar och kommunicerar samtycke/opt-in eller avslag/opt-out kan . Standard är till stor del baserad på IAB TCF Standard , som har använts framgångsrikt i Europa i flera år och har blivit ett måste för publicister och annonsörer.
- consentmanager teamet spelade en nyckelroll i utvecklingen av GPP-standarden, så det är inte förvånande att consentmanager är den första leverantören som erbjuder produktiv användning av IAB GPP.
Du kan också ta reda på mer om GPP i vår blogg . - Viktigt: De flesta dataskyddslagar kräver också att webbplatsoperatörer och appoperatörer ska kunna svara på ”webbläsarsignaler”. En av dessa signaler är GPC eller ”Global Privacy Control” som krävs i Kalifornien. Med consentmanager behöver inte webbplatser och appar oroa sig för tur: lösningen för consentmanager svarar automatiskt på webbläsarsignaler och implementerar borttagningen automatiskt.
- Använd GPP och GPC nu
Varför följa USA:s integritetslagar nu?
Skydd för ditt företag
CCPA, VCDPA, CAPAP etc. kommer att gälla från 2023 och måste implementeras. Federal Attorneys General kan nu utdöma böter på grundval av lagar – i många fall har detta redan skett. Tveka inte längre och gör din webbplats eller app kompatibel nu!
Skydd för dina inkomster
Annonsföretag kommer att förlita sig på den nya IAB GPP-standarden 2023. I Europa säljs knappt någon reklam utan den europeiska standarden – i USA går trenden åt samma håll. Om du inte stöder IAB GPP-standarden går du miste om annonsintäkter!
Skydd för dina kunder
Kunderna blir mer kritiska och ifrågasätter allt mer hur företag hanterar data. Företag som inte respekterar sin integritet tappar trovärdighet, kunder och försäljning. Visa dina kunder att du verkligen bryr dig om dem!
Betala bara för det du använder
Vår flexibla prismodell
consentmanager CMP är prisvärd och tillgänglig med en flexibel modell: du betalar bara för det du använder!
Basic
en hemsida
- 5 000 visningar / månad inkl.
- GDPR-kompatibel
- Färdiga mönster
- 1 crawl/vecka
- Support: biljetter
ytterligare Visningar bokningsbaraIAB TCF-kompatibel CMPIAB GPP-standardA/B-testning och optimeringytterligare användarkonton
Beginner
en hemsida
- 100 000 visningar/månad inkl.
- ytterligare Visningar:0,1 € / 1000
- GDPR-kompatibel
- Anpassningsbara mönster
- 3 krypningar/dag
- Support: biljetter
A/B-testning och optimeringIAB TCF-kompatibel CMPIAB GPP-standardytterligare användarkonton
Standard
3 webbplatser eller appar
- 1 miljon visningar/månad inkl.
- ytterligare Visningar:0,05 € / 1000
- GDPR-kompatibel
- IAB TCF kompatibel CMP
- IAB GPP-standard
- Anpassningsbara mönster
- A/B-testning och optimering
- 10 krypningar/dag
- Support: Biljett & E-post
ytterligare användarkonton
Agency
20 webbplatser eller appar
- 10 miljoner visningar/månad inkl.
- ytterligare Visningar:0,02 € / 1000
- GDPR-kompatibel
- IAB TCF kompatibel CMP
- IAB GPP-standard
- Anpassningsbara mönster
- A/B-testning och optimering
- 100 kryp/dag
- 10 extra användarkonton
- Support: Biljett, e-post & telefon
Personlig kontoansvarig
Enterprise
- Alla visningar/månad
- ytterligare Visningar:0,02 € / 1000
- GDPR-kompatibel
- IAB TCF kompatibel CMP
- IAB GPP-standard
- Anpassningsbara mönster
- A/B-testning och optimering
- Eventuella krypningar/dag
- något tillägg. användarkonton
- Support: Biljett, e-post & telefon
- Personlig kontoansvarig
Översikt:
När trädde dataskyddslagar i kraft i USA?
Dessa är de viktiga amerikanska integritetsnormerna
Vilka dataskyddslagar finns det i USA?
Företag som finns i, gör affärer eller tillhandahåller tjänster i, eller på annat sätt har att göra med invånare i USA, omfattas med största sannolikhet av en av de många dataskyddslagarna.
- Till skillnad från i många andra länder är dataskyddslagar i USA reglerade på delstatsnivå – tills det finns en nationell dataskyddslag. Företag bör därför kontrollera om eller vilka federala lagar som gäller för dem. I detalj kan dessa vara:
CCPA / CPRA – Kalifornien
CCPA står för California Consumer Privacy Act och antogs 2019. Det gäller särskilt i Kalifornien eller i förhållande till invånare i Kalifornien. ”Uppdateringen” till CCPA är CPRA eller California Privacy Rights Act. Enligt CPRA är vissa regler specificerade och skärpta.
Nevada-NPICICA
Nevadas integritetslagstiftning, Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA), trädde i kraft den 1 oktober 2019, vilket understryker konsumenternas rätt att kontrollera sin personliga information som samlas in online. Ändringar som Senate Bill 220 (SB-220) och Senate Bill 260 (SB-260) utökade dessa rättigheter genom att kräva att webbplatsoperatörer tillhandahåller mekanismer som gör det möjligt för konsumenter att välja bort försäljning av deras data. Även om Nevadas integritetslagar inte är lika omfattande som andra stater som Kalifornien, ger de fortfarande straff för överträdelser, med böter på upp till $5 000 per överträdelse utfärdade av Nevadas justitieminister. Företag måste avslöja viss information i sina integritetspolicyer och tillhandahålla mekanismer som tillåter konsumenter att välja bort försäljning av data.
VCDPA—Virginia
VCDPA står för Virginia Consumer Data Protection Act och hänvisar till företag som gör affärer i delstaten Virginia eller riktar sig till medborgare från denna delstat. VCDPA trädde i kraft den 1 januari 2023.
CPA—Colorado
CPA eller Colorado Privacy Act är integritetslagstiftningen i delstaten Colorado. Denna lag trädde i kraft den 1 juli 2023 och måste implementeras av företag i Colorado eller som behandlar data från invånare i delstaten. Lagen ställer ett krav på webbplatser, den universella opt-out-mekanismen, som kräver att webbplatser förser sina användare med en enda opt-out-knapp för marknadsförings- och analystjänsterna som används av webbplatsen.
UCPA-Utah
Den amerikanska dataskyddslagen för delstaten Utah i västra USA kallas UCPA eller Utah Consumer Privacy Act. Till skillnad från de två ovannämnda lagarna träder UCPA inte i kraft förrän den 31 december 2023. Denna lag påverkar också alla företag som behandlar en viss mängd data (här 100 000 per år) om invånare i staten.
CAPDP—Connecticut
CTDPA står för Connecticut Data Privacy Act (även känd som Connecticut Act Concerning Personal Data Privacy and Online Monitoring) och är den federala dataskyddslagen i delstaten Connecticut. Lagen trädde i kraft den 1 juli 2023 och påverkar företag som är baserade i, bedriver verksamhet i eller behandlar data från invånare i staten.
TDPSA – Texas
Texas Data Privacy and Security Act (TDPSA), som träder i kraft den 1 juli 2024, gäller företag som är verksamma i Texas eller tillhandahåller tjänster till invånare i Texas.
OCDPA-Oregon
Oregon Consumer Data Privacy Act (OCDPA), som träder i kraft den 1 juli 2024, gäller företag som är verksamma i staten eller tillhandahåller tjänster till dess invånare. Det inkluderar GDPR-liknande roller för personuppgiftsansvariga och processorer, kräver detaljerade dataskyddsmeddelanden och kräver dataskyddsbedömningar för högriskaktiviteter.
MTCDPA-Montana
Montana Consumer Data Privacy Act (MTCDPA), som träder i kraft den 1 oktober 2024, gäller för företag som gör affärer i Montana eller riktar sig till invånare i Montana och fastställer tillämplighetströsklar baserat på mängden personuppgifter som behandlas och de intäkter som genereras från försäljningen av personuppgifter, exklusive vissa företag och typer av data.
CDPA-Iowa
Iowa Consumer Data Protection Act, som träder i kraft den 1 januari 2025, riktar sig till personuppgiftsansvariga och databehandlare som behandlar betydande mängder personlig information om invånare i Iowa eller får betydande intäkter från försäljningen av sådan information.
DPDPA-Delaware
Delaware Personal Data Privacy Act, som träder i kraft den 1 januari 2025, fastställer Delawares ståndpunkt när det gäller att skydda konsumentdata, i överensstämmelse med allmänna trender i USA, men är anmärkningsvärt genom att den inte undantar de flesta ideella organisationer och institutioner för högre utbildning.
TIPA-Tennessee
Tennessee Information Protection Act (TIPA), som träder i kraft den 1 juli 2025, ställer upp strikta kriterier för hur företag måste hantera personlig information om invånare i Tennessee. TIPA fastställer restriktiva tillämplighetströsklar baserat på omsättning och volym av databehandling och definierar detaljerade konsumenträttigheter, inklusive åtkomst, rättelse, radering, dataportabilitet och invändningar mot viss dataanvändning.
CDPA-Indiana
Indiana Data Protection Act, som träder i kraft den 1 januari 2026, riktar sig till både ”datakontrollanter” och ”databehandlare” som är verksamma i Indiana eller riktar sig till invånare i Indiana. Lagen anger vissa trösklar för tillämplighet och undantar olika enheter som statliga myndigheter och HIPAA-skyddade enheter.
MHMD-Washington
Washington State My Health My Data Act (MHMD), som trädde i kraft den 31 mars 2024, ställer strikta krav på företag som samlar in, delar eller behandlar hälsodata. MHMD kräver förhandsgodkännande för insamling av hälsoinformation och ytterligare samtycke för dess avslöjande för att skydda hälsovårdskonsumenternas integritet. Lagen anger detaljerade datasäkerhetskrav och begränsar geofencing nära vårdgivare.
MODPA-Maryland
Maryland lagstiftare har antagit Maryland Online Data Privacy Act (MODPA), en integritetslag som kommer att träda i kraft den 1 oktober 2025 när den träder i kraft. Viktiga bestämmelser i MODPA inkluderar ett förbud mot försäljning av känsliga uppgifter, strängare krav på dataminimering, obligatoriska integritetsbedömningar, unika riktade annonseringskrav och opt-out-rättigheter med uppdaterade integritetsmeddelanden. Underlåtenhet att följa kan resultera i böter på upp till $10 000 per överträdelse.
FDBR-Florida
Florida Digital Bill of Rights (FDBR) undertecknades i lag den 6 juni 2023 och träder i kraft den 1 juli 2024. Denna lag inför ett antal åtgärder för att skydda konsumenternas integritet. Det gäller främst stora företag med årliga bruttointäkter på mer än 1 miljard dollar, med vissa tröskelvärden som gäller för företag som är starkt involverade i digital reklam eller driver stora digitala plattformar. FDBR ger breda opt-out-rättigheter för datainsamling genom teknik för röst- och ansiktsigenkänning, sätter strikta gränser för insamling av övervakningsdata utan aktivt användarmedgivande och kräver tydliga meddelanden för försäljning av känsliga och biometriska data. Dessutom ger lagen ett särskilt skydd för barns data och förbjuder statliga myndigheter att moderera innehåll på sociala medier, även om vissa undantag görs.
NDPA-Nebraska
Nebraskas guvernör undertecknade Nebraska Data Privacy Act den 17 april 2024, som träder i kraft den 1 januari 2025. Lagen ålägger företag som behandlar personuppgifter i Nebraska skyldigheter och ger konsumenter rättigheter såsom bekräftelse av databehandling, rättelse av felaktigheter, radering av personuppgifter och att välja bort vissa databehandlingsaktiviteter. Lagen kräver att personuppgiftsansvariga tillhandahåller tydliga dataskyddsmeddelanden, begränsar datainsamling, inför datasäkerhetsförfaranden och utför dataskyddsbedömningar. Nebraska Attorney General kan sanktionera överträdelser med böter på upp till $7 500 per överträdelse.
SB 255 – New Hampshire
Guvernören i New Hampshire undertecknade senatens lag 255 den 6 mars 2024, som träder i kraft den 1 januari 2025. Lagen gäller för företag som är verksamma i New Hampshire som behandlar personuppgifter och fastställer dataminimering, ändamålsbegränsning och integritetsskyldigheter, samt konsumenträttigheter såsom åtkomst, rättelse, radering, portabilitet och opt-out. Upprätthållandet av lagen är det exklusiva ansvaret för New Hampshire Attorney General, som har 60 dagar på sig att rätta till brister.
NJPA-New Jersey
Vid Den 16 januari 2024 undertecknade New Jerseys guvernör New Jersey Privacy Act (NJPA), som träder i kraft den 15 januari 2025. NJPA kräver att företag vidtar åtgärder som liknar andra statliga integritetslagar, såsom: B. om dataminimering, datasäkerhet och rättigheter för de berörda, med särskild uppmärksamhet på känsliga uppgifter och skydd av barn. Personuppgiftsansvariga och personuppgiftsbiträden måste följa bestämmelserna om konsumentförfrågningar, datasäkerhet och anmälan om dataintrång. Lagen upprätthålls uteslutande av New Jersey Attorney General och innehåller bestämmelser för reglering och gottgörelse för konsumenter.
KCDPA-Kentucky
Kentucky antog Kentucky Consumer Data Privacy Act (KCDPA) den 4 april 2024, som träder i kraft den 1 januari 2026. Lagen reglerar behandlingen av personuppgifter, fastställer konsumenträttigheter och bemyndigar Kentucky Attorney General att upprätthålla lagen. Lagen gäller för registeransvariga som behandlar uppgifter om invånare i Kentucky, med undantag för olika enheter och typer av data, inklusive ekonomiska och hälsodata. Kontrollanter måste tillhandahålla tydliga integritetsmeddelanden, begränsa datainsamling, säkerställa säkerhet och respektera konsumenternas rättigheter, med fokus på att inte behandla känsliga uppgifter utan uttryckligt medgivande. Verkställighet är ansvaret för Kentucky Attorney General, som ger en 30-dagars varsel för att rätta till överträdelser och eventuella civilrättsliga påföljder.
Vanliga frågor
Är du osäker på om du behöver en CMP?
För att hjälpa dig med saker som GDPR, CMP och samtycke har vi samlat de vanligaste frågorna här.
Lagen trädde i kraft den 1 juli 2023.
CAPDP (ibland även CTPDP) står för Connecticut Act Concerning Personal Data Privacy.
UCPA trädde i kraft den 31 december 2023.
Utah Consumer Privacy Act.
CPA trädde i kraft den 1 januari 2023.
Colorado Privacy Act.
VCDPA trädde i kraft den 1 januari 2023.
VCDPA står för Virginia Consumer Data Protection Act.
Ja. Den federala åklagaren delar redan flitigt ut böter. Det mest framträdande fallet hittills är Sephora med böter på 1,2 miljoner USD.
Lagarna har redan trätt i kraft.
California Privacy Rights Act
California Consumer Privacy Act
Observera att vi inte kan ge juridisk rådgivning. Vissa punkter i denna FAQ kan också ändras med tiden eller tolkas annorlunda av domstolar. Det är därför du alltid bör rådfråga din advokat!