USA:s sekretess

IAB GPP: Implementera amerikanska dataskyddslagar på ett lagligt sätt

Gör din webbplats eller app kompatibel med de juridiska kraven för de nya amerikanska dataskyddslagarna.

  • Lätt att integrera
  • Stöder CCPA/CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), UCPA (Utah), CAPDP (Connecticut), US National Privacy, bland annat
  • Officiellt stöd för den nya IAB GPP Standard
  • Inklusive ”Sälj inte”, GPC och andra funktioner
  • Opt In eller Opt Out
  • Anpassningsbar design
  • Cookie-crawler redan integrerad
  • Omfattande rapportering
CMP Consent Management

Vi har redan hjälpt mer än 25 000 webbplatser att följa GDPR, TDDDG och ePrivacy

Våra kunder inkluderar några av de största webbplatserna och de mest kända varumärkena i världen.

… och många fler.

Hur gör jag min webbplats eller app kompatibel med USA:s nya integritetslagar?

Om ditt företag faller under en av de många integritetslagarna (se avsnittet lagar) måste du följa dessa lagar. I de flesta stater betyder detta:

  • Webbplatsbesökare/appanvändare måste informeras om typen, syftet och innehållet i databehandlingen
  • Webbplatsbesökare/appanvändare måste ha rätt att invända mot databehandling (opt-out)
  • I vissa fall måste samtycke erhållas före databehandling (opt-in)
  • Olika grundläggande regler gäller för hur uppgifter får behandlas, såsom principen om dataminimering, säkerhet, transparens eller hantering av känsliga uppgifter

Konkret betyder detta i de flesta fall: En opt-out-lösning måste installeras på webbplatsen eller appen för att ge användarna nödvändig information och möjliggöra opt-out.

Consent-Lösung TTDSG-, DSGVO-/ePrivacy und CCPA-konform werden können

BEHOV AV OSS SEKRETESSÖVERENSSTÄMMELSE

… men jag bearbetar ingen data alls!?

Ett svar vi hör mycket från amerikanska kunder är att de faktiskt inte behandlar någon data och därför gäller inte dataskyddslagar för dem.

  • Det är viktigt att notera här att webbplats- och appoperatörer är ansvariga för de uppgifter som behandlas på deras webbplats eller i deras app . Därför gäller dataskyddslagarna särskilt för företag om de uppfyller något av följande villkor:

  • 1. Om data behandlas för våra egna ändamål , till exempel via spårningsverktyg som Google Analytics, Matomo, Hotjar eller liknande

  • 2. Att dela data med tredje part är också ett bearbetningssteg. Data delas till exempel genom att integrera ett tredjepartsplugin i webbplatsen eller appen. Detta gäller YouTube-videor, Facebook-plugins, Google Maps, chattprogram eller betalningsleverantörer som PayPal

  • 3. Närhelst reklam integreras i webbplatsen eller appen, överförs data automatiskt till annonsören . Överföringen förstås som ett steg i databehandlingen.

  • Medan stater skiljer sig lite åt när samtycke till databehandling måste ges, kräver praktiskt taget alla dataskyddslagar att de ska väljas bort. När det gäller CCPA/CPRA måste detta implementeras uttryckligen med hjälp av en länk som säger ”Sälj eller dela inte min personliga information”.

Bli följsam i 5 steg

Med consentmanager kan du enkelt följa olika amerikanska dataskyddslagar:

  • 1. Registrera dig gratis nu och aktivera ditt consentmanager
  • 2. Integrera consentmanager kod på din webbplats genom att kopiera och klistra in
  • 3. Anpassa opt-out-designen efter dina önskemål
  • 4. Skapa och integrera länken ”Sälj eller dela inte min personliga information”.
  • 5. Håll dig kompatibel tack vare automatiska uppdateringar

Rekommenderas av jurister och dataskyddsombud

Den nya Standard IAB GPP

Gör webbplatsen säker med nya standarder: IAB GPP

För att på ett transparent sätt signalera opt-in eller opt-out inom webbplatsen eller appen till alla integrerade verktyg, plugins och reklamleverantörer utvecklades den så kallade IAB GPP- Standard av IAB.

  • GPP står för Global Privacy Platform och definierar olika metoder och gränssnitt såsom en CMP (Consent Management Provider, även känd som ”Cookie Banner” eller ”Privacy Notice”) som registrerar och kommunicerar samtycke/opt-in eller avslag/opt-out kan . Standard är till stor del baserad på IAB TCF Standard , som har använts framgångsrikt i Europa i flera år och har blivit ett måste för publicister och annonsörer.
  • consentmanager teamet spelade en nyckelroll i utvecklingen av GPP-standarden, så det är inte förvånande att consentmanager är den första leverantören som erbjuder produktiv användning av IAB GPP.
    Du kan också ta reda på mer om GPP i vår blogg .
  • Viktigt: De flesta dataskyddslagar kräver också att webbplatsoperatörer och appoperatörer ska kunna svara på ”webbläsarsignaler”. En av dessa signaler är GPC eller ”Global Privacy Control” som krävs i Kalifornien. Med consentmanager behöver inte webbplatser och appar oroa sig för tur: lösningen för consentmanager svarar automatiskt på webbläsarsignaler och implementerar borttagningen automatiskt.
  • Använd GPP och GPC nu

Varför följa USA:s integritetslagar nu?

Skydd för ditt företag

CCPA, VCDPA, CAPAP etc. kommer att gälla från 2023 och måste implementeras. Federal Attorneys General kan nu utdöma böter på grundval av lagar – i många fall har detta redan skett. Tveka inte längre och gör din webbplats eller app kompatibel nu!

Skydd för dina inkomster

Annonsföretag kommer att förlita sig på den nya IAB GPP-standarden 2023. I Europa säljs knappt någon reklam utan den europeiska standarden – i USA går trenden åt samma håll. Om du inte stöder IAB GPP-standarden går du miste om annonsintäkter!

Skydd för dina kunder

Kunderna blir mer kritiska och ifrågasätter allt mer hur företag hanterar data. Företag som inte respekterar sin integritet tappar trovärdighet, kunder och försäljning. Visa dina kunder att du verkligen bryr dig om dem!

Betala bara för det du använder

Vår flexibla prismodell

consentmanager CMP är prisvärd och tillgänglig med en flexibel modell: du betalar bara för det du använder!

Basic

0
Permanent gratis för
en hemsida
  • 5 000 visningar / månad inkl.
  • GDPR-kompatibel
  • Färdiga mönster
  • 1 crawl/vecka
  • Support: biljetter
  • ytterligare Visningar bokningsbara
  • IAB TCF-kompatibel CMP
  • IAB GPP-standard
  • A/B-testning och optimering
  • ytterligare användarkonton

Beginner

19
Månatlig för
en hemsida
  • 100 000 visningar/månad inkl.
  • ytterligare Visningar:0,1  / 1000
  • GDPR-kompatibel
  • Anpassningsbara mönster
  • 3 krypningar/dag
  • Support: biljetter
  • A/B-testning och optimering
  • IAB TCF-kompatibel CMP
  • IAB GPP-standard
  • ytterligare användarkonton
Mycket populär

Standard

49
Månatlig i upp till
3 webbplatser eller appar
  • 1 miljon visningar/månad inkl.
  • ytterligare Visningar:0,05  / 1000
  • GDPR-kompatibel
  • IAB TCF kompatibel CMP
  • IAB GPP-standard
  • Anpassningsbara mönster
  • A/B-testning och optimering
  • 10 krypningar/dag
  • Support: Biljett & E-post
  • ytterligare användarkonton

Agency

195
Månatlig i upp till
20 webbplatser eller appar
  • 10 miljoner visningar/månad inkl.
  • ytterligare Visningar:0,02  / 1000
  • GDPR-kompatibel
  • IAB TCF kompatibel CMP
  • IAB GPP-standard
  • Anpassningsbara mönster
  • A/B-testning och optimering
  • 100 kryp/dag
  • 10 extra användarkonton
  • Support: Biljett, e-post & telefon
  • Personlig kontoansvarig

Enterprise

På begäran
Månadspris enligt individuell överenskommelse
  • Alla visningar/månad
  • ytterligare Visningar:0,02  / 1000
  • GDPR-kompatibel
  • IAB TCF kompatibel CMP
  • IAB GPP-standard
  • Anpassningsbara mönster
  • A/B-testning och optimering
  • Eventuella krypningar/dag
  • något tillägg. användarkonton
  • Support: Biljett, e-post & telefon
  • Personlig kontoansvarig

Översikt:

När trädde dataskyddslagar i kraft i USA?

