Kalifornijos privatumo sistemos supratimas

Kalifornija pirmauja Jungtinėse Valstijose pagal vartotojų privatumo teisės aktus, o jos įstatymai daro įtaką svetainėms visame pasaulyje. California Consumer Privacy Act (CCPA), kurią reikšmingai pakeitė nuo 2023 m. sausio galiojanti California Privacy Rights Act (CPRA), nustato prievoles bet kuriam verslui, kuris renka Kalifornijos gyventojų asmens duomenis – nepriklausomai nuo to, kur fiziškai yra įsikūręs tas verslas.

Svetainių savininkams praktinės pasekmės daugiausia susijusios su slapukais, sekimo technologijomis ir tuo, kaip naudotojų duomenys dalijami su trečiosiomis šalimis. Nors Kalifornijos modelis iš esmės skiriasi nuo Europos GDPR, jis vis tiek reikalauja atidžiai tvarkyti sutikimo mechanizmus ir naudotojų teises.

CCPA/CPRA: kam taikoma?

Įstatymas taikomas pelno siekiantiems verslams, kurie atitinka bent vieną iš šių ribų:

• Metinės bendrosios pajamos viršija 25 mln. JAV dolerių.
• Kasmet perka, parduoda arba dalijasi 100 000 ar daugiau Kalifornijos gyventojų, namų ūkių ar įrenginių asmens duomenimis.
• 50 procentų ar daugiau metinių pajamų gauna iš Kalifornijos gyventojų asmens duomenų pardavimo ar dalijimosi jais.

Antroji riba ypač svarbi svetainėms su reklama. Jei jūsų svetainė naudoja trečiųjų šalių slapukus tikslinėms reklamoms ir sulaukia reikšmingo srauto iš Kalifornijos, vien per šiuos slapukus jūs galite tvarkyti gerokai daugiau nei 100 000 Kalifornijos naudotojų duomenis per metus.

Atsisakymas (opt-out) ir sutikimas (opt-in): esminis skirtumas nuo GDPR

Tai svarbiausias skirtumas, kurį turi suprasti svetainių valdytojai. Pagal GDPR numatytasis modelis yra opt-in: negalite nustatyti nebūtinųjų slapukų, kol naudotojas aiškiai neduoda sutikimo. Pagal CCPA/CPRA numatytasis modelis yra opt-out: galite tvarkyti asmens duomenis (įskaitant per slapukus), kol naudotojas nepasako, kad reikia sustoti.

Tai reiškia, kad sutikimo patirtis Kalifornijos lankytojams iš esmės atrodo kitaip:

• GDPR požiūris: Blokuoti visus nebūtinuosius slapukus. Rodyti juostą. Laukti aiškaus sutikimo. Tik tada nustatyti slapukus.
• CCPA/CPRA požiūris: Slapukai gali būti nustatomi pagal numatytąją nuostatą. Pateikti aiškią ir ryškią nuorodą „Do Not Sell or Share My Personal Information“. Kai naudotojas pasinaudoja šia teise, nutraukti jo duomenų dalijimąsi su trečiosiomis šalimis.

Tačiau yra svarbių išimčių. Nepilnamečiams iki 16 metų CCPA/CPRA pereina prie opt-in modelio – prieš parduodant ar dalijantis jų asmens duomenimis privalote gauti aiškų sutikimą. Vaikų iki 13 metų atveju šį sutikimą turi duoti tėvai arba globėjai.

Reikalavimas „Do Not Sell or Share“

CPRA išplėtė pirminę CCPA teisę „Do Not Sell“ ir įtraukė „sharing“ – tai konkrečiai taikoma tokio tipo duomenų apsikeitimui, kuris vyksta per trečiųjų šalių reklaminius slapukus. Kai naudotojas apsilanko jūsų svetainėje ir jūsų slapukai siunčia jo naršymo duomenis reklamos tinklams, tai pagal CPRA laikoma sharing, net jei pinigai tiesiogiai nekeičiami.

Jūsų pareigos apima:

• Aiškią nuorodą pavadinimu „Do Not Sell or Share My Personal Information“ jūsų pagrindiniame puslapyje ir privatumo politikoje.
• Mechanizmą, leidžiantį naudotojams lengvai pasinaudoti šia teise nereikalaujant susikurti paskyros.
• Prašymo įvykdymą per 15 darbo dienų.
• Nediskriminuoti naudotojų, kurie pasinaudoja šia teise (pavyzdžiui, nebloginti jų patirties).

Global Privacy Control (GPC)

Global Privacy Control yra naršyklės lygmens signalas, kurį naudotojai gali įjungti, kad automatiškai perduotų savo atsisakymo (opt-out) pasirinkimą kiekvienai jų lankomai svetainei. Pagrindinės naršyklės, įskaitant Firefox ir Brave, natūraliai palaiko GPC, o naršyklės plėtiniai prideda palaikymą Chrome ir kitoms.

Pagal CPRA taisykles verslai privalo gerbti GPC signalus kaip galiojantį atsisakymo prašymą. Tai turi reikšmingų praktinių pasekmių:

• Jūsų svetainė turi gebėti aptikti Sec-GPC: 1 HTTP antraštę arba navigator.globalPrivacyControl JavaScript savybę.
• Aptikus, turite su juo elgtis taip, lyg naudotojas būtų paspaudęs „Do Not Sell or Share“.
• Trečiųjų šalių slapukai, naudojami reklamai, turi būti išjungti šiems naudotojams.

GPC naudojimas nuosekliai auga. Skaičiavimai rodo, kad 5–10 procentų žiniatinklio srauto dabar perduoda GPC signalą, o šis procentas didesnis tarp privatumu besirūpinančių naudotojų Kalifornijoje.

Kada jums iš tikrųjų reikia slapukų juostos Kalifornijai?

Čia daugelis verslų pasimeta. Griežtai kalbant, CCPA/CPRA nereikalauja europinio tipo slapukų sutikimo juostos dėl atsisakymo (opt-out) modelio. Tačiau jums reikia:

• Lengvai pasiekiamos nuorodos „Do Not Sell or Share“.
• Mechanizmo, kuris išjungtų duomenų dalijimąsi su trečiosiomis šalimis, kai naudotojas atsisako arba siunčia GPC signalą.
• Privatumo politikos, kurioje atskleidžiamos renkamų asmens duomenų kategorijos, tikslai ir trečiosios šalys, su kuriomis duomenimis dalijamasi.
• Svetainėms, kurios taip pat aptarnauja Europos lankytojus, – GDPR atitinkančios sutikimo juostos, galinčios veikti kartu su CCPA atsisakymo mechanizmu.

Praktiškai dauguma svetainių, aptarnaujančių ir Europos, ir Kalifornijos auditorijas, įdiegia vieningą sutikimo sąsają, kuri pritaiko savo elgseną pagal lankytojo buvimo vietą. Taip išvengiama poreikio palaikyti dvi visiškai atskiras sutikimo sistemas.

Praktiniai įgyvendinimo aspektai

CCPA/CPRA atitikties įgyvendinimas kartu su GDPR atitiktimi sukuria dviejų režimų iššūkį. Jūsų sutikimų valdymo platforma turi:

1. Tiksliai nustatyti lankytojo buvimo vietą naudojant IP pagrįstą geolokaciją.
2. Pritaikyti tinkamą teisinę sistemą – opt-in EEE/Jungtinės Karalystės lankytojams, opt-out Kalifornijos lankytojams ir galbūt jokius reikalavimus lankytojams iš kitų regionų.
3. Valdyti „Do Not Sell or Share“ nuorodą Kalifornijos lankytojams – juostoje arba kaip atskirą puslapio elementą.
4. Aptikti ir gerbti GPC signalus dar prieš nustatant bet kokius trečiųjų šalių slapukus.
5. Atitinkamai valdyti slapukų elgseną – blokuoti trečiųjų šalių reklaminius slapukus naudotojams, kurie atsisakė, ir kartu leisti tęsti pirmosios šalies analitiką.

Techninis įgyvendinimas taip pat turi atsižvelgti į skirtumą tarp pirmosios šalies analitikos slapukų (paprastai leidžiamų pagal CCPA/CPRA kaip verslo tikslas) ir trečiųjų šalių reklaminių slapukų (kurie laikomi dalijimusi ir kuriems taikomas atsisakymas).

FlexyConsent geotaikymas Kalifornijos lankytojams

FlexyConsent sprendžia dviejų režimų iššūkį naudodama automatinį geotaikymą. Kai į jūsų svetainę atvyksta Kalifornijos lankytojas, FlexyConsent pritaiko savo elgseną prie CCPA/CPRA reikalavimų:

• Atsisakymo režimo aktyvavimas: Vietoj to, kad iš anksto blokuotų visus slapukus, FlexyConsent ryškiai parodo reikiamą parinktį „Do Not Sell or Share My Personal Information“.
• GPC signalo aptikimas: FlexyConsent automatiškai tikrina Global Privacy Control signalą ir, jam esant, išjungia duomenų dalijimąsi su trečiosiomis šalimis nereikalaudama jokio naudotojo veiksmo.
• Kategorijomis pagrįstas blokavimas: Kai Kalifornijos naudotojas atsisako, FlexyConsent selektyviai blokuoja reklaminius ir kelių svetainių sekimo slapukus, kartu išsaugodama pirmosios šalies analitikos funkcionalumą, kuris patenka į verslo tikslo išimtį.
• Sklandi GDPR sąveika: Ta pati FlexyConsent diegimo versija tvarko abi sistemas. Europos lankytojai mato GDPR atitinkančią opt-in juostą su išsamiais kategorijų valdikliais. Kalifornijos lankytojai mato atitinkamą opt-out mechanizmą. Lankytojai iš nereguliuojamų regionų gauna minimalią žinutę arba išvis nemato juostos – priklausomai nuo jūsų konfigūracijos.

Kaip Google sertifikuota CMP, palaikanti IAB TCF 2.3 ir Consent Mode V2, FlexyConsent užtikrina, kad sutikimo signalai būtų tinkamai perduodami Google paslaugoms, nepriklausomai nuo taikomos teisinės sistemos. Tai reiškia, kad jūsų Google Analytics ir Google Ads konfigūracijos tinkamai veikia tiek Europos naudotojams, davusiems sutikimą, tiek Kalifornijos naudotojams, kurie nepasinaudojo atsisakymo teise.

Esminė mintis: Kalifornijos atsisakymo (opt-out) modelis gali atrodyti mažiau ribojantis nei GDPR sutikimo (opt-in) požiūris, tačiau praktiniai reikalavimai – ypač susiję su GPC signalais ir plačia „sharing“ sąvoka – reiškia, kad daugumai reklama paremtų svetainių reikia pažangaus sutikimų valdymo sprendimo. Geotaikymu pagrįsto sutikimo, kuris prisitaiko prie abiejų sistemų, įgyvendinimas yra daug patikimesnis nei bandymas taikyti vieną bendrą požiūrį visame pasaulyje.