Разумевање оквира приватности у Калифорнији

Калифорнија предводи Сједињене Државе у области законодавства о заштити приватности потрошача, а њени закони утичу на веб-сајтове широм света. Закон о заштити потрошача Калифорније (CCPA), који је значајно измењен Законом о правима на приватност Калифорније (CPRA) који се примењује од јануара 2023, ствара обавезе за сваки бизнис који прикупља личне податке становника Калифорније — без обзира на то где се тај бизнис физички налази.

За власник�� веб-сајтова, практичне последице се углавном односе на колачиће, технологије праћења и начин на који се подаци корисника деле са трећим странама. Иако се модел Калифорније суштински разликује од европског GDPR-а, он и даље захтева пажљиво планирање механизама сагласности и поштовање права корисника.

CCPA/CPRA: На кога се закон односи?

Закон се примењује на профитне бизнисе који испуњавају бар један од следећих прагова:

• Годишњи бруто приход већи од 25 милиона долара.
• Куповина, продаја или дељење личних података 100.000 или више становника Калифорније, домаћинстава или уређаја годишње.
• Остваривање 50 процената или више годишњег прихода од продаје или дељења личних података становника Калифорније.

Други праг је посебно важан за веб-сајтове са оглашавањем. Ако ваш сајт користи колачиће трећих страна за таргетирано оглашавање и има значајан саобраћај из Калифорније, можда обрађујете податке далеко више од 100.000 корисника из Калифорније годишње само кроз те колачиће.

Opt-out наспрам opt-in: Основна разлика у односу на GDPR

Ово је најкритичнија разлика коју оператери веб-сајтова морају да разумеју. Према GDPR-у, подразумевани модел је opt-in: не смете постављати неесенцијалне колачиће док корисник активно не да сагласност. Према CCPA/CPRA, подразумевани модел је opt-out: можете обрађивати личне податке (укључујући и путем колачића) док вам корисник изричито не каже да престанете.

То значи да искуство сагласности за ��осетиоце из Калифорније изгледа суштински другачије:

• GDPR приступ: Блокирати све неесенцијалне колачиће. Приказати банер. Сачекати изричиту сагласност. Тек онда поставити колачиће.
• CCPA/CPRA приступ: Колачићи могу бити постављени по подразумеваној вредности. Обезбедити јасну и упадљиву везу "Do Not Sell or Share My Personal Information". Када корисник искористи ово право, престати са дељењем његових података са трећим странама.

Међутим, постоје важни изузеци. За малолетнике млађе од 16 година, CCPA/CPRA прелази на opt-in модел — морате добити изричиту сагласност пре продаје или дељења њихових личних података. За децу млађу од 13 година, ту сагласност мора да да родитељ или старатељ.

Захтев „Do Not Sell or Share“

CPRA је проширио првобитно CCPA право „Do Not Sell“ тако да обухвати и „sharing“ — што је усмерено управо на врсту размене података која се дешава путем огласних колачића трећих страна. Када корисник посети ваш сајт и ваши колачићи шаљу његове податке о прегледању огласним мрежама, то представља sharing према CPRA, чак и ако се новац директно не размењује.

Ваше обавезе укључују:

• Јасну везу под насловом "Do Not Sell or Share My Personal Information" на почетној страни и у политици приватности.
• Механизам који корисницима омогућава да лако искористе ово право, без обавезе креирања налога.
• Поштовање захтева у року од 15 радних дана.
• Забрану дискриминације корисника који искористе ово право (на пример, погоршавањем њиховог корисничк��г искуства).

Global Privacy Control (GPC)

Global Privacy Control је сигнал на нивоу прегледача који корисници могу да активирају како би аутоматски саопштили свој opt-out избор сваком веб-сајту који посете. Водећи прегледачи, укључујући Firefox и Brave, нативно подржавају GPC, а екстензије за прегледаче додају подршку за Chrome и друге.

Према CPRA прописима, бизниси морају да поштују GPC сигнале као ваљан opt-out захтев. Ово има значајне практичне последице:

• Ваш веб-сајт мора бити у стању да детектује Sec-GPC: 1 HTTP header или navigator.globalPrivacyControl JavaScript својство.
• Када се детектује, морате га третирати као да је корисник кликнуо на "Do Not Sell or Share".
• Колачићи трећих страна који се користе за оглашавање морају бити онемогућени за те кориснике.

Усвајање GPC-а стабилно расте. Процене указују да 5 до 10 процената веб саобраћаја сада носи GPC сигнал, а овај проценат је виши међу корисницима који су посебно усмерени на заштиту приватности у Калифорнији.

Када вам је заиста потребан банер за колачиће за Калифорнију?

Овде се многи бизниси збуњују. Строго говорећи, CCPA/CPRA не захтева европски стил банера за сагласност на колачиће због opt-out модела. Ипак, потребно је да имате:

• "Do Not Sell or Share" везу која је лако доступна.
• Механизам за онемогућавање дељења података са трећим странама када корисник изабере opt-out или пошаље GPC сигнал.
• Политику приватности која открива категорије прикупљених личних података, сврхе обраде и треће стране са којима се подаци деле.
• ��а сајтове који такође имају европске посетиоце, GDPR-у усклађен банер за сагласност који може да коегзистира са CCPA opt-out механизмом.

У пракси, већина веб-сајтова који служе и европској и калифорнијској публици примењује јединствени интерфејс за сагласност који прилагођава своје понашање на основу локације посетиоца. Ово избегава потребу за одржавањем два потпуно одвојена система за сагласност.

Практични аспекти имплементације

Имплементација усклађености са CCPA/CPRA заједно са усклађеношћу са GDPR-ом ствара изазов двоструког режима. Ваша платформа за управљање сагласношћу мора да:

1. Прецизно детектује локацију посетиоца коришћењем IP-based geolocation.
2. Примени одговарајући правни оквир — opt-in за посетиоце из EEA/UK, opt-out за посетиоце из Калифорније и потенцијално без посебних захтева за посетиоце из других региона.
3. Управља "Do Not Sell or Share" везом за посетиоце из Калифорније, било унутар банера или као засебан елемент на страници.
4. Детектује и поштује GPC сигнале пре него што се поставе било какви колачићи трећих страна.
5. Контролише понашање колачића у складу с тим — блокира колачиће за оглашавање трећих страна за кориснике који су изабрали opt-out, док омогућава наставак коришћења first-party analytics колачића.

Техничка имплементација такође мора да узме у обзир разлику између first-party analytics cookies (који су генерално дозвољени према CCPA/CPRA као business purpose) и third-party advertising cookies (који представљају sharing и подлежу opt-out праву).

FlexyConsent гео-таргетирање за посетиоце из Калифорније

FlexyConsent решава изазов двоструког режима путем аутоматског гео-таргетирања. Када посетилац из Калифорније дође на ваш сајт, FlexyConsent прилагођава своје понашање тако да одговара CCPA/CPRA захтевима:

• Активирање opt-out режима: Уместо да блокира све колачиће унапред, FlexyConsent упадљиво приказује неопходну опцију "Do Not Sell or Share My Personal Information".
• Детекција GPC сигнала: FlexyConsent аутоматски проверава Global Privacy Control сигнал и, када је присутан, онемогућава дељење података са трећим странама без потребе за било каквом интеракцијом корисника.
• Блокирање по категоријама: Када корисник из Калифорније изабере opt-out, FlexyConsent селективно блокира колачиће за оглашавање и cross-site tracking, док задржава функционалност first-party analytics која спада у изузетак business purpose.
• Беспрекорна коегзистенција са GDPR-ом: Иста FlexyConsent инсталација управља оба оквира. Европски посетиоци виде GDPR-у усклађен opt-in банер са детаљним контролама по категоријама. Посетиоци из Калифорније виде одговарајући opt-out механизам. Посетиоци из нерегулисаних региона добијају минимално обавештење или уопште немају банер, у зависности од ваше конфигурације.

Као Google-certified CMP са подршком за IAB TCF 2.3 и Consent Mode V2, FlexyConsent обезбеђује да се сигнали сагласности правилно комуницирају Google сервисима без обзира на то који правни оквир се примењује. То значи да ваши Google Analytics и Google Ads конфигурације раде исправно и за европске кориснике који су дали сагласност и за кориснике из Калифорније који се нису одлучили за opt-out.

Кључна поука: Opt-out модел Калифорније може деловати мање рестриктивно од GDPR opt-in приступа, али практични захтеви — посебно у вези са GPC сигналима и широком дефиницијом „sharing“ — значе да је већини веб-сајтова који се ослањају на оглашавање потребно софистицирано решење за управљање сагласношћу. Имплементација гео-таргетиране сагласности која се прилагођава оба оквира далеко је поузданија од покушаја примене јединственог приступа на глобалном нивоу.