Nevadas sekretess för information som samlats in på internet från konsumentlagen (NPICICA) trädde i kraft den 1 oktober 2019 och ändrades ytterligare 2019 och 2021 av senatens lagförslag 220 och 260
CCPA står för California Consumer Privacy Act och antogs 2020. Det gäller i Kalifornien eller med avseende på Kaliforniens medborgare
”Uppdateringen” av CCPA är CPRA eller California Privacy Rights Act, som implementerades den 1 juli 2021. Under CPRA görs vissa bestämmelser mer specifika och skärpta
VCDPA står för Virginia Consumer Data Protection Act och syftar på företag som gör affärer i delstaten Virginia. VCDPA trädde i kraft den 1 januari 2023
CPA eller Colorado Privacy Act är integritetslagstiftningen i delstaten Colorado. Denna lag trädde i kraft den 1 juli 2023 och måste implementeras av företag i Colorado
CTDPA står för Connecticut Data Privacy Act och är den federala dataskyddslagen i delstaten Connecticut. Lagen trädde i kraft den 1 juli 2023
UCPA eller Utah Consumer Privacy Act träder inte i kraft förrän den 31 december 2023. Denna lag påverkar också alla företag som behandlar en viss mängd uppgifter från medborgare i staten
Washington State My Health My Data Act (MHMD), som träder i kraft den 31 mars 2024, ställer strikta krav på organisationer som samlar in, delar eller bearbetar hälsodata
Texas Data Privacy and Security Act (TDPSA), från och med 1 juli 2024, gäller företag som är verksamma i Texas eller betjänar invånare i Texas
Oregon Consumer Data Privacy Act (OCDPA), som träder i kraft den 1 juli 2024, etablerar Oregon som en stat som tillhandahåller omfattande skydd för konsumenter och gäller företag som är verksamma i staten
Florida Digital Bill of Rights (FDBR) undertecknades i lag den 6 juni 2023 och träder i kraft den 1 juli 2024. Denna lag inför ett antal åtgärder för att skydda konsumenternas integritet
Montana Consumer Data Privacy Act (MTCDPA), från och med 1 oktober 2024, gäller för företag som gör affärer i Montana eller riktar sig till invånare i Montana
Iowa Consumer Data Protection Act, som träder i kraft den 1 januari 2025, riktar sig till personuppgiftsansvariga och databehandlare som behandlar betydande mängder personlig information om invånare i Iowa eller får betydande intäkter från försäljning av sådan information
Den 6 mars 2024 undertecknades senatens lag 255 av guvernören i New Hampshire och träder i kraft den 1 januari 2025. New Hampshire Attorney General är ansvarig för att upprätthålla lagen
Den 17 april 2024 undertecknade Nebraskas guvernör Nebraska Data Privacy Act, som träder i kraft den 1 januari 2025. Lagen ålägger företag som behandlar personuppgifter i Nebraska skyldigheter och ger konsumenter rättigheter såsom bekräftelse, rättelse, radering och återkallelse av databehandlingsaktiviteter
Delaware Personal Data Privacy Act, som träder i kraft den 1 januari 2025, fastställer Delawares ståndpunkt när det gäller att skydda konsumentdata, i överensstämmelse med allmänna trender i USA
Vid Den 16 januari 2024 undertecknade New Jerseys guvernör New Jersey Privacy Act (NJPA), som träder i kraft den 15 januari 2025. Lagen fastställer skyldigheter med fokus på dataminimering, säkerhet och personliga rättigheter, samt särskilda skyddsåtgärder för känsliga uppgifter och barn
Tennessee Information Protection Act (TIPA), som träder i kraft den 1 juli 2025, ställer upp strikta kriterier för hur företag måste hantera personlig information om Tennessee-invånare
Maryland Online Data Privacy Act (MODPA) träder i kraft den 1 oktober 2025. Det förbjuder försäljning av känsliga uppgifter och skärper kraven på dataminimering. Överträdelser kan resultera i böter på upp till 10 000 USD per överträdelse
Indiana Data Protection Act, som träder i kraft den 1 januari 2026, riktar sig till både ”datakontrollanter” och ”databehandlare” som är verksamma i Indiana eller riktar sig till invånare i Indiana
Kentucky antog Kentucky Consumer Data Privacy Act (KCDPA) den 4 april 2024, som träder i kraft den 1 januari 2026. Lagen reglerar behandlingen av personuppgifter och personuppgiftsansvariga i Kentucky, med undantag för olika institutioner och typer av uppgifter

