Pochopení kalifornského rámce ochrany soukromí

Kalifornie je ve Spojených státech lídrem v oblasti legislativy na ochranu soukromí spotřebitelů a její zákony ovlivňují webové stránky po celém světě. California Consumer Privacy Act (CCPA), který byl významně novelizován zákonem California Privacy Rights Act (CPRA) účinným od ledna 2023, vytváří povinnosti pro jakýkoli podnik, který shromažďuje osobní údaje obyvatel Kalifornie – bez ohledu na to, kde se tento podnik fyzicky nachází.

Pro provozovatele webů se praktické dopady soustředí na cookies, sledovací technologie a to, jak jsou uživatelská data sdílena s třetími stranami. Ačkoli se kalifornský model zásadně liší od evropského GDPR, stále vyžaduje pečlivou pozornost věnovanou mechanismům souhlasu a právům uživatelů.

CCPA/CPRA: Na koho se vztahuje?

Zákon se vztahuje na ziskové podniky, které splní alespoň jeden z následujících prahů:

• Roční hrubé příjmy přesahující 25 milionů USD.
• Nákup, prodej nebo sdílení osobních údajů 100 000 nebo více obyvatel Kalifornie, domácností nebo zařízení ročně.
• Získávání 50 procent nebo více ročních příjmů z prodeje nebo sdílení osobních údajů obyvatel Kalifornie.

Druhý práh je obzvlášť důležitý pro weby s reklamou. Pokud váš web používá cookies třetích stran pro cílenou reklamu a má významnou návštěvnost z Kalifornie, můžete prostřednictvím těchto cookies zpracovávat data výrazně více než 100 000 kalifornských uživatelů ročně.

Opt-out vs opt-in: Zásadní rozdíl oproti GDPR

Toto je nejdůležitější rozdíl, kterému by provozovatelé webů měli rozumět. Podle GDPR je výchozím nastavením opt-in: nesmíte nastavovat neesenciální cookies, dokud uživatel aktivně neudělí souhlas. Podle CCPA/CPRA je výchozím nastavením opt-out: můžete zpracovávat osobní údaje (včetně prostřednictvím cookies), dokud vám uživatel neřekne, abyste přestali.

To znamená, že zkušenost se souhlasem pro návštěvníky z Kalifornie vypadá zásadně jinak:

• Přístup podle GDPR: Blokovat všechny neesenciální cookies. Zobrazit lištu. Počkat na výslovný souhlas. Teprve poté nastavit cookies.
• Přístup podle CCPA/CPRA: Cookies mohou být ve výchozím stavu nastaveny. Poskytnout jasný a zřetelný odkaz „Do Not Sell or Share My Personal Information“. Když uživatel toto právo uplatní, přestat sdílet jeho data s třetími stranami.

Existují však důležité výjimky. U nezletilých do 16 let se CCPA/CPRA přepíná na opt-in model – před prodejem nebo sdílením jejich osobních údajů musíte získat výslovný souhlas. U dětí mladších 13 let musí tento souhlas poskytnout rodič nebo zákonný zástupce.

Požadavek „Do Not Sell or Share“

CPRA rozšířila původní právo CCPA „Do Not Sell“ o „sharing“ – což konkrétně cílí na typ výměny dat, k níž dochází prostřednictvím reklamních cookies třetích stran. Když uživatel navštíví váš web a vaše cookies odesílají jeho údaje o prohlížení reklamním sítím, představuje to podle CPRA sharing, i když nedochází k přímé finanční transakci.

Vaše povinnosti zahrnují:

• Jasný odkaz s názvem „Do Not Sell or Share My Personal Information“ na vaší domovské stránce a v zásadách ochrany osobních údajů.
• Mechanismus, který uživatelům umožní toto právo snadno uplatnit, aniž by museli vytvářet účet.
• Vyřízení požadavku do 15 pracovních dnů.
• Zákaz diskriminace uživatelů, kteří toto právo uplatní (například zhoršením jejich uživatelské zkušenosti).

Global Privacy Control (GPC)

Global Privacy Control je signál na úrovni prohlížeče, který mohou uživatelé zapnout, aby automaticky komunikoval jejich preferenci opt-out na každý web, který navštíví. Hlavní prohlížeče včetně Firefox a Brave podporují GPC nativně a rozšíření prohlížečů přidávají podporu do Chrome a dalších.

Podle předpisů CPRA musí podniky respektovat signály GPC jako platnou žádost o opt-out. To má významné praktické dopady:

• Váš web musí být schopen detekovat HTTP hlavičku Sec-GPC: 1 nebo JavaScriptovou vlastnost navigator.globalPrivacyControl.
• Při detekci musíte s tímto signálem zacházet stejně, jako kdyby uživatel klikl na „Do Not Sell or Share“.
• Cookies třetích stran používané pro reklamu musí být pro tyto uživatele potlačeny.

Adopce GPC stabilně roste. Odhady naznačují, že 5 až 10 procent webového provozu nyní nese signál GPC a toto procento je vyšší mezi uživateli v Kalifornii, kteří dbají na ochranu soukromí.

Kdy skutečně potřebujete cookie lištu pro Kalifornii?

Zde se mnoho podniků dostává do zmatku. Přísně vzato CCPA/CPRA nevyžaduje evropský styl cookie lišty se souhlasem, protože funguje na modelu opt-out. Nicméně potřebujete:

• Snadno dostupný odkaz „Do Not Sell or Share“.
• Mechanismus pro potlačení sdílení dat s třetími stranami, když uživatel provede opt-out nebo odešle signál GPC.
• Zásady ochrany osobních údajů, které zveřejňují kategorie shromažďovaných osobních údajů, účely zpracování a třetí strany, s nimiž jsou data sdílena.
• Pro weby, které zároveň obsluhují evropské návštěvníky, cookie lištu v souladu s GDPR, která může koexistovat s mechanismem opt-out podle CCPA.

V praxi většina webů, které obsluhují jak evropské, tak kalifornské publikum, implementuje jednotné rozhraní pro souhlas, které přizpůsobuje své chování podle umístění návštěvníka. Tím se vyhnete nutnosti udržovat dva zcela oddělené systémy souhlasu.

Praktické aspekty implementace

Implementace souladu s CCPA/CPRA vedle souladu s GDPR vytváří výzvu dvou režimů. Vaše platforma pro správu souhlasů musí:

1. Přesně detekovat umístění návštěvníka pomocí geolokace na základě IP adresy.
2. Uplatnit správný právní rámec – opt-in pro návštěvníky z EHP/UK, opt-out pro návštěvníky z Kalifornie a případně žádné požadavky pro návštěvníky z jiných regionů.
3. Spravovat odkaz „Do Not Sell or Share“ pro návštěvníky z Kalifornie, a to buď v rámci lišty, nebo jako samostatný prvek na stránce.
4. Detekovat a respektovat signály GPC ještě před nastavením jakýchkoli cookies třetích stran.
5. Ovládat chování cookies odpovídajícím způsobem – blokovat reklamní cookies třetích stran pro uživatele, kteří provedli opt-out, a zároveň umožnit pokračování first-party analytiky.

Technická implementace musí také zohlednit rozdíl mezi first-party analytickými cookies (obecně přípustnými podle CCPA/CPRA jako obchodní účel) a reklamními cookies třetích stran (které představují sharing a podléhají opt-out).

FlexyConsent geo-targeting pro návštěvníky z Kalifornie

FlexyConsent řeší výzvu dvou režimů prostřednictvím automatického geo-targetingu. Když na váš web přijde náv��těvník z Kalifornie, FlexyConsent upraví své chování tak, aby odpovídalo požadavkům CCPA/CPRA:

• Aktivace režimu opt-out: Namísto blokování všech cookies předem FlexyConsent výrazně zobrazí požadovanou možnost „Do Not Sell or Share My Personal Information“.
• Detekce signálu GPC: FlexyConsent automaticky kontroluje signál Global Privacy Control a pokud je přítomen, potlačí sdílení dat s třetími stranami bez nutnosti jakékoli interakce uživatele.
• Blokování podle kategorií: Když uživatel z Kalifornie provede opt-out, FlexyConsent selektivně blokuje reklamní a cross-site tracking cookies a zároveň zachovává funkčnost first-party analytiky, která spadá pod výjimku obchodního účelu.
• Bezproblémové soužití s GDPR: Stejná instalace FlexyConsent obsluhuje oba rámce. Evropští návštěvníci vidí s GDPR kompatibilní opt-in lištu s podrobným řízením kategorií. Návštěvníci z Kalifornie vidí odpovídající mechanismus opt-out. Návštěvníci z neregulovaných regionů dostanou minimální oznámení nebo žádnou lištu, v závislosti na vaší konfiguraci.

Jako Google-certified CMP s podporou IAB TCF 2.3 a Consent Mode V2 zajišťuje FlexyConsent, že signály souhlasu jsou správně komunikovány službám Google bez ohledu na to, který právní rámec se použije. To znamená, že vaše konfigurace Google Analytics a Google Ads fungují správně jak pro evropské uživatele, kteří udělili souhlas, tak pro kalifornské uživatele, kteří neprovedli opt-out.

Hlavní sdělení: Kalifornský model opt-out se může zdát méně restriktivní než přístup opt-in podle GDPR, ale praktické požadavky – zejména kolem signálů GPC a široké definice „sharing“ – znamenají, že většina webů financovaných z reklamy potřebuje sofistikované řešení pro správu souhlasů. Implementace geo-targetovaného souhlasu, který se přizpůsobuje oběma rámcům, je mnohem spolehlivější než snaha uplatnit jednotný přístup globálně.