Kaliforniyanın Məxfilik Çərçivəsini Anlamaq

Kaliforniya ABŞ-da istehlakçı məxfiliyi qanunvericiliyində liderlik etmişdir və onun qanunları dünya üzrə veb saytlara təsir edir. Kaliforniya İstehlakçı Məxfiliyi Aktı (CCPA), Kaliforniya Məxfilik Hüquqları Aktı (CPRA) ilə 2023-cü ilin yanvarından qüvvəyə minən əhəmiyyətli düzəlişlərlə, Kaliforniya sakinlərindən şəxsi məlumat toplayan istənilən biznesə öhdəliklər yaradır — həmin biznesin fiziki olaraq harada yerləşməsindən asılı olmayaraq.

Veb sayt sahibləri üçün praktiki nəticələr cookie-lər, izləmə texnologiyaları və istifadəçi məlumatlarının üçüncü tərəflərlə necə paylaşılması ətrafında cəmlənir. Kaliforniya modeli Avropanın GDPR-indən əsaslı şəkildə fərqlənir, lakin yenə də razılıq mexanizmlərinə və istifadəçi hüquqlarına diqqətli yanaşma tələb edir.

CCPA/CPRA: Kim Əhatə Olunur?

Qanun aşağıdakı həddlərdən hər hansı birinə cavab verən mənfəət güdən bizneslərə şamil olunur:

• İllik ümumi gəlir 25 milyon dollardan çox.
• İldə 100.000 və ya daha çox Kaliforniya sakini, ev təsərrüfatı və ya cihazın şəxsi məlumatlarını almaq, satmaq və ya paylaşmaq.
• İllik gəlirin 50 faiz və ya daha çoxunu Kaliforniya sakinlərinin şəxsi məlumatlarının satışından və ya paylaşılmasından əldə etmək.

İkinci hədd reklamlı veb saytlar üçün xüsusilə vacibdir. Əgər saytınız hədəfli reklam üçün üçüncü tərəf cookie-lərindən istifadə edirsə və əhəmiyyətli Kaliforniya trafiki alırsa, təkcə həmin cookie-lər vasitəsilə ildə 100.000-dən çox Kaliforniya istifadəçisinin məlumatlarını emal edə bilərsiniz.

İmtina və Qoşulma: GDPR-dən Əsas Fərq

Bu, veb sayt operatorlarının başa düşməli olduğu ən kritik fərqdir. GDPR-ə görə standart qoşulmadır: istifadəçi aktiv şəkildə razılıq verənə qədər qeyri-əsas cookie-ləri təyin edə bilməzsiniz. CCPA/CPRA-ya görə standart imtinadır: istifadəçi sizə dayandırmağı söyləyənə qədər şəxsi məlumatları (cookie-lər vasitəsilə daxil olmaqla) emal edə bilərsiniz.

Bu o deməkdir ki, Kaliforniya ziyarətçiləri üçün razılıq təcrübəsi əsaslı şəkildə fərqli görünür:

• GDPR yanaşması: Bütün qeyri-əsas cookie-ləri bloklayın. Banner göstərin. Təsdiqedici razılığı gözləyin. Yalnız bundan sonra cookie-ləri təyin edin.
• CCPA/CPRA yanaşması: Cookie-lər standart olaraq təyin oluna bilər. Aydın və nəzərə çarpan "Şəxsi Məlumatlarımı Satmayın və ya Paylaşmayın" linki təmin edin. İstifadəçi bu hüquqdan istifadə etdikdə, onların məlumatlarını üçüncü tərəflərlə paylaşmağı dayandırın.

Lakin mühüm istisnalar var. 16 yaşından kiçik yetkinlik yaşına çatmayanlar üçün CCPA/CPRA qoşulma modelinə keçir — onların şəxsi məlumatlarını satmadan və ya paylaşmadan əvvəl təsdiqedici razılıq almalısınız. 13 yaşından kiçik uşaqlar üçün valideyn və ya qəyyum həmin razılığı verməlidir.

"Satmayın və ya Paylaşmayın" Tələbi

CPRA orijinal CCPA-nın "Satmayın" hüququnu "paylaşmanı" da əhatə etmək üçün genişləndirdi — bu xüsusi olaraq üçüncü tərəf reklam cookie-ləri vasitəsilə baş verən məlumat mübadiləsi növünü hədəfləyir. İstifadəçi saytınıza daxil olduqda və cookie-ləriniz onların baxış məlumatlarını reklam şəbəkələrinə göndərdikdə, bu, birbaşa pul mübadiləsi olmasa belə, CPRA-ya görə paylaşma təşkil edir.

Öhdəlikləriniz bunlardır:

• Ana səhifənizdə və məxfilik siyasətinizdə "Şəxsi Məlumatlarımı Satmayın və ya Paylaşmayın" başlıqlı aydın link.
• İstifadəçilərin hesab yaratmadan bu hüquqdan asanlıqla istifadə edə biləcəyi mexanizm.
• Tələbin 15 iş günü ərzində yerinə yetirilməsi.
• Bu hüquqdan istifadə edən istifadəçilərə qarşı ayrı-seçkilik etməmək (məsələn, onların təcrübəsini pisləşdirməklə).

Global Privacy Control (GPC)

Global Privacy Control istifadəçilərin ziyarət etdikləri hər veb sayta imtina tərcihini avtomatik olaraq bildirmək üçün aktivləşdirə biləcəyi brauzer səviyyəli siqnaldır. Firefox və Brave daxil olmaqla əsas brauzerlər GPC-ni yerli olaraq dəstəkləyir və brauzer genişləndirmələri Chrome və digərlərinə dəstək əlavə edir.

CPRA qaydalarına görə, bizneslər GPC siqnallarını etibarlı imtina tələbi kimi qəbul etməlidir. Bunun mühüm praktiki nəticələri var:

• Veb saytınız Sec-GPC: 1 HTTP başlığını və ya navigator.globalPrivacyControl JavaScript xüsusiyyətini aşkar edə bilməlidir.
• Aşkar edildikdə, bunu istifadəçinin "Satmayın və ya Paylaşmayın" düyməsini basdığına ekvivalent olaraq qəbul etməlisiniz.
• Reklam üçün istifadə olunan üçüncü tərəf cookie-ləri bu istifadəçilər üçün bloklanmalıdır.

GPC qəbulu davamlı olaraq artır. Təxminlərə görə veb trafikinin 5-dən 10 faizə qədəri indi GPC siqnalı daşıyır və bu faiz Kaliforniyada məxfiliyə həssas istifadəçilər arasında daha yüksəkdir.

Kaliforniya Üçün Həqiqətən Nə Vaxt Cookie Bannerinə Ehtiyacınız Var?

Bir çox biznesin çaşdığı yer budur. Dəqiq desək, CCPA/CPRA imtina modeli səbəbilə Avropa üslubunda cookie razılıq banneri tələb etmir. Lakin sizə lazımdır:

• Asanlıqla əlçatan olan "Satmayın və ya Paylaşmayın" linki.
• İstifadəçi imtina etdikdə və ya GPC siqnalı göndərdikdə üçüncü tərəf məlumat paylaşımını dayandırmaq üçün mexanizm.
• Toplanmış şəxsi məlumat kateqoriyalarını, məqsədləri və məlumatların paylaşıldığı üçüncü tərəfləri açıqlayan məxfilik siyasəti.
• Həmçinin Avropa ziyarətçilərinə xidmət edən saytlar üçün CCPA imtina mexanizmi ilə birlikdə mövcud ola bilən GDPR-ə uyğun razılıq banneri.

Praktikada, həm Avropa, həm də Kaliforniya auditoriyasına xidmət edən əksər veb saytlar ziyarətçinin yerinə əsaslanaraq davranışını uyğunlaşdıran vahid razılıq interfeysi tətbiq edir. Bu, tamamilə iki ayrı razılıq sistemini saxlamaqdan qaçınır.

Praktiki Tətbiq Mülahizələri

CCPA/CPRA uyğunluğunu GDPR uyğunluğu ilə birlikdə tətbiq etmək ikili rejim problemini yaradır. Razılıq idarəetmə platformanız bunları etməlidir:

1. IP əsaslı geolokasiya istifadə edərək ziyarətçinin yerini dəqiq müəyyən etmək.
2. Düzgün hüquqi çərçivəni tətbiq etmək — AİƏ/Böyük Britaniya ziyarətçiləri üçün qoşulma, Kaliforniya ziyarətçiləri üçün imtina və potensial olaraq digər regionlardan gələn ziyarətçilər üçün heç bir tələb yoxdur.
3. Kaliforniya ziyarətçiləri üçün bannerdə və ya müstəqil səhifə elementi kimi "Satmayın və ya Paylaşmayın" linkini idarə etmək.
4. Hər hansı üçüncü tərəf cookie-si təyin olunmadan əvvəl GPC siqnallarını aşkar edib qəbul etmək.
5. Cookie davranışını müvafiq olaraq idarə etmək — imtina etmiş istifadəçilər üçün üçüncü tərəf reklam cookie-lərini bloklamaq, eyni zamanda birinci tərəf analitikasının davam etməsinə icazə vermək.

Texniki tətbiq həmçinin birinci tərəf analitika cookie-ləri (CCPA/CPRA-ya görə ümumiyyətlə biznes məqsədi kimi icazə verilir) ilə üçüncü tərəf reklam cookie-ləri (paylaşma təşkil edən və imtinaya tabe olan) arasındakı fərqi nəzərə almalıdır.

FlexyConsent-in Kaliforniya Ziyarətçiləri Üçün Geo-Hədəfləməsi

FlexyConsent ikili rejim problemini avtomatik geo-hədəfləmə vasitəsilə həll edir. Kaliforniya ziyarətçisi saytınıza daxil olduqda, FlexyConsent davranışını CCPA/CPRA tələblərinə uyğunlaşdırır:

• İmtina rejiminin aktivləşdirilməsi: Bütün cookie-ləri əvvəlcədən bloklamaq əvəzinə, FlexyConsent tələb olunan "Şəxsi Məlumatlarımı Satmayın və ya Paylaşmayın" seçimini nəzərə çarpacaq şəkildə göstərir.
• GPC siqnalının aşkarlanması: FlexyConsent avtomatik olaraq Global Privacy Control siqnalını yoxlayır və mövcud olduqda, heç bir istifadəçi müdaxiləsi tələb etmədən üçüncü tərəf məlumat paylaşımını dayandırır.
• Kateqoriya fərqli bloklama: Kaliforniya istifadəçisi imtina etdikdə, FlexyConsent seçici olaraq reklam və saytlararası izləmə cookie-lərini bloklayır, eyni zamanda biznes məqsədi istisnası altına düşən birinci tərəf analitika funksionallığını qoruyur.
• GDPR ilə problemsiz birgəyaşayış: Eyni FlexyConsent quraşdırılması hər iki çərçivəni idarə edir. Avropa ziyarətçiləri dənəli kateqoriya idarəetmələri ilə GDPR-ə uyğun qoşulma bannerini görür. Kaliforniya ziyarətçiləri müvafiq imtina mexanizmini görür. Tənzimlənməmiş regionlardan gələn ziyarətçilər konfiqurasiyanıza görə minimal bildiriş və ya heç banner almır.

Google sertifikatlı CMP olaraq IAB TCF 2.3 və Consent Mode V2 dəstəyi ilə FlexyConsent, hansı hüquqi çərçivənin tətbiq olunmasından asılı olmayaraq, razılıq siqnallarının Google xidmətlərinə düzgün ötürülməsini təmin edir. Bu o deməkdir ki, Google Analytics və Google Ads konfiqurasiyalarınız həm qoşulmuş Avropa istifadəçiləri, həm də imtina etməmiş Kaliforniya istifadəçiləri üçün düzgün işləyir.

Əsas nəticə: Kaliforniyanın imtina modeli GDPR-in qoşulma yanaşmasından daha az məhdudlaşdırıcı görünə bilər, lakin praktiki tələblər — xüsusilə GPC siqnalları və "paylaşmanın" geniş tərifi ətrafında — reklamla dəstəklənən əksər veb saytların mürəkkəb razılıq idarəetmə həllinə ehtiyac duyduğunu göstərir. Hər iki çərçivəyə uyğunlaşan geo-hədəfli razılıq tətbiq etmək, tək bir yanaşmanı qlobal olaraq tətbiq etməyə çalışmaqdan qat-qat etibarlıdır.