Dessa är de viktiga amerikanska integritetsnormerna

Vilka dataskyddslagar finns det i USA?

Företag som finns i, gör affärer eller tillhandahåller tjänster i, eller på annat sätt har att göra med invånare i USA, omfattas med största sannolikhet av en av de många dataskyddslagarna.

  • Till skillnad från i många andra länder är dataskyddslagar i USA reglerade på delstatsnivå – tills det finns en nationell dataskyddslag. Företag bör därför kontrollera om eller vilka federala lagar som gäller för dem. I detalj kan dessa vara:
  • CCPA / CPRA – Kalifornien

    CCPA står för California Consumer Privacy Act och antogs 2019. Det gäller särskilt i Kalifornien eller i förhållande till invånare i Kalifornien. ”Uppdateringen” till CCPA är CPRA eller California Privacy Rights Act. Enligt CPRA är vissa regler specificerade och skärpta.

  • Nevada-NPICICA

    Nevadas integritetslagstiftning, Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA), trädde i kraft den 1 oktober 2019, vilket understryker konsumenternas rätt att kontrollera sin personliga information som samlas in online. Ändringar som Senate Bill 220 (SB-220) och Senate Bill 260 (SB-260) utökade dessa rättigheter genom att kräva att webbplatsoperatörer tillhandahåller mekanismer som gör det möjligt för konsumenter att välja bort försäljning av deras data. Även om Nevadas integritetslagar inte är lika omfattande som andra stater som Kalifornien, ger de fortfarande straff för överträdelser, med böter på upp till $5 000 per överträdelse utfärdade av Nevadas justitieminister. Företag måste avslöja viss information i sina integritetspolicyer och tillhandahålla mekanismer som tillåter konsumenter att välja bort försäljning av data.

  • VCDPA—Virginia

    VCDPA står för Virginia Consumer Data Protection Act och hänvisar till företag som gör affärer i delstaten Virginia eller riktar sig till medborgare från denna delstat. VCDPA trädde i kraft den 1 januari 2023.

  • CPA—Colorado

    CPA eller Colorado Privacy Act är integritetslagstiftningen i delstaten Colorado. Denna lag trädde i kraft den 1 juli 2023 och måste implementeras av företag i Colorado eller som behandlar data från invånare i delstaten. Lagen ställer ett krav på webbplatser, den universella opt-out-mekanismen, som kräver att webbplatser förser sina användare med en enda opt-out-knapp för marknadsförings- och analystjänsterna som används av webbplatsen.

  • UCPA-Utah

    Den amerikanska dataskyddslagen för delstaten Utah i västra USA kallas UCPA eller Utah Consumer Privacy Act. Till skillnad från de två ovannämnda lagarna träder UCPA inte i kraft förrän den 31 december 2023. Denna lag påverkar också alla företag som behandlar en viss mängd data (här 100 000 per år) om invånare i staten.

  • CAPDP—Connecticut

    CTDPA står för Connecticut Data Privacy Act (även känd som Connecticut Act Concerning Personal Data Privacy and Online Monitoring) och är den federala dataskyddslagen i delstaten Connecticut. Lagen trädde i kraft den 1 juli 2023 och påverkar företag som är baserade i, bedriver verksamhet i eller behandlar data från invånare i staten.

  • TDPSA – Texas

    Texas Data Privacy and Security Act (TDPSA), som träder i kraft den 1 juli 2024, gäller företag som är verksamma i Texas eller tillhandahåller tjänster till invånare i Texas.

  • OCDPA-Oregon

    Oregon Consumer Data Privacy Act (OCDPA), som träder i kraft den 1 juli 2024, gäller företag som är verksamma i staten eller tillhandahåller tjänster till dess invånare. Det inkluderar GDPR-liknande roller för personuppgiftsansvariga och processorer, kräver detaljerade dataskyddsmeddelanden och kräver dataskyddsbedömningar för högriskaktiviteter.

  • MTCDPA-Montana

    Montana Consumer Data Privacy Act (MTCDPA), som träder i kraft den 1 oktober 2024, gäller för företag som gör affärer i Montana eller riktar sig till invånare i Montana och fastställer tillämplighetströsklar baserat på mängden personuppgifter som behandlas och de intäkter som genereras från försäljningen av personuppgifter, exklusive vissa företag och typer av data.

  • CDPA-Iowa

    Iowa Consumer Data Protection Act, som träder i kraft den 1 januari 2025, riktar sig till personuppgiftsansvariga och databehandlare som behandlar betydande mängder personlig information om invånare i Iowa eller får betydande intäkter från försäljningen av sådan information.

  • DPDPA-Delaware

    Delaware Personal Data Privacy Act, som träder i kraft den 1 januari 2025, fastställer Delawares ståndpunkt när det gäller att skydda konsumentdata, i överensstämmelse med allmänna trender i USA, men är anmärkningsvärt genom att den inte undantar de flesta ideella organisationer och institutioner för högre utbildning.

  • TIPA-Tennessee

    Tennessee Information Protection Act (TIPA), som träder i kraft den 1 juli 2025, ställer upp strikta kriterier för hur företag måste hantera personlig information om invånare i Tennessee. TIPA fastställer restriktiva tillämplighetströsklar baserat på omsättning och volym av databehandling och definierar detaljerade konsumenträttigheter, inklusive åtkomst, rättelse, radering, dataportabilitet och invändningar mot viss dataanvändning.

  • CDPA-Indiana

    Indiana Data Protection Act, som träder i kraft den 1 januari 2026, riktar sig till både ”datakontrollanter” och ”databehandlare” som är verksamma i Indiana eller riktar sig till invånare i Indiana. Lagen anger vissa trösklar för tillämplighet och undantar olika enheter som statliga myndigheter och HIPAA-skyddade enheter.

  • MHMD-Washington

    Washington State My Health My Data Act (MHMD), som trädde i kraft den 31 mars 2024, ställer strikta krav på företag som samlar in, delar eller behandlar hälsodata. MHMD kräver förhandsgodkännande för insamling av hälsoinformation och ytterligare samtycke för dess avslöjande för att skydda hälsovårdskonsumenternas integritet. Lagen anger detaljerade datasäkerhetskrav och begränsar geofencing nära vårdgivare.

  • MODPA-Maryland

    Maryland lagstiftare har antagit Maryland Online Data Privacy Act (MODPA), en integritetslag som kommer att träda i kraft den 1 oktober 2025 när den träder i kraft. Viktiga bestämmelser i MODPA inkluderar ett förbud mot försäljning av känsliga uppgifter, strängare krav på dataminimering, obligatoriska integritetsbedömningar, unika riktade annonseringskrav och opt-out-rättigheter med uppdaterade integritetsmeddelanden. Underlåtenhet att följa kan resultera i böter på upp till $10 000 per överträdelse.

  • FDBR-Florida

    Florida Digital Bill of Rights (FDBR) undertecknades i lag den 6 juni 2023 och träder i kraft den 1 juli 2024. Denna lag inför ett antal åtgärder för att skydda konsumenternas integritet. Det gäller främst stora företag med årliga bruttointäkter på mer än 1 miljard dollar, med vissa tröskelvärden som gäller för företag som är starkt involverade i digital reklam eller driver stora digitala plattformar. FDBR ger breda opt-out-rättigheter för datainsamling genom teknik för röst- och ansiktsigenkänning, sätter strikta gränser för insamling av övervakningsdata utan aktivt användarmedgivande och kräver tydliga meddelanden för försäljning av känsliga och biometriska data. Dessutom ger lagen ett särskilt skydd för barns data och förbjuder statliga myndigheter att moderera innehåll på sociala medier, även om vissa undantag görs.

  • NDPA-Nebraska

    Nebraskas guvernör undertecknade Nebraska Data Privacy Act den 17 april 2024, som träder i kraft den 1 januari 2025. Lagen ålägger företag som behandlar personuppgifter i Nebraska skyldigheter och ger konsumenter rättigheter såsom bekräftelse av databehandling, rättelse av felaktigheter, radering av personuppgifter och att välja bort vissa databehandlingsaktiviteter. Lagen kräver att personuppgiftsansvariga tillhandahåller tydliga dataskyddsmeddelanden, begränsar datainsamling, inför datasäkerhetsförfaranden och utför dataskyddsbedömningar. Nebraska Attorney General kan sanktionera överträdelser med böter på upp till $7 500 per överträdelse.

  • SB 255 – New Hampshire

    Guvernören i New Hampshire undertecknade senatens lag 255 den 6 mars 2024, som träder i kraft den 1 januari 2025. Lagen gäller för företag som är verksamma i New Hampshire som behandlar personuppgifter och fastställer dataminimering, ändamålsbegränsning och integritetsskyldigheter, samt konsumenträttigheter såsom åtkomst, rättelse, radering, portabilitet och opt-out. Upprätthållandet av lagen är det exklusiva ansvaret för New Hampshire Attorney General, som har 60 dagar på sig att rätta till brister.

  • NJPA-New Jersey

    Vid Den 16 januari 2024 undertecknade New Jerseys guvernör New Jersey Privacy Act (NJPA), som träder i kraft den 15 januari 2025. NJPA kräver att företag vidtar åtgärder som liknar andra statliga integritetslagar, såsom: B. om dataminimering, datasäkerhet och rättigheter för de berörda, med särskild uppmärksamhet på känsliga uppgifter och skydd av barn. Personuppgiftsansvariga och personuppgiftsbiträden måste följa bestämmelserna om konsumentförfrågningar, datasäkerhet och anmälan om dataintrång. Lagen upprätthålls uteslutande av New Jersey Attorney General och innehåller bestämmelser för reglering och gottgörelse för konsumenter.

  • KCDPA-Kentucky

    Kentucky antog Kentucky Consumer Data Privacy Act (KCDPA) den 4 april 2024, som träder i kraft den 1 januari 2026. Lagen reglerar behandlingen av personuppgifter, fastställer konsumenträttigheter och bemyndigar Kentucky Attorney General att upprätthålla lagen. Lagen gäller för registeransvariga som behandlar uppgifter om invånare i Kentucky, med undantag för olika enheter och typer av data, inklusive ekonomiska och hälsodata. Kontrollanter måste tillhandahålla tydliga integritetsmeddelanden, begränsa datainsamling, säkerställa säkerhet och respektera konsumenternas rättigheter, med fokus på att inte behandla känsliga uppgifter utan uttryckligt medgivande. Verkställighet är ansvaret för Kentucky Attorney General, som ger en 30-dagars varsel för att rätta till överträdelser och eventuella civilrättsliga påföljder.

Vanliga frågor

Är du osäker på om du behöver en CMP?

För att hjälpa dig med saker som GDPR, CMP och samtycke har vi samlat de vanligaste frågorna här.

Lagen trädde i kraft den 1 juli 2023.

CAPDP (ibland även CTPDP) står för Connecticut Act Concerning Personal Data Privacy.

UCPA trädde i kraft den 31 december 2023.

Utah Consumer Privacy Act.

CPA trädde i kraft den 1 januari 2023.

Colorado Privacy Act.

VCDPA trädde i kraft den 1 januari 2023.

VCDPA står för Virginia Consumer Data Protection Act.

Ja. Den federala åklagaren delar redan flitigt ut böter. Det mest framträdande fallet hittills är Sephora med böter på 1,2 miljoner USD.

Lagarna har redan trätt i kraft.

California Privacy Rights Act

California Consumer Privacy Act

Observera att vi inte kan ge juridisk rådgivning. Vissa punkter i denna FAQ kan också ändras med tiden eller tolkas annorlunda av domstolar. Det är därför du alltid bör rådfråga din advokat!