CCPA, CPRA i zakoni o privatnosti u SAD-u: Usklađenost kolačića izvan Europe
Sjedinjene Američke Države zauzimaju bitno drugačiji pristup privatnosti kolačića od Europe. Ne postoji savezni zakon o kolačićima, ne postoji univerzalni zahtjev za privolom niti jedinstveno tijelo za zaštitu podataka. Umjesto toga, sve složeniji mozaik zakona o privatnosti na razini pojedinih saveznih država stvara sve zamršeniji krajolik za operatere web-mjesta. Razumijevanje američkog pristupa — i njegovih razlika u odnosu na GDPR — ključno je za svaku tvrtku koja ima posjetitelje s obiju strana Atlantika.
Krajolik privatnosti u SAD-u: Pregled
Najvažnija razlika između zakona o kolačićima u SAD-u i EU-u jest regulatorni model:
- Model EU-a: Opt-in (privola). Prije postavljanja nenužnih kolačića morate dobiti privolu. Zadana postavka je nepraćenje.
- Model SAD-a: Opt-out (odjava). Osobne podatke smijete prikupljati i dijeliti prema zadanim postavkama, ali potrošačima morate omogućiti da se odjave. Zadana postavka je praćenje, uz prekidač za isključivanje.
Ova razlika u filozofiji ogleda se u svakom aspektu regulacije kolačića. U EU-u banner za kolačiće traži dopuštenje. U SAD-u banner za kolačiće (ako uopće postoji) obično obavještava korisnike o njihovom pravu na odjavu.
Od početka 2026. godine, sveobuhvatni zakoni o privatnosti doneseni su u najmanje 15 saveznih država, a još ih se aktivno razmatra. Ipak, samo ih nekoliko ima specifične implikacije za usklađenost kolačića.
Kalifornija: CCPA i CPRA
Kalifornija je najznačajnija američka savezna država za regulaciju privatnosti. California Consumer Privacy Act (CCPA), koji je stupio na snagu 1. siječnja 2020., bio je prvi sveobuhvatni državni zakon o privatnosti. Bitno je izmijenjen putem California Privacy Rights Act (CPRA), koji je u potpunosti stupio na snagu 1. siječnja 2023., s primjenom od strane California Privacy Protection Agency (CPPA) koja je započela 1. srpnja 2023.
Kako se kolačići povezuju s CCPA-om/CPRA-om
CCPA/CPRA ne regulira kolačiće izravno. Umjesto toga, regulira prikupljanje, prodaju i dijeljenje osobnih podataka, što uključuje podatke prikupljene putem kolačića. Ključni pojmovi su:
- "Osobni podaci" prema CCPA-u/CPRA-u uključuju online identifikatore, IP adrese, povijest pregledavanja te informacije o interakciji potrošača s web-mjestom — a sve se to obično prikuplja putem kolačića.
- "Prodaja" se široko definira kao stavljanje osobnih podataka na raspolaganje trećoj strani za novčanu ili drugu vrijednu naknadu. Ako kolačići za oglašavanje treće strane na vašem mjestu dijele podatke posjetitelja s oglašivačkim mrežama, to može predstavljati "prodaju" prema CCPA-u.
- "Dijeljenje" (dodano putem CPRA-e) obuhvaća stavljanje osobnih podataka na raspolaganje trećim stranama za bihevioralno oglašavanje između različitih konteksta, bez obzira mijenja li novac vlasnika. Time se kolačići za oglašavanje izričito uključuju u opseg.
Ključni zahtjevi
- Poveznica "Ne prodavaj i ne dijeli moje osobne podatke": Ako vaše web-mjesto prodaje ili dijeli osobne podatke (što uključuje većinu scenarija s kolačićima za oglašavanje), morate na svojoj naslovnoj stranici osigurati jasno označenu poveznicu koja potrošačima omogućuje odjavu. Ovo je američki ekvivalent mehanizma za privolu na kolačiće, iako funkcionira na temelju odjave, a ne privole.
- Global Privacy Control (GPC): Prema propisima CPRA-e koje je finalizirala CPPA, tvrtke moraju tretirati GPC signale koje šalje korisnikov preglednik kao valjani zahtjev za odjavu. GPC je signal na razini preglednika (konceptualno sličan starom Do Not Track, ali pravno obvezujući prema CCPA-u/CPRA-u). Ako korisnikov preglednik pošalje GPC signal, morate prestati prodavati ili dijeliti njegove osobne podatke — što znači onemogućavanje kolačića za oglašavanje i praćenje za tog korisnika.
- Objava u politici privatnosti: Vaša politika privatnosti mora otkriti kategorije prikupljenih osobnih podataka, svrhe prikupljanja, kategorije trećih strana s kojima se podaci dijele te prodaju li se ili dijele podaci.
- Osjetljivi osobni podaci: CPRA uvodi pravo na "Ograničenje uporabe mojih osjetljivih osobnih podataka". Ako kolačići prikupljaju osjetljive podatke (poput precizne geolokacije), potrošači moraju moći ograničiti njihovu uporabu.
- Maloljetnici: Za potrošače mlađe od 16 godina, CCPA/CPRA prelazi na model privole. Ne smijete prodavati ili dijeliti osobne podatke potrošača za kojeg znate da je mlađi od 16 godina bez izričite privole (od samog potrošača ako ima 13 do 15 godina, odnosno od roditelja/skrbnika ako je mlađi od 13 godina).
Tko se mora uskladiti
CCPA/CPRA primjenjuje se na profitne tvrtke koje posluju u Kaliforniji i ispunjavaju bilo koji od sljedećih pragova: godišnji bruto prihod veći od 25 milijuna dolara; kupovanje, prodaja ili dijeljenje osobnih podataka 100.000 ili više potrošača ili kućanstava; ili ostvarivanje 50% ili više godišnjeg prihoda od prodaje ili dijeljenja osobnih podataka potrošača.
Ostali zakoni o privatnosti američkih saveznih država
Nekoliko drugih saveznih država donijelo je sveobuhvatne zakone o privatnosti s implikacijama za usklađenost kolačića. Iako niti jedan nije toliko detaljan kao CCPA/CPRA, oni uspostavljaju dosljedne teme oko prava na odjavu i transparentnosti podataka.
Colorado Privacy Act (CPA)
Na snazi od: 1. srpnja 2023. Provodi: Državni odvjetnik Colorada.
Zahtijeva pravo na odjavu za ciljano oglašavanje i prodaju osobnih podataka. Tvrtke moraju poštovati univerzalne mehanizme odjave (poput GPC-a). Propisi Colorada izričito zahtijevaju "jasnu i uočljivu" metodu odjave i priznaju univerzalne signale odjave, čime je usklađenost s GPC-om praktički obvezna za obuhvaćene tvrtke.
Connecticut Data Privacy Act (CTDPA)
Na snazi od: 1. srpnja 2023. Provodi: Državni odvjetnik Connecticuta.
Sličan zakonu Colorada. Zahtijeva odjavu za ciljano oglašavanje, prodaju osobnih podataka i profiliranje. Zahtijeva priznavanje univerzalnih mehanizama odjave počevši od 1. siječnja 2025. Pruža specifičnu zaštitu za osjetljive podatke koji zahtijevaju privolu.
Virginia Consumer Data Protection Act (VCDPA)
Na snazi od: 1. siječnja 2023. Provodi: Državni odvjetnik Virginije.
Pruža prava na odjavu za ciljano oglašavanje i prodaju osobnih podataka. Ne zahtijeva priznavanje univerzalnih signala odjave (za razliku od Kalifornije, Colorada i Connecticuta). Zahtijeva privolu za obradu osjetljivih podataka.
Texas Data Privacy and Security Act (TDPSA)
Na snazi od: 1. srpnja 2024. Provodi: Državni odvjetnik Teksasa.
Osobito širokog opsega bez praga prihoda — primjenjuje se na svaki subjekt koji posluje u Teksasu, obrađuje osobne podatke i nije mala tvrtka prema definiciji SBA-a. Zahtijeva odjavu za ciljano oglašavanje i prodaju podataka. Zahtijeva priznavanje univerzalnih mehanizama odjave.
Oregon Consumer Privacy Act (OCPA)
Na snazi od: 1. srpnja 2024. Provodi: Državni odvjetnik Oregona.
Primjenjuje se na tvrtke koje kontroliraju ili obrađuju podatke 100.000+ potrošača iz Oregona, odnosno 25.000+ potrošača ako ostvaruju 25%+ prihoda od prodaje podataka. Pruža standardna prava na odjavu i zahtijeva 30-dnevni rok za otklanjanje kršenja.
Usporedba: Američke savezne države naspram GDPR-a
| Zahtjev | GDPR/ePrivacy | CCPA/CPRA | Ostale američke države |
|---|---|---|---|
| Model privole | Opt-in (prethodna privola) | Opt-out | Opt-out |
| Privola za kolačiće potrebna prije postavljanja | Da | Ne | Ne |
| Potreban banner za kolačiće | Praktički da | Ne (potrebna poveznica za odjavu) | Ne |
| Detaljna privola po kategoriji | Da | Ne | Ne |
| Pravo na odjavu od praćenja | Da (nedavanjem privole) | Da ("Ne prodavaj/dijeli") | Da (ciljani oglasi/prodaja podataka) |
| Potreban GPC/univerzalna odjava | Nije navedeno | Da | Varira (CA, CO, CT, TX: da) |
| Potrebna politika privatnosti | Da | Da | Da |
| Osjetljivi podaci: potrebna privola | Da (izričita privola) | Pravo na ograničenje uporabe | Varira (većina: opt-in) |
| Provedba | DPA-ovi + privatna tužba (ograničeno) | CPPA + državni odvjetnik + privatno pravo na tužbu (povrede podataka) | Samo državni odvjetnik |
| Maksimalne kazne | 4% globalnog prometa / 20 milijuna € | 2.500 USD po kršenju; 7.500 USD po namjernom | Varira; obično 7.500 – 10.000 USD |
Praktičan pristup: Usklađenost s GDPR-om pokriva većinu američkih zahtjeva
Ako je vaše web-mjesto već usklađeno s GDPR-om, dobro ste pozicionirani za usklađenost sa SAD-om. GDPR-ov model privole stroži je od bilo kojeg modela odjave američkih saveznih država. Ipak, postoje specifični američki zahtjevi koje GDPR ne obuhvaća:
- Poveznica "Ne prodavaj i ne dijeli": GDPR zahtijeva upravljanje privolama, ali ne i specifičnu poveznicu "Ne prodavaj i ne dijeli". Ako imate posjetitelje iz Kalifornije i ispunjavate pragove CCPA-a, potrebna vam je ova poveznica.
- Prepoznavanje GPC signala: Iako GDPR ne zahtijeva prepoznavanje signala preglednika, nekoliko američkih saveznih država to nalaže. Implementacija prepoznavanja GPC-a je jednostavna i pokazuje poštovanje prema preferencijama korisnika.
- Specifične objave u politici privatnosti: CCPA/CPRA zahtijeva objave u specifičnom formatu (kategorije podataka prikupljenih u prethodnih 12 mjeseci, kategorije izvora itd.) koje se razlikuju od zahtjeva GDPR-ove obavijesti o privatnosti.
- "Do Not Track" naspram GPC-a: Stari signal preglednika Do Not Track (DNT) nikada nije bio pravno obvezujući. GPC je njegov nasljednik i pravno je obvezujući prema CCPA-u/CPRA-u i nekoliko drugih državnih zakona. Osigurajte da vaša platforma za upravljanje privolama prepoznaje GPC signale i postupa u skladu s njima.
Izgledi za savezni zakon o privatnosti u SAD-u
American Data Privacy and Protection Act (ADPPA) približio se donošenju više od bilo kojeg prethodnog saveznog prijedloga zakona o privatnosti kada je u srpnju 2022. prošao kroz House Energy and Commerce Committee, no na kraju je zapeo. U kasnijim zasjedanjima Kongresa pojavili su se obnovljeni prijedlozi, ali od početka 2026. godine nijedan savezni zakon o privatnosti nije donesen.
Glavne prepreke i dalje su:
- Nadređenost: Treba li savezni zakon nadjačati državne zakone (Kalifornija se protivi nadređenosti koja bi oslabila CCPA/CPRA).
- Privatno pravo na tužbu: Trebaju li pojedinci moći izravno tužiti tvrtke za kršenja privatnosti.
- Opt-in naspram opt-out: Treba li savezni standard usvojiti model privole za osjetljive podatke ili zadržati pristup odjave.
Dok se ne donese savezni zakon, tvrtke se moraju snalaziti u mozaiku pojedinačnih saveznih država. Praktičan savjet i dalje glasi: izgradite sustav za upravljanje privolama koji može zadovoljiti najrestriktivnije zahtjeve (GDPR opt-in) i po potrebi dodajte značajke specifične za SAD (poveznice za odjavu, podršku za GPC).
Preporuke za globalnu usklađenost
Za web-mjesta koja poslužuju posjetitelje iz EU-a i SAD-a, najučinkovitiji pristup je:
- Implementirajte upravljanje privolama usklađeno s GDPR-om kao svoju osnovu. To vam daje najstroži model koji inherentno zadovoljava manje stroge zahtjeve.
- Dodajte mehanizam "Ne prodavaj i ne dijeli" ako ispunjavate pragove CCPA-a ili imate značajan promet iz Kalifornije.
- Implementirajte prepoznavanje GPC signala za sve posjetitelje. To je jednostavna tehnička implementacija sa značajnim pravnim koristima.
- Koristite geolokaciju za pružanje odgovarajućih iskustava privole. Posjetitelji iz EU-a vide banner za privolu; posjetitelji iz SAD-a vide manje nametljivu obavijest s opcijama za odjavu. Time se uravnotežuje usklađenost s korisničkim iskustvom.
- Održavajte sveobuhvatne objave o privatnosti koje zadovoljavaju zahtjeve i GDPR-a i CCPA-a/CPRA-a.
Globalni trend nedvojbeno ide prema većoj zaštiti privatnosti i korisničkoj kontroli nad tehnologijama praćenja. Izgradnja robusnog upravljanja privolama već sada je ulaganje koje će se isplatiti kako nova regulativa nastavlja nastajati.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće