CCPA, CPRA a zákony o ochraně soukromí v USA: soulad s pravidly pro cookies i mimo Evropu
Spojené státy přistupují k ochraně soukromí ve vztahu k cookies zásadně jinak než Evropa. Neexistuje zde žádný federální zákon o cookies, žádný univerzální požadavek na souhlas ani jediný úřad pro ochranu osobních údajů. Namísto toho vzniká stále rostoucí mozaika zákonů o ochraně soukromí na úrovni jednotlivých států, což pro provozovatele webů vytváří čím dál složitější prostředí. Porozumět americkému přístupu — a tomu, jak se liší od GDPR — je nezbytné pro každou firmu, kterou navštěvují lidé z obou stran Atlantiku.
Přehled prostředí ochrany soukromí v USA
Nejdůležitější rozdíl mezi americkým a evropským právem v oblasti cookies spočívá v regulačním modelu:
- Model EU: opt-in. Před uložením neesenciálních cookies musíte získat souhlas. Výchozím stavem je, že se nesleduje.
- Model USA: opt-out. Osobní údaje můžete shromažďovat a sdílet ve výchozím nastavení, ale musíte spotřebitelům dát možnost se ze zpracování odhlásit. Výchozím stavem je sledování s možností jej vypnout.
Tento rozdíl ve filozofii se odráží v každém aspektu regulace cookies. V EU cookie lišta žádá o svolení. V USA cookie lišta (pokud vůbec existuje) uživatele obvykle informuje o jejich právu se ze zpracování odhlásit.
Na začátku roku 2026 přijalo komplexní zákony o ochraně soukromí nejméně 15 států a další je aktivně zvažují. Konkrétní dopady na soulad s pravidly pro cookies má však jen několik z nich.
Kalifornie: CCPA a CPRA
Kalifornie je nejvýznamnějším americkým státem v oblasti regulace ochrany soukromí. California Consumer Privacy Act (CCPA), účinný od 1. ledna 2020, byl prvním komplexním státním zákonem o ochraně soukromí. Byl podstatně novelizován zákonem California Privacy Rights Act (CPRA), který nabyl plné účinnosti 1. ledna 2023, přičemž vymáhání ze strany California Privacy Protection Agency (CPPA) začalo 1. července 2023.
Jak cookies souvisejí s CCPA/CPRA
CCPA/CPRA cookies přímo neregulují. Namísto toho regulují shromažďování, prodej a sdílení osobních údajů, což zahrnuje i data získaná prostřednictvím cookies. Klíčové koncepty jsou:
- „Osobní údaje“ podle CCPA/CPRA zahrnují online identifikátory, IP adresy, historii prohlížení a informace o interakci spotřebitele s webem — to vše se běžně shromažďuje prostřednictvím cookies.
- „Prodej“ je široce definován jako zpřístupnění osobních údajů třetí straně za peněžní nebo jiné hodnotné protiplnění. Pokud reklamní cookies třetích stran na vašem webu sdílejí data návštěvníků s reklamními sítěmi, může to podle CCPA představovat „prodej“.
- „Sdílení“ (přidané zákonem CPRA) zahrnuje zpřístupnění osobních údajů třetím stranám pro účely behaviorální reklamy napříč kontexty, bez ohledu na to, zda přitom dochází k finančnímu plnění. To výslovně zahrnuje reklamní cookies do působnosti zákona.
Klíčové požadavky
- Odkaz „Do Not Sell or Share My Personal Information“: Pokud váš web prodává nebo sdílí osobní údaje (což zahrnuje většinu scénářů s reklamními cookies), musíte na domovské stránce uvést zřetelně označený odkaz, který spotřebitelům umožní se odhlásit. Jde o americký ekvivalent mechanismu souhlasu s cookies, který ale funguje na principu opt-out, nikoliv opt-in.
- Global Privacy Control (GPC): Podle nařízení CPRA finalizovaných agenturou CPPA musí firmy považovat signály GPC odesílané prohlížečem uživatele za platnou žádost o odhlášení. GPC je signál na úrovni prohlížeče (koncepčně podobný staršímu Do Not Track, ale podle CCPA/CPRA právně závazný). Pokud prohlížeč uživatele vysílá signál GPC, musíte přestat prodávat nebo sdílet jeho osobní údaje — což znamená zakázat reklamní a sledovací cookies pro daného uživatele.
- Uvedení v zásadách ochrany soukromí: Vaše zásady ochrany soukromí musejí uvádět kategorie shromažďovaných osobních údajů, účely jejich shromažďování, kategorie třetích stran, s nimiž jsou údaje sdíleny, a zda jsou údaje prodávány nebo sdíleny.
- Citlivé osobní údaje: CPRA zavádí právo „Limit the Use of My Sensitive Personal Information“. Pokud cookies shromažďují citlivé údaje (například přesnou geolokaci), musejí mít spotřebitelé možnost jejich použití omezit.
- Nezletilí: U spotřebitelů mladších 16 let přechází CCPA/CPRA na model opt-in. Osobní údaje spotřebitele, o němž víte, že je mladší 16 let, nesmíte prodávat ani sdílet bez výslovného souhlasu (od spotřebitele, je-li mu 13–15 let, nebo od rodiče/zákonného zástupce, je-li mladší 13 let).
Na koho se povinnosti vztahují
CCPA/CPRA se vztahuje na ziskové firmy, které podnikají v Kalifornii a splňují některou z následujících hranic: roční hrubý obrat přesahující 25 milionů dolarů; nákup, prodej nebo sdílení osobních údajů 100 000 a více spotřebitelů či domácností; nebo dosahování 50 % a více ročních příjmů z prodeje nebo sdílení osobních údajů spotřebitelů.
Další zákony o ochraně soukromí v amerických státech
Několik dalších států přijalo komplexní zákony o ochraně soukromí s dopady na soulad s pravidly pro cookies. Žádný z nich sice není tak podrobný jako CCPA/CPRA, ale všechny sdílejí ustálená témata kolem práv na odhlášení a transparentnosti dat.
Colorado Privacy Act (CPA)
Účinnost: 1. července 2023. Vymáhá: generální prokurátor státu Colorado.
Vyžaduje práva na odhlášení z cílené reklamy a prodeje osobních údajů. Firmy musejí respektovat univerzální mechanismy odhlášení (například GPC). Pravidla Colorada výslovně vyžadují „jasnou a zřetelnou“ metodu odhlášení a uznávají univerzální signály odhlášení, čímž se soulad s GPC pro dotčené firmy fakticky stává povinným.
Connecticut Data Privacy Act (CTDPA)
Účinnost: 1. července 2023. Vymáhá: generální prokurátor státu Connecticut.
Podobný zákonu Colorada. Vyžaduje možnost odhlášení z cílené reklamy, prodeje osobních údajů a profilování. Od 1. ledna 2025 vyžaduje uznávání univerzálních mechanismů odhlášení. Poskytuje zvláštní ochranu citlivých údajů vyžadující souhlas typu opt-in.
Virginia Consumer Data Protection Act (VCDPA)
Účinnost: 1. ledna 2023. Vymáhá: generální prokurátor státu Virginia.
Poskytuje práva na odhlášení z cílené reklamy a prodeje osobních údajů. Nevyžaduje uznávání univerzálních signálů odhlášení (na rozdíl od Kalifornie, Colorada a Connecticutu). Vyžaduje souhlas se zpracováním citlivých údajů.
Texas Data Privacy and Security Act (TDPSA)
Účinnost: 1. července 2024. Vymáhá: generální prokurátor státu Texas.
Pozoruhodně široký rozsah bez hranice obratu — vztahuje se na jakýkoli subjekt podnikající v Texasu, který zpracovává osobní údaje a není malým podnikem podle definice SBA. Vyžaduje možnost odhlášení z cílené reklamy a prodeje dat. Vyžaduje uznávání univerzálních mechanismů odhlášení.
Oregon Consumer Privacy Act (OCPA)
Účinnost: 1. července 2024. Vymáhá: generální prokurátor státu Oregon.
Vztahuje se na firmy, které spravují nebo zpracovávají data 100 000+ oregonských spotřebitelů, nebo 25 000+ spotřebitelů, pokud získávají 25 %+ příjmů z prodeje dat. Poskytuje standardní práva na odhlášení a vyžaduje 30denní lhůtu na nápravu porušení.
Srovnání: americké státy vs. GDPR
| Požadavek | GDPR/ePrivacy | CCPA/CPRA | Ostatní americké státy |
|---|---|---|---|
| Model souhlasu | Opt-in (předchozí souhlas) | Opt-out | Opt-out |
| Souhlas s cookies vyžadován před uložením | Ano | Ne | Ne |
| Cookie lišta vyžadována | Fakticky ano | Ne (vyžadován odkaz na odhlášení) | Ne |
| Granulární souhlas podle kategorie | Ano | Ne | Ne |
| Právo odhlásit se ze sledování | Ano (neudělením souhlasu) | Ano („Do Not Sell/Share“) | Ano (cílená reklama / prodej dat) |
| Vyžadován GPC / univerzální odhlášení | Neuvedeno | Ano | Různě (CA, CO, CT, TX: ano) |
| Vyžadovány zásady ochrany soukromí | Ano | Ano | Ano |
| Citlivé údaje: vyžadován opt-in | Ano (výslovný souhlas) | Právo omezit použití | Různě (většinou: opt-in) |
| Vymáhání | Úřady na ochranu osobních údajů + soukromé žaloby (omezené) | CPPA + generální prokurátor + soukromé právo žaloby (úniky dat) | Pouze generální prokurátor |
| Maximální pokuty | 4 % globálního obratu / 20 mil. € | 2 500 $/porušení; 7 500 $/úmyslné | Různě; typicky 7 500–10 000 $ |
Praktický přístup: soulad s GDPR pokrývá většinu amerických požadavků
Pokud váš web již splňuje GDPR, máte pro soulad s americkými předpisy dobrou výchozí pozici. Model opt-in podle GDPR je přísnější než jakýkoli opt-out model amerických států. Existují však konkrétní americké požadavky, které GPDR neřeší:
- Odkaz „Do Not Sell or Share“: GDPR vyžaduje správu souhlasů, ale nikoliv konkrétní odkaz „Do Not Sell or Share“. Pokud máte kalifornské návštěvníky a splňujete hranice CCPA, tento odkaz potřebujete.
- Uznávání signálu GPC: Zatímco GDPR uznávání signálů z prohlížeče nevyžaduje, několik amerických států jej ukládá. Implementace uznávání GPC je jednoduchá a dokládá respekt k preferencím uživatelů.
- Specifické informace v zásadách ochrany soukromí: CCPA/CPRA vyžaduje informace formátované specifickým způsobem (kategorie shromážděných údajů za předchozích 12 měsíců, kategorie zdrojů apod.), které se liší od požadavků GDPR na informace o ochraně soukromí.
- „Do Not Track“ vs. GPC: Starší signál prohlížeče Do Not Track (DNT) nikdy nebyl právně závazný. GPC je jeho nástupcem a je právně závazný podle CCPA/CPRA i několika dalších státních zákonů. Ujistěte se, že vaše platforma pro správu souhlasů signály GPC rozpoznává a reaguje na ně.
Vyhlídky na federální zákon o ochraně soukromí v USA
American Data Privacy and Protection Act (ADPPA) se přijetí přiblížil více než kterýkoli předchozí federální návrh zákona o ochraně soukromí, když v červenci 2022 prošel výborem Sněmovny reprezentantů pro energetiku a obchod, avšak nakonec uvázl. Následující zasedání Kongresu přinesla obnovené návrhy, ale k začátku roku 2026 nebyl žádný federální zákon o ochraně soukromí přijat.
Hlavní překážky zůstávají:
- Nadřazenost (preemption): Zda by měl federální zákon převážit nad zákony jednotlivých států (Kalifornie se staví proti nadřazenosti, která by oslabila CCPA/CPRA).
- Soukromé právo žaloby: Zda by jednotlivci měli mít možnost přímo žalovat firmy za porušení ochrany soukromí.
- Opt-in vs. opt-out: Zda by měl federální standard přijmout model opt-in pro citlivé údaje, nebo zachovat přístup opt-out.
Dokud nebude přijat federální zákon, musejí se firmy orientovat v mozaice zákonů stát od státu. Praktické doporučení zůstává: vybudujte systém správy souhlasů, který zvládne nejpřísnější požadavky (opt-in podle GDPR), a podle potřeby přidejte funkce specifické pro USA (odkazy na odhlášení, podpora GPC).
Doporučení pro globální soulad
Pro weby, které obsluhují návštěvníky z EU i USA, je nejefektivnějším přístupem:
- Zaveďte správu souhlasů v souladu s GDPR jako základní úroveň. Získáte tím nejpřísnější model, který ze své podstaty splňuje i méně přísné požadavky.
- Přidejte mechanismus „Do Not Sell or Share“, pokud splňujete hranice CCPA nebo máte významnou návštěvnost z Kalifornie.
- Zaveďte uznávání signálu GPC pro všechny návštěvníky. Jde o jednoduchou technickou implementaci s významnými právními přínosy.
- Využívejte geolokaci k poskytnutí vhodné podoby souhlasu. Návštěvníci z EU uvidí lištu typu opt-in; návštěvníci z USA uvidí méně rušivé oznámení s možnostmi odhlášení. Tím vyvážíte soulad s předpisy a uživatelský komfort.
- Udržujte komplexní informace o ochraně soukromí, které splňují požadavky GDPR i CCPA/CPRA.
Globální trend nezaměnitelně směřuje k větší ochraně soukromí a kontrole uživatelů nad sledovacími technologiemi. Vybudování robustní správy souhlasů je nyní investicí, která se vyplatí, jak budou i nadále vznikat nové předpisy.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma