Skip to main content

CCPA, CPRA & amerikanske privatlivslove: Cookie-compliance uden for Europa

USA anlægger en grundlæggende anderledes tilgang til cookie-privatliv end Europa. Der findes ingen føderal cookie-lov, intet universelt samtykkekrav og ingen enkelt databeskyttelsesmyndighed. I stedet skaber et voksende kludetæppe af privatlivslove på delstatsniveau et stadig mere komplekst landskab for hjemmesideoperatører. At forstå den amerikanske tilgang — og hvordan den adskiller sig fra GDPR — er afgørende for enhver virksomhed med besøgende fra begge sider af Atlanten.

Det amerikanske privatlivslandskab: Et overblik

Den vigtigste forskel mellem amerikansk og europæisk cookie-lovgivning er reguleringsmodellen:

  • EU-modellen: Opt-in. Du skal indhente samtykke, før du sætter ikke-nødvendige cookies. Standarden er ingen sporing.
  • USA-modellen: Opt-out. Du må som udgangspunkt indsamle og dele personoplysninger, men du skal give forbrugerne mulighed for at fravælge. Standarden er sporing, med en slukknap.

Denne forskel i filosofi afspejles i alle aspekter af cookie-regulering. I EU beder et cookie-banner om tilladelse. I USA informerer et cookie-banner (hvis det overhovedet er til stede) typisk brugerne om deres ret til at fravælge.

Ved begyndelsen af 2026 er der vedtaget omfattende delstatsprivatlivslove i mindst 15 delstater, og flere er under aktiv overvejelse. Kun en håndfuld har dog specifikke konsekvenser for cookie-compliance.

Californien: CCPA og CPRA

Californien er den vigtigste amerikanske delstat inden for privatlivsregulering. California Consumer Privacy Act (CCPA), der trådte i kraft 1. januar 2020, var den første omfattende delstatsprivatlivslov. Den blev væsentligt ændret af California Privacy Rights Act (CPRA), som trådte fuldt i kraft 1. januar 2023, med håndhævelse fra California Privacy Protection Agency (CPPA) fra 1. juli 2023.

Hvordan cookies relaterer sig til CCPA/CPRA

CCPA/CPRA regulerer ikke cookies direkte. I stedet regulerer den indsamling, salg og deling af personoplysninger, hvilket omfatter data indsamlet via cookies. Nøglebegreberne er:

  • "Personoplysninger" under CCPA/CPRA omfatter onlineidentifikatorer, IP-adresser, browserhistorik og oplysninger om en forbrugers interaktion med en hjemmeside — alt sammen noget, der ofte indsamles via cookies.
  • "Salg" defineres bredt som at gøre personoplysninger tilgængelige for en tredjepart mod pengebetaling eller anden værdifuld modydelse. Hvis tredjeparts-reklamecookies på dit site deler besøgendes data med annoncenetværk, kan dette udgøre et "salg" under CCPA.
  • "Deling" (tilføjet af CPRA) dækker over at gøre personoplysninger tilgængelige for tredjeparter til adfærdsbaseret annoncering på tværs af kontekster, uanset om der skifter penge hænder. Dette bringer eksplicit reklamecookies ind i anvendelsesområdet.

Centrale krav

  1. Link til "Do Not Sell or Share My Personal Information": Hvis din hjemmeside sælger eller deler personoplysninger (hvilket omfatter de fleste reklamecookie-scenarier), skal du levere et tydeligt markeret link på din forside, der giver forbrugere mulighed for at fravælge. Dette er det amerikanske modstykke til en cookie-samtykkemekanisme, om end den fungerer på opt-out- frem for opt-in-basis.
  2. Global Privacy Control (GPC): Under de CPRA-regler, som CPPA har færdiggjort, skal virksomheder behandle GPC-signaler sendt af en brugers browser som en gyldig opt-out-anmodning. GPC er et signal på browserniveau (i koncept svarende til det gamle Do Not Track, men juridisk bindende under CCPA/CPRA). Hvis en brugers browser sender et GPC-signal, skal du stoppe med at sælge eller dele deres personoplysninger — hvilket betyder, at du skal deaktivere reklame- og sporingscookies for den bruger.
  3. Offentliggørelse i privatlivspolitik: Din privatlivspolitik skal oplyse kategorierne af indsamlede personoplysninger, formålene med indsamlingen, kategorierne af tredjeparter, som oplysninger deles med, samt om oplysninger sælges eller deles.
  4. Følsomme personoplysninger: CPRA indfører en ret til at "Limit the Use of My Sensitive Personal Information". Hvis cookies indsamler følsomme oplysninger (såsom præcis geolokalisering), skal forbrugere kunne begrænse brugen heraf.
  5. Mindreårige: For forbrugere under 16 år skifter CCPA/CPRA til en opt-in-model. Du må ikke sælge eller dele personoplysninger om en forbruger, du ved er under 16, uden aktivt samtykke (fra forbrugeren, hvis 13-15 år, fra en forælder/værge, hvis under 13 år).

Hvem skal overholde reglerne

CCPA/CPRA gælder for kommercielle virksomheder, der driver forretning i Californien og opfylder et af følgende tærskler: årlig bruttoomsætning over 25 mio. USD; køb, salg eller deling af personoplysninger om 100.000 eller flere forbrugere eller husstande; eller opnåelse af 50 % eller mere af den årlige omsætning fra salg eller deling af forbrugeres personoplysninger.

Andre amerikanske delstatsprivatlivslove

Flere andre delstater har vedtaget omfattende privatlivslove med konsekvenser for cookie-compliance. Selvom ingen af dem er så detaljerede som CCPA/CPRA, etablerer de gennemgående temaer omkring opt-out-rettigheder og datagennemsigtighed.

Colorado Privacy Act (CPA)

Ikraft: 1. juli 2023. Håndhæves af: Colorados justitsminister.

Kræver opt-out-rettigheder for målrettet annoncering og salg af personoplysninger. Virksomheder skal respektere universelle opt-out-mekanismer (som GPC). Colorados regler kræver specifikt en "klar og tydelig" opt-out-metode og anerkender universelle opt-out-signaler, hvilket i praksis gør GPC-compliance obligatorisk for omfattede virksomheder.

Connecticut Data Privacy Act (CTDPA)

Ikraft: 1. juli 2023. Håndhæves af: Connecticuts justitsminister.

Ligner Colorados lov. Kræver opt-out for målrettet annoncering, salg af personoplysninger og profilering. Kræver anerkendelse af universelle opt-out-mekanismer fra 1. januar 2025. Giver specifikke beskyttelser for følsomme data, der kræver opt-in-samtykke.

Virginia Consumer Data Protection Act (VCDPA)

Ikraft: 1. januar 2023. Håndhæves af: Virginias justitsminister.

Giver opt-out-rettigheder for målrettet annoncering og salg af personoplysninger. Kræver ikke anerkendelse af universelle opt-out-signaler (i modsætning til Californien, Colorado og Connecticut). Kræver samtykke til behandling af følsomme data.

Texas Data Privacy and Security Act (TDPSA)

Ikraft: 1. juli 2024. Håndhæves af: Texas' justitsminister.

Bemærkelsesværdigt bredt anvendelsesområde uden omsætningstærskel — den gælder for enhver enhed, der driver forretning i Texas, behandler personoplysninger og ikke er en small business som defineret af SBA. Kræver opt-out for målrettet annoncering og datasalg. Kræver anerkendelse af universelle opt-out-mekanismer.

Oregon Consumer Privacy Act (OCPA)

Ikraft: 1. juli 2024. Håndhæves af: Oregons justitsminister.

Gælder for virksomheder, der kontrollerer eller behandler data om 100.000+ Oregon-forbrugere, eller 25.000+ forbrugere, hvis de opnår 25 %+ af omsætningen fra datasalg. Giver almindelige opt-out-rettigheder og kræver en 30-dages afhjælpningsperiode ved overtrædelser.

Sammenligning: Amerikanske delstater vs. GDPR

Krav GDPR/ePrivacy CCPA/CPRA Andre amerikanske delstater
Samtykkemodel Opt-in (forudgående samtykke) Opt-out Opt-out
Cookie-samtykke krævet før placering Ja Nej Nej
Cookie-banner krævet I praksis ja Nej (opt-out-link krævet) Nej
Granulært samtykke pr. kategori Ja Nej Nej
Ret til at fravælge sporing Ja (ved ikke at samtykke) Ja ("Do Not Sell/Share") Ja (målrettede annoncer/datasalg)
GPC/universel opt-out krævet Ikke specificeret Ja Varierer (CA, CO, CT, TX: ja)
Privatlivspolitik krævet Ja Ja Ja
Følsomme data: opt-in krævet Ja (udtrykkeligt samtykke) Ret til at begrænse brug Varierer (de fleste: opt-in)
Håndhævelse Datatilsyn + privat søgsmål (begrænset) CPPA + justitsminister + privat søgsmålsret (databrud) Kun justitsminister
Maksimale bøder 4 % af global omsætning / €20 mio. 2.500 USD/overtrædelse; 7.500 USD/forsætlig Varierer; typisk 7.500-10.000 USD

Praktisk tilgang: GDPR-compliance dækker de fleste amerikanske krav

Hvis din hjemmeside allerede overholder GDPR, er du godt rustet til amerikansk compliance. GDPR's opt-in-model er strengere end nogen amerikansk delstats opt-out-model. Der er dog specifikke amerikanske krav, som GDPR ikke adresserer:

  1. "Do Not Sell or Share"-link: GDPR kræver samtykkehåndtering, men ikke et specifikt "Do Not Sell or Share"-link. Hvis du har californiske besøgende og opfylder CCPA-tærsklerne, har du brug for dette link.
  2. Anerkendelse af GPC-signal: Selvom GDPR ikke kræver anerkendelse af browsersignaler, kræver flere amerikanske delstater det. At implementere GPC-anerkendelse er ligetil og demonstrerer respekt for brugerpræferencer.
  3. Specifikke offentliggørelser i privatlivspolitik: CCPA/CPRA kræver offentliggørelser formateret på bestemte måder (kategorier af oplysninger indsamlet i de forudgående 12 måneder, kategorier af kilder osv.), som adskiller sig fra GDPR's krav til privatlivsmeddelelser.
  4. "Do Not Track" vs. GPC: Det gamle Do Not Track (DNT)-browsersignal var aldrig juridisk bindende. GPC er dets efterfølger og er juridisk bindende under CCPA/CPRA og flere andre delstatslove. Sørg for, at din samtykkehåndteringsplatform anerkender og handler på GPC-signaler.

Udsigten til en føderal amerikansk privatlivslov

American Data Privacy and Protection Act (ADPPA) kom tættere på vedtagelse end noget tidligere føderalt privatlivslovforslag, da det avancerede gennem House Energy and Commerce Committee i juli 2022, men det gik i sidste ende i stå. Efterfølgende kongressamlinger har set fornyede forslag, men ved begyndelsen af 2026 er der ikke vedtaget nogen føderal privatlivslov.

Hovedforhindringerne er fortsat:

  • Forrang (preemption): Hvorvidt en føderal lov skal tilsidesætte delstatslove (Californien modsætter sig forrang, der ville svække CCPA/CPRA).
  • Privat søgsmålsret: Hvorvidt enkeltpersoner skal kunne sagsøge virksomheder direkte for privatlivsovertrædelser.
  • Opt-in vs. opt-out: Hvorvidt den føderale standard skal indføre en opt-in-model for følsomme data eller fastholde opt-out-tilgangen.

Indtil en føderal lov er vedtaget, må virksomheder navigere i kludetæppet delstat for delstat. Det praktiske råd er stadig: byg et samtykkehåndteringssystem, der kan håndtere de mest restriktive krav (GDPR opt-in), og læg amerikansk-specifikke funktioner ovenpå (opt-out-links, GPC-support) efter behov.

Anbefalinger til global compliance

For hjemmesider, der betjener både EU- og amerikanske besøgende, er den mest effektive tilgang:

  1. Implementér GDPR-compliant samtykkehåndtering som dit fundament. Dette giver dig den strengeste model, som i sig selv opfylder mindre strenge krav.
  2. Tilføj en "Do Not Sell or Share"-mekanisme, hvis du opfylder CCPA-tærsklerne eller har betydelig californisk trafik.
  3. Implementér anerkendelse af GPC-signal for alle besøgende. Det er en simpel teknisk implementering med betydelige juridiske fordele.
  4. Brug geolokalisering til at levere passende samtykkeoplevelser. EU-besøgende ser et opt-in-banner; amerikanske besøgende ser en mindre påtrængende meddelelse med opt-out-muligheder. Dette balancerer compliance med brugeroplevelse.
  5. Oprethold omfattende privatlivsoplysninger, der opfylder både GDPR- og CCPA/CPRA-krav.

Den globale tendens går umiskendeligt mod større privatlivsbeskyttelse og brugerkontrol over sporingsteknologier. At bygge robust samtykkehåndtering nu er en investering, der vil betale sig, efterhånden som nye reguleringer fortsat dukker op.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis