California privaatsusraamistiku mõistmine

California on olnud Ameerika Ühendriikides tarbijate privaatsuse seadusandluse eestvedaja ning selle seadused mõjutavad veebisaite kogu maailmas. California Consumer Privacy Act (CCPA), mida oluliselt muutis California Privacy Rights Act (CPRA), mis jõustus 2023. aasta jaanuaris, kehtestab kohustused igale ettevõttele, mis kogub California elanike isikuandmeid — sõltumata sellest, kus ettevõte füüsiliselt asub.

Veebisaidi omanike jaoks keskenduvad praktilised mõjud küpsistele, jälgimistehnoloogiatele ja sellele, kuidas kasutajaandmeid kolmandate osapooltega jagatakse. Kuigi California mudel erineb põhimõtteliselt Euroopa GDPR-ist, nõuab see siiski suurt tähelepanu nõusolekumehhanismidele ja kasutajate õigustele.

CCPA/CPRA: kellele see kehtib?

Seadus kehtib kasumit taotlevatele ettevõtetele, mis vastavad vähemalt ühele järgmistest kriteeriumidest:

• Aastane kogutulu ületab 25 miljonit dollarit.
• California elanike, leibkondade või seadmete isikuandmete ostmine, müümine või jagamine 100 000 või enama subjekti kohta aastas.
• 50 protsenti või rohkem aastasest tulust saadakse California elanike isikuandmete müügist või jagamisest.

Teine kriteerium on eriti oluline reklaamiga tegelevate veebisaitide puhul. Kui sinu sait kasutab sihitud reklaami jaoks kolmanda osapoole küpsiseid ja saab märkimisväärset California liiklust, võid ainuüksi nende küpsiste kaudu töödelda igal aastal kaugelt üle 100 000 California kasutaja andmeid.

Loobumine vs nõusolek: põhiline erinevus GDPR-ist

See on veebisaidi haldajate jaoks kõige olulisem erinevus. GDPR-i kohaselt on vaikimisi opt-in ehk nõusolekupõhine mudel: sa ei tohi seada mittehädavajalikke küpsiseid enne, kui kasutaja on aktiivselt nõusoleku andnud. CCPA/CPRA järgi on vaikimisi opt-out ehk loobumispõhine mudel: sa võid isikuandmeid töödelda (sh küpsiste kaudu), kuni kasutaja palub sul lõpetada.

See tähendab, et California külastajate nõusolekukogemus näeb põhimõtteliselt teistsugune välja:

• GDPR-i lähenemine: Kõik mittehädavajalikud küpsised blokeeritakse. Kuvatakse bänner. Oodatakse selgesõnalist nõusolekut. Alles seejärel seotakse küpsised.
• CCPA/CPRA lähenemine: Küpsiseid võib vaikimisi seada. Pakutakse selget ja silmatorkavat linki "Do Not Sell or Share My Personal Information". Kui kasutaja seda õigust kasutab, lõpetad tema andmete jagamise kolmandate osapooltega.

Siiski on olulisi erandeid. Alla 16-aastaste puhul läheb CCPA/CPRA üle opt-in mudelile — enne nende isikuandmete müümist või jagamist pead saama selgesõnalise nõusoleku. Alla 13-aastaste laste puhul peab nõusoleku andma lapsevanem või eestkostja.

„Do Not Sell or Share“ nõue

CPRA laiendas algse CCPA „Do Not Sell“ õiguse hõlmama ka „sharing“ ehk jagamist — see on suunatud just sellisele andmevahetusele, mis toimub kolmanda osapoole reklaamiküpsiste kaudu. Kui kasutaja külastab sinu saiti ja sinu küpsised saadavad tema sirvimisandmeid reklaamivõrgustikele, loetakse seda CPRA järgi jagamiseks, isegi kui raha otseselt ei vahetu.

Sinu kohustused hõlmavad järgmist:

• Selge link pealkirjaga "Do Not Sell or Share My Personal Information" sinu avalehel ja privaatsuspoliitikas.
• Mehhanism, mis võimaldab kasutajatel seda õigust lihtsalt kasutada, ilma et nad peaksid kontot looma.
• Taotluse täitmine 15 tööpäeva jooksul.
• Mitte diskrimineerida kasutajaid, kes seda õigust kasutavad (näiteks nende kasutuskogemust halvendades).

Global Privacy Control (GPC)

Global Privacy Control on brauseritasemel signaal, mille kasutaja saab sisse lülitada, et edastada oma loobumiseelist automaatselt kõigile külastatavatele veebisaitidele. Suured brauserid, sealhulgas Firefox ja Brave, toetavad GPC-d natiivsel kujul ning brauserilaiendused lisavad toe Chrome’ile ja teistele.

CPRA määruste kohaselt peavad ettevõtted GPC signaale austama kui kehtivaid loobumistaotlusi. Sellel on olulised praktilised tagajärjed:

• Sinu veebisait peab suutma tuvastada HTTP päist Sec-GPC: 1 või JavaScripti omadust navigator.globalPrivacyControl.
• Tuvastamisel pead seda kohtlema samaväärselt sellega, kui kasutaja klikib „Do Not Sell or Share“.
• Reklaamiks kasutatavad kolmanda osapoole küpsised tuleb nende kasutajate puhul keelata.

GPC kasutuselevõtt kasvab järjepidevalt. Hinnangute kohaselt kannab 5–10 protsenti veebiliiklusest juba GPC signaali ning see osakaal on kõrgem privaatsust väärtustavate California kasutajate seas.

Millal on Californias tegelikult vaja küpsiste bännerit?

Siin lähevad paljud ettevõtted segadusse. Rangelt võttes ei nõua CCPA/CPRA Euroopa stiilis küpsiste nõusolekubännerit, kuna kasutatakse loobumismudelit. Küll aga on vaja:

• Kergesti ligipääsetavat linki "Do Not Sell or Share".
• Mehhanismi kolmandate osapooltega andmete jagamise peatamiseks, kui kasutaja loobub või saadab GPC signaali.
• Privaatsuspoliitikat, mis avaldab kogutavate isikuandmete kategooriad, eesmärgid ja kolmandad osapooled, kellega andmeid jagatakse.
• Veebisaitidel, mis teenindavad ka Euroopa külastajaid, GDPR-iga kooskõlas olevat nõusolekubännerit, mis saab CCPA loobumismehhanismiga koos eksisteerida.

Praktikas rakendavad enamik veebisaite, mis teenindavad nii Euroopa kui ka California kasutajaid, ühtset nõusolekuliidest, mis kohandab oma käitumist vastavalt külastaja asukohale. Nii välditakse kahe täiesti eraldi nõusolekusüsteemi haldamist.

Praktilised rakendusküsimused

CCPA/CPRA ja GDPR nõuete samaaegne täitmine loob kahemoodilise väljakutse. Sinu nõusoleku haldamise platvorm peab suutma:

1. Tuvastada külastaja asukoha täpselt IP-põhise geolokatsiooni abil.
2. Rakendada õiget õigusraamistikku — EEA/ÜK külastajatele opt-in, California külastajatele opt-out ning potentsiaalselt puuduvad nõuded teiste piirkondade külastajatele.
3. Hallata California külastajate jaoks "Do Not Sell or Share" linki, kas bänneri sees või eraldi leheelemendina.
4. Tuvastada ja austada GPC signaale enne mis tahes kolmanda osapoole küpsiste seadmist.
5. Juhtida küpsiste käitumist vastavalt — blokeerida kolmanda osapoole reklaamiküpsised kasutajate puhul, kes on loobunud, lubades samal ajal jätkata esimese osapoole analüütikat.

Tehniline teostus peab arvestama ka erinevust esimese osapoole analüütikaküpsiste (üldjuhul CCPA/CPRA järgi lubatud kui äriline eesmärk) ja kolmanda osapoole reklaamiküpsiste (mis on jagamine ja mille suhtes kehtib loobumisõigus) vahel.

FlexyConsent geo-sihtimine California külastajatele

FlexyConsent lahendab kahemoodilise väljakutse automaatse geo-sihtimise kaudu. Kui California külastaja sinu saidile jõuab, kohandab FlexyConsent oma käitumist CCPA/CPRA nõuetele vastavaks:

• Loobumisrežiimi aktiveerimine: Selle asemel, et kõik küpsised kohe blokeerida, kuvab FlexyConsent silmatorkavalt valiku "Do Not Sell or Share My Personal Information".
• GPC signaali tuvastamine: FlexyConsent kontrollib automaatselt Global Privacy Control signaali olemasolu ja kui see on tuvastatud, peatab kolmandate osapooltega andmete jagamise ilma, et kasutaja peaks midagi tegema.
• Kategooriatepõhine blokeerimine: Kui California kasutaja loobub, blokeerib FlexyConsent valikuliselt reklaami- ja ristveebijälgimise küpsised, säilitades samal ajal esimese osapoole analüütika funktsionaalsuse, mis kuulub ärilise eesmärgi erandi alla.
• Sujuv kooseksisteerimine GDPR-iga: Sama FlexyConsent paigaldus haldab mõlemat raamistikku. Euroopa külastajad näevad GDPR-iga kooskõlas olevat opt-in bännerit koos detailsete kategooriakontrollidega. California külastajad näevad sobivat opt-out mehhanismi. Reguleerimata piirkondade külastajad saavad minimaalse teavituse või üldse mitte bännerit, sõltuvalt sinu seadistusest.

Google-certified CMP-na, mis toetab IAB TCF 2.3 ja Consent Mode V2, tagab FlexyConsent, et nõusolekusignaalid edastatakse Google teenustele korrektselt, olenemata sellest, milline õigusraamistik kehtib. See tähendab, et sinu Google Analytics ja Google Ads seadistused toimivad õigesti nii nõusoleku andnud Euroopa kasutajate kui ka mitte-loobunud California kasutajate puhul.

Põhisõnum: California loobumismudel võib tunduda vähem piirav kui GDPR-i nõusolekupõhine lähenemine, kuid praktilised nõuded — eriti GPC signaalide ja laia „sharing“ mõiste osas — tähendavad, et enamik reklaamitulul põhinevaid veebisaite vajab keerukat nõusoleku haldamise lahendust. Geo-sihtimisega nõusoleku rakendamine, mis kohandub mõlema raamistikuga, on palju töökindlam kui üheainsa lähenemise globaalne rakendamine.