Razumijevanje kalifornijskog okvira za privatnost

Kalifornija predvodi Sjedinjene Države u zakonodavstvu o zaštiti privatnosti potrošača, a njezini zakoni utječu na web stranice diljem svijeta. California Consumer Privacy Act (CCPA), koji je značajno izmijenjen California Privacy Rights Actom (CPRA) koji je stupio na snagu u siječnju 2023., stvara obveze za svako poduzeće koje prikuplja osobne podatke stanovnika Kalifornije — bez obzira na to gdje se to poduzeće fizički nalazi.

Za vlasnike web stranica, praktične se posljedice usredotočuju na kolačiće, tehnologije praćenja i način na koji se korisnički podaci dijele s trećim stranama. Iako se kalifornijski model temeljno razlikuje od europskog GDPR-a, i dalje zahtijeva pomno obraćanje pažnje na mehanizme privole i prava korisnika.

CCPA/CPRA: Na koga se primjenjuje?

Zakon se primjenjuje na profitna poduzeća koja ispunjavaju bilo koji od sljedećih pragova:

• Godišnji bruto prihod veći od 25 milijuna USD.
• Godišnja kupnja, prodaja ili dijeljenje osobnih podataka 100.000 ili više stanovnika Kalifornije, kućanstava ili uređaja.
• Ostvarivanje 50 posto ili više godišnjeg prihoda od prodaje ili dijeljenja osobnih podataka stanovnika Kalifornije.

Drugi je prag osobito važan za web stranice s oglašavanjem. Ako vaša stranica koristi kolačiće trećih strana za ciljano oglašavanje i prima značajan promet iz Kalifornije, možda obrađujete podatke daleko više od 100.000 korisnika iz Kalifornije godišnje samo putem tih kolačića.

Opt-out nasuprot opt-in: Temeljna razlika u odnosu na GDPR

Ovo je najvažnija razlika koju operateri web stranica moraju razumjeti. Prema GDPR-u, zadano je stanje opt-in: ne smijete postavljati neesencijalne kolačiće dok korisnik aktivno ne pristane. Prema CCPA/CPRA, zadano je stanje opt-out: smijete obrađivati osobne podatke (uključujući putem kolačića) dok vam korisnik ne kaže da prestanete.

To znači da iskustvo privole za posjetitelje iz Kalifornije izgleda temeljno drugačije:

• GDPR pristup: Blokirati sve neesencijalne kolačiće. Prikazati banner. Pričekati izričitu privolu. Tek tada postaviti kolačiće.
• CCPA/CPRA pristup: Kolačići se mogu zadano postavljati. Osigurati jasan i uočljiv link "Do Not Sell or Share My Personal Information". Kada korisnik iskoristi to pravo, prestati dijeliti njegove podatke s trećim stranama.

Ipak, postoje važne iznimke. Za maloljetnike mlađe od 16 godina, CCPA/CPRA prelazi na opt-in model — morate dobiti izričitu privolu prije prodaje ili dijeljenja njihovih osobnih podataka. Za djecu mlađu od 13 godina tu privolu mora dati roditelj ili skrbnik.

Zahtjev "Do Not Sell or Share"

CPRA je proširio izvorno pravo CCPA-e "Do Not Sell" na "sharing" — što posebno cilja vrstu razmjene podataka koja se događa putem oglasnih kolačića trećih strana. Kada korisnik posjeti vašu stranicu i vaši kolačići šalju njegove podatke o pregledavanju oglasnim mrežama, to predstavlja sharing prema CPRA-i, čak i ako se novac izravno ne razmjenjuje.

Vaše obveze uključuju:

• Jasan link pod nazivom "Do Not Sell or Share My Personal Information" na vašoj početnoj stranici i u vašim pravilima privatnosti.
• Mehanizam koji korisnicima omogućuje jednostavno ostvarivanje tog prava, bez potrebe za otvaranjem računa.
• Poštivanje zahtjeva unutar 15 radnih dana.
• Nediskriminiranje korisnika koji iskoriste to pravo (na primjer, pogoršavanjem njihovog korisničkog iskustva).

Global Privacy Control (GPC)

Global Privacy Control je signal na razini preglednika koji korisnici mogu omogućiti kako bi automatski komunicirali svoju opt-out preferenciju svakoj web stranici koju posjete. Glavni preglednici, uključujući Firefox i Brave, izvorno podržavaju GPC, a proširenja preglednika dodaju podršku za Chrome i druge.

Prema CPRA propisima, poduzeća moraju poštovati GPC signale kao valjan opt-out zahtjev. To ima značajne praktične posljedice:

• Vaša web stranica mora biti u stanju detektirati HTTP zaglavlje Sec-GPC: 1 ili JavaScript svojstvo navigator.globalPrivacyControl.
• Kada se detektira, morate ga tretirati kao ekvivalent korisnikovom kliku na "Do Not Sell or Share".
• Kolačići trećih strana koji se koriste za oglašavanje moraju biti onemogućeni za te korisnike.

Usvajanje GPC-a stalno raste. Procjene sugeriraju da 5 do 10 posto web prometa sada nosi GPC signal, a taj je postotak viši među korisnicima koji su posebno usmjereni na zaštitu privatnosti u Kaliforniji.

Kada vam zapravo treba banner za kolačiće za Kaliforniju?

Ovdje se mnoge tvrtke zbune. Strogo govoreći, CCPA/CPRA ne zahtijeva europski stil bannera za privolu kolačića zbog opt-out modela. Međutim, potrebni su vam:

• Link "Do Not Sell or Share" koji je lako dostupan.
• Mehanizam za onemogućavanje dijeljenja podataka s trećim stranama kada se korisnik odjavi (opt-out) ili pošalje GPC signal.
• Pravila privatnosti koja otkrivaju kategorije prikupljenih osobnih podataka, svrhe i treće strane s kojima se podaci dijele.
• Za stranice koje također poslužuju europske posjetitelje, GDPR-uskladan banner za privolu koji može koegzistirati s CCPA opt-out mehanizmom.

U praksi većina web stranica koje poslužuju i europsku i kalifornijsku publiku implementira jedinstveno sučelje za privolu koje prilagođava svoje ponašanje na temelju lokacije posjetitelja. Time se izbjegava održavanje dva potpuno odvojena sustava privole.

Praktična razmatranja implementacije

Implementacija usklađenosti s CCPA/CPRA uz usklađenost s GDPR-om stvara izazov dvostrukog načina rada. Vaša platforma za upravljanje privolama treba:

1. Točno detektirati lokaciju posjetitelja koristeći geolokaciju na temelju IP adrese.
2. Primijeniti odgovarajući pravni okvir — opt-in za posjetitelje iz EGP-a/UK-a, opt-out za posjetitelje iz Kalifornije i potencijalno bez zahtjeva za posjetitelje iz drugih regija.
3. Upravljati linkom "Do Not Sell or Share" za posjetitelje iz Kalifornije, bilo unutar bannera ili kao samostalan element na stranici.
4. Detektirati i poštovati GPC signale prije nego što se postave bilo kakvi kolačići trećih strana.
5. Upravljati ponašanjem kolačića u skladu s tim — blokirati oglasne kolačiće trećih strana za korisnike koji su se odjavili, uz dopuštanje nastavka rada analitike prve strane.

Tehnička implementacija također mora uzeti u obzir razliku između analitičkih kolačića prve strane (općenito dopuštenih prema CCPA/CPRA kao poslovna svrha) i oglasnih kolačića trećih strana (koji predstavljaju sharing i podliježu opt-outu).

FlexyConsent geo-targeting za posjetitelje iz Kalifornije

FlexyConsent rješava izazov dvostrukog načina rada putem automatskog geo-targetinga. Kada posjetitelj iz Kalifornije dođe na vašu stranicu, FlexyConsent prilagođava svoje ponašanje kako bi odgovarao zahtjevima CCPA/CPRA:

• Aktivacija opt-out načina: Umjesto blokiranja svih kolačića unaprijed, FlexyConsent istaknuto prikazuje potrebnu opciju "Do Not Sell or Share My Personal Information".
• Detekcija GPC signala: FlexyConsent automatski provjerava Global Privacy Control signal i, kada je prisutan, onemogućuje dijeljenje podataka s trećim stranama bez potrebe za bilo kakvom interakcijom korisnika.
• Blokiranje po kategorijama: Kada se korisnik iz Kalifornije odjavi (opt-out), FlexyConsent selektivno blokira oglasne kolačiće i kolačiće za praćenje između stranica, dok zadržava funkcionalnost analitike prve strane koja potpada pod izuzeće za poslovnu svrhu.
• Besprijekorna koegzistencija s GDPR-om: Ista FlexyConsent instalacija pokriva oba okvira. Europski posjetitelji vide GDPR-uskladan opt-in banner s detaljnim kontrolama po kategorijama. Posjetitelji iz Kalifornije vide odgovarajući opt-out mehanizam. Posjetitelji iz nereguliranih regija dobivaju minimalnu obavijest ili uopće ne vide banner, ovisno o vašoj konfiguraciji.

Kao Google-certified CMP s podrškom za IAB TCF 2.3 i Consent Mode V2, FlexyConsent osigurava da se signali privole ispravno komuniciraju Google servisima bez obzira na to koji se pravni okvir primjenjuje. To znači da vaše Google Analytics i Google Ads konfiguracije ispravno rade i za europske korisnike koji su dali privolu i za korisnike iz Kalifornije koji se nisu odjavili (nisu iskoristili opt-out).

Ključna poruka: Kalifornijski opt-out model može se činiti manje restriktivnim od GDPR opt-in pristupa, ali praktični zahtjevi — osobito oko GPC signala i široke definicije "sharing" — znače da većini web stranica koje se financiraju oglašavanjem treba sofisticirano rješenje za upravljanje privolama. Implementacija geo-targetirane privole koja se prilagođava oba okvira daleko je pouzdanija od pokušaja primjene jedinstvenog pristupa na globalnoj razini.