Razumevanje kalifornijskega okvira zasebnosti

Kalifornija je v ZDA vodilna na področju zakonodaje o zasebnosti potrošnikov, njeni zakoni pa vplivajo na spletne strani po vsem svetu. Zakon o zasebnosti potrošnikov v Kaliforniji (California Consumer Privacy Act – CCPA), ki ga je pomembno dopolnil Zakon o pravicah do zasebnosti v Kaliforniji (California Privacy Rights Act – CPRA), veljaven od januarja 2023, uvaja obveznosti za vsako podjetje, ki zbira osebne podatke prebivalcev Kalifornije – ne glede na to, kje je podjetje fizično locirano.

Za lastnike spletnih strani se praktične posledice vrtijo okoli piškotkov, sledilnih tehnologij in načina, kako se podatki uporabnikov delijo s tretjimi osebami. Čeprav se kalifornijski model bistveno razlikuje od evropskega GDPR, še vedno zahteva skrbno pozornost mehanizmom soglasja in pravicam uporabnikov.

CCPA/CPRA: Koga zakon zajema?

Zakon velja za podjetja, ki poslujejo z namenom ustvarjanja dobička in izpolnjujejo vsaj en od naslednjih pragov:

• Letni bruto prihodek presega 25 milijonov USD.
• Letno kupujejo, prodajajo ali delijo osebne podatke 100.000 ali več prebivalcev Kalifornije, gospodinjstev ali naprav.
• Ustvarijo 50 odstotkov ali več letnega prihodka s prodajo ali deljenjem osebnih podatkov prebivalcev Kalifornije.

Drugi prag je posebej pomemben za spletne strani z oglaševanjem. Če vaša stran uporablja piškotke tretjih oseb za ciljno oglaševanje in prejema pomemben obisk iz Kalifornije, lahko prek teh piškotkov letno obdelujete podatke precej več kot 100.000 uporabnikov iz Kalifornije.

Odjava (opt-out) proti privolitvi (opt-in): temeljna razlika z GDPR

To je ključna razlika, ki jo morajo razumeti upravljavci spletnih strani. Po GDPR je privzeti model opt-in: ne smete nastaviti ne-nujnih piškotkov, dokler uporabnik aktivno ne privoli. Po CCPA/CPRA pa je privzeti model opt-out: osebne podatke (vključno prek piškotkov) lahko obdelujete, dokler uporabnik ne zahteva, da prenehate.

To pomeni, da je izkušnja s soglasjem za obiskovalce iz Kalifornije bistveno drugačna:

• Pristop po GDPR: Blokirajte vse ne-nujne piškotke. Prikažite pasico. Počakajte na izrecno privolitev. Šele nato nastavite piškotke.
• Pristop po CCPA/CPRA: Piškotki so lahko privzeto nastavljeni. Zagotovite jasno in vidno povezavo "Do Not Sell or Share My Personal Information". Ko uporabnik uveljavi to pravico, prenehajte deliti njegove podatke s tretjimi osebami.

Vendar obstajajo pomembne izjeme. Za mladoletnike, mlajše od 16 let, CCPA/CPRA preklopi na opt-in model – pridobiti morate izrecno privolitev, preden prodate ali delite njihove osebne podatke. Za otroke, mlajše od 13 let, mora to privolitev dati starš ali skrbnik.

Zahteva "Do Not Sell or Share"

CPRA je prvotno pravico CCPA "Do Not Sell" razširil na "sharing" – kar posebej cilja na vrsto izmenjave podatkov, ki poteka prek oglaševalskih piškotkov tretjih oseb. Ko uporabnik obišče vašo stran in vaši piškotki pošljejo njegove podatke o brskanju oglaševalskim omrežjem, to po CPRA pomeni sharing, tudi če denar neposredno ne zamenja lastnika.

Vaše obveznosti vključujejo:

• Jasno povezavo z naslovom "Do Not Sell or Share My Personal Information" na domači strani in v politiki zasebnosti.
• Mehanizem, ki uporabnikom omogoča, da to pravico uveljavijo enostavno, brez ustvarjanja uporabniškega računa.
• Spoštovanje zahteve v roku 15 delovnih dni.
• Nediskriminiranje uporabnikov, ki uveljavijo to pravico (na primer z namernim slabšanjem njihove uporabniške izkušnje).

Global Privacy Control (GPC)

Global Privacy Control je signal na ravni brskalnika, ki ga lahko uporabniki omogočijo, da samodejno sporoča njihovo željo po odjavi vsaki spletni strani, ki jo obiščejo. Večji brskalniki, vključno s Firefox in Brave, GPC podpirajo že privzeto, razširitve brskalnika pa dodajo podporo tudi za Chrome in druge.

V skladu s predpisi CPRA morajo podjetja spoštovati signale GPC kot veljavno zahtevo za odjavo. To ima pomembne praktične posledice:

• Vaša spletna stran mora znati zaznati HTTP glavo Sec-GPC: 1 ali JavaScript lastnost navigator.globalPrivacyControl.
• Ko je signal zaznan, ga morate obravnavati enakovredno, kot če bi uporabnik kliknil "Do Not Sell or Share".
• Piškotki tretjih oseb, uporabljeni za oglaševanje, morajo biti za te uporabnike onemogočeni.

Uporaba GPC stalno narašča. Ocenjuje se, da ima 5 do 10 odstotkov spletnega prometa že nastavljen GPC signal, ta delež pa je višji med zasebnosti bolj ozaveščenimi uporabniki v Kaliforniji.

Kdaj dejansko potrebujete pasico za piškotke za Kalifornijo?

Tu se veliko podjetij zmede. Strogo gledano CCPA/CPRA ne zahtevata evropskega sloga pasice za soglasje za piškotke zaradi modela odjave. Vendar pa potrebujete:

• Povezavo "Do Not Sell or Share", ki je zlahka dostopna.
• Mehanizem za onemogočanje deljenja podatkov s tretjimi osebami, ko se uporabnik odjavi ali pošlje GPC signal.
• Politiko zasebnosti, ki razkriva kategorije zbranih osebnih podatkov, namene obdelave in tretje osebe, s katerimi se podatki delijo.
• Za strani, ki imajo tudi evropske obiskovalce, pasico za soglasje, skladno z GDPR, ki lahko soobstaja z mehanizmom odjave po CCPA.

V praksi večina spletnih strani, ki ciljajo tako na evropsko kot kalifornijsko občinstvo, uvede enoten vmesnik za soglasje, ki svoje vedenje prilagaja glede na lokacijo obiskovalca. Tako se izognejo vzdrževanju dveh popolnoma ločenih sistemov za soglasje.

Praktični vidiki implementacije

Uvajanje skladnosti s CCPA/CPRA vzporedno z GDPR ustvarja izziv dveh načinov delovanja. Vaša platforma za upravljanje soglasij mora:

1. Natančno zaznati lokacijo obiskovalca z uporabo geolokacije na podlagi IP naslova.
2. Uveljaviti ustrezen pravni okvir – opt-in za obiskovalce iz EGP/UK, opt-out za obiskovalce iz Kalifornije in morebitno odsotnost zahtev za obiskovalce iz drugih regij.
3. Upravljati povezavo "Do Not Sell or Share" za obiskovalce iz Kalifornije, bodisi znotraj pasice bodisi kot samostojen element na strani.
4. Zaznati in spoštovati signale GPC še preden se nastavijo kakršni koli piškotki tretjih oseb.
5. Ustrezno nadzorovati vedenje piškotkov – blokirati oglaševalske piškotke tretjih oseb za uporabnike, ki so se odjavili, hkrati pa dovoliti nadaljnjo uporabo analitike prve osebe.

Tehnična izvedba mora upoštevati tudi razliko med analitičnimi piškotki prve osebe (ki so po CCPA/CPRA na splošno dovoljeni kot poslovni namen) in oglaševalskimi piškotki tretjih oseb (ki pomenijo sharing in so predmet pravice do odjave).

FlexyConsent geo-targeting za obiskovalce iz Kalifornije

FlexyConsent rešuje izziv dveh načinov delovanja z avtomatskim geo-targetingom. Ko obiskovalec iz Kalifornije pride na vašo stran, FlexyConsent prilagodi svoje vedenje zahtevam CCPA/CPRA:

• Aktivacija opt-out načina: Namesto da bi vnaprej blokiral vse piškotke, FlexyConsent vidno prikaže zahtevano možnost "Do Not Sell or Share My Personal Information".
• Zaznavanje signala GPC: FlexyConsent samodejno preveri prisotnost signala Global Privacy Control in, kadar je prisoten, brez kakršnega koli dejanja uporabnika onemogoči deljenje podatkov s tretjimi osebami.
• Kategorijsko zavedno blokiranje: Ko se uporabnik iz Kalifornije odjavi, FlexyConsent selektivno blokira oglaševalske in med-spletne sledilne piškotke, hkrati pa ohrani funkcionalnost analitike prve osebe, ki spada pod izjemo poslovnega namena.
• Brezhibno soobstajanje z GDPR: Ista namestitev FlexyConsent podpira oba okvira. Evropski obiskovalci vidijo z GDPR skladno opt-in pasico z natančnim upravljanjem kategorij. Obiskovalci iz Kalifornije vidijo ustrezen opt-out mehanizem. Obiskovalci iz nereguliranih regij prejmejo minimalno obvestilo ali sploh nobene pasice, odvisno od vaše konfiguracije.

Kot Google-certified CMP s podporo za IAB TCF 2.3 in Consent Mode V2 FlexyConsent zagotavlja, da se signali soglasja pravilno posredujejo storitvam Google ne glede na to, kateri pravni okvir se uporablja. To pomeni, da vaši konfiguraciji Google Analytics in Google Ads pravilno delujeta tako za evropske uporabnike, ki so privolili, kot za uporabnike iz Kalifornije, ki se niso odjavili.

Ključna ugotovitev: Kalifornijski opt-out model se morda zdi manj restriktiven kot pristop opt-in po GDPR, vendar praktične zahteve – zlasti glede signalov GPC in široke definicije "sharing" – pomenijo, da večina spletnih strani, ki se financirajo z oglaševanjem, potrebuje napredno rešitev za upravljanje soglasij. Uvajanje geo-targetanega soglasja, ki se prilagaja obema okvirjema, je bistveno zanesljivejše kot poskus uporabe enotnega pristopa po vsem svetu.