Kalifornian tietosuojakehyksen ymmärtäminen

Kalifornia on ollut Yhdysvaltojen edelläkävijä kuluttajien tietosuojalainsäädännössä, ja sen lait vaikuttavat verkkosivustoihin maailmanlaajuisesti. California Consumer Privacy Act (CCPA), jota California Privacy Rights Act (CPRA) muutti merkittävästi ja joka tuli voimaan tammikuussa 2023, luo velvoitteita kaikille yrityksille, jotka keräävät henkilötietoja Kalifornian asukkaista – riippumatta siitä, missä yritys fyysisesti sijaitsee.

Verkkosivuston omistajille käytännön vaikutukset keskittyvät evästeisiin, seurantateknologioihin ja siihen, miten käyttäjätietoja jaetaan kolmansien osapuolten kanssa. Vaikka Kalifornian malli poikkeaa perustavanlaatuisesti Euroopan GDPR:stä, se edellyttää silti tarkkaa huomiota suostumusmekanismeihin ja käyttäjien oikeuksiin.

CCPA/CPRA: Keitä laki koskee?

Lakia sovelletaan voittoa tavoitteleviin yrityksiin, jotka täyttävät jonkin seuraavista kriteereistä:

• Vuosittainen liikevaihto ylittää 25 miljoonaa dollaria.
• Ostaa, myy tai jakaa vuosittain vähintään 100 000 kalifornialaisen asukkaan, kotitalouden tai laitteen henkilötietoja.
• Ansaitsee vähintään 50 prosenttia vuotuisesta liikevaihdostaan myymällä tai jakamalla Kalifornian asukkaiden henkilötietoja.

Toinen kriteeri on erityisen tärkeä mainontaa käyttäville verkkosivustoille. Jos sivustosi käyttää kolmannen osapuolen evästeitä kohdennettuun mainontaan ja saa merkittävästi liikennettä Kaliforniasta, saatat käsitellä pelkästään näiden evästeiden kautta reilusti yli 100 000 kalifornialaisen käyttäjän tietoja vuosittain.

Opt-out vs. opt-in: Perusero GDPR:ään verrattuna

Tämä on tärkein ero, joka verkkosivuston ylläpitäjien on ymmärrettävä. GDPR:n mukaan oletus on opt-in: et voi asettaa ei-välttämättömiä evästeitä ennen kuin käyttäjä on aktiivisesti antanut suostumuksensa. CCPA/CPRA:n mukaan oletus on opt-out: voit käsitellä henkilötietoja (myös evästeiden kautta), kunnes käyttäjä käskee sinua lopettamaan.

Tämä tarkoittaa, että kalifornialaisten vierailijoiden suostumuskokemus näyttää perustavanlaatuisesti erilaiselta:

• GDPR-lähestymistapa: Estä kaikki ei-välttämättömät evästeet. Näytä banneri. Odota nimenomaista suostumusta. Aseta evästeet vasta sen jälkeen.
• CCPA/CPRA-lähestymistapa: Evästeet voidaan asettaa oletusarvoisesti. Tarjoa selkeä ja näkyvä "Do Not Sell or Share My Personal Information" -linkki. Kun käyttäjä käyttää tätä oikeutta, lopeta hänen tietojensa jakaminen kolmansille osapuolille.

On kuitenkin tärkeitä poikkeuksia. Alle 16-vuotiaiden osalta CCPA/CPRA siirtyy opt-in-malliin – sinun on saatava nimenomainen suostumus ennen heidän henkilötietojensa myymistä tai jakamista. Alle 13-vuotiaiden lasten osalta suostumuksen on annettava vanhempi tai huoltaja.

"Do Not Sell or Share" -vaatimus

CPRA laajensi alkuperäisen CCPA:n "Do Not Sell" -oikeuden koskemaan myös "sharing"-toimintaa – eli nimenomaan sellaista tiedonvaihtoa, jota tapahtuu kolmannen osapuolen mainosevästeiden kautta. Kun käyttäjä vierailee sivustollasi ja evästeesi lähettävät hänen selaustietojaan mainosverkostoille, tämä muodostaa CPRA:n mukaan sharing-toimintaa, vaikka rahaa ei vaihtuisi suoraan.

Velvollisuuksiisi kuuluu:

• Selkeä linkki nimeltä "Do Not Sell or Share My Personal Information" etusivullasi ja tietosuojaselosteessasi.
• Mekanismi, jonka avulla käyttäjät voivat käyttää tätä oikeutta helposti ilman, että heidän tarvitsee luoda tiliä.
• Pyynnön noudattaminen 15 työpäivän kuluessa.
• Et saa syrjiä käyttäjiä, jotka käyttävät tätä oikeutta (esimerkiksi heikentämällä heidän käyttökokemustaan).

Global Privacy Control (GPC)

Global Privacy Control on selaintasoinen signaali, jonka käyttäjät voivat ottaa käyttöön viestiäkseen automaattisesti opt-out-asetuksensa jokaiselle vierailemalleen verkkosivustolle. Suuret selaimet, kuten Firefox ja Brave, tukevat GPC:tä natiivisti, ja selainlaajennukset tuovat tuen Chromeen ja muihin selaimiin.

CPRA-säädösten mukaan yritysten on noudatettava GPC-signaaleja pätevänä opt-out-pyyntönä. Tällä on merkittäviä käytännön vaikutuksia:

• Verkkosivustosi on kyettävä havaitsemaan Sec-GPC: 1 -HTTP-otsake tai navigator.globalPrivacyControl-JavaScript-ominaisuus.
• Kun signaali havaitaan, sinun on kohdeltava sitä vastaavana kuin käyttäjä olisi klikannut "Do Not Sell or Share".
• Mainontaan käytettävät kolmannen osapuolen evästeet on estettävä näiltä käyttäjiltä.

GPC:n käyttöönotto kasvaa tasaisesti. Arvioiden mukaan 5–10 prosenttia verkkoliikenteestä sisältää nykyään GPC-signaalin, ja osuus on korkeampi tietosuojaan erityisen tarkasti suhtautuvien kalifornialaisten käyttäjien keskuudessa.

Milloin tarvitset käytännössä evästebannerin Kaliforniaa varten?

Tässä kohtaa monet yritykset menevät sekaisin. Tiukasti tulkittuna CCPA/CPRA ei edellytä eurooppalaistyyppistä evästesuostumusbanneria opt-in-mallin puuttumisen vuoksi. Tarvitset kuitenkin seuraavat asiat:

• Helposti saavutettavan "Do Not Sell or Share" -linkin.
• Mekanismin, joka estää kolmansien osapuolten tietojen jakamisen, kun käyttäjä kieltäytyy (opt-out) tai lähettää GPC-signaalin.
• Tietosuojaselosteen, jossa kerrotaan kerättävien henkilötietojen luokat, käyttötarkoitukset ja kolmannet osapuolet, joiden kanssa tietoja jaetaan.
• Sivustoille, jotka palvelevat myös eurooppalaisia vierailijoita, GDPR-vaatimukset täyttävän suostumusbannerin, joka voi toimia rinnakkain CCPA:n opt-out-mekanismin kanssa.

Käytännössä useimmat sivustot, jotka palvelevat sekä eurooppalaisia että kalifornialaisia käyttäjiä, toteuttavat yhtenäisen suostumusnäkymän, joka mukauttaa toimintaansa vierailijan sijainnin perusteella. Näin vältetään kahden täysin erillisen suostumusjärjestelmän ylläpito.

Käytännön toteutuksen huomioita

CCPA/CPRA-yhteensopivuuden toteuttaminen GDPR-vaatimusten rinnalla luo kaksitilaisen haasteen. Suostumuksenhallintajärjestelmäsi tarvitsee kyvyn:

1. Tunnistaa vierailijan sijainti tarkasti IP-pohjaisen geolokaation avulla.
2. Soveltaa oikeaa oikeudellista kehystä – opt-in EEA/UK-vierailijoille, opt-out Kalifornian vierailijoille ja mahdollisesti ei vaatimuksia muiden alueiden vierailijoille.
3. Hallita "Do Not Sell or Share" -linkkiä Kalifornian vierailijoille, joko bannerin sisällä tai erillisenä sivuelementtinä.
4. Tunnistaa ja noudattaa GPC-signaaleja ennen kuin yhtään kolmannen osapuolen evästettä asetetaan.
5. Ohjata evästeiden toimintaa vastaavasti – estää kolmannen osapuolen mainosevästeet käyttäjiltä, jotka ovat kieltäytyneet, mutta sallia ensimmäisen osapuolen analytiikan jatkua.

Teknisen toteutuksen on myös huomioitava ero ensimmäisen osapuolen analytiikkaevästeiden (jotka ovat yleensä sallittuja CCPA/CPRA:n mukaan liiketoimintatarkoituksena) ja kolmannen osapuolen mainosevästeiden (jotka muodostavat sharing-toimintaa ja ovat opt-out-oikeuden piirissä) välillä.

FlexyConsentin geokohdennus Kalifornian vierailijoille

FlexyConsent ratkaisee kaksitilaisen haasteen automaattisen geokohdennuksen avulla. Kun Kaliforniasta tuleva vierailija saapuu sivustollesi, FlexyConsent mukauttaa toimintaansa CCPA/CPRA-vaatimusten mukaiseksi:

• Opt-out-tilan aktivointi: Sen sijaan, että kaikki evästeet estettäisiin heti, FlexyConsent näyttää vaaditun "Do Not Sell or Share My Personal Information" -vaihtoehdon näkyvästi.
• GPC-signaalin tunnistus: FlexyConsent tarkistaa automaattisesti Global Privacy Control -signaalin ja estää sen havaitessaan kolmansien osapuolten tietojen jakamisen ilman, että käyttäjän tarvitsee tehdä mitään.
• Kategorioihin perustuva estäminen: Kun kalifornialainen käyttäjä kieltäytyy (opt-out), FlexyConsent estää valikoivasti mainonta- ja sivustojen väliset seurantakeksit, mutta säilyttää ensimmäisen osapuolen analytiikan, joka kuuluu liiketoimintatarkoituksen poikkeuksen piiriin.
• Saumaton GDPR-yhteensopivuus: Sama FlexyConsent-asennus käsittelee molemmat kehykset. Eurooppalaiset vierailijat näkevät GDPR-vaatimukset täyttävän opt-in-bannerin, jossa on yksityiskohtaiset kategoriakohtaiset valinnat. Kalifornialaiset vierailijat näkevät heille sopivan opt-out-mekanismin. Sääntelemättömiltä alueilta tulevat vierailijat saavat minimaalisen ilmoituksen tai eivät banneria lainkaan, riippuen asetuksistasi.

Google-sertifioituna CMP:nä, joka tukee IAB TCF 2.3:a ja Consent Mode V2:ta, FlexyConsent varmistaa, että suostumussignaalit välitetään oikein Google-palveluille riippumatta siitä, mitä oikeudellista kehystä sovelletaan. Tämä tarkoittaa, että Google Analytics- ja Google Ads -kokoonpanosi toimivat oikein sekä suostumuksensa antaneille eurooppalaisille käyttäjille että kalifornialaisille käyttäjille, jotka eivät ole kieltäytyneet.

Ydinajatus: Kalifornian opt-out-malli saattaa vaikuttaa vähemmän rajoittavalta kuin GDPR:n opt-in-lähestymistapa, mutta käytännön vaatimukset – erityisesti GPC-signaalien ja laajan "sharing"-määritelmän osalta – tarkoittavat, että useimmat mainontaa hyödyntävät verkkosivustot tarvitsevat kehittyneen suostumuksenhallintaratkaisun. Geokohdennetun, molempiin kehyksiin mukautuvan suostumuksen toteuttaminen on huomattavasti luotettavampaa kuin yrittää soveltaa yhtä ainoaa lähestymistapaa maailmanlaajuisesti.