Skip to main content

CCPA, CPRA og amerikanske personvernlover: Cookie-samsvar utenfor Europa

USA har en fundamentalt annerledes tilnærming til personvern for cookies enn Europa. Det finnes ingen føderal cookie-lov, ingen universell samtykkeplikt og ingen enkelt datatilsynsmyndighet. I stedet skaper et voksende lappeteppe av personvernlover på delstatsnivå et stadig mer komplekst landskap for nettstedsoperatører. Å forstå den amerikanske tilnærmingen — og hvordan den skiller seg fra GDPR — er avgjørende for enhver virksomhet med besøkende fra begge sider av Atlanterhavet.

Det amerikanske personvernlandskapet: En oversikt

Det viktigste skillet mellom amerikansk og europeisk cookie-lovgivning er reguleringsmodellen:

  • EU-modellen: Opt-in. Du må innhente samtykke før du setter ikke-nødvendige cookies. Standardinnstillingen er ingen sporing.
  • USA-modellen: Opt-out. Du kan samle inn og dele personopplysninger som standard, men du må gi forbrukerne muligheten til å reservere seg. Standardinnstillingen er sporing, med en av-bryter.

Denne forskjellen i filosofi gjenspeiles i alle aspekter av cookie-regulering. I EU ber et cookie-banner om tillatelse. I USA informerer et cookie-banner (om det i det hele tatt finnes) vanligvis brukerne om deres rett til å reservere seg.

Per tidlig 2026 er omfattende personvernlover på delstatsnivå vedtatt i minst 15 delstater, med flere under aktiv vurdering. Imidlertid har bare en håndfull spesifikke konsekvenser for cookie-samsvar.

California: CCPA og CPRA

California er den viktigste amerikanske delstaten for personvernregulering. California Consumer Privacy Act (CCPA), som trådte i kraft 1. januar 2020, var den første omfattende personvernloven på delstatsnivå. Den ble vesentlig endret av California Privacy Rights Act (CPRA), som trådte i full kraft 1. januar 2023, med håndhevelse av California Privacy Protection Agency (CPPA) fra 1. juli 2023.

Hvordan cookies forholder seg til CCPA/CPRA

CCPA/CPRA regulerer ikke cookies direkte. I stedet regulerer den innsamling, salg og deling av personopplysninger, som inkluderer data samlet inn gjennom cookies. Nøkkelbegrepene er:

  • «Personopplysninger» under CCPA/CPRA inkluderer nettidentifikatorer, IP-adresser, nettleserhistorikk og informasjon om en forbrukers interaksjon med et nettsted — alt sammen noe som ofte samles inn gjennom cookies.
  • «Salg» er bredt definert som å gjøre personopplysninger tilgjengelig for en tredjepart mot penger eller annet verdifullt vederlag. Hvis tredjeparts reklame-cookies på nettstedet ditt deler besøkendes data med annonsenettverk, kan dette utgjøre et «salg» under CCPA.
  • «Deling» (lagt til av CPRA) dekker det å gjøre personopplysninger tilgjengelig for tredjeparter til atferdsbasert annonsering på tvers av kontekster, uavhengig av om penger skifter hender. Dette bringer eksplisitt reklame-cookies inn i virkeområdet.

Sentrale krav

  1. «Do Not Sell or Share My Personal Information»-lenke: Hvis nettstedet ditt selger eller deler personopplysninger (som inkluderer de fleste reklame-cookie-scenarioer), må du tilby en tydelig merket lenke på forsiden som lar forbrukerne reservere seg. Dette er den amerikanske ekvivalenten til en cookie-samtykkemekanisme, selv om den fungerer på opt-out- fremfor opt-in-basis.
  2. Global Privacy Control (GPC): Under CPRA-forskriftene som ble ferdigstilt av CPPA, må virksomheter behandle GPC-signaler sendt av en brukers nettleser som en gyldig opt-out-forespørsel. GPC er et signal på nettlesernivå (konseptuelt likt det gamle Do Not Track, men juridisk bindende under CCPA/CPRA). Hvis en brukers nettleser sender et GPC-signal, må du slutte å selge eller dele deres personopplysninger — noe som betyr å deaktivere reklame- og sporings-cookies for den brukeren.
  3. Opplysning i personvernerklæringen: Personvernerklæringen din må opplyse om kategoriene av personopplysninger som samles inn, formålene med innsamlingen, kategoriene av tredjeparter som informasjonen deles med, og om informasjonen selges eller deles.
  4. Sensitive personopplysninger: CPRA innfører en «Limit the Use of My Sensitive Personal Information»-rettighet. Hvis cookies samler inn sensitiv informasjon (som nøyaktig geolokasjon), må forbrukerne kunne begrense bruken av den.
  5. Mindreårige: For forbrukere under 16 år går CCPA/CPRA over til en opt-in-modell. Du kan ikke selge eller dele personopplysningene til en forbruker du vet er under 16 år uten uttrykkelig samtykke (fra forbrukeren om vedkommende er 13–15 år, fra en forelder/verge om under 13 år).

Hvem må etterleve loven

CCPA/CPRA gjelder for kommersielle virksomheter som driver forretning i California og oppfyller ett av følgende terskelkrav: årlig bruttoomsetning over 25 millioner dollar; kjøp, salg eller deling av personopplysninger for 100 000 eller flere forbrukere eller husstander; eller at 50 % eller mer av årlig omsetning stammer fra salg eller deling av forbrukeres personopplysninger.

Andre amerikanske personvernlover på delstatsnivå

Flere andre delstater har vedtatt omfattende personvernlover med konsekvenser for cookie-samsvar. Selv om ingen er like detaljerte som CCPA/CPRA, etablerer de konsistente temaer rundt reservasjonsrettigheter og datatransparens.

Colorado Privacy Act (CPA)

I kraft: 1. juli 2023. Håndhevet av: Colorados riksadvokat.

Krever reservasjonsrettigheter for målrettet annonsering og salg av personopplysninger. Virksomheter må respektere universelle opt-out-mekanismer (som GPC). Colorados regler krever spesifikt en «tydelig og iøynefallende» reservasjonsmetode og anerkjenner universelle opt-out-signaler, noe som gjør GPC-samsvar i praksis obligatorisk for omfattede virksomheter.

Connecticut Data Privacy Act (CTDPA)

I kraft: 1. juli 2023. Håndhevet av: Connecticuts riksadvokat.

Ligner Colorados lov. Krever reservasjonsrett for målrettet annonsering, salg av personopplysninger og profilering. Krever anerkjennelse av universelle opt-out-mekanismer fra 1. januar 2025. Gir spesifikke beskyttelser for sensitive data som krever opt-in-samtykke.

Virginia Consumer Data Protection Act (VCDPA)

I kraft: 1. januar 2023. Håndhevet av: Virginias riksadvokat.

Gir reservasjonsrettigheter for målrettet annonsering og salg av personopplysninger. Krever ikke anerkjennelse av universelle opt-out-signaler (i motsetning til California, Colorado og Connecticut). Krever samtykke for behandling av sensitive data.

Texas Data Privacy and Security Act (TDPSA)

I kraft: 1. juli 2024. Håndhevet av: Texas' riksadvokat.

Bemerkelsesverdig bredt virkeområde uten omsetningsterskel — den gjelder for enhver enhet som driver forretning i Texas som behandler personopplysninger og ikke er en småbedrift som definert av SBA. Krever reservasjonsrett for målrettet annonsering og datasalg. Krever anerkjennelse av universelle opt-out-mekanismer.

Oregon Consumer Privacy Act (OCPA)

I kraft: 1. juli 2024. Håndhevet av: Oregons riksadvokat.

Gjelder for virksomheter som kontrollerer eller behandler data for 100 000+ Oregon-forbrukere, eller 25 000+ forbrukere hvis 25 %+ av omsetningen stammer fra datasalg. Gir standard reservasjonsrettigheter og krever en 30-dagers utbedringsperiode for overtredelser.

Sammenligning: Amerikanske delstater vs. GDPR

Krav GDPR/ePrivacy CCPA/CPRA Andre amerikanske delstater
Samtykkemodell Opt-in (forhåndssamtykke) Opt-out Opt-out
Cookie-samtykke kreves før setting Ja Nei Nei
Cookie-banner kreves I praksis ja Nei (opt-out-lenke kreves) Nei
Granulært samtykke per kategori Ja Nei Nei
Rett til å reservere seg mot sporing Ja (ved å ikke samtykke) Ja («Do Not Sell/Share») Ja (målrettede annonser/datasalg)
GPC/universell opt-out kreves Ikke spesifisert Ja Varierer (CA, CO, CT, TX: ja)
Personvernerklæring kreves Ja Ja Ja
Sensitive data: opt-in kreves Ja (uttrykkelig samtykke) Rett til å begrense bruk Varierer (de fleste: opt-in)
Håndhevelse Datatilsyn + privat søksmål (begrenset) CPPA + riksadvokat + privat søksmålsrett (datainnbrudd) Kun riksadvokat
Maksimale bøter 4 % av global omsetning / €20M 2 500 $/overtredelse; 7 500 $/forsettlig Varierer; typisk 7 500–10 000 $

Praktisk tilnærming: GDPR-samsvar dekker de fleste amerikanske krav

Hvis nettstedet ditt allerede etterlever GDPR, er du godt posisjonert for amerikansk samsvar. GDPRs opt-in-modell er strengere enn noen amerikansk delstats opt-out-modell. Det finnes imidlertid spesifikke amerikanske krav som GDPR ikke tar opp:

  1. «Do Not Sell or Share»-lenke: GDPR krever samtykkehåndtering, men ikke en spesifikk «Do Not Sell or Share»-lenke. Hvis du har besøkende fra California og oppfyller CCPA-tersklene, trenger du denne lenken.
  2. Anerkjennelse av GPC-signal: Selv om GDPR ikke krever anerkjennelse av nettlesersignaler, pålegger flere amerikanske delstater det. Å implementere GPC-anerkjennelse er enkelt og viser respekt for brukerpreferanser.
  3. Spesifikke opplysninger i personvernerklæringen: CCPA/CPRA krever opplysninger formatert på spesifikke måter (kategorier av informasjon samlet inn de foregående 12 månedene, kategorier av kilder, osv.) som skiller seg fra GDPRs krav til personvernerklæring.
  4. «Do Not Track» vs. GPC: Det gamle Do Not Track (DNT)-nettlesersignalet var aldri juridisk bindende. GPC er dets etterfølger og er juridisk bindende under CCPA/CPRA og flere andre delstatslover. Sørg for at samtykkehåndteringsplattformen din anerkjenner og handler på GPC-signaler.

Utsiktene til en føderal amerikansk personvernlov

American Data Privacy and Protection Act (ADPPA) kom nærmere vedtak enn noe tidligere føderalt personvernlovforslag da det ble fremmet gjennom House Energy and Commerce Committee i juli 2022, men det stoppet til slutt opp. Etterfølgende kongressesjoner har sett fornyede forslag, men per tidlig 2026 er ingen føderal personvernlov vedtatt.

Hovedhindringene består fortsatt:

  • Fortrengning (preemption): Hvorvidt en føderal lov skal overstyre delstatslover (California motsetter seg fortrengning som ville svekke CCPA/CPRA).
  • Privat søksmålsrett: Hvorvidt enkeltpersoner skal kunne saksøke selskaper direkte for personvernbrudd.
  • Opt-in vs. opt-out: Hvorvidt den føderale standarden skal innføre en opt-in-modell for sensitive data eller opprettholde opt-out-tilnærmingen.

Inntil en føderal lov er vedtatt, må virksomheter navigere i lappeteppet fra delstat til delstat. Det praktiske rådet består: bygg et samtykkehåndteringssystem som kan håndtere de mest restriktive kravene (GDPR opt-in), og legg til amerikansk-spesifikke funksjoner (opt-out-lenker, GPC-støtte) etter behov.

Anbefalinger for globalt samsvar

For nettsteder som betjener både EU- og amerikanske besøkende, er den mest effektive tilnærmingen:

  1. Implementer GDPR-samsvarende samtykkehåndtering som ditt grunnlag. Dette gir deg den strengeste modellen, som iboende tilfredsstiller mindre strenge krav.
  2. Legg til en «Do Not Sell or Share»-mekanisme hvis du oppfyller CCPA-tersklene eller har betydelig trafikk fra California.
  3. Implementer anerkjennelse av GPC-signal for alle besøkende. Det er en enkel teknisk implementering med betydelige juridiske fordeler.
  4. Bruk geolokasjon for å levere passende samtykkeopplevelser. EU-besøkende ser et opt-in-banner; amerikanske besøkende ser en mindre påtrengende melding med opt-out-alternativer. Dette balanserer samsvar med brukeropplevelse.
  5. Oppretthold omfattende personvernopplysninger som tilfredsstiller både GDPR- og CCPA/CPRA-krav.

Den globale trenden går utvilsomt mot større personvernbeskyttelse og brukerkontroll over sporingsteknologier. Å bygge robust samtykkehåndtering nå er en investering som vil gi avkastning etter hvert som nye reguleringer fortsetter å dukke opp.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis