CCPA, CPRA ja Yhdysvaltain tietosuojalait: Evästekäytäntöjen noudattaminen Euroopan ulkopuolella
Yhdysvallat suhtautuu evästeisiin liittyvään yksityisyyteen perustavanlaatuisesti eri tavalla kuin Eurooppa. Siellä ei ole liittovaltiotason evästelakia, yleistä suostumusvaatimusta eikä yhtä ainoaa tietosuojaviranomaista. Sen sijaan kasvava osavaltiokohtaisten tietosuojalakien tilkkutäkki luo verkkosivustojen ylläpitäjille yhä monimutkaisemman toimintaympäristön. Yhdysvaltain lähestymistavan — ja sen erojen GDPR:ään verrattuna — ymmärtäminen on välttämätöntä jokaiselle yritykselle, jolla on kävijöitä Atlantin molemmilta puolilta.
Yhdysvaltain tietosuojaympäristö: Yleiskatsaus
Tärkein ero Yhdysvaltain ja EU:n evästelainsäädännön välillä on sääntelymalli:
- EU-malli: Suostumukseen perustuva (opt-in). Sinun on hankittava suostumus ennen ei-välttämättömien evästeiden asettamista. Oletusarvona on, ettei seurantaa tapahdu.
- Yhdysvaltain malli: Kieltäytymiseen perustuva (opt-out). Voit oletusarvoisesti kerätä ja jakaa henkilötietoja, mutta sinun on annettava kuluttajille mahdollisuus kieltäytyä. Oletusarvona on seuranta, johon on olemassa katkaisin.
Tämä filosofinen ero näkyy evästesääntelyn kaikilla osa-alueilla. EU:ssa evästebanneri pyytää lupaa. Yhdysvalloissa evästebanneri (jos sellaista ylipäätään on) tyypillisesti kertoo käyttäjille heidän oikeudestaan kieltäytyä.
Vuoden 2026 alussa kattavia osavaltiotason tietosuojalakeja oli säädetty ainakin 15 osavaltiossa, ja lisää on aktiivisen harkinnan alla. Vain kourallisella niistä on kuitenkin erityisvaikutuksia evästekäytäntöjen noudattamiseen.
Kalifornia: CCPA ja CPRA
Kalifornia on Yhdysvaltain merkittävin osavaltio tietosuojasääntelyn kannalta. California Consumer Privacy Act (CCPA), joka tuli voimaan 1. tammikuuta 2020, oli ensimmäinen kattava osavaltiotason tietosuojalaki. Sitä muutettiin merkittävästi California Privacy Rights Act -lailla (CPRA), joka tuli täysimääräisesti voimaan 1. tammikuuta 2023. Sen valvonnasta vastaa California Privacy Protection Agency (CPPA), joka aloitti valvonnan 1. heinäkuuta 2023.
Miten evästeet liittyvät CCPA:han/CPRA:han
CCPA/CPRA ei sääntele evästeitä suoraan. Sen sijaan se sääntelee henkilötietojen keräämistä, myyntiä ja jakamista, joihin kuuluvat evästeiden avulla kerätyt tiedot. Keskeiset käsitteet ovat:
- "Henkilötiedot" CCPA:n/CPRA:n mukaan sisältävät verkkotunnisteet, IP-osoitteet, selaushistorian ja tiedot kuluttajan vuorovaikutuksesta verkkosivuston kanssa — kaikki nämä kerätään yleisesti evästeiden avulla.
- "Myynti" määritellään laajasti henkilötietojen luovuttamiseksi kolmannelle osapuolelle rahallista tai muuta arvokasta vastiketta vastaan. Jos sivustosi kolmannen osapuolen mainosevästeet jakavat kävijätietoja mainosverkostojen kanssa, tämä voi olla CCPA:n tarkoittamaa "myyntiä".
- "Jakaminen" (lisätty CPRA:lla) kattaa henkilötietojen luovuttamisen kolmansille osapuolille kontekstirajat ylittävää käyttäytymiseen perustuvaa mainontaa varten riippumatta siitä, vaihtaako raha omistajaa. Tämä tuo mainosevästeet nimenomaisesti soveltamisalaan.
Keskeiset vaatimukset
- "Älä myy tai jaa henkilötietojani" -linkki: Jos verkkosivustosi myy tai jakaa henkilötietoja (mikä kattaa useimmat mainosevästeskenaariot), sinun on tarjottava etusivullasi selkeästi merkitty linkki, jonka avulla kuluttajat voivat kieltäytyä. Tämä on Yhdysvaltain vastine evästesuostumusmekanismille, joskin se toimii kieltäytymis- eikä suostumusperiaatteella.
- Global Privacy Control (GPC): CPPA:n viimeistelemien CPRA-säännösten mukaan yritysten on käsiteltävä käyttäjän selaimen lähettämiä GPC-signaaleja pätevänä kieltäytymispyyntönä. GPC on selaintason signaali (käsitteeltään samankaltainen kuin vanha Do Not Track, mutta CCPA:n/CPRA:n mukaan oikeudellisesti sitova). Jos käyttäjän selain lähettää GPC-signaalin, sinun on lopetettava hänen henkilötietojensa myynti tai jakaminen — mikä tarkoittaa mainos- ja seurantaevästeiden poistamista käytöstä kyseisen käyttäjän osalta.
- Tietosuojaselosteen tiedot: Tietosuojaselosteessasi on ilmoitettava kerättyjen henkilötietojen luokat, keräämisen tarkoitukset, niiden kolmansien osapuolten luokat, joiden kanssa tietoja jaetaan, sekä se, myydäänkö tai jaetaanko tietoja.
- Arkaluontoiset henkilötiedot: CPRA tuo mukanaan oikeuden "Rajoita arkaluontoisten henkilötietojeni käyttöä". Jos evästeet keräävät arkaluontoisia tietoja (kuten tarkkaa sijaintitietoa), kuluttajien on voitava rajoittaa niiden käyttöä.
- Alaikäiset: Alle 16-vuotiaiden kuluttajien osalta CCPA/CPRA siirtyy suostumusmalliin. Et saa myydä tai jakaa alle 16-vuotiaaksi tietämäsi kuluttajan henkilötietoja ilman nimenomaista suostumusta (13–15-vuotiaalta itseltään, alle 13-vuotiaan osalta vanhemmalta/huoltajalta).
Ketä velvoitteet koskevat
CCPA/CPRA koskee voittoa tavoittelevia yrityksiä, jotka harjoittavat liiketoimintaa Kaliforniassa ja täyttävät jonkin seuraavista raja-arvoista: vuotuinen bruttoliikevaihto ylittää 25 miljoonaa dollaria; ostavat, myyvät tai jakavat vähintään 100 000 kuluttajan tai kotitalouden henkilötietoja; tai saavat vähintään 50 % vuotuisesta liikevaihdostaan kuluttajien henkilötietojen myynnistä tai jakamisesta.
Muut Yhdysvaltain osavaltioiden tietosuojalait
Useat muut osavaltiot ovat säätäneet kattavia tietosuojalakeja, joilla on vaikutuksia evästekäytäntöjen noudattamiseen. Vaikka mikään niistä ei ole yhtä yksityiskohtainen kuin CCPA/CPRA, ne muodostavat johdonmukaisia teemoja kieltäytymisoikeuksien ja tietojen läpinäkyvyyden ympärille.
Colorado Privacy Act (CPA)
Voimaantulo: 1. heinäkuuta 2023. Valvova viranomainen: Coloradon oikeusministeri.
Edellyttää kieltäytymisoikeutta kohdennetusta mainonnasta ja henkilötietojen myynnistä. Yritysten on kunnioitettava yleisiä kieltäytymismekanismeja (kuten GPC). Coloradon säännöt edellyttävät nimenomaisesti "selkeää ja näkyvää" kieltäytymistapaa ja tunnustavat yleiset kieltäytymissignaalit, mikä tekee GPC:n noudattamisesta käytännössä pakollista sen piiriin kuuluville yrityksille.
Connecticut Data Privacy Act (CTDPA)
Voimaantulo: 1. heinäkuuta 2023. Valvova viranomainen: Connecticutin oikeusministeri.
Samankaltainen kuin Coloradon laki. Edellyttää kieltäytymismahdollisuutta kohdennetusta mainonnasta, henkilötietojen myynnistä ja profiloinnista. Edellyttää yleisten kieltäytymismekanismien tunnustamista 1. tammikuuta 2025 alkaen. Tarjoaa erityissuojaa arkaluontoisille tiedoille, jotka edellyttävät suostumusta.
Virginia Consumer Data Protection Act (VCDPA)
Voimaantulo: 1. tammikuuta 2023. Valvova viranomainen: Virginian oikeusministeri.
Tarjoaa kieltäytymisoikeudet kohdennetusta mainonnasta ja henkilötietojen myynnistä. Ei edellytä yleisten kieltäytymissignaalien tunnustamista (toisin kuin Kalifornia, Colorado ja Connecticut). Edellyttää suostumusta arkaluontoisten tietojen käsittelyyn.
Texas Data Privacy and Security Act (TDPSA)
Voimaantulo: 1. heinäkuuta 2024. Valvova viranomainen: Texasin oikeusministeri.
Soveltamisalaltaan huomattavan laaja ilman liikevaihtorajaa — se koskee kaikkia Texasissa liiketoimintaa harjoittavia tahoja, jotka käsittelevät henkilötietoja ja jotka eivät ole SBA:n määrittelemiä pienyrityksiä. Edellyttää kieltäytymismahdollisuutta kohdennetusta mainonnasta ja tietojen myynnistä. Edellyttää yleisten kieltäytymismekanismien tunnustamista.
Oregon Consumer Privacy Act (OCPA)
Voimaantulo: 1. heinäkuuta 2024. Valvova viranomainen: Oregonin oikeusministeri.
Koskee yrityksiä, jotka hallitsevat tai käsittelevät vähintään 100 000 Oregonin kuluttajan tietoja, tai vähintään 25 000 kuluttajan tietoja, jos vähintään 25 % liikevaihdosta tulee tietojen myynnistä. Tarjoaa tavanomaiset kieltäytymisoikeudet ja edellyttää 30 päivän korjausaikaa rikkomusten osalta.
Vertailu: Yhdysvaltain osavaltiot vs. GDPR
| Vaatimus | GDPR/ePrivacy | CCPA/CPRA | Muut Yhdysvaltain osavaltiot |
|---|---|---|---|
| Suostumusmalli | Opt-in (ennakkosuostumus) | Opt-out | Opt-out |
| Evästesuostumus vaaditaan ennen asettamista | Kyllä | Ei | Ei |
| Evästebanneri vaaditaan | Käytännössä kyllä | Ei (kieltäytymislinkki vaaditaan) | Ei |
| Kategoriakohtainen tarkka suostumus | Kyllä | Ei | Ei |
| Oikeus kieltäytyä seurannasta | Kyllä (jättämällä suostumus antamatta) | Kyllä ("Älä myy/jaa") | Kyllä (kohdennettu mainonta / tietojen myynti) |
| GPC/yleinen kieltäytyminen vaaditaan | Ei määritelty | Kyllä | Vaihtelee (CA, CO, CT, TX: kyllä) |
| Tietosuojaseloste vaaditaan | Kyllä | Kyllä | Kyllä |
| Arkaluontoiset tiedot: opt-in vaaditaan | Kyllä (nimenomainen suostumus) | Oikeus rajoittaa käyttöä | Vaihtelee (useimmat: opt-in) |
| Valvonta | Tietosuojaviranomaiset + yksityinen kanne (rajoitettu) | CPPA + oikeusministeri + yksityinen kanneoikeus (tietoturvaloukkaukset) | Vain oikeusministeri |
| Enimmäissakot | 4 % maailmanlaajuisesta liikevaihdosta / 20 milj. € | 2 500 $/rikkomus; 7 500 $/tahallinen | Vaihtelee; tyypillisesti 7 500–10 000 $ |
Käytännön lähestymistapa: GDPR:n noudattaminen kattaa useimmat Yhdysvaltain vaatimukset
Jos verkkosivustosi noudattaa jo GDPR:ää, olet hyvässä asemassa myös Yhdysvaltain vaatimusten suhteen. GDPR:n suostumusmalli on tiukempi kuin minkään Yhdysvaltain osavaltion kieltäytymismalli. On kuitenkin joitakin erityisiä Yhdysvaltain vaatimuksia, joita GDPR ei käsittele:
- "Älä myy tai jaa" -linkki: GDPR edellyttää suostumuksen hallintaa, mutta ei erityistä "Älä myy tai jaa" -linkkiä. Jos sinulla on kalifornialaisia kävijöitä ja täytät CCPA:n raja-arvot, tarvitset tämän linkin.
- GPC-signaalin tunnistaminen: Vaikka GDPR ei edellytä selainsignaalien tunnistamista, useat Yhdysvaltain osavaltiot vaativat sitä. GPC:n tunnistuksen toteuttaminen on suoraviivaista ja osoittaa kunnioitusta käyttäjän valintoja kohtaan.
- Erityiset tietosuojaselosteen tiedot: CCPA/CPRA edellyttää tietyllä tavalla muotoiltuja tietoja (edeltävien 12 kuukauden aikana kerättyjen tietojen luokat, lähteiden luokat jne.), jotka poikkeavat GDPR:n tietosuojailmoituksen vaatimuksista.
- "Do Not Track" vs. GPC: Vanha Do Not Track (DNT) -selainsignaali ei ollut koskaan oikeudellisesti sitova. GPC on sen seuraaja ja on oikeudellisesti sitova CCPA:n/CPRA:n ja useiden muiden osavaltiolakien nojalla. Varmista, että suostumustenhallinta-alustasi tunnistaa GPC-signaalit ja toimii niiden mukaisesti.
Liittovaltiotason tietosuojalain näkymät
American Data Privacy and Protection Act (ADPPA) eteni pidemmälle kuin mikään aiempi liittovaltiotason tietosuojalakiesitys, kun se eteni edustajainhuoneen energia- ja kauppavaliokunnan läpi heinäkuussa 2022, mutta lopulta se jäi jumiin. Myöhemmillä kongressin istuntokausilla on nähty uusia esityksiä, mutta vuoden 2026 alkuun mennessä liittovaltiotason tietosuojalakia ei ole säädetty.
Suurimmat esteet ovat edelleen:
- Etusija (preemption): Se, tulisiko liittovaltiolain syrjäyttää osavaltiolait (Kalifornia vastustaa etusijaa, joka heikentäisi CCPA:ta/CPRA:ta).
- Yksityinen kanneoikeus: Se, tulisiko yksityishenkilöiden voida nostaa kanne yrityksiä vastaan suoraan tietosuojaloukkauksista.
- Opt-in vs. opt-out: Se, tulisiko liittovaltiotason standardin omaksua suostumusmalli arkaluontoisille tiedoille vai säilyttää kieltäytymismalli.
Kunnes liittovaltiotason laki säädetään, yritysten on navigoitava osavaltiokohtaisessa tilkkutäkissä. Käytännön neuvo pysyy samana: rakenna suostumustenhallintajärjestelmä, joka pystyy käsittelemään tiukimmat vaatimukset (GDPR:n opt-in), ja lisää tarpeen mukaan Yhdysvalloille ominaisia toimintoja (kieltäytymislinkit, GPC-tuki).
Suositukset maailmanlaajuiseen vaatimustenmukaisuuteen
Verkkosivustoille, jotka palvelevat sekä EU:n että Yhdysvaltain kävijöitä, tehokkain lähestymistapa on:
- Toteuta GDPR:n mukainen suostumustenhallinta perustaksi. Tämä antaa sinulle tiukimman mallin, joka luonnostaan täyttää lievemmät vaatimukset.
- Lisää "Älä myy tai jaa" -mekanismi, jos täytät CCPA:n raja-arvot tai sinulla on merkittävästi kalifornialaista liikennettä.
- Toteuta GPC-signaalin tunnistus kaikille kävijöille. Se on yksinkertainen tekninen toteutus, jolla on merkittäviä oikeudellisia hyötyjä.
- Käytä sijaintitietoa tarjotaksesi asianmukaiset suostumuskokemukset. EU:n kävijät näkevät suostumusbannerin; Yhdysvaltain kävijät näkevät vähemmän häiritsevän ilmoituksen kieltäytymisvaihtoehtoineen. Tämä tasapainottaa vaatimustenmukaisuuden ja käyttäjäkokemuksen.
- Ylläpidä kattavia tietosuojaselosteita, jotka täyttävät sekä GDPR:n että CCPA:n/CPRA:n vaatimukset.
Maailmanlaajuinen suuntaus on kiistatta kohti vahvempaa yksityisyydensuojaa ja käyttäjän hallintaa seurantatekniikoista. Vankan suostumustenhallinnan rakentaminen nyt on investointi, joka maksaa itsensä takaisin uusien säännösten jatkaessa ilmaantumistaan.
Noudattaako verkkosivustosi evästesääntöjä?
Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.
Skannaa evästeesi ilmaiseksi