Skip to main content

CCPA, CPRA in ameriška zakonodaja o zasebnosti: skladnost s piškotki onkraj Evrope

Združene države pristopajo k zasebnosti glede piškotkov bistveno drugače kot Evropa. Ni zveznega zakona o piškotkih, ni univerzalne zahteve po soglasju in ni enotnega organa za varstvo podatkov. Namesto tega vse bolj razdrobljena mreža zakonov o zasebnosti na ravni posameznih zveznih držav ustvarja vse bolj zapleteno okolje za upravljavce spletnih mest. Razumevanje ameriškega pristopa — in kako se ta razlikuje od GDPR — je bistveno za vsako podjetje, ki ima obiskovalce z obeh strani Atlantika.

Krajina zasebnosti v ZDA: pregled

Najpomembnejša razlika med ameriško in evropsko zakonodajo o piškotkih je regulativni model:

  • Model EU: soglasje (opt-in). Preden nastavite nenujne piškotke, morate pridobiti soglasje. Privzeto ni sledenja.
  • Model ZDA: zavrnitev (opt-out). Osebne podatke lahko privzeto zbirate in delite, vendar morate potrošnikom omogočiti, da to zavrnejo. Privzeto je sledenje, z možnostjo izklopa.

Ta razlika v filozofiji se odraža v vsakem vidiku ureditve piškotkov. V EU pasica s piškotki prosi za dovoljenje. V ZDA pasica s piškotki (če sploh obstaja) uporabnike običajno obvesti o njihovi pravici do zavrnitve.

Do začetka leta 2026 so bili celoviti zakoni o zasebnosti sprejeti v vsaj 15 zveznih državah, o dodatnih pa se aktivno razpravlja. Vendar imajo le nekateri posebne posledice za skladnost s piškotki.

Kalifornija: CCPA in CPRA

Kalifornija je najpomembnejša ameriška zvezna država za ureditev zasebnosti. California Consumer Privacy Act (CCPA), veljaven od 1. januarja 2020, je bil prvi celoviti zakon o zasebnosti na ravni zvezne države. Bistveno ga je spremenil California Privacy Rights Act (CPRA), ki je v celoti stopil v veljavo 1. januarja 2023, izvrševanje s strani California Privacy Protection Agency (CPPA) pa se je začelo 1. julija 2023.

Kako se piškotki nanašajo na CCPA/CPRA

CCPA/CPRA ne ureja piškotkov neposredno. Namesto tega ureja zbiranje, prodajo in deljenje osebnih podatkov, kar vključuje podatke, zbrane prek piškotkov. Ključni pojmi so:

  • "Osebni podatki" po CCPA/CPRA vključujejo spletne identifikatorje, naslove IP, zgodovino brskanja in informacije o interakciji potrošnika s spletnim mestom — vse to se pogosto zbira prek piškotkov.
  • "Prodaja" je široko opredeljena kot dajanje osebnih podatkov na voljo tretji osebi za denarno ali drugo dragoceno protivrednost. Če oglaševalski piškotki tretjih oseb na vašem mestu delijo podatke obiskovalcev z oglaševalskimi mrežami, lahko to po CCPA predstavlja "prodajo".
  • "Deljenje" (dodano s CPRA) zajema dajanje osebnih podatkov na voljo tretjim osebam za medkontekstualno vedenjsko oglaševanje, ne glede na to, ali pri tem menja denar. To izrecno vključuje oglaševalske piškotke v obseg.

Ključne zahteve

  1. Povezava "Ne prodajaj ali deli mojih osebnih podatkov": Če vaše spletno mesto prodaja ali deli osebne podatke (kar vključuje večino scenarijev z oglaševalskimi piškotki), morate na svoji domači strani zagotoviti jasno označeno povezavo, ki potrošnikom omogoča zavrnitev. To je ameriški ekvivalent mehanizma za soglasje s piškotki, čeprav deluje na podlagi zavrnitve in ne soglasja.
  2. Global Privacy Control (GPC): Po predpisih CPRA, ki jih je dokončala CPPA, morajo podjetja obravnavati signale GPC, ki jih pošlje uporabnikov brskalnik, kot veljavno zahtevo za zavrnitev. GPC je signal na ravni brskalnika (konceptualno podoben staremu Do Not Track, vendar pravno zavezujoč po CCPA/CPRA). Če uporabnikov brskalnik pošlje signal GPC, morate prenehati s prodajo ali deljenjem njegovih osebnih podatkov — kar pomeni onemogočanje oglaševalskih in sledilnih piškotkov za tega uporabnika.
  3. Razkritje v pravilniku o zasebnosti: Vaš pravilnik o zasebnosti mora razkriti kategorije zbranih osebnih podatkov, namene zbiranja, kategorije tretjih oseb, s katerimi se podatki delijo, ter ali se podatki prodajajo ali delijo.
  4. Občutljivi osebni podatki: CPRA uvaja pravico "Omeji uporabo mojih občutljivih osebnih podatkov". Če piškotki zbirajo občutljive podatke (kot je natančna geolokacija), morajo potrošniki imeti možnost omejiti njihovo uporabo.
  5. Mladoletniki: Za potrošnike, mlajše od 16 let, CCPA/CPRA preide na model soglasja. Osebnih podatkov potrošnika, za katerega veste, da je mlajši od 16 let, ne smete prodajati ali deliti brez izrecnega soglasja (potrošnika, če je star 13–15 let, oziroma starša/skrbnika, če je mlajši od 13 let).

Kdo mora zagotoviti skladnost

CCPA/CPRA velja za pridobitna podjetja, ki poslujejo v Kaliforniji in izpolnjujejo katerega koli od naslednjih pragov: letni bruto prihodek presega 25 milijonov USD; nakup, prodaja ali deljenje osebnih podatkov 100.000 ali več potrošnikov ali gospodinjstev; ali pridobivanje 50 % ali več letnega prihodka iz prodaje ali deljenja osebnih podatkov potrošnikov.

Drugi ameriški zakoni o zasebnosti na ravni zveznih držav

Več drugih zveznih držav je sprejelo celovite zakone o zasebnosti s posledicami za skladnost s piškotki. Čeprav noben ni tako podroben kot CCPA/CPRA, vsi vzpostavljajo dosledne teme okoli pravic do zavrnitve in preglednosti podatkov.

Colorado Privacy Act (CPA)

Velja od: 1. julija 2023. Izvršuje: generalni državni tožilec Kolorada.

Zahteva pravice do zavrnitve za ciljno oglaševanje in prodajo osebnih podatkov. Podjetja morajo upoštevati univerzalne mehanizme zavrnitve (kot je GPC). Predpisi Kolorada izrecno zahtevajo "jasno in vidno" metodo zavrnitve ter priznavajo univerzalne signale zavrnitve, zaradi česar je skladnost z GPC za zavezana podjetja dejansko obvezna.

Connecticut Data Privacy Act (CTDPA)

Velja od: 1. julija 2023. Izvršuje: generalni državni tožilec Connecticuta.

Podoben zakonu Kolorada. Zahteva zavrnitev za ciljno oglaševanje, prodajo osebnih podatkov in profiliranje. Od 1. januarja 2025 zahteva priznavanje univerzalnih mehanizmov zavrnitve. Zagotavlja posebno zaščito za občutljive podatke, ki zahtevajo soglasje (opt-in).

Virginia Consumer Data Protection Act (VCDPA)

Velja od: 1. januarja 2023. Izvršuje: generalni državni tožilec Virginije.

Zagotavlja pravice do zavrnitve za ciljno oglaševanje in prodajo osebnih podatkov. Ne zahteva priznavanja univerzalnih signalov zavrnitve (za razliko od Kalifornije, Kolorada in Connecticuta). Zahteva soglasje za obdelavo občutljivih podatkov.

Texas Data Privacy and Security Act (TDPSA)

Velja od: 1. julija 2024. Izvršuje: generalni državni tožilec Teksasa.

Zlasti širokega obsega brez praga prihodka — velja za vsak subjekt, ki posluje v Teksasu, obdeluje osebne podatke in ni malo podjetje, kot ga opredeljuje SBA. Zahteva zavrnitev za ciljno oglaševanje in prodajo podatkov. Zahteva priznavanje univerzalnih mehanizmov zavrnitve.

Oregon Consumer Privacy Act (OCPA)

Velja od: 1. julija 2024. Izvršuje: generalni državni tožilec Oregona.

Velja za podjetja, ki upravljajo ali obdelujejo podatke več kot 100.000 potrošnikov iz Oregona ali več kot 25.000 potrošnikov, če pridobivajo 25 % ali več prihodka iz prodaje podatkov. Zagotavlja standardne pravice do zavrnitve in zahteva 30-dnevno obdobje za odpravo kršitev.

Primerjava: ameriške zvezne države proti GDPR

Zahteva GDPR/ePrivacy CCPA/CPRA Druge ameriške zvezne države
Model soglasja Soglasje (predhodno soglasje) Zavrnitev Zavrnitev
Soglasje za piškotke zahtevano pred nastavitvijo Da Ne Ne
Zahtevana pasica s piškotki Dejansko da Ne (zahtevana povezava za zavrnitev) Ne
Podrobno soglasje po kategorijah Da Ne Ne
Pravica do zavrnitve sledenja Da (z nezavrnitvijo soglasja) Da ("Ne prodajaj/deli") Da (ciljni oglasi/prodaja podatkov)
Zahtevan GPC/univerzalna zavrnitev Ni določeno Da Se razlikuje (CA, CO, CT, TX: da)
Zahtevan pravilnik o zasebnosti Da Da Da
Občutljivi podatki: zahtevano soglasje (opt-in) Da (izrecno soglasje) Pravica do omejitve uporabe Se razlikuje (večinoma: opt-in)
Izvrševanje DPA + zasebne tožbe (omejeno) CPPA + generalni tožilec + zasebna pravica do tožbe (kršitve podatkov) Samo generalni državni tožilec
Najvišje kazni 4 % globalnega prometa / 20 mio. € 2.500 USD/kršitev; 7.500 USD/namerna kršitev Se razlikuje; običajno 7.500–10.000 USD

Praktični pristop: skladnost z GDPR pokriva večino ameriških zahtev

Če vaše spletno mesto že izpolnjuje zahteve GDPR, ste dobro pripravljeni na skladnost z ZDA. Model soglasja po GDPR je strožji od modela zavrnitve katere koli ameriške zvezne države. Vendar obstajajo posebne ameriške zahteve, ki jih GDPR ne obravnava:

  1. Povezava "Ne prodajaj ali deli": GDPR zahteva upravljanje soglasij, ne pa posebne povezave "Ne prodajaj ali deli". Če imate obiskovalce iz Kalifornije in izpolnjujete prage CCPA, to povezavo potrebujete.
  2. Priznavanje signala GPC: Čeprav GDPR ne zahteva priznavanja signalov brskalnika, ga več ameriških zveznih držav zahteva. Uvedba priznavanja GPC je preprosta in izkazuje spoštovanje uporabniških preferenc.
  3. Posebna razkritja v pravilniku o zasebnosti: CCPA/CPRA zahteva razkritja, oblikovana na določene načine (kategorije podatkov, zbranih v preteklih 12 mesecih, kategorije virov itd.), ki se razlikujejo od zahtev za obvestilo o zasebnosti po GDPR.
  4. "Do Not Track" proti GPC: Stari signal brskalnika Do Not Track (DNT) ni bil nikoli pravno zavezujoč. GPC je njegov naslednik in je pravno zavezujoč po CCPA/CPRA ter več drugih zakonih zveznih držav. Poskrbite, da vaša platforma za upravljanje soglasij prepoznava signale GPC in nanje ustrezno reagira.

Možnost zveznega ameriškega zakona o zasebnosti

American Data Privacy and Protection Act (ADPPA) se je približal sprejetju bolj kot kateri koli prejšnji zvezni predlog zakona o zasebnosti, ko je julija 2022 napredoval skozi odbor House Energy and Commerce, vendar je na koncu obstal. V naslednjih zasedanjih Kongresa so se pojavili obnovljeni predlogi, a do začetka leta 2026 ni bil sprejet noben zvezni zakon o zasebnosti.

Glavne ovire ostajajo:

  • Prevlada (preemption): Ali naj zvezni zakon nadomesti zakone zveznih držav (Kalifornija nasprotuje prevladi, ki bi oslabila CCPA/CPRA).
  • Zasebna pravica do tožbe: Ali naj posamezniki lahko neposredno tožijo podjetja za kršitve zasebnosti.
  • Soglasje proti zavrnitvi: Ali naj zvezni standard sprejme model soglasja za občutljive podatke ali ohrani pristop zavrnitve.

Dokler zvezni zakon ni sprejet, se morajo podjetja znajti med razdrobljeno mrežo zakonov posameznih zveznih držav. Praktičen nasvet ostaja: zgradite sistem za upravljanje soglasij, ki zmore obvladati najstrožje zahteve (soglasje po GDPR), in po potrebi dodajte funkcije, specifične za ZDA (povezave za zavrnitev, podpora GPC).

Priporočila za globalno skladnost

Za spletna mesta, ki strežejo tako obiskovalcem iz EU kot iz ZDA, je najbolj učinkovit pristop:

  1. Uvedite upravljanje soglasij, skladno z GDPR, kot izhodišče. To vam daje najstrožji model, ki že sam po sebi izpolnjuje manj stroge zahteve.
  2. Dodajte mehanizem "Ne prodajaj ali deli", če izpolnjujete prage CCPA ali imate znaten promet iz Kalifornije.
  3. Uvedite priznavanje signala GPC za vse obiskovalce. Gre za preprosto tehnično uvedbo s pomembnimi pravnimi koristmi.
  4. Uporabite geolokacijo za posredovanje ustreznih izkušenj s soglasjem. Obiskovalci iz EU vidijo pasico s soglasjem; obiskovalci iz ZDA vidijo manj vsiljivo obvestilo z možnostmi zavrnitve. To uravnoteži skladnost in uporabniško izkušnjo.
  5. Vzdržujte celovita razkritja o zasebnosti, ki izpolnjujejo tako zahteve GDPR kot CCPA/CPRA.

Globalni trend nedvoumno teži k večji zaščiti zasebnosti in nadzoru uporabnikov nad tehnologijami za sledenje. Vzpostavitev zanesljivega upravljanja soglasij zdaj je naložba, ki se bo obrestovala, ko se bodo še naprej pojavljali novi predpisi.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke