anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenGDPR & Efterlevnad

CCPA/CPRA 2025: Kaliforniens AI-integritetsrätt

CPPA utfärdade böter på över 100 miljoner dollar 2024. CPRA täcker 40 miljoner kalifornier och gäller globalt för de flesta företag. 19 känsliga datakategorier, automatiserade.

June 5, 202610 min läsning
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Guide till Kaliforniens integritetslag

Uppdaterat för 2026.

Kaliforniens Consumer Privacy Rights Act (CPRA) trädde i kraft 2023. Den inrättade California Privacy Protection Agency (CPPA). CPPA är USA:s första delstatliga integritetsreglerare. Under 2024 utfärdade CPPA böter på över 100 miljoner dollar. Detta är aktiv tillsyn — inte ett papper på hyllan.

Vem måste följa lagen

Tre kriterier avgör om lagen är tillämplig. Ett företag måste uppfylla minst ett av dem.

  • Årsomsättning på 25 miljoner dollar eller mer.
  • Personuppgifter från 100 000 eller fler delstatskonsumenter.
  • Mer än 50 % av intäkterna från försäljning av personuppgifter.

Delstaten har 40 miljoner invånare. Den är världens femte största ekonomi. De flesta globala företag uppfyller minst ett kriterium.

19 kategorier av känsliga uppgifter

Lagen skapar en särskild nivå för känsliga personuppgifter. Företag måste ge konsumenter extra information och rätt att begränsa användningen. De 19 typerna är:

  1. Personnummer, körkortsnummer, statliga ID- och passnummer
  2. Finansiella konto- eller kortnummer med åtkomstkoder
  3. Exakt geografisk plats (inom 1 852 meter)
  4. Ras eller etniskt ursprung
  5. Religiös eller filosofisk övertygelse
  6. Fackmedlemskap
  7. Innehåll i privat e-post eller post
  8. Genetisk information
  9. Biometriska uppgifter för identifiering
  10. Hälso- eller medicinska journaler
  11. Sexuell läggning eller sexliv
  12. Invandringstatus (tillagd 2024)
  13. Psykiatriska journaler (tillagd 2024)
  14. Medborgarskap
  15. Finansiella kontonummer utan åtkomstkoder
  16. Funktionsnedsättningsstatus
  17. Anställningsstatusindikatorer
  18. Försäkringspolicyinformation
  19. Brottsliga eller frihetsberövande uppgifter

För varje kategori kan konsumenter begränsa hur ett företag använder och delar uppgifterna. Denna rätt är skild från den allmänna rätten att avsäga sig försäljning.

Vad CPPA inriktade sig på 2024

CPPA:s åtgärder 2024 föll inom fyra områden.

Datamäklarregistrering. Delstaten kräver att datamäklare registrerar sig hos CPPA. Myndigheten hittade hundratals oregistrerade mäklare som sålde konsumentprofiler.

Trasiga avsägningsverktyg. Många samtyckesplattformar gav inte verklig möjlighet att avsäga sig. Knappen fungerade inte, eller avsägelsen täckte bara en del av användningarna.

AI-beslut utan information. 2025 års AI-regler kräver information när automatiserade verktyg fattar viktiga beslut. Anställning, kredit och bostad räknas alla hit. Flera 2024-ärenden riktade sig mot AI-verktyg som användes utan denna information.

Barnjournaler. Kaliforniens Age-Appropriate Design Code gäller alla tjänster som minderåriga sannolikt använder. Dessa företag måste genomföra en konsekvensbedömning för dataskydd. CPPA fann att många företag inte hade gjort detta.

Delstatslag kontra GDPR: Viktiga skillnader

GDPR-efterlevnad täcker inte dig i Kalifornien. Lagarna delar mål men skiljer sig åt på viktiga punkter.

Avsägning kontra samtycke. GDPR kräver aktivt samtycke för de flesta känsliga dataanvändningar. Delstatslagen använder en avsägningsmodell. Behandling är tillåten tills konsumenten invänder.

Konsumenträttigheter. Båda lagarna ger tillgångs-, raderings- och rättelserättigheter. Delstatslagen lägger till en rätt att avsäga sig automatiserade beslut. GDPR Artikel 22 täcker detta också, men med ett snävare tillämpningsområde.

Anställningsuppgifter. Delstatslagen täcker anställdas personuppgifter fullt ut. GDPR gör det också, men EU:s medlemsländer har egna arbetsrättsliga regler. Personalintegritet i delstaten kräver ofta ett eget efterlevnadsspår.

Känsliga typer. De 19 delstatstyperna överlappar delvis med GDPR Artikel 9. Invandringstatus och fristående kontonummer är delstatsspecifika.

Se juridisk efterlevnadsguide för hur dessa skyldigheter staplas.

Krav på AI-leverantörer

2025 års AI-regler skapar tydliga skyldigheter för företag som använder AI-verktyg på konsumentuppgifter.

Leverantörsavtal. Tjänsteleverantörer måste underteckna ett skriftligt avtal. Avtalet måste täcka fyra saker. Först: använd uppgifter enbart för det angivna ändamålet. Andra: radera uppgifter när tjänsten upphör. Tredje: vidarebefordra konsumenträttighetsförfrågningar. Fjärde: upprätthåll tillräcklig säkerhet.

Information om automatiserade beslut. Om ett AI-verktyg hjälper till att fatta beslut om kredit, bedrägeri eller anställning — måste konsumenter informeras. De måste också ges möjlighet att avsäga sig.

AI-träningsbegränsningar. Om konsumentuppgifter tränade en AI-modell gäller begränsningar för den modellen. Den får inte användas för ändamål som strider mot det ursprungliga insamlingsskälet.

Den direkta lösningen för de flesta team: ta bort personliga ID:n innan uppgifter når något AI-system. Detta uppfyller AI-beslutskraven och minskar risken för känsliga typer samtidigt.

Läs om hur anonym.legal tar bort identifierare innan AI-bearbetning på /security-compliance.

Sammanfattning

Delstatslagen täcker de flesta globala företag med kunder i delstaten. Den lägger till 19 känsliga typer, en aktiv tillsynsmyndighet och AI-informationskrav. GDPR-efterlevnad ersätter inte delstatsefterlevnad. Det tydligaste steget: ta bort personliga ID:n innan uppgifter når AI-verktyg.

Läs om dataminimering på /docs/faq.

Källor

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) fulltext. leginfo.legislature.ca.gov.
  • CPPA: Regler för automatiserat beslutsfattande 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.