Skip to main content

CCPA, CPRA a zákony o ochrane súkromia v USA: Súlad v oblasti cookies za hranicami Európy

Spojené štáty pristupujú k ochrane súkromia pri cookies zásadne odlišne než Európa. Neexistuje tu žiadny federálny zákon o cookies, žiadna univerzálna požiadavka na súhlas ani jediný úrad na ochranu údajov. Namiesto toho vzniká čoraz komplexnejšia mozaika zákonov o ochrane súkromia na úrovni jednotlivých štátov, ktorá vytvára stále zložitejšie prostredie pre prevádzkovateľov webových stránok. Porozumenie americkému prístupu — a tomu, ako sa líši od GDPR — je nevyhnutné pre každý podnik s návštevníkmi z oboch strán Atlantiku.

Prostredie ochrany súkromia v USA: Prehľad

Najdôležitejší rozdiel medzi americkým a európskym zákonom o cookies spočíva v regulačnom modeli:

  • Model EÚ: Opt-in. Súhlas musíte získať pred nastavením nepodstatných cookies. Predvoleným stavom je žiadne sledovanie.
  • Model USA: Opt-out. Osobné informácie môžete predvolene zhromažďovať a zdieľať, ale spotrebiteľom musíte poskytnúť možnosť odhlásiť sa. Predvoleným stavom je sledovanie s možnosťou vypnutia.

Tento rozdiel vo filozofii sa premieta do každého aspektu regulácie cookies. V EÚ cookie banner žiada o povolenie. V USA cookie banner (ak vôbec existuje) zvyčajne informuje používateľov o ich práve odhlásiť sa.

Začiatkom roka 2026 boli komplexné zákony o ochrane súkromia prijaté v najmenej 15 štátoch, pričom o ďalších sa aktívne uvažuje. Iba niekoľko z nich má však konkrétne dôsledky pre súlad v oblasti cookies.

Kalifornia: CCPA a CPRA

Kalifornia je najvýznamnejším americkým štátom v oblasti regulácie súkromia. California Consumer Privacy Act (CCPA), účinný od 1. januára 2020, bol prvým komplexným štátnym zákonom o ochrane súkromia. Bol podstatne novelizovaný zákonom California Privacy Rights Act (CPRA), ktorý nadobudol plnú účinnosť 1. januára 2023, pričom presadzovanie zo strany California Privacy Protection Agency (CPPA) sa začalo 1. júla 2023.

Ako súvisia cookies s CCPA/CPRA

CCPA/CPRA neupravuje cookies priamo. Namiesto toho reguluje zhromažďovanie, predaj a zdieľanie osobných informácií, čo zahŕňa aj údaje získané prostredníctvom cookies. Kľúčové pojmy sú:

  • „Osobné informácie“ podľa CCPA/CPRA zahŕňajú online identifikátory, IP adresy, históriu prehliadania a informácie o interakcii spotrebiteľa s webovou stránkou — ktoré sa bežne zhromažďujú prostredníctvom cookies.
  • „Predaj“ je široko definovaný ako sprístupnenie osobných informácií tretej strane za peňažné alebo iné hodnotné protiplnenie. Ak cookies tretích strán na vašej stránke zdieľajú údaje o návštevníkoch s reklamnými sieťami, môže to podľa CCPA predstavovať „predaj“.
  • „Zdieľanie“ (pridané zákonom CPRA) sa vzťahuje na sprístupnenie osobných informácií tretím stranám na účely behaviorálnej reklamy naprieč kontextmi bez ohľadu na to, či dochádza k peňažnému plneniu. Toto výslovne zahŕňa reklamné cookies do rozsahu pôsobnosti.

Kľúčové požiadavky

  1. Odkaz „Do Not Sell or Share My Personal Information“: Ak vaša webová stránka predáva alebo zdieľa osobné informácie (čo zahŕňa väčšinu scenárov s reklamnými cookies), musíte na domovskej stránke poskytnúť jasne označený odkaz umožňujúci spotrebiteľom odhlásiť sa. Ide o americký ekvivalent mechanizmu súhlasu s cookies, hoci funguje na princípe opt-out namiesto opt-in.
  2. Global Privacy Control (GPC): Podľa nariadení CPRA, ktoré finalizovala CPPA, musia podniky považovať signály GPC odosielané prehliadačom používateľa za platnú žiadosť o odhlásenie. GPC je signál na úrovni prehliadača (koncepčne podobný staršiemu Do Not Track, avšak právne záväzný podľa CCPA/CPRA). Ak prehliadač používateľa odosiela signál GPC, musíte prestať predávať alebo zdieľať jeho osobné informácie — čo znamená deaktiváciu reklamných a sledovacích cookies pre daného používateľa.
  3. Zverejnenie v zásadách ochrany súkromia: Vaše zásady ochrany súkromia musia zverejňovať kategórie zhromažďovaných osobných informácií, účely zhromažďovania, kategórie tretích strán, s ktorými sa informácie zdieľajú, a to, či sa informácie predávajú alebo zdieľajú.
  4. Citlivé osobné informácie: CPRA zavádza právo „Limit the Use of My Sensitive Personal Information“. Ak cookies zhromažďujú citlivé informácie (napríklad presnú geolokáciu), spotrebitelia musia mať možnosť obmedziť ich používanie.
  5. Maloletí: V prípade spotrebiteľov mladších ako 16 rokov prechádza CCPA/CPRA na model opt-in. Osobné informácie spotrebiteľa, o ktorom viete, že má menej ako 16 rokov, nesmiete predávať ani zdieľať bez výslovného súhlasu (samotného spotrebiteľa, ak má 13 – 15 rokov, alebo rodiča/zákonného zástupcu, ak má menej ako 13 rokov).

Kto musí dodržiavať tieto pravidlá

CCPA/CPRA sa vzťahuje na ziskové podniky, ktoré podnikajú v Kalifornii a spĺňajú ktorúkoľvek z nasledujúcich prahových hodnôt: ročný hrubý príjem presahujúci 25 miliónov USD; nákup, predaj alebo zdieľanie osobných informácií 100 000 alebo viacerých spotrebiteľov či domácností; alebo dosahovanie 50 % či viac ročných príjmov z predaja alebo zdieľania osobných informácií spotrebiteľov.

Ďalšie zákony o ochrane súkromia v štátoch USA

Niekoľko ďalších štátov prijalo komplexné zákony o ochrane súkromia s dôsledkami pre súlad v oblasti cookies. Hoci žiadny z nich nie je taký podrobný ako CCPA/CPRA, zavádzajú konzistentné témy okolo práva na odhlásenie a transparentnosti údajov.

Colorado Privacy Act (CPA)

Účinnosť: 1. júla 2023. Presadzuje: Generálny prokurátor štátu Colorado.

Vyžaduje práva na odhlásenie z cielenej reklamy a predaja osobných údajov. Podniky musia rešpektovať univerzálne mechanizmy odhlásenia (ako GPC). Pravidlá štátu Colorado výslovne vyžadujú „jasnú a nápadnú“ metódu odhlásenia a uznávajú univerzálne signály odhlásenia, čím sa súlad s GPC pre dotknuté podniky stáva fakticky povinným.

Connecticut Data Privacy Act (CTDPA)

Účinnosť: 1. júla 2023. Presadzuje: Generálny prokurátor štátu Connecticut.

Podobný zákonu štátu Colorado. Vyžaduje odhlásenie z cielenej reklamy, predaja osobných údajov a profilovania. Od 1. januára 2025 vyžaduje uznávanie univerzálnych mechanizmov odhlásenia. Poskytuje osobitnú ochranu citlivých údajov vyžadujúcu súhlas typu opt-in.

Virginia Consumer Data Protection Act (VCDPA)

Účinnosť: 1. januára 2023. Presadzuje: Generálny prokurátor štátu Virginia.

Poskytuje práva na odhlásenie z cielenej reklamy a predaja osobných údajov. Nevyžaduje uznávanie univerzálnych signálov odhlásenia (na rozdiel od Kalifornie, Colorada a Connecticutu). Vyžaduje súhlas so spracúvaním citlivých údajov.

Texas Data Privacy and Security Act (TDPSA)

Účinnosť: 1. júla 2024. Presadzuje: Generálny prokurátor štátu Texas.

Pozoruhodne široký rozsah pôsobnosti bez prahovej hodnoty príjmu — vzťahuje sa na akýkoľvek subjekt podnikajúci v Texase, ktorý spracúva osobné údaje a nie je malým podnikom podľa definície SBA. Vyžaduje odhlásenie z cielenej reklamy a predaja údajov. Vyžaduje uznávanie univerzálnych mechanizmov odhlásenia.

Oregon Consumer Privacy Act (OCPA)

Účinnosť: 1. júla 2024. Presadzuje: Generálny prokurátor štátu Oregon.

Vzťahuje sa na podniky, ktoré kontrolujú alebo spracúvajú údaje 100 000+ spotrebiteľov v Oregone, alebo 25 000+ spotrebiteľov, ak z predaja údajov dosahujú 25 %+ príjmov. Poskytuje štandardné práva na odhlásenie a vyžaduje 30-dňovú lehotu na nápravu porušení.

Porovnanie: Štáty USA vs. GDPR

Požiadavka GDPR/ePrivacy CCPA/CPRA Ďalšie štáty USA
Model súhlasu Opt-in (predchádzajúci súhlas) Opt-out Opt-out
Súhlas s cookies vyžadovaný pred nastavením Áno Nie Nie
Vyžadovaný cookie banner Fakticky áno Nie (vyžadovaný odkaz na odhlásenie) Nie
Granulárny súhlas podľa kategórií Áno Nie Nie
Právo odhlásiť sa zo sledovania Áno (neudelením súhlasu) Áno („Do Not Sell/Share“) Áno (cielená reklama/predaj údajov)
Vyžadované GPC/univerzálne odhlásenie Nešpecifikované Áno Rôzne (CA, CO, CT, TX: áno)
Vyžadované zásady ochrany súkromia Áno Áno Áno
Citlivé údaje: vyžadovaný opt-in Áno (výslovný súhlas) Právo obmedziť používanie Rôzne (väčšina: opt-in)
Presadzovanie Úrady na ochranu údajov + súkromné žaloby (obmedzené) CPPA + generálny prokurátor + súkromné právo na žalobu (úniky údajov) Iba generálny prokurátor
Maximálne pokuty 4 % globálneho obratu / 20 mil. € 2 500 USD/porušenie; 7 500 USD/úmyselné porušenie Rôzne; zvyčajne 7 500 – 10 000 USD

Praktický prístup: Súlad s GDPR pokrýva väčšinu amerických požiadaviek

Ak vaša webová stránka už spĺňa GDPR, ste dobre pripravení aj na súlad v USA. Model opt-in podľa GDPR je prísnejší než opt-out model ktoréhokoľvek amerického štátu. Existujú však konkrétne americké požiadavky, ktoré GDPR nerieši:

  1. Odkaz „Do Not Sell or Share“: GDPR vyžaduje správu súhlasov, nie však konkrétny odkaz „Do Not Sell or Share“. Ak máte kalifornských návštevníkov a spĺňate prahové hodnoty CCPA, tento odkaz potrebujete.
  2. Uznávanie signálu GPC: Hoci GDPR nevyžaduje uznávanie signálov prehliadača, viaceré americké štáty to nariaďujú. Implementácia uznávania GPC je jednoduchá a preukazuje rešpekt k preferenciám používateľov.
  3. Konkrétne zverejnenia v zásadách ochrany súkromia: CCPA/CPRA vyžaduje zverejnenia formátované špecifickým spôsobom (kategórie informácií zhromaždených za predchádzajúcich 12 mesiacov, kategórie zdrojov atď.), ktoré sa líšia od požiadaviek na oznámenie o ochrane súkromia podľa GDPR.
  4. „Do Not Track“ vs. GPC: Starší signál prehliadača Do Not Track (DNT) nebol nikdy právne záväzný. GPC je jeho nástupcom a je právne záväzný podľa CCPA/CPRA a viacerých ďalších štátnych zákonov. Uistite sa, že vaša platforma na správu súhlasov rozpoznáva signály GPC a koná podľa nich.

Vyhliadka na federálny zákon o ochrane súkromia v USA

American Data Privacy and Protection Act (ADPPA) sa priblížil k prijatiu viac než ktorýkoľvek predchádzajúci federálny návrh zákona o ochrane súkromia, keď v júli 2022 prešiel výborom House Energy and Commerce Committee, no napokon uviazol na mŕtvom bode. V nasledujúcich zasadnutiach Kongresu sa objavili obnovené návrhy, ale k začiatku roka 2026 nebol prijatý žiadny federálny zákon o ochrane súkromia.

Hlavné prekážky zostávajú:

  • Prednosť pred štátnymi zákonmi (preemption): Či by mal federálny zákon nahradiť štátne zákony (Kalifornia sa stavia proti prednosti, ktorá by oslabila CCPA/CPRA).
  • Súkromné právo na žalobu: Či by mali mať jednotlivci možnosť žalovať spoločnosti priamo za porušenia súkromia.
  • Opt-in vs. opt-out: Či by mal federálny štandard prijať model opt-in pre citlivé údaje, alebo zachovať prístup opt-out.

Kým nebude prijatý federálny zákon, podniky sa musia orientovať v mozaike jednotlivých štátov. Praktická rada zostáva rovnaká: vybudujte systém správy súhlasov, ktorý zvládne najprísnejšie požiadavky (opt-in podľa GDPR), a podľa potreby naň navrstvite funkcie špecifické pre USA (odkazy na odhlásenie, podpora GPC).

Odporúčania pre globálny súlad

Pre webové stránky obsluhujúce návštevníkov z EÚ aj z USA je najefektívnejším prístupom:

  1. Implementujte správu súhlasov v súlade s GDPR ako svoj základný štandard. Tým získate najprísnejší model, ktorý inherentne spĺňa aj menej prísne požiadavky.
  2. Pridajte mechanizmus „Do Not Sell or Share“, ak spĺňate prahové hodnoty CCPA alebo máte významnú návštevnosť z Kalifornie.
  3. Implementujte uznávanie signálu GPC pre všetkých návštevníkov. Ide o jednoduchú technickú implementáciu s významnými právnymi výhodami.
  4. Použite geolokáciu na poskytovanie vhodných zážitkov so súhlasom. Návštevníci z EÚ uvidia banner s opt-in; návštevníci z USA uvidia menej rušivé oznámenie s možnosťami odhlásenia. Tým sa vyváži súlad s používateľským zážitkom.
  5. Udržiavajte komplexné zverejnenia o ochrane súkromia, ktoré spĺňajú požiadavky GDPR aj CCPA/CPRA.

Globálny trend jednoznačne smeruje k väčšej ochrane súkromia a k väčšej kontrole používateľov nad sledovacími technológiami. Vybudovanie robustnej správy súhlasov už teraz je investíciou, ktorá sa vám vyplatí, keďže sa naďalej objavujú nové predpisy.

Je váš web v súlade s pravidlami cookies?

Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.

Skenovať cookies zadarmo