Розуміння каліфорнійської системи захисту даних

Каліфорнія є лідером у США в галузі законодавства про конфіденційність споживачів, і її закони впливають на вебсайти по всьому світу. California Consumer Privacy Act (CCPA), суттєво змінений California Privacy Rights Act (CPRA), що набрав чинності у січні 2023 року, встановлює обов’язки для будь-якого бізнесу, який збирає персональні дані жителів Каліфорнії — незалежно від того, де фізично розташований цей бізнес.

��ля власників сайтів практичні наслідки зосереджені навколо cookie, технологій відстеження та того, як дані користувачів передаються третім сторонам. Хоча каліфорнійська модель принципово відрізняється від європейського GDPR, вона все одно вимагає уважного ставлення до механізмів згоди та прав користувачів.

CCPA/CPRA: на кого поширюється дія?

Закон застосовується до комерційних компаній, які відповідають хоча б одному з таких критеріїв:

• Річний валовий дохід перевищує 25 млн доларів США.
• Купівля, продаж або передача персональної інформації 100 000 або більше жителів Каліфорнії, домогосподарств чи пристроїв на рік.
• Отримання 50 відсотків або більше річного доходу від продажу чи передачі пер��ональної інформації жителів Каліфорнії.

Другий критерій особливо важливий для сайтів з рекламою. Якщо ваш сайт використовує сторонні cookie для таргетованої реклами та отримує значний трафік з Каліфорнії, ви можете обробляти дані значно більше ніж 100 000 каліфорнійських користувачів на рік лише через ці cookie.

Opt-out проти opt-in: принципова відмінність від GDPR

Це найважливіша відмінність, яку мають розуміти власники сайтів. За GDPR типовою є модель opt-in: ви не можете встановлювати несуто необхідні cookie, доки користувач явно не надасть згоду. За CCPA/CPRA типовою є модель opt-out: ви можете обробляти персональні дані (у тому числі через cookie), доки користувач не скаже вам зупинитися.

Це означає, що досвід взаємодії з механізмом згоди для відвідувачів з Каліфорнії виглядає принципово інакше:

• Підхід GDPR: Блокувати всі несуто необхідні cookie. Показати банер. Дочекатися явної згоди. Лише потім встановлювати cookie.
• Підхід CCPA/CPRA: Cookie можуть встановлюватися за замовчуванням. Надати чітке й помітне посилання "Do Not Sell or Share My Personal Information". Коли користувач реалізує це право, припинити передавати його дані третім сторонам.

Однак існують важливі винятки. Для неповнолітніх до 16 років CCPA/CPRA переходить до моделі opt-in — ви повинні отримати явну згоду перед продажем або передачею їхньої персональної інформації. Для дітей до 13 років таку згоду має надати батько або опікун.

Вимога "Do Not Sell or Share"

CPRA розширив початкове право CCPA "Do Not Sell" до "sharing" — що спеціально націлене на той тип обміну даними, який відбувається через сторонні рекламні cookie. Коли користувач відвідує ваш сайт, і ваші cookie надсилають його дані перегляду до рекламних мереж, це становить sharing за CPRA, навіть якщо гроші безпосередньо не передаються.

Ваші обов’язки включають:

• Чітке посилання з назвою "Do Not Sell or Share My Personal Information" на головній сторінці та в політиці конфіденційності.
• Механізм, який дозволяє користувачам легко реалізувати це право без необхідності створювати обліковий запис.
• Виконання запиту протягом 15 робочих днів.
• Заборону дискримінації користувачів, які реалізують це право (наприклад, шляхом погіршення їхнього досвіду користуван��я сайтом).

Global Privacy Control (GPC)

Global Privacy Control — це сигнал на рівні браузера, який ��ористувачі можуть увімкнути, щоб автоматично передавати свою перевагу opt-out кожному сайту, який вони відвідують. Основні браузери, включно з Firefox та Brave, підтримують GPC нативно, а розширення браузера додають підтримку в Chrome та інші.

Відповідно до правил CPRA, бізнеси зобов’язані враховувати сигнали GPC як дійсний запит на opt-out. Це має суттєві практичні наслідки:

• Ваш сайт повинен уміти виявляти HTTP-заголовок Sec-GPC: 1 або JavaScript-властивість navigator.globalPrivacyControl.
• Після виявлення ви повинні ставитися до цього як до еквівалента натискання користувачем кнопки "Do Not Sell or Share".
• Сторонні cookie, що використовуються для реклами, мають бути вимкнені для таких користувачів.

Рівень впровадження GPC стабільно зростає. За оцінками, від 5 до 10 відсотків вебтрафіку вже містить сигнал GPC, і цей відсоток вищий серед користувачів, які особливо дбають про конфіденційність, у Каліфорнії.

Коли вам насправді потрібен банер cookie для Каліфорнії?

Саме тут багато компаній плутаються. Строго кажучи, CCPA/CPRA не вимагає європейського банера згоди на cookie через модель opt-out. Однак вам потрібні:

• Посилання "Do Not Sell or Share", яке легко знайти.
• Механізм для припинення передачі даних третім сторонам, коли користувач відмовляється (opt-out) або надсилає сигнал GPC.
• Політика конфіденційності, яка розкриває категорії зібраної персональної інформації, цілі обробки та треті сторони, яким передаються дані.
• Для сайтів, що також обслуговують європейських відвідувачів, банер згоди, сумісний із GDPR, який може співіснувати з механізмом opt-out за CCPA.

На практиці більшість сайтів, які обслуговують як європейську, так і каліфорнійську аудиторію, впроваджують уніфікований інтерфейс згоди, що адаптує свою поведінку залежно від місцезнаходження відвідувача. Це дозволяє уникнути підтримки двох повністю окремих систем згоди.

Практичні аспекти впровадження

Впровадження відповідності CCPA/CPRA разом із відповідністю GDPR створює задачу роботи в двох режимах. Ваша платформа керування згодою має:

1. Точно визначати місцезнаходження відвідувача за допомогою геолокації на основі IP.
2. Застосовувати правильну правову модель — opt-in для відвідувачів з ЄЕЗ/Великої Британії, opt-out для відвідувачів з Каліфорнії та, потенційно, відсутність вимог для відвідувачів з інших регіонів.
3. Керувати посиланням "Do Not Sell or Share" для відвідувачів з Каліфорнії — або в межах банера, або як окремий елемент сторінки.
4. Виявляти та враховувати сигнали GPC до встановлення будь-яких сторонніх cookie.
5. Керувати поведінкою cookie відповідним чином — блокувати сторонні рекламні cookie для користувачів, які відмовилися (opt-out), водночас дозволяючи продовжувати роботу cookie для аналітики першої сторони.

Технічна реалізація також має враховувати відмінність між cookie для аналітики першої сторони (загалом допустимі за CCPA/CPRA як бізнесова мета) та сторонніми рекламними cookie (які становлять sharing і підлягають opt-out).

Geo-таргетинг FlexyConsent для відвідувачів з Каліфорнії

FlexyConsent вирішує задачу роботи в двох режимах за допомогою автоматичного geo-таргетингу. Коли відвідувач із Каліфорнії заходить на ваш сайт, FlexyConsent коригує свою поведінку відповідно до вимог CCPA/CPRA:

• Активація режиму opt-out: Замість блокування всіх cookie наперед FlexyConsent помітно відображає обов’язкову опцію "Do Not Sell or Share My Personal Information".
• Виявлення сигналу GPC: FlexyConsent автоматично перевіряє наявність сигналу Global Privacy Control і, якщо він є, припиняє передачу даних третім сторонам без будь-якої додаткової взаємодії з користувачем.
• Блокування з урахуванням категорій: Коли користувач із Каліфорнії відмовляється (opt-out), FlexyConsent вибір��ово блокує рекламні cookie та cookie для міжсайтового відстеження, зберігаючи при цьому функціональність аналітики першої сторони, яка підпадає під виняток для бізнесових цілей.
• Безшовне співіснування з GDPR: Та сама інсталяція FlexyConsent обробляє обидві моделі. Європейські відвідувачі бачать банер opt-in, сумісний із GDPR, з детальним керуванням категоріями. Відвідувачі з Каліфорнії бачать відповідний механізм opt-out. Відвідувачі з нерегульованих регіонів отримують мінімальне повідомлення або взагалі не бачать банера — залежно від вашої конфігурації.

Як Google-certified CMP, що підтримує IAB TCF 2.3 та Consent Mode V2, FlexyConsent гарантує, що сигнали згоди коректно передаються до сервісів Google незалежно від того, яка правова модель застосовується. Це означає, що ваші конфігурації Google Analytics та Google Ads працюють коректно як для європейських користувачів, які надали згоду, так і для користувачів з Каліфорнії, які не відмовилися (не здійснили opt-out).

Основний висновок: Каліфорнійська модель opt-out може здаватися менш обмежувальною, ніж підхід opt-in у GDPR, але практичні вимоги — особливо щодо сигналів GPC та широкого визначення "sharing" — означають, що більшості сайтів, які фінансуються за рахунок реклами, потрібне складне рішення для керування згодою. Впровадження geo-таргетованої згоди, що адаптується до обох моделей, є набагато надійнішим, ніж спроба застосувати єдиний підхід у всьому світі.