Co zákon o mazání vlastně dělá

Zákon o mazání je strukturálním doplněním stávajícího kalifornského registračního režimu pro zprostředkovatele dat, který je v platnosti od roku 2020. Zatímco původní rámec od zprostředkovatelů požadoval pouze každoroční registraci ve státě a zveřejnění kategorií osobních údajů, zákon o mazání přidává centralizovaný mechanismus mazání s pevnými lhůtami, povinnostmi auditu a sankcemi za nedodržení předpisů.

Centralizovaný registr mazání

Registr je platforma provozovaná CPPA, kde kalifornští spotřebitelé podávají jediný požadavek na mazání, který se automaticky rozšíří ke každému registrovanému zprostředkovateli dat. Zprostředkovatelé musí registr kontrolovat nejméně každých čtyřicet pět dní, identifikovat nové požadavky odpovídající jednotlivcům ve svých datových sadách a smazat odpovídající záznamy ve lhůtě stanovené předpisy. Spotřebitelé nepotřebují vědět, kteří zprostředkovatelé jejich data uchovávají — registr rozšíření zajišťuje sám.

Kdo se považuje za zprostředkovatele dat

Zákon definuje zprostředkovatele dat jako podnik, který vědomě shromažďuje a prodává osobní údaje o spotřebiteli, se kterým nemá přímý vztah. Definice je užší, než se zdá — vydavatelé první strany prodávající vlastní publikum zprostředkovateli nejsou, zpracovatelé zpracovávající data jménem správce zprostředkovateli nejsou — ale zahrnuje poskytovatele grafů identit, reklamní platformy napříč kontexty, vyhledávací služby pro osoby a velkou část vrstvy rozšíření publika, skrze niž vydavatelé přesměrovávají programatická data.

Registrace a veřejný seznam

Každý dotčený zprostředkovatel se musí každoročně registrovat, zaplatit poplatek a být uveden na veřejném seznamu, který CPPA spravuje. Do roku 2026 je seznam praktickým referenčním bodem pro vydavatele provádějící audit svých downstream datových toků: každý dodavatel na seznamu je pro účely zákona o mazání zprostředkovatelem dat a smluvní závazky vydavatele s tímto dodavatelem musí odrážet realitu šíření mazání.

Čtyřicetipětidenní cyklus a jeho provozní důsledky

Klíčovým provozním pravidlem je kadence cyklu mazání. Každých čtyřicet pět dní musí každý registrovaný zprostředkovatel zkontrolovat registr a smazat každý odpovídající záznam. Kadence vytváří nový druh úbytku identit, pro který musí vydavatelé navrhnout řešení.

Jak publika ubývají v průběhu cyklu

Publikum vytvořené na základě obohacování o data zprostředkovatelů se bude zmenšovat přibližně každých šest týdnů, jak se skrze síť zprostředkovatelů šíří kalifornští spotřebitelé, kteří podali požadavky na mazání. Vydavatelé provozující měření v USA závislá na rozlišení identit — programatické cílení publika, přiřazovací okna závislá na mezistránkových identifikátorech, modelování lookalike využívající semena od zprostředkovatelů — budou sledovat, jak velikosti californského publika klesají vzorem zubů pily: každý cyklus odstraní tranši, pak inkrementální návštěvníci do dalšího cyklu místo znovu zaplní.

Opětovná identifikace je zakázána

Zákon výslovně zakazuje zprostředkovatelům opětovně identifikovat spotřebitele, který byl smazán, i pokud zprostředkovatel následně získá stejná data z jiného zdroje. Zákaz uzavírá zjevnou mezeru a znamená, že vydavatelé se nemohou spoléhat na vlastní data první strany při opětovném připojování smazaných spotřebitelů do publik směrovaných přes zprostředkovatele. Mazání má být trvalé a auditní program regulátora je postaven k detekci vzorců opětovné identifikace.

Data první strany vydavatele jsou mimo cyklus

Vlastní data první strany vydavatele — registrovaní uživatelé, odběratelé newsletterů, věrnostní členové — nepodléhají cyklu mazání dle zákona o mazání, protože vydavatel není zprostředkovatelem dat pro tyto záznamy. Vydavatel nadále podléhá právům na mazání dle CCPA a CPRA, která jsou samostatná. Oba režimy mohou interagovat: mazání dle zákona o mazání na úrovni zprostředkovatele může stále ponechat záznam první strany vydavatele nedotčený a vydavatel musí i nadále respektovat samostatný požadavek spotřebitele na mazání dle CCPA prostřednictvím vlastního příjmu vydavatele.

Signál Global Privacy Control v novém světě

Zákon o mazání se kříží s hlavičkou Global Privacy Control (GPC), kterou prohlížeče a rozšíření ochrany soukromí odesílají, aby naznačily, že uživatel nastavil předvolbu univerzálního odhlášení. Předpisy CPPA potvrzují, že vydavatelé a zprostředkovatelé musí GPC respektovat jako platné odhlášení dle CCPA a centralizovaný registr zákona o mazání přidává paralelní cestu ke stejnému výsledku.

Dva signály, jeden výsledek

Kalifornský spotřebitel má dvě možnosti, jak opustit komerční datový ekosystém: odeslat hlavičku GPC z každého prohlížeče, který používá, nebo podat jediný požadavek do registru zákona o mazání. Obě cesty přinášejí ekvivalentní výsledky pro většinu případů použití, ale liší se rozsahem. GPC upravuje průběžný prodej a sdílení na každém webu, který spotřebitel navštíví. Registr maže stávající záznamy uchované zprostředkovateli. Vydavatelé by měli oba signály považovat za autoritativní a CMP by měl být konfigurován tak, aby rozpoznal oba.

Role CMP při zpřístupnění obou cest

Kompatibilní CMP pro californské publikum v roce 2026 zobrazuje stav respektování GPC (návštěvník má GPC nastaveno, odhlášení je aktivní), vlastní odkaz na odhlášení vydavatele (spotřebitel může odmítnout prodej a sdílení konkrétně na tomto webu) a jasný odkaz na registr CPPA pro spotřebitele, kteří chtějí výsledek mazání od zprostředkovatelů. Architektura není technicky náročná — tři ovládací prvky v uživatelském rozhraní souhlasu místo jednoho — ale formulace je důležitá a vymáhání ze strany CPPA bylo aktivní ohledně zavádějících nebo skrytých cest odhlášení.

Co musí vydavatelé udělat

Zákon o mazání je předpis zaměřený na zprostředkovatele, nikoli vydavatele, ale provozní důsledky pro vydavatele jsou reálné a vyžadují konkrétní změny architektury souhlasu a dat.

Proveďte audit zásobníku dodavatelů proti registru zprostředkovatelů

Každý dodavatel v reklamním a analytickém zásobníku vydavatele by měl být křížově zkontrolován s veřejným seznamem zprostředkovatelů CPPA. Dodavatelé na seznamu podléhají režimu zákona o mazání a smlouvy vydavatele s těmito dodavateli musí odrážet šíření mazání, uchovávání záznamů auditu a kadenci čtyřicetipětidenního cyklu. Většina velkých poskytovatelů rozlišení identit a několik velkých SSP je nyní na seznamu; audit není bolestivý, ale musí se provádět nejméně jednou ročně.

Aktualizujte oznámení o ochraně soukromí a uživatelské rozhraní souhlasu

Oznámení vydavatele o ochraně soukromí by mělo vysvětlovat cestu k registru zákona o mazání vedle stávajícího práva na mazání dle CCPA s přímým odkazem na registr CPPA. Uživatelské rozhraní souhlasu by mělo zobrazovat stav respektování GPC, když má návštěvník nastavenou hlavičku, a ovládací prvky odhlášení by měly být stylizovány se stejnou prominencí jako ovládací prvky přijetí — rozhodnutí o vymáhání ze strany generálního prokurátora v průběhu let 2024 a 2025 učinila test temných vzorů explicitním.

Plánujte vzor zubů pily v publiku

Týmy pro měření a cílení publika musí vědět, že metriky publika v Kalifornii budou sledovat šestitýdenní vzor zubů pily řízený kadencí cyklu. Řídicí panely a modely tempa nabídek by měly být naladěny na vzorec, nikoli každý pokles považovat za závadu. Vydavatelé provozující přísné přiřazování by také měli modelovat cestu mazání zprostředkovatele jako samostatný zdroj úbytku, aby bylo možné čísla po cyklu čistě odsouhlasit.

Typické chyby zákona o mazání, které spouštějí zjištění

První vlna vymáhání CPPA dle zákona o mazání v průběhu roku 2025 přinesla jasný vzorec zjištění na straně vydavatele. Oznámení vydavatele o ochraně soukromí popisuje cestu odhlášení dle CCPA, ale nikdy nezmiňuje registr zákona o mazání. Banner souhlasu respektuje GPC pro prodej a sdílení, ale nešíří signál do příjmu mazání první strany vydavatele. Vydavatel uzavírá smlouvu s registrovaným zprostředkovatelem a nikdy neaktualizuje smlouvu tak, aby odrážela závazky šíření mazání dle zákona o mazání. CMP zobrazuje panel správy předvoleb, který odhlášení skryje tři kliknutí hluboko za tmavším tlačítkem než přijmout vše. Každé z nich je opravou dokumentace nebo UX, nikoli hlubokou architektonickou změnou — ale každé je také přesně tím, čím CPPA vyšetřování zahajuje.

Závěr

Zákon o mazání dává californským spotřebitelům jediné tlačítko pro opuštění komerčního datového ekosystému a do roku 2026 je registr v provozu, seznam zprostředkovatelů je veřejný a program vymáhání je aktivní. Pro vydavatele jsou důsledky reálné, ale ohraničené: zákon o mazání nevyžaduje, aby vydavatel cokoli dramatického dělal, ale vyžaduje, aby vydavatel věděl, kteří downstream dodavatelé jsou zprostředkovatelé, aktualizoval oznámení o ochraně soukromí a uživatelské rozhraní souhlasu pro zobrazení nové cesty, důsledně respektoval GPC a plánoval pro vzor zubů pily v publiku, který čtyřicetipětidenní cyklus vytváří. Nic z toho není technicky náročné. Vše je provozně specifické. Vydavatelé, kteří provedli čistý audit v letech 2024 a 2025, nyní pracují s ustálenou architekturou; vydavatelé, kteří k zákonu o mazání přistupovali jako k problému zprostředkovatelů dat, který se jich netýká, tráví rok 2026 psaním odpovědí a revizí oznámení o ochraně soukromí pod termínem regulátora.