Skip to main content

CCPA, CPRA ja USA privaatsusseadused: küpsiste vastavus väljaspool Euroopat

Ameerika Ühendriigid lähenevad küpsiste privaatsusele põhimõtteliselt teisiti kui Euroopa. Puudub föderaalne küpsisteseadus, universaalne nõusolekunõue ja ühtne andmekaitseasutus. Selle asemel loob üha kasvav osariikide tasandi privaatsusseaduste kirev valik veebisaitide haldajate jaoks järjest keerukama maastiku. USA lähenemise mõistmine — ja selle erinevus GDPR-ist — on hädavajalik igale ettevõttele, mille külastajad tulevad Atlandi ookeani mõlemalt kaldalt.

USA privaatsusmaastik: ülevaade

Kõige olulisem erinevus USA ja ELi küpsiseseaduste vahel seisneb regulatiivses mudelis:

  • ELi mudel: opt-in. Enne mitteoluliste küpsiste seadmist tuleb hankida nõusolek. Vaikimisi jälgimist ei toimu.
  • USA mudel: opt-out. Isikuandmeid võib vaikimisi koguda ja jagada, kuid tarbijatele tuleb anda võimalus sellest loobuda. Vaikimisi toimub jälgimine, mille saab välja lülitada.

See filosoofiline erinevus kajastub küpsiseregulatsiooni igas aspektis. ELis küsib küpsiseriba luba. USAs teavitab küpsiseriba (kui see üldse olemas on) kasutajaid tavaliselt nende õigusest loobuda.

2026. aasta alguse seisuga on põhjalikud osariikide privaatsusseadused vastu võetud vähemalt 15 osariigis ning veel mitmed on aktiivselt kaalumisel. Siiski on vaid mõnel neist konkreetne mõju küpsiste vastavusele.

California: CCPA ja CPRA

California on USA kõige olulisem osariik privaatsusregulatsiooni osas. California Consumer Privacy Act (CCPA), mis jõustus 1. jaanuaril 2020, oli esimene põhjalik osariigi privaatsusseadus. Seda muudeti oluliselt California Privacy Rights Act'iga (CPRA), mis jõustus täies ulatuses 1. jaanuaril 2023, kusjuures California Privacy Protection Agency (CPPA) alustas selle täitmise järelevalvet 1. juulil 2023.

Kuidas küpsised on seotud CCPA/CPRA-ga

CCPA/CPRA ei reguleeri küpsiseid otseselt. Selle asemel reguleerib see isikuandmete kogumist, müüki ja jagamist, mis hõlmab küpsiste kaudu kogutud andmeid. Peamised mõisted on:

  • „Isikuandmed" CCPA/CPRA tähenduses hõlmavad veebiidentifikaatoreid, IP-aadresse, sirvimisajalugu ning teavet tarbija suhtluse kohta veebisaidiga — kõike seda kogutakse tavaliselt küpsiste kaudu.
  • „Müük" on laialt määratletud kui isikuandmete kolmandale osapoolele kättesaadavaks tegemine rahalise või muu väärtusliku tasu eest. Kui teie saidi kolmandate osapoolte reklaamiküpsised jagavad külastajate andmeid reklaamivõrgustikega, võib see CCPA järgi kujutada „müüki".
  • „Jagamine" (lisatud CPRA-ga) hõlmab isikuandmete kolmandatele osapooltele kättesaadavaks tegemist kontekstidevahelise käitumispõhise reklaami eesmärgil, sõltumata sellest, kas raha vahetab omanikku. See toob reklaamiküpsised selgesõnaliselt reguleerimisalasse.

Peamised nõuded

  1. Link „Ära müü ega jaga minu isikuandmeid": Kui teie veebisait müüb või jagab isikuandmeid (mis hõlmab enamikku reklaamiküpsiste stsenaariume), peate oma avalehel esitama selgelt märgistatud lingi, mis võimaldab tarbijatel loobuda. See on USA vaste küpsiste nõusolekumehhanismile, kuigi see toimib opt-out'i, mitte opt-in'i põhimõttel.
  2. Global Privacy Control (GPC): CPPA lõplikult vormistatud CPRA määruste kohaselt peavad ettevõtted käsitlema kasutaja brauseri saadetud GPC-signaale kehtiva loobumistaotlusena. GPC on brauseritasandi signaal (kontseptuaalselt sarnane vanale Do Not Track'ile, kuid CCPA/CPRA järgi õiguslikult siduv). Kui kasutaja brauser saadab GPC-signaali, peate lõpetama tema isikuandmete müügi või jagamise — mis tähendab selle kasutaja jaoks reklaami- ja jälgimisküpsiste keelamist.
  3. Privaatsuspoliitika avalikustamine: Teie privaatsuspoliitika peab avalikustama kogutud isikuandmete kategooriad, kogumise eesmärgid, kolmandate osapoolte kategooriad, kellega andmeid jagatakse, ning kas andmeid müüakse või jagatakse.
  4. Tundlikud isikuandmed: CPRA võtab kasutusele õiguse „Piira minu tundlike isikuandmete kasutamist". Kui küpsised koguvad tundlikku teavet (näiteks täpset geograafilist asukohta), peavad tarbijad saama selle kasutamist piirata.
  5. Alaealised: Alla 16-aastaste tarbijate puhul läheb CCPA/CPRA üle opt-in-mudelile. Te ei tohi müüa ega jagada tarbija isikuandmeid, keda teadaolevalt on alla 16 aasta vana, ilma otsese nõusolekuta (tarbijalt endalt, kui ta on 13-15-aastane, või vanemalt/hooldajalt, kui ta on alla 13-aastane).

Kes peab järgima

CCPA/CPRA kehtib kasumit taotlevatele ettevõtetele, kes tegutsevad Californias ja vastavad ühele järgmistest tingimustest: aastane brutotulu üle 25 miljoni dollari; 100 000 või enama tarbija või majapidamise isikuandmete ostmine, müümine või jagamine; või 50% või enama aastatulu teenimine tarbijate isikuandmete müügist või jagamisest.

Teised USA osariikide privaatsusseadused

Mitmed teised osariigid on vastu võtnud põhjalikud privaatsusseadused, millel on mõju küpsiste vastavusele. Kuigi ükski neist pole nii detailne kui CCPA/CPRA, kehtestavad need järjekindlad teemad loobumisõiguste ja andmete läbipaistvuse ümber.

Colorado Privacy Act (CPA)

Jõustus: 1. juuli 2023. Järelevalve: Colorado peaprokurör.

Nõuab loobumisõigusi sihitud reklaami ja isikuandmete müügi puhul. Ettevõtted peavad austama universaalseid loobumismehhanisme (nagu GPC). Colorado reeglid nõuavad konkreetselt „selget ja märgatavat" loobumismeetodit ning tunnustavad universaalseid loobumissignaale, muutes GPC-vastavuse hõlmatud ettevõtete jaoks sisuliselt kohustuslikuks.

Connecticut Data Privacy Act (CTDPA)

Jõustus: 1. juuli 2023. Järelevalve: Connecticuti peaprokurör.

Sarnane Colorado seadusega. Nõuab loobumisvõimalust sihitud reklaami, isikuandmete müügi ja profileerimise puhul. Nõuab universaalsete loobumismehhanismide tunnustamist alates 1. jaanuarist 2025. Pakub tundlikele andmetele erikaitset, mis nõuab opt-in-nõusolekut.

Virginia Consumer Data Protection Act (VCDPA)

Jõustus: 1. jaanuar 2023. Järelevalve: Virginia peaprokurör.

Pakub loobumisõigusi sihitud reklaami ja isikuandmete müügi puhul. Ei nõua universaalsete loobumissignaalide tunnustamist (erinevalt Californiast, Coloradost ja Connecticutist). Nõuab nõusolekut tundlike andmete töötlemiseks.

Texas Data Privacy and Security Act (TDPSA)

Jõustus: 1. juuli 2024. Järelevalve: Texase peaprokurör.

Märkimisväärselt laia reguleerimisalaga ilma tulukünniseta — see kehtib igale Texases tegutsevale üksusele, kes töötleb isikuandmeid ega ole SBA määratluse kohaselt väikeettevõte. Nõuab loobumisvõimalust sihitud reklaami ja andmemüügi puhul. Nõuab universaalsete loobumismehhanismide tunnustamist.

Oregon Consumer Privacy Act (OCPA)

Jõustus: 1. juuli 2024. Järelevalve: Oregoni peaprokurör.

Kehtib ettevõtetele, kes kontrollivad või töötlevad 100 000+ Oregoni tarbija andmeid, või 25 000+ tarbija andmeid, kui 25%+ tulust teenitakse andmemüügist. Pakub tavapäraseid loobumisõigusi ja nõuab rikkumiste puhul 30-päevast parandusperioodi.

Võrdlus: USA osariigid vs. GDPR

Nõue GDPR/ePrivacy CCPA/CPRA Teised USA osariigid
Nõusolekumudel Opt-in (eelnev nõusolek) Opt-out Opt-out
Küpsiste nõusolek nõutav enne seadmist Jah Ei Ei
Küpsiseriba nõutav Sisuliselt jah Ei (loobumislink nõutav) Ei
Detailne nõusolek kategooriate kaupa Jah Ei Ei
Õigus jälgimisest loobuda Jah (nõusolekut andmata) Jah („Ära müü/jaga") Jah (sihitud reklaam/andmemüük)
GPC/universaalne loobumine nõutav Määratlemata Jah Erineb (CA, CO, CT, TX: jah)
Privaatsuspoliitika nõutav Jah Jah Jah
Tundlikud andmed: opt-in nõutav Jah (otsene nõusolek) Õigus kasutamist piirata Erineb (enamik: opt-in)
Täitmise järelevalve Andmekaitseasutused + eraõiguslik nõue (piiratud) CPPA + peaprokurör + eraõiguslik nõue (andmelekked) Ainult peaprokurör
Maksimaalsed trahvid 4% ülemaailmsest käibest / 20 mln € 2500 $/rikkumine; 7500 $/tahtlik Erineb; tavaliselt 7500-10 000 $

Praktiline lähenemine: GDPR-i vastavus katab enamiku USA nõuetest

Kui teie veebisait juba vastab GDPR-ile, olete USA vastavuse jaoks heas positsioonis. GDPR-i opt-in-mudel on rangem kui ükski USA osariigi opt-out-mudel. Siiski on konkreetseid USA nõudeid, mida GDPR ei käsitle:

  1. Link „Ära müü ega jaga": GDPR nõuab nõusolekute haldamist, kuid mitte konkreetset linki „Ära müü ega jaga". Kui teil on California külastajaid ja vastate CCPA künnistele, vajate seda linki.
  2. GPC-signaali tunnustamine: Kuigi GDPR ei nõua brauserisignaalide tunnustamist, kohustavad selleks mitmed USA osariigid. GPC tunnustamise rakendamine on lihtne ja näitab lugupidamist kasutaja eelistuste vastu.
  3. Konkreetsed privaatsuspoliitika avalikustamised: CCPA/CPRA nõuab konkreetsel viisil vormistatud avalikustamisi (eelmise 12 kuu jooksul kogutud teabe kategooriad, allikate kategooriad jne), mis erinevad GDPR-i privaatsusteatise nõuetest.
  4. „Do Not Track" vs. GPC: Vana Do Not Track (DNT) brauserisignaal ei olnud kunagi õiguslikult siduv. GPC on selle järeltulija ning on CCPA/CPRA ja mitmete teiste osariikide seaduste järgi õiguslikult siduv. Veenduge, et teie nõusolekute haldamise platvorm tunneb ära GPC-signaalid ja tegutseb nende alusel.

Föderaalse USA privaatsusseaduse väljavaated

American Data Privacy and Protection Act (ADPPA) jõudis vastuvõtmisele lähemale kui ükski varasem föderaalne privaatsuseelnõu, kui see läbis Esindajatekoja energia- ja kaubanduskomitee 2022. aasta juulis, kuid lõpuks jäi see toppama. Kongressi järgnevatel istungjärkudel on nähtud uusi ettepanekuid, kuid 2026. aasta alguse seisuga pole ühtegi föderaalset privaatsusseadust vastu võetud.

Peamised takistused on endiselt:

  • Ülimuslikkus: Kas föderaalne seadus peaks tühistama osariikide seadused (California on vastu ülimuslikkusele, mis nõrgendaks CCPA/CPRA-d).
  • Eraõiguslik hagemisõigus: Kas üksikisikutel peaks olema õigus ettevõtteid privaatsusrikkumiste eest otse kohtusse kaevata.
  • Opt-in vs. opt-out: Kas föderaalne standard peaks võtma tundlike andmete puhul kasutusele opt-in-mudeli või säilitama opt-out-lähenemise.

Kuni föderaalset seadust pole vastu võetud, peavad ettevõtted navigeerima osariikide kaupa kirevas maastikus. Praktiline soovitus jääb samaks: ehitage nõusolekute haldamise süsteem, mis suudab käsitleda kõige rangemaid nõudeid (GDPR-i opt-in), ning lisage vajadusel USA-spetsiifilised funktsioonid (loobumislingid, GPC tugi).

Soovitused globaalseks vastavuseks

Nii ELi kui ka USA külastajaid teenindavate veebisaitide jaoks on kõige tõhusam lähenemine:

  1. Rakendage GDPR-iga vastavuses nõusolekute haldamine baastasemena. See annab teile kõige rangema mudeli, mis rahuldab olemuselt vähem rangeid nõudeid.
  2. Lisage mehhanism „Ära müü ega jaga", kui vastate CCPA künnistele või teil on märkimisväärne California liiklus.
  3. Rakendage GPC-signaali tunnustamine kõigi külastajate jaoks. See on lihtne tehniline lahendus, millel on olulised õiguslikud eelised.
  4. Kasutage geograafilise asukoha tuvastamist, et pakkuda sobivaid nõusolekukogemusi. ELi külastajad näevad opt-in-riba; USA külastajad näevad vähem pealetükkivat teadet koos loobumisvõimalustega. See tasakaalustab vastavuse ja kasutajakogemuse.
  5. Hoidke põhjalikke privaatsusavaldusi, mis rahuldavad nii GDPR-i kui ka CCPA/CPRA nõudeid.

Globaalne trend liigub selgelt suurema privaatsuskaitse ja kasutajakontrolli suunas jälgimistehnoloogiate üle. Tugeva nõusolekute haldamise loomine praegu on investeering, mis tasub end ära, kui uued regulatsioonid jätkuvalt esile kerkivad.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta