TermsBox
PriserBlogg
Logga inKom igång
PriserBloggLogga in
Kom igång
  1. Home
  2. Blog
  3. Vad är CCPA? Kaliforniens integritetslag förklarad
CCPA

Vad är CCPA? Kaliforniens integritetslag förklarad

Lär dig vad CCPA innebär för ditt företag. Komplett guide som täcker CCPA-krav, konsumenträttigheter, CPRA-uppdateringar och hur du skapar en integritetspolicy som följer reglerna.

TermsBox Team|January 16, 202512 min read

Om du driver ett företag som betjänar boende i Kalifornien kan California Consumer Privacy Act (CCPA) gälla dig. Denna banbrytande integritetslag har omformat hur företag hanterar personuppgifter i USA, och att förstå den är avgörande för efterlevnad.

I den här guiden förklarar vi allt du behöver veta om CCPA i tydliga, praktiska termer: från vem den gäller för, till vilka rättigheter den ger konsumenter, till hur du kan säkerställa efterlevnad.

Vad är CCPA?

California Consumer Privacy Act (CCPA) är en dataskyddslag på delstatsnivå som ger boende i Kalifornien större kontroll över de personuppgifter som företag samlar in om dem. Den trädde i kraft den 1 januari 2020, med tillämpning från och med den 1 juli 2020.

CCPA kallas ofta för "USA:s GDPR" eftersom den var den första omfattande integritetslagen i Amerika, även om den har betydande skillnader jämfört med sin europeiska motsvarighet.

CCPA jämfört med CPRA: Vad förändrades?

I november 2020 godkände väljarna i Kalifornien Proposition 24, som skapade California Privacy Rights Act (CPRA). CPRA är i grunden CCPA 2.0: det ändrar och utökar den ursprungliga lagen.

Viktiga CPRA-förändringar som trädde i kraft den 1 januari 2023:

  • Skapade en ny tillsynsmyndighet: California Privacy Protection Agency (CPPA)
  • Införde kategorin "känsliga personuppgifter" med ytterligare skydd
  • Utökade rätten att korrigera felaktiga uppgifter
  • Ökade tillbakablickande perioden för databegäranden från 12 till 15 månader
  • Tredubblade omsättningströskeln från 25 miljoner dollar till 25 miljoner dollar (justerat för inflation)
  • Lade till nya begränsningar för automatiserat beslutsfattande
  • Införde riskbedömningar för databehandling med hög risk

När folk hänvisar till "CCPA" idag menar de vanligtvis lagen som ändrats av CPRA.

Vem gäller CCPA för?

CCPA gäller för vinstdrivande företag som bedriver verksamhet i Kalifornien och uppfyller minst ett av dessa tröskelvärden:

Omsättningströskel

Årliga bruttointäkter som överstiger $25 million (justeras årligen för inflation, för närvarande $26.45 million för 2025)

Tröskel för konsumentdata

Köper, säljer eller delar personuppgifter för 100,000 eller fler konsumenter eller hushåll i Kalifornien per år

Omsättning från dataförsäljning

Får 50% eller mer av sin årliga omsättning från försäljning eller delning av konsumenters personuppgifter

Osäker på om CCPA gäller dig? Skapa en integritetspolicy som följer CCPA för att säkerställa att du är skyddad oavsett företagets storlek.

Viktiga anmärkningar

  • Du behöver inte vara baserad i Kalifornien, att betjäna boende i Kalifornien räcker
  • Icke-vinstdrivande organisationer är generellt undantagna
  • Tjänsteleverantörer och uppdragstagare har olika skyldigheter
  • Lagen gäller personuppgifter som samlas in både online och offline

Vilka personuppgifter skyddar CCPA?

CCPA har en bred definition av personuppgifter. Den täcker all information som identifierar, relaterar till eller rimligen kan kopplas till en viss konsument eller hushåll i Kalifornien.

Kategorier av personuppgifter

  1. Identifierare

    • Riktigt namn, alias, postadress, e-post, telefonnummer
    • Unik personlig identifierare, IP-adress, kontonamn
    • Personnummer, körkort, passnummer

  2. Kundregister

    • Köphistorik, betalningsinformation
    • Anställningsinformation
    • Utbildningsinformation

  3. Skyddade klassificeringar

    • Ålder, ras, kön, sexuell läggning
    • Civilstånd, veteranstatus
    • Funktionsnedsättningsstatus

  4. Kommersiell information

    • Köpta produkter eller tjänster
    • Köp- eller konsumtionshistorik
    • Tendenser eller preferenser

  5. Biometrisk information

    • Fingeravtryck, ansiktsigenkänningsdata
    • Röstavtryck, irisskanningar
    • Beteendemönster

  6. Internetaktivitet

    • Surfhistorik, sökhistorik
    • Information om konsumentens interaktion med webbplatser eller appar
    • Klickströmsdata

  7. Geolokaliseringsdata

    • Exakta platsdata
    • Rörelsemönster

  8. Sensorisk data

    • Ljud, elektronisk, visuell eller liknande information

  9. Yrkesinformation

    • Nuvarande eller tidigare arbetshistorik
    • Prestationsutvärderingar

  10. Slutsatser

    • Profil som återspeglar preferenser, egenskaper, beteende, attityder

Känsliga personuppgifter (enligt CPRA)

CPRA skapade en särskild kategori som kräver ytterligare skydd:

  • Personnummer, körkort, passnummer
  • Kontouppgifter med lösenord
  • Exakt geolokalisering
  • Ras eller etniskt ursprung, religiös övertygelse, fackföreningsmedlemskap
  • Innehåll i post, e-post och textmeddelanden
  • Genetisk data
  • Biometrisk data för identifiering
  • Hälsoinformation
  • Sexliv eller sexuell läggning

Konsumenträttigheter enligt CCPA

CCPA ger konsumenter i Kalifornien flera verkställbara rättigheter:

Rätt att få veta

Konsumenter kan begära:

  • Vilka kategorier av personuppgifter du har samlat in
  • Specifika delar av personuppgifter som du innehar
  • Källor till den informationen
  • Affärssyften för insamlingen
  • Tredje parter som du har delat data med

Du måste svara inom 45 days (med en möjlig förlängning på 45 dagar).

Rätt till radering

Konsumenter kan begära radering av sina personuppgifter, med vissa undantag (t.ex. slutförande av transaktioner, rättsliga skyldigheter, säkerhetssyften).

Rätt att välja bort försäljning/delning

Konsumenter kan välja bort försäljning eller delning av sina personuppgifter. Du måste tillhandahålla en tydlig länk med texten "Do Not Sell or Share My Personal Information" på din webbplats.

Rätt att korrigera

Enligt CPRA kan konsumenter begära korrigering av felaktiga personuppgifter.

Rätt att begränsa användningen av känsliga personuppgifter

CPRA tillåter konsumenter att begränsa användningen och röjandet av sina känsliga personuppgifter till vad som är nödvändigt för att tillhandahålla varor eller tjänster.

Rätt till icke-diskriminering

Företag får inte diskriminera konsumenter för att de utövar sina CCPA-rättigheter. Du kan dock erbjuda ekonomiska incitament för datainsamling om de redovisas korrekt.

Företagets skyldigheter enligt CCPA

Om CCPA gäller ditt företag måste du:

1. Tillhandahålla en integritetspolicy

Din integritetspolicy måste innehålla:

  • Kategorier av insamlade personuppgifter
  • Källor till personuppgifter
  • Affärssyften för insamlingen
  • Kategorier av tredje parter som du delar data med
  • Konsumenträttigheter enligt CCPA
  • Hur man utövar dessa rättigheter
  • Kategorier av information som säljs eller delas (i tillämpliga fall)
  • Kategorier av känsliga personuppgifter som samlas in

2. Lägga till nödvändiga länkar

Du måste tillhandahålla:

  • En tydlig, väl synlig länk med titeln "Do Not Sell or Share My Personal Information" (om du säljer/delar data)
  • En länk till "Limit the Use of My Sensitive Personal Information" (i tillämpliga fall enligt CPRA)
  • Länkar i din integritetspolicy för att begära dataåtkomst/radering

3. Tillgodose konsumentbegäranden

Etablera en process för att:

  • Verifiera konsumentens identitet
  • Svara på begäranden inom 45 dagar
  • Tillhandahålla data i ett portabelt, lättanvänt format
  • Behålla register över begäranden i 24 månader

4. Utbilda anställda

Säkerställ att anställda som hanterar konsumentförfrågningar eller begäranden är utbildade i CCPA-krav och konsumenträttigheter.

5. Uppdatera avtal med tjänsteleverantörer

Avtal med tjänsteleverantörer måste:

  • Förbjuda försäljning av personuppgifter
  • Förbjuda lagring eller användning utanför avtalet
  • Kräva intyg om efterlevnad

6. Genomföra riskbedömningar (CPRA)

För behandlingsaktiviteter med hög risk, genomför och lämna in cybersäkerhetsrevisioner och riskbedömningar till CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Redo att följa reglerna? Generera en integritetspolicy som följer CCPA som täcker alla nödvändiga upplysningar.

CCPA-sanktioner och tillämpning

CCPA har både regulatorisk tillämpning och privat talerätt:

Administrativa sanktioner

Kaliforniens justitieminister (och nu CPPA enligt CPRA) kan utdöma:

  • Upp till $2,500 per överträdelse
  • Upp till $7,500 per uppsåtlig överträdelse

Tillsynsmyndigheter ger vanligtvis en 30-dagars åtgärdsperiod för första överträdelser innan böter utdöms.

Privat talerätt (dataintrång)

Konsumenter kan stämma direkt för dataintrång som involverar:

  • Okrypterade eller oredigerade personuppgifter
  • Lagstadgade skadestånd på $100 to $750 per konsument och incident
  • Faktiska skadestånd om de är högre

Anmärkningsvärda CCPA-tillämpningsåtgärder

  • Sephora - 1.2 million dollar i förlikning för att ha underlåtit att redovisa försäljning av personuppgifter och tillgodose begäranden om att välja bort
  • DoorDash - Förlikning för otillräckligt meddelande om dataförsäljning
  • Återförsäljare - Flera förlikningar för saknade "Do Not Sell"-länkar

CPPA inledde aktiv tillämpning 2023 och har signalerat mer aggressiva åtgärder framöver.

Hur du följer CCPA

Här är en praktisk färdplan för CCPA-efterlevnad:

Steg 1: Avgör om CCPA gäller

Beräkna:

  • Årlig omsättning
  • Antal konsumenter i Kalifornien vars data du behandlar
  • Omsättningsprocent från dataförsäljning

Steg 2: Datakartläggning

Genomför en datainventering:

  • Vilka personuppgifter samlar du in?
  • Från vilka källor?
  • För vilka syften?
  • Med vem delar du dem?
  • Hur länge behåller du dem?

Steg 3: Uppdatera din integritetspolicy

Säkerställ att din policy innehåller:

  • Alla nödvändiga CCPA-upplysningar
  • Tydligt, enkelt språk
  • Lätt att hitta plats (sidfotslänk)
  • 12-månaders uppdateringscykel

Steg 4: Implementera mekanismer för konsumenträttigheter

Ställ in:

  • Webbformulär för åtkomst-/raderingsbegäranden
  • Avgiftsfritt telefonnummer (för företag med onlinenärvaro)
  • E-postkontakt för begäranden
  • Process för identitetsverifiering
  • Svarsarbetsflöde med spårning av 45-dagarsfrist

Steg 5: Lägg till nödvändiga länkar

På din webbplats:

  • Länk för "Do Not Sell or Share My Personal Information" (i tillämpliga fall)
  • Länk för "Limit the Use of My Sensitive Personal Information" (i tillämpliga fall)
  • Länk till integritetspolicy i sidfoten

Steg 6: Granska relationer med tredje part

För tjänsteleverantörer:

  • Uppdatera avtal med CCPA-formuleringar
  • Inhämta intyg om efterlevnad
  • Granska metoder för datadelning

Steg 7: Utbilda ditt team

Säkerställ att personalen förstår:

  • Vad CCPA är och vem den gäller för
  • Konsumenträttigheter enligt CCPA
  • Hur man hanterar begäranden
  • Vad som utgör en "försäljning" av data

Steg 8: Implementera tekniska kontroller

Ställ in:

  • Hantering av samtycke för cookies (för att välja bort försäljning)
  • Arbetsflöden för dataradering
  • Verktyg för dataportabilitet
  • Igenkänning av signaler för att välja bort (Global Privacy Control)

Behöver du hjälp med cookies? Skapa en cookiepolicy som förklarar dina spårningsmetoder och tillgodoser begäranden om att välja bort.

CCPA jämfört med GDPR: Viktiga skillnader

Även om båda lagarna skyddar konsumenters integritet har de viktiga skillnader:

Aspekt CCPA GDPR
Omfattning Boende i Kalifornien Boende i EU
Företagsstorlek Omsättnings-/datatröskelvärden Alla företag som behandlar EU-data
Samtyckesmodell Välja bort (utom minderåriga) Välja in krävs
Dataförsäljning Måste tillåta att välja bort Generellt förbjuden
Sanktioner Upp till $7,500/överträdelse Upp till 4% av global omsättning
Dataskyddsombud Krävs inte Krävs för vissa
Rättslig grund Krävs inte Måste fastställas för varje syfte
Tillämpning Delstatlig justitieminister, CPPA, konsumenter Tillsynsmyndigheter

Viktigaste lärdomen

GDPR är generellt mer omfattande och striktare. Om du redan följer GDPR är du på god väg mot CCPA-efterlevnad, men du behöver fortfarande hantera CCPA-specifika krav som "Do Not Sell"-länken och CCPA-upplysningsformuleringar.

Vanliga misstag vid CCPA-efterlevnad

Undvik dessa vanliga fel:

  1. Saknad "Do Not Sell"-länk - Krävs även om du hävdar att du inte "säljer" data i traditionell mening
  2. Otillräcklig integritetspolicy - Måste innehålla alla 11 nödvändiga kategorier av upplysningar
  3. Ingen verifieringsprocess - Måste verifiera konsumentens identitet innan du svarar på begäranden
  4. Tar betalt för begäranden - Får inte ta ut avgifter för de första två begärandena per år
  5. Diskriminerar dem som begär - Får inte neka tjänst eller ta ut olika priser av konsumenter som utövar rättigheter
  6. Ignorerar auktoriserade ombud - Måste tillgodose begäranden från konsumentauktoriserade ombud
  7. Tillgodoser inte Global Privacy Control - CPRA kräver igenkänning av webbläsarbaserade signaler för att välja bort
  8. Saknade avtalsuppdateringar - Avtal med tjänsteleverantörer måste innehålla specifika CCPA-formuleringar

CCPA och andra delstaters integritetslagar

CCPA inspirerade liknande lagar i hela USA:

  • Virginia (VCDPA) - Gäller från 1 januari 2023
  • Colorado (CPA) - Gäller från 1 juli 2023
  • Connecticut (CTDPA) - Gäller från 1 juli 2023
  • Utah (UCPA) - Gäller från 31 december 2023
  • Iowa, Montana, Oregon, Tennessee, Texas - Olika ikraftträdandedatum 2024-2025

Många företag antar en rikstäckande strategi med CCPA som utgångspunkt för att undvika att upprätthålla separata efterlevnadsprogram för varje delstat.

Kom igång med CCPA-efterlevnad

Det viktigaste första steget är att skapa en integritetspolicy som följer reglerna och som:

  1. Tydligt redovisar dina datametoder - Vad du samlar in, varför och hur
  2. Förklarar konsumenträttigheter - Alla rättigheter som finns enligt CCPA/CPRA
  3. Tillhandahåller kontaktmekanismer - Hur konsumenter kan utöva sina rättigheter
  4. Listar dataförsäljning/-delning - I tillämpliga fall, vilka kategorier du säljer eller delar
  5. Uppdateras årligen - Granska och uppdatera minst en gång per 12 månader

Därifrån implementerar du de tekniska och operativa processerna för att tillgodose konsumenträttigheter och upprätthålla efterlevnad.

Vanliga frågor

Vad står CCPA för?

CCPA står för California Consumer Privacy Act. Det är en omfattande dataskyddslag som trädde i kraft den 1 januari 2020 och ger boende i Kalifornien kontroll över sina personuppgifter.

Vem gäller CCPA för?

CCPA gäller för vinstdrivande företag som bedriver verksamhet i Kalifornien och uppfyller minst ett av dessa tröskelvärden: en årlig omsättning över 25 miljoner dollar, köper/säljer personuppgifter för 100 000+ konsumenter i Kalifornien, eller får 50 %+ av sin omsättning från försäljning av personuppgifter.

Vilka är sanktionerna för CCPA-överträdelser?

CCPA-överträdelser kan leda till böter på upp till 2 500 dollar per överträdelse eller 7 500 dollar per uppsåtlig överträdelse. Överträdelser vid dataintrång kan leda till konsumentstämningar med skadestånd på 100-750 dollar per incident och konsument.

Vad är skillnaden mellan CCPA och CPRA?

CPRA (California Privacy Rights Act) är ett tillägg till CCPA som trädde i kraft den 1 januari 2023. Det utökar konsumenträttigheterna, skapar California Privacy Protection Agency och inför strängare krav för känsliga personuppgifter.

Måste jag följa både CCPA och GDPR?

Om du betjänar både boende i Kalifornien och boende i EU måste du följa båda lagarna. CCPA är generellt mindre strikt än GDPR, så om du redan följer GDPR är du sannolikt nära CCPA-efterlevnad.

Slutsats

CCPA representerar ett betydande skifte i amerikansk integritetslagstiftning och ger konsumenter i Kalifornien meningsfull kontroll över sina personuppgifter. Även om efterlevnad kräver ansträngning, att uppdatera policyer, implementera begäranmekanismer och utbilda personal, är grundprincipen okomplicerad: var transparent om datametoder och respektera konsumenternas val.

För de flesta företag är den största insatsen det inledande efterlevnadsarbetet. När du väl har uppdaterat din integritetspolicy, implementerat arbetsflöden för begäranden och lagt till nödvändiga länkar blir löpande efterlevnad rutin.

Nyckeln är att börja nu. Med CPPA som aktivt tillämpar lagen och konsumenter som blir alltmer medvetna om sina rättigheter är CCPA-efterlevnad inte längre valfri för företag som betjänar boende i Kalifornien.

Redo att skapa din integritetspolicy som följer CCPA? Använd vår kostnadsfria generator för att skapa en omfattande policy som täcker alla CCPA-krav på några minuter.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Krav på integritetspolicy för e-handel: Vad onlinebutiker måste inkludera

Komplett guide till krav på integritetspolicy för e-handelswebbplatser. Lär dig vilka upplysningar onlinebutiker behöver för betalningar, frakt och marknadsföring.

January 17, 20259 min read
Legal Compliance

GDPR vs CCPA: Viktiga skillnader förklarade

Jämför integritetslagarna GDPR och CCPA. Lär dig de viktigaste skillnaderna i omfattning, samtyckesmodeller, konsumenträttigheter och påföljder för att säkerställa att ditt företag följer reglerna.

January 17, 202511 min read
Mobile Apps

Krav på integritetspolicy för mobilappar: efterlevnadsguide för iOS och Android

Lär dig kraven på integritetspolicy för mobilappar. Täcker Apple App Store, regler för Google Play Store och juridisk efterlevnad för iOS- och Android-appar.

January 16, 202510 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • Vad är CCPA?
  • CCPA jämfört med CPRA: Vad förändrades?
  • Vem gäller CCPA för?
  • Omsättningströskel
  • Tröskel för konsumentdata
  • Omsättning från dataförsäljning
  • Viktiga anmärkningar
  • Vilka personuppgifter skyddar CCPA?
  • Kategorier av personuppgifter
  • Känsliga personuppgifter (enligt CPRA)
  • Konsumenträttigheter enligt CCPA
  • Rätt att få veta
  • Rätt till radering
  • Rätt att välja bort försäljning/delning
  • Rätt att korrigera
  • Rätt att begränsa användningen av känsliga personuppgifter
  • Rätt till icke-diskriminering
  • Företagets skyldigheter enligt CCPA
  • 1. Tillhandahålla en integritetspolicy
  • 2. Lägga till nödvändiga länkar
  • 3. Tillgodose konsumentbegäranden
  • 4. Utbilda anställda
  • 5. Uppdatera avtal med tjänsteleverantörer
  • 6. Genomföra riskbedömningar (CPRA)
  • CCPA-sanktioner och tillämpning
  • Administrativa sanktioner
  • Privat talerätt (dataintrång)
  • Anmärkningsvärda CCPA-tillämpningsåtgärder
  • Hur du följer CCPA
  • Steg 1: Avgör om CCPA gäller
  • Steg 2: Datakartläggning
  • Steg 3: Uppdatera din integritetspolicy
  • Steg 4: Implementera mekanismer för konsumenträttigheter
  • Steg 5: Lägg till nödvändiga länkar
  • Steg 6: Granska relationer med tredje part
  • Steg 7: Utbilda ditt team
  • Steg 8: Implementera tekniska kontroller
  • CCPA jämfört med GDPR: Viktiga skillnader
  • Viktigaste lärdomen
  • Vanliga misstag vid CCPA-efterlevnad
  • CCPA och andra delstaters integritetslagar
  • Kom igång med CCPA-efterlevnad
  • Vanliga frågor
  • Slutsats
TermsBox

Skanna din webbplats, generera juridiska dokument automatiskt, lägg till en samtyckesbanner och håll dig efterlevande. En plattform för allt.

Produkt

  • Cookie-skanner
  • Samtyckesbanner
  • Generator för cookiepolicy
  • Priser

Generatorer

  • Generator för integritetspolicy
  • Generator för villkor
  • EULA-generator
  • Generator för ansvarsfriskrivning
  • Generator för retur- och återbetalningspolicy

Företag

  • Om oss
  • Kontakt
  • Integritetspolicy
  • Användarvillkor
  • Cookiepolicy
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Alla rättigheter förbehållna.