Skip to main content

CCPA, CPRA és az amerikai adatvédelmi törvények: cookie-megfelelőség Európán túl

Az Egyesült Államok alapjaiban másképp közelíti meg a cookie-k adatvédelmét, mint Európa. Nincs szövetségi szintű cookie-törvény, nincs egységes hozzájárulási követelmény, és nincs egyetlen központi adatvédelmi hatóság sem. Ehelyett az egyre bővülő állami szintű adatvédelmi törvények mozaikja teremt mind összetettebb helyzetet a weboldalak üzemeltetői számára. Az amerikai megközelítés — és a GDPR-tól való eltéréseinek — megértése elengedhetetlen minden olyan vállalkozás számára, amelynek az Atlanti-óceán mindkét oldaláról vannak látogatói.

Az amerikai adatvédelmi környezet áttekintése

Az amerikai és az uniós cookie-jog közötti legfontosabb különbség a szabályozási modellben rejlik:

  • Uniós modell: opt-in. A nem elengedhetetlen cookie-k elhelyezése előtt hozzájárulást kell szerezni. Az alapértelmezett állapot: nincs nyomon követés.
  • Amerikai modell: opt-out. Alapértelmezés szerint gyűjthet és megoszthat személyes adatokat, de biztosítania kell a fogyasztóknak a leiratkozás lehetőségét. Az alapértelmezett állapot a nyomon követés, egy kikapcsológombbal.

Ez a szemléletbeli különbség a cookie-szabályozás minden vetületében tükröződik. Az EU-ban a cookie-sáv engedélyt kér. Az USA-ban a cookie-sáv (ha egyáltalán van) jellemzően a leiratkozás jogáról tájékoztatja a felhasználókat.

2026 elején legalább 15 államban léptek életbe átfogó állami adatvédelmi törvények, és továbbiak vannak aktívan napirenden. Ezek közül azonban csak néhánynak van kifejezett hatása a cookie-megfelelőségre.

Kalifornia: CCPA és CPRA

Kalifornia az adatvédelmi szabályozás legjelentősebb amerikai állama. A California Consumer Privacy Act (CCPA), amely 2020. január 1-jén lépett hatályba, volt az első átfogó állami adatvédelmi törvény. Jelentős módosításokat hozott a California Privacy Rights Act (CPRA), amely 2023. január 1-jén lépett teljes körűen hatályba, a California Privacy Protection Agency (CPPA) általi érvényesítéssel 2023. július 1-jétől.

Hogyan kapcsolódnak a cookie-k a CCPA/CPRA-hoz

A CCPA/CPRA nem közvetlenül a cookie-kat szabályozza. Ehelyett a személyes adatok gyűjtését, értékesítését és megosztását szabályozza, amely magában foglalja a cookie-k útján gyűjtött adatokat is. A kulcsfogalmak a következők:

  • A „személyes adat” a CCPA/CPRA szerint magában foglalja az online azonosítókat, az IP-címeket, a böngészési előzményeket, valamint a fogyasztó weboldallal folytatott interakciójára vonatkozó információkat — ezek mindegyikét gyakran cookie-k útján gyűjtik.
  • Az „értékesítés” tág fogalom: személyes adatok harmadik fél számára pénzbeli vagy más értékes ellenszolgáltatás fejében történő hozzáférhetővé tétele. Ha az oldalán lévő, harmadik féltől származó hirdetési cookie-k látogatói adatokat osztanak meg hirdetési hálózatokkal, ez a CCPA szerint „értékesítésnek” minősülhet.
  • A „megosztás” (amelyet a CPRA vezetett be) a személyes adatok harmadik felek számára, kontextusok közötti viselkedésalapú hirdetés céljából történő hozzáférhetővé tételét fedi le, függetlenül attól, hogy pénz cserél-e gazdát. Ez kifejezetten a hatály alá vonja a hirdetési cookie-kat.

Fő követelmények

  1. „Do Not Sell or Share My Personal Information” hivatkozás: Ha weboldala személyes adatokat értékesít vagy oszt meg (ami a legtöbb hirdetési cookie-forgatókönyvet magában foglalja), egyértelműen megjelölt hivatkozást kell elhelyeznie a főoldalán, amely lehetővé teszi a fogyasztók számára a leiratkozást. Ez a cookie-hozzájárulási mechanizmus amerikai megfelelője, bár opt-out, nem pedig opt-in alapon működik.
  2. Global Privacy Control (GPC): A CPPA által véglegesített CPRA-rendeletek szerint a vállalkozásoknak a felhasználó böngészője által küldött GPC-jelzést érvényes leiratkozási kérésként kell kezelniük. A GPC egy böngészőszintű jelzés (koncepciójában a régi Do Not Track-hez hasonló, de a CCPA/CPRA szerint jogilag kötelező érvényű). Ha egy felhasználó böngészője GPC-jelzést küld, meg kell szüntetnie a személyes adatai értékesítését vagy megosztását — ami azt jelenti, hogy le kell tiltani a hirdetési és nyomkövető cookie-kat az adott felhasználó számára.
  3. Adatvédelmi szabályzatban való közzététel: Adatvédelmi szabályzatában közzé kell tennie a gyűjtött személyes adatok kategóriáit, a gyűjtés céljait, azon harmadik felek kategóriáit, akikkel adatokat oszt meg, valamint azt, hogy értékesít-e vagy oszt-e meg adatokat.
  4. Érzékeny személyes adatok: A CPRA bevezeti a „Limit the Use of My Sensitive Personal Information” jogot. Ha a cookie-k érzékeny adatokat (például pontos földrajzi helyzetet) gyűjtenek, a fogyasztóknak lehetőséget kell adni azok felhasználásának korlátozására.
  5. Kiskorúak: A 16 év alatti fogyasztók esetében a CCPA/CPRA opt-in modellre vált. Nem értékesítheti vagy oszthatja meg annak a fogyasztónak a személyes adatait, akiről tudja, hogy 16 év alatti, kifejezett hozzájárulás nélkül (13–15 éves korban magától a fogyasztótól, 13 év alatt szülőtől/gondviselőtől).

Kire vonatkozik

A CCPA/CPRA azokra a nyereségorientált vállalkozásokra vonatkozik, amelyek Kaliforniában üzleti tevékenységet folytatnak, és megfelelnek a következő küszöbértékek bármelyikének: éves bruttó árbevétel meghaladja a 25 millió dollárt; 100 000 vagy több fogyasztó vagy háztartás személyes adatának megvásárlása, értékesítése vagy megosztása; vagy az éves árbevétel 50%-át vagy annál nagyobb részét fogyasztók személyes adatainak értékesítéséből vagy megosztásából szerzik.

Egyéb amerikai állami adatvédelmi törvények

Több más állam is elfogadott átfogó adatvédelmi törvényeket, amelyeknek hatása van a cookie-megfelelőségre. Bár egyik sem olyan részletes, mint a CCPA/CPRA, következetes témákat állítanak fel a leiratkozási jogok és az adatátláthatóság körül.

Colorado Privacy Act (CPA)

Hatályos: 2023. július 1. Érvényesíti: Colorado állam főügyésze.

Leiratkozási jogot ír elő a célzott hirdetésekre és a személyes adatok értékesítésére vonatkozóan. A vállalkozásoknak tiszteletben kell tartaniuk az univerzális leiratkozási mechanizmusokat (mint a GPC). Colorado szabályai kifejezetten „egyértelmű és jól látható” leiratkozási módszert követelnek meg, és elismerik az univerzális leiratkozási jelzéseket, ezáltal a GPC-megfelelőség gyakorlatilag kötelező az érintett vállalkozások számára.

Connecticut Data Privacy Act (CTDPA)

Hatályos: 2023. július 1. Érvényesíti: Connecticut állam főügyésze.

Hasonló Colorado törvényéhez. Leiratkozási lehetőséget ír elő a célzott hirdetésekre, a személyes adatok értékesítésére és a profilalkotásra vonatkozóan. 2025. január 1-jétől megköveteli az univerzális leiratkozási mechanizmusok elismerését. Külön védelmet nyújt az érzékeny adatoknak, opt-in hozzájárulást megkövetelve.

Virginia Consumer Data Protection Act (VCDPA)

Hatályos: 2023. január 1. Érvényesíti: Virginia állam főügyésze.

Leiratkozási jogot biztosít a célzott hirdetésekre és a személyes adatok értékesítésére vonatkozóan. Nem követeli meg az univerzális leiratkozási jelzések elismerését (Kaliforniával, Coloradóval és Connecticuttal ellentétben). Az érzékeny adatok kezeléséhez hozzájárulást ír elő.

Texas Data Privacy and Security Act (TDPSA)

Hatályos: 2024. július 1. Érvényesíti: Texas állam főügyésze.

Kiemelkedően tág hatályú, árbevételi küszöbérték nélkül — minden olyan, Texasban üzleti tevékenységet folytató entitásra vonatkozik, amely személyes adatokat kezel, és nem minősül az SBA meghatározása szerinti kisvállalkozásnak. Leiratkozási lehetőséget ír elő a célzott hirdetésekre és az adatértékesítésre. Megköveteli az univerzális leiratkozási mechanizmusok elismerését.

Oregon Consumer Privacy Act (OCPA)

Hatályos: 2024. július 1. Érvényesíti: Oregon állam főügyésze.

Azokra a vállalkozásokra vonatkozik, amelyek 100 000+ oregoni fogyasztó adatait kezelik vagy felügyelik, illetve 25 000+ fogyasztóét, ha árbevételük 25%+-át adatértékesítésből szerzik. Szokásos leiratkozási jogokat biztosít, és 30 napos orvoslási időszakot ír elő a jogsértésekre.

Összehasonlítás: amerikai államok kontra GDPR

Követelmény GDPR/ePrivacy CCPA/CPRA Egyéb amerikai államok
Hozzájárulási modell Opt-in (előzetes hozzájárulás) Opt-out Opt-out
Cookie-hozzájárulás szükséges az elhelyezés előtt Igen Nem Nem
Cookie-sáv szükséges Gyakorlatilag igen Nem (leiratkozási hivatkozás szükséges) Nem
Kategóriánkénti részletes hozzájárulás Igen Nem Nem
Jog a nyomon követésről való leiratkozásra Igen (a hozzájárulás megtagadásával) Igen („Do Not Sell/Share”) Igen (célzott hirdetések/adatértékesítés)
GPC/univerzális leiratkozás szükséges Nincs meghatározva Igen Változó (CA, CO, CT, TX: igen)
Adatvédelmi szabályzat szükséges Igen Igen Igen
Érzékeny adatok: opt-in szükséges Igen (kifejezett hozzájárulás) Jog a felhasználás korlátozására Változó (a legtöbbnél: opt-in)
Érvényesítés Adatvédelmi hatóságok + magánjogi kereset (korlátozott) CPPA + főügyész + magánjogi kereset (adatvédelmi incidensek esetén) Csak főügyész
Maximális bírságok A globális éves árbevétel 4%-a / 20 millió € 2500 $/jogsértés; 7500 $/szándékos Változó; jellemzően 7500–10 000 $

Gyakorlati megközelítés: a GDPR-megfelelőség a legtöbb amerikai követelményt lefedi

Ha weboldala már megfelel a GDPR-nak, jó helyzetben van az amerikai megfelelőség szempontjából. A GDPR opt-in modellje szigorúbb bármely amerikai állam opt-out modelljénél. Vannak azonban olyan konkrét amerikai követelmények, amelyekkel a GDPR nem foglalkozik:

