CCPA, CPRA i amerykańskie przepisy o prywatności: zgodność w zakresie plików cookie poza Europą
Stany Zjednoczone podchodzą do prywatności w kontekście plików cookie w sposób zasadniczo odmienny niż Europa. Nie istnieje tam federalne prawo dotyczące plików cookie, powszechny wymóg zgody ani jeden organ ochrony danych. Zamiast tego coraz bardziej rozbudowana mozaika stanowych przepisów o prywatności tworzy coraz bardziej złożone otoczenie dla operatorów witryn internetowych. Zrozumienie amerykańskiego podejścia — oraz tego, czym różni się ono od RODO — ma kluczowe znaczenie dla każdej firmy, którą odwiedzają użytkownicy z obu stron Atlantyku.
Krajobraz prywatności w USA: przegląd
Najważniejsza różnica między amerykańskim a unijnym prawem dotyczącym plików cookie tkwi w modelu regulacyjnym:
- Model unijny: opt-in. Zgodę należy uzyskać przed ustawieniem plików cookie innych niż niezbędne. Domyślnie brak śledzenia.
- Model amerykański: opt-out. Możesz domyślnie zbierać i udostępniać dane osobowe, ale musisz zapewnić konsumentom możliwość rezygnacji. Domyślnie śledzenie odbywa się z możliwością jego wyłączenia.
Ta różnica filozofii znajduje odzwierciedlenie w każdym aspekcie regulacji dotyczących plików cookie. W UE baner cookie prosi o zgodę. W USA baner cookie (jeśli w ogóle występuje) zazwyczaj informuje użytkowników o przysługującym im prawie do rezygnacji.
Na początku 2026 roku kompleksowe stanowe przepisy o prywatności uchwalono w co najmniej 15 stanach, a kolejne są aktywnie rozważane. Jednak tylko kilka z nich ma konkretne znaczenie dla zgodności w zakresie plików cookie.
Kalifornia: CCPA i CPRA
Kalifornia jest najważniejszym amerykańskim stanem pod względem regulacji prywatności. California Consumer Privacy Act (CCPA), obowiązująca od 1 stycznia 2020 roku, była pierwszym kompleksowym stanowym prawem o prywatności. Została ona istotnie zmodyfikowana przez California Privacy Rights Act (CPRA), która weszła w pełni w życie 1 stycznia 2023 roku, a jej egzekwowanie przez California Privacy Protection Agency (CPPA) rozpoczęło się 1 lipca 2023 roku.
Jak pliki cookie odnoszą się do CCPA/CPRA
CCPA/CPRA nie reguluje plików cookie bezpośrednio. Zamiast tego reguluje zbieranie, sprzedaż i udostępnianie danych osobowych, co obejmuje dane zbierane za pośrednictwem plików cookie. Kluczowe pojęcia to:
- „Dane osobowe” w rozumieniu CCPA/CPRA obejmują identyfikatory internetowe, adresy IP, historię przeglądania oraz informacje o interakcji konsumenta z witryną — a wszystkie te dane są powszechnie zbierane za pomocą plików cookie.
- „Sprzedaż” jest definiowana szeroko jako udostępnianie danych osobowych stronie trzeciej za wynagrodzeniem pieniężnym lub innym wartościowym świadczeniem. Jeśli pliki cookie stron trzecich na Twojej witrynie udostępniają dane odwiedzających sieciom reklamowym, może to stanowić „sprzedaż” w rozumieniu CCPA.
- „Udostępnianie” (dodane przez CPRA) obejmuje udostępnianie danych osobowych stronom trzecim na potrzeby reklamy behawioralnej w różnych kontekstach, niezależnie od tego, czy dochodzi do przepływu pieniędzy. Wyraźnie obejmuje ono zakresem pliki cookie reklamowe.
Kluczowe wymagania
- Link „Do Not Sell or Share My Personal Information”: Jeśli Twoja witryna sprzedaje lub udostępnia dane osobowe (co obejmuje większość scenariuszy związanych z plikami cookie reklamowymi), musisz umieścić na stronie głównej wyraźnie oznaczony link umożliwiający konsumentom rezygnację. Jest to amerykański odpowiednik mechanizmu zgody na pliki cookie, choć działa on w oparciu o model opt-out, a nie opt-in.
- Global Privacy Control (GPC): Na mocy przepisów wykonawczych CPRA sfinalizowanych przez CPPA firmy muszą traktować sygnały GPC wysyłane przez przeglądarkę użytkownika jako ważne żądanie rezygnacji. GPC to sygnał na poziomie przeglądarki (koncepcyjnie podobny do dawnego Do Not Track, ale prawnie wiążący na mocy CCPA/CPRA). Jeśli przeglądarka użytkownika wysyła sygnał GPC, musisz zaprzestać sprzedaży lub udostępniania jego danych osobowych — co oznacza wyłączenie plików cookie reklamowych i śledzących dla tego użytkownika.
- Ujawnienie w polityce prywatności: Twoja polityka prywatności musi ujawniać kategorie zbieranych danych osobowych, cele ich zbierania, kategorie stron trzecich, którym dane są udostępniane, oraz to, czy dane są sprzedawane lub udostępniane.
- Wrażliwe dane osobowe: CPRA wprowadza prawo „Limit the Use of My Sensitive Personal Information”. Jeśli pliki cookie zbierają dane wrażliwe (takie jak dokładna lokalizacja geograficzna), konsumenci muszą mieć możliwość ograniczenia ich wykorzystania.
- Osoby małoletnie: W przypadku konsumentów poniżej 16. roku życia CCPA/CPRA przechodzi na model opt-in. Nie możesz sprzedawać ani udostępniać danych osobowych konsumenta, o którym wiesz, że nie ukończył 16 lat, bez wyraźnej zgody (samego konsumenta, jeśli ma 13–15 lat, lub rodzica/opiekuna, jeśli ma poniżej 13 lat).
Kto musi zapewnić zgodność
CCPA/CPRA ma zastosowanie do przedsiębiorstw nastawionych na zysk, które prowadzą działalność w Kalifornii i spełniają którykolwiek z następujących progów: roczny przychód brutto przekraczający 25 milionów dolarów; kupowanie, sprzedaż lub udostępnianie danych osobowych 100 000 lub więcej konsumentów bądź gospodarstw domowych; albo uzyskiwanie 50% lub więcej rocznego przychodu ze sprzedaży lub udostępniania danych osobowych konsumentów.
Inne stanowe przepisy o prywatności w USA
Kilka innych stanów uchwaliło kompleksowe przepisy o prywatności mające znaczenie dla zgodności w zakresie plików cookie. Choć żaden z nich nie jest tak szczegółowy jak CCPA/CPRA, ustanawiają one spójne motywy dotyczące praw do rezygnacji i przejrzystości danych.
Colorado Privacy Act (CPA)
Obowiązuje od: 1 lipca 2023 roku. Egzekwowane przez: prokuratora generalnego stanu Kolorado.
Wymaga prawa do rezygnacji z reklamy ukierunkowanej oraz sprzedaży danych osobowych. Firmy muszą honorować uniwersalne mechanizmy rezygnacji (takie jak GPC). Przepisy stanu Kolorado wyraźnie wymagają „jasnej i widocznej” metody rezygnacji oraz uznają uniwersalne sygnały rezygnacji, co czyni zgodność z GPC w praktyce obowiązkową dla objętych regulacją firm.
Connecticut Data Privacy Act (CTDPA)
Obowiązuje od: 1 lipca 2023 roku. Egzekwowane przez: prokuratora generalnego stanu Connecticut.
Podobna do prawa stanu Kolorado. Wymaga rezygnacji z reklamy ukierunkowanej, sprzedaży danych osobowych oraz profilowania. Wymaga uznawania uniwersalnych mechanizmów rezygnacji od 1 stycznia 2025 roku. Zapewnia szczególną ochronę danych wrażliwych, wymagającą zgody typu opt-in.
Virginia Consumer Data Protection Act (VCDPA)
Obowiązuje od: 1 stycznia 2023 roku. Egzekwowane przez: prokuratora generalnego stanu Wirginia.
Zapewnia prawa do rezygnacji z reklamy ukierunkowanej oraz sprzedaży danych osobowych. Nie wymaga uznawania uniwersalnych sygnałów rezygnacji (w przeciwieństwie do Kalifornii, Kolorado i Connecticut). Wymaga zgody na przetwarzanie danych wrażliwych.
Texas Data Privacy and Security Act (TDPSA)
Obowiązuje od: 1 lipca 2024 roku. Egzekwowane przez: prokuratora generalnego stanu Teksas.
Wyróżnia się szerokim zakresem bez progu przychodowego — ma zastosowanie do każdego podmiotu prowadzącego działalność w Teksasie, który przetwarza dane osobowe i nie jest małym przedsiębiorstwem w rozumieniu definicji SBA. Wymaga rezygnacji z reklamy ukierunkowanej i sprzedaży danych. Wymaga uznawania uniwersalnych mechanizmów rezygnacji.
Oregon Consumer Privacy Act (OCPA)
Obowiązuje od: 1 lipca 2024 roku. Egzekwowane przez: prokuratora generalnego stanu Oregon.
Ma zastosowanie do firm kontrolujących lub przetwarzających dane ponad 100 000 konsumentów z Oregonu lub ponad 25 000 konsumentów, jeśli uzyskują co najmniej 25% przychodu ze sprzedaży danych. Zapewnia standardowe prawa do rezygnacji i wymaga 30-dniowego okresu na usunięcie naruszeń.
Porównanie: stany USA a RODO
| Wymóg | RODO/ePrivacy | CCPA/CPRA | Inne stany USA |
|---|---|---|---|
| Model zgody | Opt-in (uprzednia zgoda) | Opt-out | Opt-out |
| Zgoda na pliki cookie wymagana przed ich ustawieniem | Tak | Nie | Nie |
| Wymagany baner cookie | W praktyce tak | Nie (wymagany link do rezygnacji) | Nie |
| Szczegółowa zgoda według kategorii | Tak | Nie | Nie |
| Prawo do rezygnacji ze śledzenia | Tak (przez niewyrażenie zgody) | Tak („Do Not Sell/Share”) | Tak (reklama ukierunkowana/sprzedaż danych) |
| Wymagane GPC/uniwersalna rezygnacja | Nieokreślone | Tak | Różnie (CA, CO, CT, TX: tak) |
| Wymagana polityka prywatności | Tak | Tak | Tak |
| Dane wrażliwe: wymagany opt-in | Tak (wyraźna zgoda) | Prawo do ograniczenia wykorzystania | Różnie (większość: opt-in) |
| Egzekwowanie | Organy ochrony danych + działania prywatne (ograniczone) | CPPA + prokurator generalny + prywatne prawo do dochodzenia roszczeń (naruszenia danych) | Wyłącznie prokurator generalny |
| Maksymalne kary | 4% globalnego obrotu / 20 mln € | 2500 $/naruszenie; 7500 $/naruszenie umyślne | Różnie; zazwyczaj 7500–10 000 $ |
Podejście praktyczne: zgodność z RODO pokrywa większość wymogów USA
Jeśli Twoja witryna jest już zgodna z RODO, jesteś w dobrej pozycji, aby zapewnić zgodność z przepisami USA. Model opt-in RODO jest bardziej rygorystyczny niż model opt-out któregokolwiek amerykańskiego stanu. Istnieją jednak konkretne wymogi USA, których RODO nie uwzględnia:
- Link „Do Not Sell or Share”: RODO wymaga zarządzania zgodą, ale nie konkretnego linku „Do Not Sell or Share”. Jeśli masz odwiedzających z Kalifornii i spełniasz progi CCPA, potrzebujesz tego linku.
- Uznawanie sygnału GPC: Choć RODO nie wymaga uznawania sygnałów przeglądarki, kilka amerykańskich stanów tego wymaga. Wdrożenie uznawania GPC jest proste i świadczy o poszanowaniu preferencji użytkowników.
- Konkretne ujawnienia w polityce prywatności: CCPA/CPRA wymaga ujawnień sformułowanych w określony sposób (kategorie zebranych danych z poprzednich 12 miesięcy, kategorie źródeł itd.), które różnią się od wymogów dotyczących informacji o prywatności zawartych w RODO.
- „Do Not Track” a GPC: Dawny sygnał przeglądarki Do Not Track (DNT) nigdy nie był prawnie wiążący. GPC jest jego następcą i jest prawnie wiążący na mocy CCPA/CPRA oraz kilku innych stanowych przepisów. Upewnij się, że Twoja platforma zarządzania zgodą rozpoznaje i reaguje na sygnały GPC.
Perspektywa federalnego prawa o prywatności w USA
American Data Privacy and Protection Act (ADPPA) była bliższa uchwalenia niż jakikolwiek wcześniejszy federalny projekt ustawy o prywatności, gdy w lipcu 2022 roku przeszła przez House Energy and Commerce Committee, ale ostatecznie utknęła w martwym punkcie. Kolejne kadencje Kongresu przyniosły nowe propozycje, jednak na początku 2026 roku nie uchwalono żadnego federalnego prawa o prywatności.
Główne przeszkody nadal pozostają następujące:
- Prymat prawa federalnego (preemption): Czy prawo federalne powinno mieć pierwszeństwo przed przepisami stanowymi (Kalifornia sprzeciwia się prymatowi, który osłabiłby CCPA/CPRA).
- Prywatne prawo do dochodzenia roszczeń: Czy osoby fizyczne powinny mieć możliwość bezpośredniego pozywania firm za naruszenia prywatności.
- Opt-in a opt-out: Czy standard federalny powinien przyjąć model opt-in dla danych wrażliwych, czy utrzymać podejście opt-out.
Dopóki nie zostanie uchwalone prawo federalne, firmy muszą poruszać się po mozaice przepisów stan po stanie. Praktyczna rada pozostaje niezmienna: zbuduj system zarządzania zgodą, który poradzi sobie z najbardziej restrykcyjnymi wymogami (opt-in RODO), i dodaj do niego funkcje właściwe dla USA (linki do rezygnacji, obsługę GPC) w miarę potrzeb.
Zalecenia dotyczące globalnej zgodności
W przypadku witryn obsługujących odwiedzających zarówno z UE, jak i USA najbardziej efektywne podejście to:
- Wdrożenie zarządzania zgodą zgodnego z RODO jako punktu wyjścia. Daje Ci to najbardziej rygorystyczny model, który z założenia spełnia mniej rygorystyczne wymogi.
- Dodanie mechanizmu „Do Not Sell or Share”, jeśli spełniasz progi CCPA lub masz znaczący ruch z Kalifornii.
- Wdrożenie uznawania sygnału GPC dla wszystkich odwiedzających. To prosta implementacja techniczna o istotnych korzyściach prawnych.
- Wykorzystanie geolokalizacji do wyświetlania odpowiednich doświadczeń związanych ze zgodą. Odwiedzający z UE widzą baner typu opt-in; odwiedzający z USA widzą mniej inwazyjne powiadomienie z opcjami rezygnacji. Równoważy to zgodność z komfortem użytkownika.
- Utrzymywanie kompleksowych ujawnień dotyczących prywatności, które spełniają zarówno wymogi RODO, jak i CCPA/CPRA.
Globalny trend zmierza jednoznacznie w kierunku większej ochrony prywatności i większej kontroli użytkowników nad technologiami śledzącymi. Budowa solidnego systemu zarządzania zgodą już teraz to inwestycja, która przyniesie korzyści w miarę pojawiania się kolejnych regulacji.
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo