תאימות7 במאי 2026 | FlexyConsent

הסכמת קוקיז לפי CCPA ו‑CPRA: מה חוקי הפרטיות בקליפורניה אומרים על האתר שלך

הבנת מסגרת הפרטיות של קליפורניה

קליפורניה הובילה את ארצות הברית בחקיקת פרטיות צרכנית, והחוקים שלה משפיעים על אתרים בכל העולם. חוק פרטיות הצרכן של קליפורניה (CCPA), שתוקן באופן מהותי על ידי חוק זכויות הפרטיות של קליפורניה (CPRA) שנכנס לתוקף בינואר 2023, יוצר חובות לכל עסק שאוסף מידע אישי מתושבי קליפורניה — ללא קשר למיקום הפיזי של העסק.

עבור בעלי אתרים, ההשלכות המעשיות מתמקדות בקוקיז, טכנולוגיות מעקב, ואופן שיתוף נתוני המשתמשים עם צדדים שלישיים. אף שמודל קליפורניה שונה באופן מהותי מ‑GDPR האירופי, הוא עדיין מחייב תשומת לב קפדנית למנגנוני הסכמה ולזכוי��ת משתמשים.

CCPA/CPRA: על מי חל החוק?

החוק חל על עסקים למטרות רווח העומדים באחד מהספים הבאים:

הכנסה שנתית ברוטו העולה על 25 מיליון דולר.
קנייה, מכירה או שיתוף של מידע אישי של 100,000 תושבי קליפורניה או יותר, משקי בית או מכשירים בשנה.
הפקת 50 אחוזים או יותר מההכנסה השנתית ממכירה או שיתוף של מידע אישי של תושבי קליפורניה.

הסף השני חשוב במיוחד עבור אתרים עם פרסום. אם האתר שלך משתמש בקוקיז של צד שלישי לפרסום ממוקד ומקבל תנועת גולשים משמעותית מקליפורניה, ייתכן שאתה מעבד את הנתונים של הרבה יותר מ‑100,000 משתמשים מקליפורניה בשנה באמצעות הקוקיז הללו בלבד.

Opt-Out לעומת Opt-In: ההבדל הבסיסי מ‑GDPR

זהו ההבדל הקריטי ביותר שעל מפעילי אתרים להבין. לפי GDPR, ברירת המחדל היא opt-in: אינך יכול להגדיר קוקיז שאינם חיוניים עד שהמשתמש מסכים באופן פעיל. לפי CCPA/CPRA, ברירת המחדל היא opt-out: מותר לך לעבד מידע אישי (כולל באמצעות קוקיז) עד שהמשתמש אומר לך להפסיק.

משמעות הדבר היא שחוויית ההסכמה עבור מבקרים מקליפורניה נראית שונה באופן מהותי:

גישת GDPR: חסימת כל הקוקיז שאינם חיוניים. הצגת באנר. המתנה להסכמה מפורשת. ורק לאחר מכן הגדרת הקוקיז.
גישת CCPA/CPRA: ניתן להגדיר קוקיז כברירת מחדל. יש לספק קישור ברור ובולט "Do Not Sell or Share My Personal Information". כאשר משתמש מממש זכות זו, יש להפסיק לשתף את הנתונים שלו עם צדדים שלישיים.

עם זאת, קיימים חריגים חשובים. עבור קטינים מתחת לגיל 16, CCPA/CPRA עוברים למודל opt-in — עליך לקבל הסכמה מפורשת לפני מכירה או שיתוף של המידע האישי שלהם. עבור ילדים מתחת לגיל 13, הורה או אפוטרופוס חייב לתת את ההסכמה.

דרישת "Do Not Sell or Share"

CPRA הרחיב את זכות ה‑"Do Not Sell" המקורית של CCPA כך שתכלול גם "sharing" — המכוון במיוחד לסוג חילופי הנתונים שמתרחשים באמצעות קוקיז פרסום של צד שלישי. כאשר משתמש מבקר באתר שלך והקוקיז שלך שולחים את נתוני הגלישה שלו לרשתות פרסום, הדבר מהווה sharing לפי CPRA, גם אם לא מתבצעת העברת כסף ישירה.

החובות שלך כוללות:

קישור ברור שכותרתו "Do Not Sell or Share My Personal Information" בדף הבית ובמדיניות הפרטיות.
מנגנון המאפשר למשתמשים לממש זכות זו בקלות, ללא צורך ביצירת חשבון.
כיבוד הבקשה בתוך 15 ימי עסקים.
איסור אפליה נגד משתמשים שמממשים זכות זו (למשל, באמצעות פגיעה בחוויית השימוש שלהם).

Global Privacy Control (GPC)

Global Privacy Control הוא אות ברמת הדפדפן שמשתמשים יכולים להפעיל כדי לתקשר באופן אוטומטי את העדפת ה‑opt-out שלהם לכל אתר שבו הם מבקרים. דפדפנים מרכזיים כמו Firefox ו‑Brave תומכים ב‑GPC באופן מובנה, ותוספי דפדפן מוסיפים תמיכה ל‑Chrome ואחרים.

לפי תקנות CPRA, עסקים חייבים לכבד אותות GPC כבקשת opt-out תקפה. לכך יש השלכות מעשיות משמעותיות:

האתר שלך חייב להיות מסוגל לזהות את כותרת ה‑HTTP Sec-GPC: 1 או את מאפיין ה‑JavaScript‏ navigator.globalPrivacyControl.
כאשר אות כזה מזוהה, עליך להתייחס אליו כשווה ערך ללחיצה של המשתמש על "Do Not Sell or Share".
יש לדכא קוקיז של צד שלישי המשמשים לפרסום עבור משתמשים אלה.

האימוץ של GPC גדל בהתמדה. ההערכות מציעות כי 5 עד 10 אחוזים מתנועת הרשת כיום נושאים אות GPC, ואחוז זה גבוה יותר בקרב משתמשים מודעי פרטיות בקליפורניה.

מתי באמת צריך באנר קוקיז עבור קליפורניה?

כאן עסקים רבים מתבלבלים. מבחינה פורמלית, CCPA/CPRA אינם מחייבים באנר הסכמת ק��קיז בסגנון אירופי בגלל מודל ה‑opt-out. עם זאת, אתה כן צריך:

קישור "Do Not Sell or Share" שנגיש בקלות.
מנגנון לדיכוי שיתוף נתונים עם צד שלישי כאשר משתמש מבצע opt-out או שולח אות GPC.
מדיניות פרטיות החושפת את קטגוריות המידע האישי שנאסף, המטרות, והצדדים השלישיים עמם הנתונים משותפים.
עבור אתרים שמשרתים גם מבקרים מאירופה, באנר הסכמה תואם GDPR שיכול לדור בכפיפה אחת עם מנגנון ה‑opt-out של CCPA.

בפועל, רוב האתרים שמשרתים גם קהל אירופי וגם קהל מקליפורניה מיישמים ממשק הסכמה מאוחד שמתאים את התנהגותו לפי מיקום המבקר. כך נמנעת הצורך בתחזוקה של שני מערכות הסכמה נפרדות לחלוטין.

שיקולי יישום מעשיים

יישום תאימות ל‑CCPA/CPRA לצד תאימות ל‑GDPR יוצר אתגר של מצב כפול. פלטפורמת ניהול ההסכמה שלך צריכה:

לזהות את מיקום המבקר במדויק באמצעות גיאולוקציה מבוססת IP.
להחיל את המסגרת המשפטית הנכונה — opt-in עבור מבקרים מה‑EEA/UK, opt-out עבור מבקרים מקליפורניה, ולפעמים ללא דרישות עבור מבקרים מאזורים אחרים.
לנהל את קישור "Do Not Sell or Share" עבור מבקרים מקליפורניה, בין אם בתוך הבאנר ובין אם כרכיב עצמאי בדף.
לזהות ולכבד אותות GPC לפני הגדרת כל קוקיז של צד שלישי.
לשלוט בהתנהגות הקוקיז בהתאם — חסימת קוקיז פרסום של צד שלישי עבור משתמשים שביצעו opt-out, תוך מתן אפשרות להמשך שימוש באנליטיקה של צד ראשון.

היישום הטכני חייב גם להתחשב בהבחנה בין קוקיז אנליטיקה של צד ראשון (שבדרך כלל מותרים לפי CCPA/CPRA כמטרה עסקית) לבין קוקיז פרסום של צד שלישי (המהווים sharing וכפופים ל‑opt-out).

FlexyConsent Geo-Targeting עבור מבקרים מקליפורניה

FlexyConsent מטפלת באתגר המצב הכפול באמצעות Geo-Targeting אוטומטי. כאשר מבקר מקליפורניה מגיע לאתר שלך, FlexyConsent מתאימה את התנהגותה לדרישות CCPA/CPRA:

הפעלת מצב opt-out: במקום לחסום את כל הקוקיז מראש, FlexyConsent מציגה באופן בולט את האפשרות הנדרשת "Do Not Sell or Share My Personal Information".
זיהוי אות GPC: FlexyConsent בודקת אוטומטית את אות Global Privacy Control, וכאשר הוא קיים, מדכאת שיתוף נתונים עם צד שלישי ללא צורך בפעולה מצד המשתמש.
חסימה מודעת קטגוריות: כאשר משתמש מקליפורניה מבצע opt-out, FlexyConsent חוסמת באופן סלקטיבי קוקיז פרסום ומעקב בין אתרים, תוך שימור פונקציונליות אנליטיקה של צד ראשון הנכללת בחריג "מטרה עסקית".
קיום חלק לצד GDPR: אותה התקנת FlexyConsent מטפלת בשתי המסגרות. מבקרים מאירופה רואים באנר opt-in תואם GDPR עם בקרות קטגוריה מפורטות. מבקרים מקליפורניה רואים ��ת מנגנון ה‑opt-out המתאים. מבקרים מאזורים ללא רגולציה מקבלים הודעה מינימלית או ללא באנר כלל, בהתאם להגדרות שלך.

כCMP מוסמך על ידי Google התומך ב‑IAB TCF 2.3 וב‑Consent Mode V2, FlexyConsent מבטיחה שאותות ההסכמה יועברו כראוי לשירותי Google ללא קשר למסגרת המשפטית החלה. משמעות הדבר היא שתצורות Google Analytics ו‑Google Ads שלך פועלות כראוי הן עבור משתמשים אירופיים שביצעו opt-in והן עבור משתמשים מקליפורניה שלא ביצעו opt-out.

עיקר המסר: מודל ה‑opt-out של קליפורניה עשוי להיראות פחות מגביל מגישת ה‑opt-in של GDPR, אך הדרישות המעשיות — במיוחד סביב אותות GPC וההגדרה הרחבה של "sharing" — גורמות לכך שרוב האתרים הנתמכים בפרסום זקוקים לפתרון ניהול הסכמה מתוחכם. יישום הסכמה מבוססת מיקום (geo-targeted) המסתגלת לשתי המסגרות אמין בהרבה מניסיון להחיל גישה אחת גלובלית.