Zrozumienie kalifornijskiego systemu ochrony prywatności

Kalifornia jest liderem w Stanach Zjednoczonych w zakresie przepisów o ochronie prywatności konsumentów, a jej prawo wpływa na strony internetowe na całym świecie. California Consumer Privacy Act (CCPA), istotnie zmieniona przez California Privacy Rights Act (CPRA), obowiązującą od stycznia 2023 r., nakłada obowiązki na każdą firmę, która zbiera dane osobowe mieszkańców Kalifornii — niezależnie od miejsca fizycznej siedziby tej firmy.

Dla właścicieli stron praktyczne konsekwencje koncentrują się na cookies, technologiach śledzących oraz sposobie udostępniania danych użytkowników podmiotom trzecim. Choć kalifornijski model zasadniczo różni się od europejskiego GDPR, nadal wymaga uważnego podejścia do mechanizmów zgody i praw użytkowników.

CCPA/CPRA: Kogo obejmuje prawo?

Ustawa ma zastosowanie do przedsiębiorstw nastawionych na zysk, które spełniają co najmniej jeden z poniższych progów:

• Roczny przychód brutto przekraczający 25 mln USD.
• Zakup, sprzedaż lub udostępnianie danych osobowych 100 000 lub więcej mieszkańców Kalifornii, gospodarstw domowych lub urządzeń rocznie.
• Uzyskiwanie 50 procent lub więcej rocznego przychodu ze sprzedaży lub udostępniania danych osobowych mieszkańców Kalifornii.

Drugi próg jest szczególnie istotny dla stron z reklamami. Jeśli Twoja witryna korzysta z cookies podmiotów trzecich do reklam spersonalizowanych i otrzymuje znaczący ruch z Kalifornii, możesz przetwarzać dane znacznie ponad 100 000 użytkowników z Kalifornii rocznie wyłącznie za pośrednictwem tych cookies.

Opt-out vs opt-in: podstawowa różnica względem GDPR

To najważniejsza różnica, którą powinni zrozumieć operatorzy stron. Na gruncie GDPR domyślny model to opt-in: nie możesz ustawiać nieistotnych cookies, dopóki użytkownik aktywnie nie wyrazi zgody. Na gruncie CCPA/CPRA domyślny model to opt-out: możesz przetwarzać dane osobowe (w tym za pomocą cookies), dopóki użytkownik nie nakaże Ci tego zaprzestać.

Oznacza to, że doświadczenie związane ze zgodą dla użytkowników z Kalifornii wygląda zasadniczo inaczej:

• Model GDPR: Blokuj wszystkie nieistotne cookies. Wyświetl baner. Poczekaj na wyraźną zgodę. Dopiero potem ustawiaj cookies.
• Model CCPA/CPRA: Cookies mogą być ustawiane domyślnie. Zapewnij wyraźny i dobrze widoczny link "Do Not Sell or Share My Personal Information". Gdy użytkownik skorzysta z tego prawa, zaprzestań udostępniania jego danych podmiotom trzecim.

Istnieją jednak ważne wyjątki. W przypadku osób poniżej 16 roku życia CCPA/CPRA przechodzi na model opt-in — musisz uzyskać wyraźną zgodę przed sprzedażą lub udostępnianiem ich danych osobowych. W przypadku dzieci poniżej 13 roku życia zgodę musi wyrazić rodzic lub opiekun.

Wymóg „Do Not Sell or Share”

CPRA rozszerzyła pierwotne prawo CCPA „Do Not Sell” o „sharing” — co wprost obejmuje rodzaj wymiany danych, który ma miejsce za pośrednictwem reklamowych cookies podmiotów trzecich. Gdy użytkownik odwiedza Twoją stronę, a Twoje cookies wysyłają jego dane dotyczące przeglądania do sieci reklamowych, stanowi to sharing w rozumieniu CPRA, nawet jeśli nie dochodzi bezpośrednio do wymiany pieniędzy.

Twoje obowiązki obejmują:

• Wyraźny link zatytułowany "Do Not Sell or Share My Personal Information" na stronie głównej i w polityce prywatności.
• Mechanizm umożliwiający użytkownikom łatwe skorzystanie z tego prawa, bez konieczności zakładania konta.
• Realizację żądania w ciągu 15 dni roboczych.
• Zakaz dyskryminowania użytkowników, którzy skorzystają z tego prawa (na przykład poprzez pogorszenie jakości ich doświadczenia).

Global Privacy Control (GPC)

Global Privacy Control to sygnał na poziomie przeglądarki, który użytkownicy mogą włączyć, aby automatycznie przekazywać swoje preferencje opt-out każdej odwiedzanej stronie. Najważniejsze przeglądarki, w tym Firefox i Brave, obsługują GPC natywnie, a rozszerzenia przeglądarkowe dodają obsługę do Chrome i innych.

Zgodnie z przepisami CPRA przedsiębiorstwa muszą honorować sygnały GPC jako ważne żądanie opt-out. Ma to istotne praktyczne konsekwencje:

• Twoja strona musi być w stanie wykryć nagłówek HTTP Sec-GPC: 1 lub właściwość JavaScript navigator.globalPrivacyControl.
• Po wykryciu musisz traktować go jako równoważny z kliknięciem przez użytkownika „Do Not Sell or Share”.
• Cookies podmiotów trzecich używane do reklam muszą być dla takich użytkowników wyłączone.

Adopcja GPC stale rośnie. Szacunki wskazują, że 5–10 procent ruchu w sieci przenosi obecnie sygnał GPC, a odsetek ten jest wyższy wśród użytkowników szczególnie dbających o prywatność w Kalifornii.

Kiedy faktycznie potrzebujesz banera cookie dla Kalifornii?

To kwestia, która dezorientuje wiele firm. Ściśle rzecz biorąc, CCPA/CPRA nie wymaga banera zgody na cookies w stylu europejskim ze względu na model opt-out. Jednak potrzebujesz:

• Łatwo dostępnego linku "Do Not Sell or Share".
• Mechanizmu wyłączającego udostępnianie danych podmiotom trzecim, gdy użytkownik zrezygnuje (opt-out) lub wyśle sygnał GPC.
• Polityki prywatności, która ujawnia kategorie zbieranych danych osobowych, cele ich przetwarzania oraz podmioty trzecie, którym dane są udostępniane.
• Dla stron obsługujących również użytkowników z Europy — banera zgody zgodnego z GDPR, który może współistnieć z mechanizmem opt-out CCPA.

W praktyce większość stron obsługujących zarówno odbiorców z Europy, jak i z Kalifornii wdraża ujednolicony interfejs zgody, który dostosowuje swoje działanie w zależności od lokalizacji odwiedzającego. Pozwala to uniknąć utrzymywania dwóch całkowicie odrębnych systemów zgody.

Praktyczne kwestie wdrożeniowe

Wdrożenie zgodności z CCPA/CPRA równolegle z GDPR tworzy wyzwanie trybu podwójnego. Twój system zarządzania zgodą musi:

1. Dokładnie wykrywać lokalizację odwiedzającego przy użyciu geolokalizacji opartej na adresie IP.
2. Stosować właściwe ramy prawne — opt-in dla odwiedzających z EOG/Wielkiej Brytanii, opt-out dla odwiedzających z Kalifornii oraz potencjalnie brak wymogów dla odwiedzających z innych regionów.
3. Zarządzać linkiem „Do Not Sell or Share” dla odwiedzających z Kalifornii, umieszczając go w banerze lub jako osobny element strony.
4. Wykrywać i honorować sygnały GPC zanim zostaną ustawione jakiekolwiek cookies podmiotów trzecich.
5. Odpowiednio kontrolować zachowanie cookies — blokować reklamowe cookies podmiotów trzecich dla użytkowników, którzy zrezygnowali (opt-out), przy jednoczesnym umożliwieniu dalszego działania analityki pierwszej strony.

Wdrożenie techniczne musi również uwzględniać rozróżnienie między cookies analitycznymi pierwszej strony (zazwyczaj dopuszczalnymi na gruncie CCPA/CPRA jako cel biznesowy) a reklamowymi cookies podmiotów trzecich (które stanowią sharing i podlegają prawu do opt-out).

Geo-targeting FlexyConsent dla odwiedzających z Kalifornii

FlexyConsent rozwiązuje wyzwanie trybu podwójnego poprzez automatyczny geo-targeting. Gdy odwiedzający z Kalifornii trafia na Twoją stronę, FlexyConsent dostosowuje swoje działanie do wymogów CCPA/CPRA:

• Aktywacja trybu opt-out: Zamiast blokować wszystkie cookies z góry, FlexyConsent wyświetla w widocznym miejscu wymaganą opcję „Do Not Sell or Share My Personal Information”.
• Wykrywanie sygnału GPC: FlexyConsent automatycznie sprawdza obecność sygnału Global Privacy Control i, gdy jest on obecny, wyłącza udostępnianie danych podmiotom trzecim bez konieczności jakiejkolwiek interakcji użytkownika.
• Blokowanie w zależności od kategorii: Gdy użytkownik z Kalifornii zrezygnuje (opt-out), FlexyConsent selektywnie blokuje reklamowe i międzywitrynowe cookies śledzące, jednocześnie zachowując działanie analityki pierwszej strony, która mieści się w wyjątku „business purpose”.
• Płynne współistnienie z GDPR: Ta sama instalacja FlexyConsent obsługuje oba systemy. Odwiedzający z Europy widzą zgodny z GDPR baner opt-in z szczegółową kontrolą kategorii. Odwiedzający z Kalifornii widzą odpowiedni mechanizm opt-out. Odwiedzający z regionów nieobjętych regulacjami otrzymują minimalne powiadomienie lub w ogóle nie widzą banera, w zależności od Twojej konfiguracji.

Jako Google-certified CMP obsługujący IAB TCF 2.3 i Consent Mode V2, FlexyConsent zapewnia prawidłowe przekazywanie sygnałów zgody do usług Google niezależnie od tego, które ramy prawne mają zastosowanie. Oznacza to, że Twoje konfiguracje Google Analytics i Google Ads działają poprawnie zarówno dla użytkowników z Europy, którzy wyrazili zgodę, jak i dla użytkowników z Kalifornii, którzy nie skorzystali z prawa do opt-out.

Najważniejsza lekcja: Kalifornijski model opt-out może wydawać się mniej restrykcyjny niż podejście opt-in w GDPR, ale praktyczne wymagania — szczególnie w zakresie sygnałów GPC oraz szerokiej definicji „sharing” — sprawiają, że większość stron utrzymujących się z reklam potrzebuje zaawansowanego rozwiązania do zarządzania zgodą. Wdrożenie geo-targetowanej zgody, która dostosowuje się do obu systemów, jest znacznie bardziej niezawodne niż próba zastosowania jednego, uniwersalnego podejścia na całym świecie.