  1. „Do Not Sell or Share” hivatkozás: A GDPR hozzájárulás-kezelést ír elő, de nem egy konkrét „Do Not Sell or Share” hivatkozást. Ha kaliforniai látogatói vannak, és megfelel a CCPA küszöbértékeinek, szüksége van erre a hivatkozásra.
  2. GPC-jelzés elismerése: Bár a GDPR nem követeli meg a böngészőjelzések elismerését, több amerikai állam kötelezővé teszi. A GPC-elismerés bevezetése egyszerű, és a felhasználói preferenciák tiszteletben tartását tükrözi.
  3. Konkrét adatvédelmi közzétételek: A CCPA/CPRA meghatározott módon formázott közzétételeket ír elő (az elmúlt 12 hónapban gyűjtött információk kategóriái, a források kategóriái stb.), amelyek eltérnek a GDPR adatvédelmi tájékoztatóra vonatkozó követelményeitől.
  4. „Do Not Track” kontra GPC: A régi Do Not Track (DNT) böngészőjelzés sosem volt jogilag kötelező érvényű. A GPC ennek utódja, és a CCPA/CPRA, valamint több más állami törvény szerint jogilag kötelező. Győződjön meg róla, hogy hozzájárulás-kezelő platformja felismeri és kezeli a GPC-jelzéseket.

Egy szövetségi amerikai adatvédelmi törvény kilátásai

Az American Data Privacy and Protection Act (ADPPA) közelebb került az elfogadáshoz, mint bármely korábbi szövetségi adatvédelmi törvényjavaslat, amikor 2022 júliusában áthaladt a képviselőházi energiaügyi és kereskedelmi bizottságon, végül azonban elakadt. A Kongresszus későbbi ülésszakai újabb javaslatokat hoztak, de 2026 elején még nem fogadtak el szövetségi adatvédelmi törvényt.

A fő akadályok továbbra is a következők:

  • Elsőbbség (preemption): Vajon egy szövetségi törvénynek felül kell-e írnia az állami törvényeket (Kalifornia ellenzi az olyan elsőbbséget, amely gyengítené a CCPA/CPRA-t).
  • Magánjogi kereseti jog: Vajon a magánszemélyek közvetlenül perelhessék-e a vállalatokat adatvédelmi jogsértésekért.
  • Opt-in kontra opt-out: Vajon a szövetségi szabvány opt-in modellt alkalmazzon-e az érzékeny adatokra, vagy tartsa fenn az opt-out megközelítést.

Amíg nem születik szövetségi törvény, a vállalkozásoknak az államonként eltérő mozaikban kell eligazodniuk. A gyakorlati tanács változatlan: építsen olyan hozzájárulás-kezelő rendszert, amely kezelni tudja a legszigorúbb követelményeket (GDPR opt-in), és szükség szerint egészítse ki amerikai-specifikus funkciókkal (leiratkozási hivatkozások, GPC-támogatás).

Ajánlások a globális megfelelőséghez

Az EU és az USA látogatóit egyaránt kiszolgáló weboldalak számára a leghatékonyabb megközelítés a következő:

  1. Vezessen be GDPR-nak megfelelő hozzájárulás-kezelést kiindulási alapként. Ez adja a legszigorúbb modellt, amely eleve teljesíti a kevésbé szigorú követelményeket.
  2. Adjon hozzá egy „Do Not Sell or Share” mechanizmust, ha megfelel a CCPA küszöbértékeinek, vagy jelentős kaliforniai forgalma van.
  3. Vezesse be a GPC-jelzés elismerését minden látogató számára. Ez egy egyszerű technikai megvalósítás jelentős jogi előnyökkel.
  4. Használjon földrajzi helymeghatározást a megfelelő hozzájárulási élmény biztosításához. Az uniós látogatók opt-in sávot látnak; az amerikai látogatók egy kevésbé tolakodó tájékoztatót leiratkozási lehetőségekkel. Ez egyensúlyba hozza a megfelelőséget és a felhasználói élményt.
  5. Tartson fenn átfogó adatvédelmi közzétételeket, amelyek egyaránt megfelelnek a GDPR és a CCPA/CPRA követelményeinek.

A globális trend félreérthetetlenül a fokozottabb adatvédelem és a nyomkövető technológiák feletti nagyobb felhasználói kontroll felé mutat. Egy robusztus hozzájárulás-kezelő rendszer kiépítése most olyan befektetés, amely bőségesen megtérül, ahogy az új szabályozások továbbra is megjelennek.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen