Skip to main content

CCPA, CPRA och amerikanska integritetslagar: Cookie-efterlevnad bortom Europa

USA har ett fundamentalt annorlunda förhållningssätt till integritet kring cookies än Europa. Det finns ingen federal cookie-lag, inget universellt samtyckeskrav och ingen enda dataskyddsmyndighet. I stället skapar ett växande lapptäcke av delstatliga integritetslagar ett alltmer komplext landskap för webbplatsägare. Att förstå den amerikanska modellen — och hur den skiljer sig från GDPR — är avgörande för alla företag med besökare från båda sidor av Atlanten.

Det amerikanska integritetslandskapet: En översikt

Den viktigaste skillnaden mellan amerikansk och europeisk cookie-lag är den regulatoriska modellen:

  • EU-modellen: Opt-in. Du måste inhämta samtycke innan du sätter icke-nödvändiga cookies. Standardläget är ingen spårning.
  • USA-modellen: Opt-out. Du får som standard samla in och dela personuppgifter, men du måste ge konsumenter möjligheten att välja bort det. Standardläget är spårning, med en avstängningsknapp.

Denna skillnad i filosofi återspeglas i varje aspekt av cookie-reglering. I EU ber en cookie-banner om tillstånd. I USA informerar en cookie-banner (om den alls finns) vanligtvis användarna om deras rätt att välja bort.

I början av 2026 har omfattande delstatliga integritetslagar antagits i minst 15 delstater, och fler är under aktivt övervägande. Endast en handfull har dock specifika konsekvenser för cookie-efterlevnad.

Kalifornien: CCPA och CPRA

Kalifornien är den mest betydelsefulla amerikanska delstaten inom integritetsreglering. California Consumer Privacy Act (CCPA), som trädde i kraft den 1 januari 2020, var den första omfattande delstatliga integritetslagen. Den ändrades väsentligt genom California Privacy Rights Act (CPRA), som trädde i full kraft den 1 januari 2023, med tillsyn av California Privacy Protection Agency (CPPA) från och med den 1 juli 2023.

Hur cookies förhåller sig till CCPA/CPRA

CCPA/CPRA reglerar inte cookies direkt. I stället reglerar den insamling, försäljning och delning av personuppgifter, vilket inkluderar data som samlas in via cookies. Nyckelbegreppen är:

  • "Personuppgifter" enligt CCPA/CPRA inkluderar onlineidentifierare, IP-adresser, webbhistorik och information om en konsuments interaktion med en webbplats — allt sådant som vanligtvis samlas in via cookies.
  • "Försäljning" definieras brett som att göra personuppgifter tillgängliga för en tredje part mot monetär eller annan värdefull ersättning. Om cookies från tredje part för annonsering på din webbplats delar besökardata med annonsnätverk, kan detta utgöra en "försäljning" enligt CCPA.
  • "Delning" (tillagt genom CPRA) omfattar att göra personuppgifter tillgängliga för tredje part för beteendebaserad annonsering över kontexter, oavsett om pengar byter ägare. Detta för uttryckligen annonseringscookies in i tillämpningsområdet.

Centrala krav

  1. Länken "Sälj eller dela inte mina personuppgifter": Om din webbplats säljer eller delar personuppgifter (vilket inkluderar de flesta scenarier med annonseringscookies) måste du tillhandahålla en tydligt märkt länk på din startsida som gör det möjligt för konsumenter att välja bort. Detta är den amerikanska motsvarigheten till en mekanism för cookie-samtycke, även om den bygger på opt-out i stället för opt-in.
  2. Global Privacy Control (GPC): Enligt de CPRA-föreskrifter som CPPA färdigställt måste företag behandla GPC-signaler som skickas av en användares webbläsare som en giltig opt-out-begäran. GPC är en signal på webbläsarnivå (konceptuellt liknande den gamla Do Not Track, men rättsligt bindande enligt CCPA/CPRA). Om en användares webbläsare skickar en GPC-signal måste du sluta sälja eller dela deras personuppgifter — vilket innebär att inaktivera annonserings- och spårningscookies för den användaren.
  3. Information i integritetspolicyn: Din integritetspolicy måste redovisa kategorierna av personuppgifter som samlas in, syftena med insamlingen, kategorierna av tredje parter som information delas med, samt huruvida information säljs eller delas.
  4. Känsliga personuppgifter: CPRA inför en rätt att "Begränsa användningen av mina känsliga personuppgifter". Om cookies samlar in känslig information (såsom exakt geolokalisering) måste konsumenter kunna begränsa dess användning.
  5. Minderåriga: För konsumenter under 16 år övergår CCPA/CPRA till en opt-in-modell. Du får inte sälja eller dela personuppgifter om en konsument som du vet är under 16 år utan aktivt samtycke (från konsumenten om 13–15 år, från en förälder/vårdnadshavare om under 13 år).

Vem måste följa lagen

CCPA/CPRA gäller för vinstdrivande företag som bedriver verksamhet i Kalifornien och uppfyller något av följande tröskelvärden: en årlig bruttoomsättning som överstiger 25 miljoner dollar; köp, försäljning eller delning av personuppgifter om 100 000 eller fler konsumenter eller hushåll; eller att 50 % eller mer av den årliga omsättningen härrör från försäljning eller delning av konsumenters personuppgifter.

Andra amerikanska delstaters integritetslagar

Flera andra delstater har antagit omfattande integritetslagar med konsekvenser för cookie-efterlevnad. Även om ingen är lika detaljerad som CCPA/CPRA etablerar de konsekventa teman kring opt-out-rättigheter och datatransparens.

Colorado Privacy Act (CPA)

Trädde i kraft: 1 juli 2023. Tillsyn av: Colorados justitieminister (Attorney General).

Kräver opt-out-rättigheter för riktad annonsering och försäljning av personuppgifter. Företag måste respektera universella opt-out-mekanismer (som GPC). Colorados regler kräver specifikt en "tydlig och iögonfallande" opt-out-metod och erkänner universella opt-out-signaler, vilket gör GPC-efterlevnad i praktiken obligatorisk för berörda företag.

Connecticut Data Privacy Act (CTDPA)

Trädde i kraft: 1 juli 2023. Tillsyn av: Connecticuts justitieminister.

Liknar Colorados lag. Kräver opt-out för riktad annonsering, försäljning av personuppgifter och profilering. Kräver erkännande av universella opt-out-mekanismer från och med den 1 januari 2025. Ger specifika skydd för känsliga uppgifter som kräver opt-in-samtycke.

Virginia Consumer Data Protection Act (VCDPA)

Trädde i kraft: 1 januari 2023. Tillsyn av: Virginias justitieminister.

Ger opt-out-rättigheter för riktad annonsering och försäljning av personuppgifter. Kräver inte erkännande av universella opt-out-signaler (till skillnad från Kalifornien, Colorado och Connecticut). Kräver samtycke för behandling av känsliga uppgifter.

Texas Data Privacy and Security Act (TDPSA)

Trädde i kraft: 1 juli 2024. Tillsyn av: Texas justitieminister.

Anmärkningsvärt bred i sitt tillämpningsområde utan något omsättningströskelvärde — den gäller alla enheter som bedriver verksamhet i Texas och behandlar personuppgifter och som inte är ett litet företag enligt SBA:s definition. Kräver opt-out för riktad annonsering och dataförsäljning. Kräver erkännande av universella opt-out-mekanismer.

Oregon Consumer Privacy Act (OCPA)

Trädde i kraft: 1 juli 2024. Tillsyn av: Oregons justitieminister.

Gäller företag som kontrollerar eller behandlar data om fler än 100 000 Oregon-konsumenter, eller fler än 25 000 konsumenter om 25 % eller mer av omsättningen härrör från dataförsäljning. Ger standardmässiga opt-out-rättigheter och kräver en åtgärdsperiod på 30 dagar vid överträdelser.

Jämförelse: Amerikanska delstater mot GDPR

Krav GDPR/ePrivacy CCPA/CPRA Andra amerikanska delstater
Samtyckesmodell Opt-in (föregående samtycke) Opt-out Opt-out
Cookie-samtycke krävs innan sättning Ja Nej Nej
Cookie-banner krävs I praktiken ja Nej (opt-out-länk krävs) Nej
Granulärt samtycke per kategori Ja Nej Nej
Rätt att välja bort spårning Ja (genom att inte samtycka) Ja ("Sälj/dela inte") Ja (riktade annonser/dataförsäljning)
GPC/universell opt-out krävs Ej specificerat Ja Varierar (CA, CO, CT, TX: ja)
Integritetspolicy krävs Ja Ja Ja
Känsliga uppgifter: opt-in krävs Ja (uttryckligt samtycke) Rätt att begränsa användning Varierar (de flesta: opt-in)
Tillsyn Dataskyddsmyndigheter + privat talerätt (begränsad) CPPA + justitieminister + privat talerätt (dataintrång) Endast justitieminister
Maximala böter 4 % av global omsättning / 20 M€ 2 500 $/överträdelse; 7 500 $/uppsåtlig Varierar; vanligtvis 7 500–10 000 $

Praktiskt förhållningssätt: GDPR-efterlevnad täcker de flesta amerikanska krav

Om din webbplats redan följer GDPR är du väl positionerad för amerikansk efterlevnad. GDPR:s opt-in-modell är strängare än någon amerikansk delstats opt-out-modell. Det finns dock specifika amerikanska krav som GDPR inte behandlar:

  1. Länken "Sälj eller dela inte": GDPR kräver samtyckeshantering, men inte en specifik "Sälj eller dela inte"-länk. Om du har besökare från Kalifornien och uppfyller CCPA:s tröskelvärden behöver du denna länk.
  2. Erkännande av GPC-signaler: Även om GDPR inte kräver erkännande av webbläsarsignaler, kräver flera amerikanska delstater det. Att implementera GPC-erkännande är enkelt och visar respekt för användarnas preferenser.
  3. Specifik information i integritetspolicyn: CCPA/CPRA kräver information formaterad på specifika sätt (kategorier av information som samlats in under de föregående 12 månaderna, kategorier av källor osv.) som skiljer sig från GDPR:s krav på integritetsinformation.
  4. "Do Not Track" mot GPC: Den gamla webbläsarsignalen Do Not Track (DNT) var aldrig rättsligt bindande. GPC är dess efterföljare och är rättsligt bindande enligt CCPA/CPRA och flera andra delstatslagar. Se till att din plattform för samtyckeshantering känner igen och agerar på GPC-signaler.

Utsikterna för en federal amerikansk integritetslag

American Data Privacy and Protection Act (ADPPA) kom närmare ett antagande än något tidigare federalt integritetslagförslag när det gick igenom House Energy and Commerce Committee i juli 2022, men det körde till slut fast. Efterföljande kongressperioder har sett förnyade förslag, men i början av 2026 har ingen federal integritetslag antagits.

De främsta hindren kvarstår:

  • Företräde (preemption): Huruvida en federal lag ska ha företräde framför delstatslagar (Kalifornien motsätter sig företräde som skulle försvaga CCPA/CPRA).
  • Privat talerätt: Huruvida enskilda personer ska kunna stämma företag direkt för integritetsöverträdelser.
  • Opt-in mot opt-out: Huruvida den federala standarden ska anta en opt-in-modell för känsliga uppgifter eller behålla opt-out-förhållningssättet.

Tills en federal lag antas måste företag navigera i det delstatsvisa lapptäcket. Det praktiska rådet kvarstår: bygg ett system för samtyckeshantering som kan hantera de mest restriktiva kraven (GDPR opt-in), och lägg till USA-specifika funktioner (opt-out-länkar, GPC-stöd) vid behov.

Rekommendationer för global efterlevnad

För webbplatser som betjänar både EU- och USA-besökare är det mest effektiva förhållningssättet att:

  1. Implementera GDPR-förenlig samtyckeshantering som din grundnivå. Detta ger dig den strängaste modellen, som i sig uppfyller mindre stränga krav.
  2. Lägg till en "Sälj eller dela inte"-mekanism om du uppfyller CCPA:s tröskelvärden eller har betydande trafik från Kalifornien.
  3. Implementera erkännande av GPC-signaler för alla besökare. Det är en enkel teknisk implementering med betydande juridiska fördelar.
  4. Använd geolokalisering för att leverera lämpliga samtyckesupplevelser. EU-besökare ser en opt-in-banner; USA-besökare ser ett mindre påträngande meddelande med opt-out-alternativ. Detta balanserar efterlevnad med användarupplevelse.
  5. Upprätthåll omfattande integritetsinformation som uppfyller både GDPR:s och CCPA/CPRA:s krav.

Den globala trenden går otvetydigt mot ett starkare integritetsskydd och användarkontroll över spårningsteknologier. Att bygga en robust samtyckeshantering nu är en investering som kommer att löna sig när nya regelverk fortsätter att växa fram.

Följer din webbplats cookiereglerna?

Skanna din webbplats gratis och hitta alla cookies på några minuter.

Skanna dina cookies gratis