Pochopenie kalifornského rámca ochrany súkromia

Kalifornia je lídrom Spojených štátov v oblasti legislatívy na ochranu súkromia spotrebiteľov a jej zákony ovplyvňujú webové stránky na celom svete. California Consumer Privacy Act (CCPA), ktorý bol významne novelizovaný zákonom California Privacy Rights Act (CPRA) účinným od januára 2023, vytvára povinnosti pre každý podnik, ktorý zhromažďuje osobné údaje obyvateľov Kalifornie – bez ohľadu na to, kde sa tento podnik fyzicky nachádza.

Pre vlastníkov webových stránok sa praktické dôsledky sústreďujú na cookies, sledovacie technológie a na to, ako sa údaje používateľov zdieľajú s tretími stranami. Hoci sa kalifornský model zásadne líši od európskeho GDPR, stále vyžaduje dôkladnú pozornosť mechanizmom súhlasu a právam používateľov.

CCPA/CPRA: Na koho sa vzťahuje?

Zákon sa vzťahuje na podniky orientované na zisk, ktoré spĺňajú ktorúkoľvek jednu z nasledujúcich hraníc:

• Ročný hrubý príjem presahujúci 25 miliónov USD.
• Nákup, predaj alebo zdieľanie osobných údajov 100 000 alebo viac obyvateľov Kalifornie, domácností alebo zariadení ročne.
• Získavanie 50 percent alebo viac ročného príjmu z predaja alebo zdieľania osobných údajov obyvateľov Kalifornie.

Druhý prah je obzvlášť dôležitý pre webové stránky s reklamou. Ak váš web používa cookies tretích strán na cielenú reklamu a prijíma významnú návštevnosť z Kalifornie, môžete spracúvať údaje výrazne viac ako 100 000 kalifornských používateľov ročne už len prostredníctvom týchto cookies.

Opt-out vs opt-in: Základný rozdiel oproti GDPR

Toto je najdôležitejší rozdiel, ktorému by mali prevádzkovatelia webov rozumieť. Podľa GDPR je predvolený model opt-in: nemôžete nastaviť nevyhnutne nepotrebné cookies, kým používateľ aktívne neudelí súhlas. Podľa CCPA/CPRA je predvolený model opt-out: môžete spracúvať osobné údaje (vrátane prostredníctvom cookies), kým vám používateľ nepovie, aby ste prestali.

To znamená, že zážitok so súhlasom pre návštevníkov z Kalifornie vyzerá zásadne inak:

• Prístup podľa GDPR: Zablokovať všetky nevyhnutne nepotrebné cookies. Zobraziť lištu. Počkať na výslovný súhlas. Až potom nastaviť cookies.
• Prístup podľa CCPA/CPRA: Cookies môžu byť predvolene nastavené. Poskytnúť jasný a zreteľný odkaz „Do Not Sell or Share My Personal Information“. Keď používateľ toto právo uplatní, prestať zdieľať jeho údaje s tretími stranami.

Existujú však dôležité výnimky. Pre maloletých mladších ako 16 rokov sa CCPA/CPRA prepína na opt-in model – musíte získať výslovný súhlas pred predajom alebo zdieľaním ich osobných údajov. Pre deti mladšie ako 13 rokov musí tento súhlas poskytnúť rodič alebo zákonný zástupca.

Požiadavka „Do Not Sell or Share“

CPRA rozšírila pôvodné právo CCPA „Do Not Sell“ o „sharing“ – čo konkrétne cieli na typ výmeny údajov, ku ktorej dochádza prostredníctvom reklamných cookies tretích strán. Keď používateľ navštívi váš web a vaše cookies odosielajú jeho údaje o prehliadaní reklamným sieťam, predstavuje to podľa CPRA sharing, aj keď si za to priamo nevymieňate peniaze.

Vaše povinnosti zahŕňajú:

• Jasný odkaz s názvom „Do Not Sell or Share My Personal Information“ na domovskej stránke a vo vašich zásadách ochrany osobných údajov.
• Mechanizmus, ktorý používateľom umožní toto právo jednoducho uplatniť bez potreby vytvárať si účet.
• Vyhovenie žiadosti do 15 pracovných dní.
• Nediskriminovanie používateľov, ktorí toto právo uplatnia (napríklad zhoršením ich používateľského zážitku).

Global Privacy Control (GPC)

Global Privacy Control je signál na úrovni prehliadača, ktorý si používatelia môžu zapnúť, aby automaticky komunikoval ich preferenciu opt-out na každej navštívenej webovej stránke. Hlavné prehliadače vrátane Firefox a Brave podporujú GPC natívne a rozšírenia prehliadača pridávajú podporu do Chrome a ďalších.

Podľa nariadení CPRA musia podniky rešpektovať signály GPC ako platnú žiadosť o opt-out. To má významné praktické dôsledky:

• Vaša webová stránka musí vedieť detegovať HTTP hlavičku Sec-GPC: 1 alebo JavaScript vlastnosť navigator.globalPrivacyControl.
• Po detekcii ju musíte považovať za ekvivalent toho, že používateľ klikol na „Do Not Sell or Share“.
• Cookies tretích strán používané na reklamu musia byť pre týchto používateľov potlačené.

Adopcia GPC stabilne rastie. Odhady naznačujú, že 5 až 10 percent webovej návštevnosti teraz nesie signál GPC a toto percento je vyššie medzi používateľmi z Kalifornie, ktorí si viac chránia súkromie.

Kedy skutočne potrebujete cookie lištu pre Kaliforniu?

Tu sa mnoho podnikov mýli. Striktne vzaté, CCPA/CPRA nevyžaduje európsky štýl lišty so súhlasom s cookies kvôli modelu opt-out. Avšak potrebujete:

• Odkaz „Do Not Sell or Share“, ktorý je ľahko prístupný.
• Mechanizmus na potlačenie zdieľania údajov s tretími stranami, keď používateľ vykoná opt-out alebo odošle signál GPC.
• Zásady ochrany osobných údajov, ktoré uvádzajú kategórie zhromažďovaných osobných údajov, účely a tretie strany, s ktorými sa údaje zdieľajú.
• Pre weby, ktoré zároveň obsluhujú európskych návštevníkov, banner so súhlasom v súlade s GDPR, ktorý môže koexistovať s mechanizmom opt-out podľa CCPA.

V praxi väčšina webových stránok, ktoré obsluhujú európske aj kalifornské publikum, implementuje jednotné rozhranie súhlasu, ktoré prispôsobuje svoje správanie podľa polohy návštevníka. Tým sa vyhnete potrebe udržiavať dva úplne oddelené systémy súhlasu.

Praktické aspekty implementácie

Implementácia súladu s CCPA/CPRA popri súlade s GDPR vytvára výzvu dvojitého režimu. Vaša platforma na správu súhlasu musí:

1. Presne detegovať polohu návštevníka pomocou geolokácie na základe IP adresy.
2. Uplatniť správny právny rámec – opt-in pre návštevníkov z EHP/UK, opt-out pre návštevníkov z Kalifornie a potenciálne žiadne požiadavky pre návštevníkov z iných regiónov.
3. Spravovať odkaz „Do Not Sell or Share“ pre návštevníkov z Kalifornie, buď v rámci lišty, alebo ako samostatný prvok na stránke.
4. Detegovať a rešpektovať signály GPC ešte pred nastavením akýchkoľvek cookies tretích strán.
5. Riadiť správanie cookies podľa toho – blokovať reklamné cookies tretích strán pre používateľov, ktorí vykonali opt-out, pričom umožniť pokračovanie analytiky prvej strany.

Technická implementácia musí tiež zohľadniť rozdiel medzi analytickými cookies prvej strany (vo všeobecnosti prípustnými podľa CCPA/CPRA ako obchodný účel) a reklamnými cookies tretích strán (ktoré predstavujú sharing a podliehajú opt-out).

FlexyConsent geo‑targeting pre návštevníkov z Kalifornie

FlexyConsent rieši výzvu dvojitého režimu prostredníctvom automatického geo‑targetingu. Keď návštevník z Kalifornie príde na váš web, FlexyConsent prispôsobí svoje správanie požiadavkám CCPA/CPRA:

• Aktivácia režimu opt-out: Namiesto blokovania všetkých cookies vopred FlexyConsent výrazne zobrazí požadovanú možnosť „Do Not Sell or Share My Personal Information“.
• Detekcia signálu GPC: FlexyConsent automaticky kontroluje signál Global Privacy Control a keď je prítomný, potlačí zdieľanie údajov s tretími stranami bez potreby akejkoľvek interakcie používateľa.
• Blokovanie podľa kategórií: Keď používateľ z Kalifornie vykoná opt-out, FlexyConsent selektívne blokuje reklamné a cross-site tracking cookies, pričom zachováva funkcionalitu analytiky prvej strany, ktorá spadá pod výnimku obchodného účelu.
• Bezproblémové spolunažívanie s GDPR: Rovnaká inštalácia FlexyConsent obsluhuje oba rámce. Európski návštevníci vidia banner s opt-in v súlade s GDPR s podrobným riadením kategórií. Návštevníci z Kalifornie vidia vhodný mechanizmus opt-out. Návštevníci z neregulovaných regiónov dostanú minimálne oznámenie alebo žiadny banner, v závislosti od vašej konfigurácie.

Ako Google-certified CMP s podporou IAB TCF 2.3 a Consent Mode V2 zabezpečuje FlexyConsent, že signály súhlasu sú správne komunikované službám Google bez ohľadu na to, ktorý právny rámec sa uplatňuje. To znamená, že vaše konfigurácie Google Analytics a Google Ads fungujú správne pre európskych používateľov, ktorí udelili súhlas, aj pre používateľov z Kalifornie, ktorí nevyužili opt-out.

Hlavné posolstvo: Kalifornský model opt-out sa môže zdať menej reštriktívny ako prístup opt-in podľa GDPR, ale praktické požiadavky – najmä okolo signálov GPC a širokej definície „sharing“ – znamenajú, že väčšina webových stránok financovaných z reklamy potrebuje sofistikované riešenie na správu súhlasu. Implementácia geo‑targetovaného súhlasu, ktorý sa prispôsobuje obom rámcom, je oveľa spoľahlivejšia než snaha uplatniť jednotný prístup globálne.