Czy w USA istnieją przepisy dotyczące plików cookie?

Analiza istniejących przepisów wykazuje, że Stany Zjednoczone nie posiadają federalnego prawa, które szczegółowo regulowałoby wykorzystanie plików cookie. Jednak stanowe przepisy dotyczące prywatności, w szczególności California Consumer Privacy Act (CCPA) oraz Virginia Consumer Data Protection Act (CDPA), odnoszą się do wykorzystania plików cookie w kontekście przetwarzania danych osobowych.

CCPA stanowi, że pliki cookie, gdy są używane do zbierania danych konsumentów, są uważane za dane osobowe (Cal. Civ. Code § 1798.140). Firmy podlegające CCPA są zobowiązane do informowania o wykorzystywaniu plików cookie oraz o celach, w jakich dane są za ich pośrednictwem zbierane (Cal. Civ. Code § 1798.100). Jednakże CCPA nie wymaga zgody typu opt-in na pliki cookie do ogólnego użytku. Warto zauważyć, że gdy pliki cookie są wykorzystywane do reklamy ukierunkowanej i międzykontekstowej reklamy behawioralnej, działania te mogą być klasyfikowane jako “sprzedaż” danych osobowych w świetle CCPA (Cal. Civ. Code § 1798.140(t)), co nakłada na firmy obowiązek zapewnienia konsumentom mechanizmu rezygnacji („Nie sprzedawaj moich danych osobowych”).

CDPA w Wirginii podobnie uznaje dane przetwarzane za pomocą plików cookie za dane osobowe, gdy są one wykorzystywane do reklamy ukierunkowanej, sprzedaży lub profilowania (Va. Code Ann. § 59.1-571). Zgodnie z CDPA konsumenci posiadają wyraźne prawo do rezygnacji z przetwarzania ich danych osobowych w tych celach, co w szczególności dotyczy plików cookie stron trzecich i reklamowych. Wdrożenie tych praw wymaga od firm zaimplementowania mechanizmów umożliwiających konsumentom skuteczne korzystanie z prawa do rezygnacji.

Kluczowe ustalenia obejmują:

• W USA nie ma nadrzędnego federalnego prawa dotyczącego plików cookie.
• Zarówno CCPA, jak i CDPA traktują dane zbierane przez pliki cookie jako dane osobowe, gdy są wykorzystywane do określonych celów.
• CCPA nakazuje ujawnienie informacji o wykorzystywaniu plików cookie i wymaga możliwości rezygnacji (opt-out), jeśli pliki cookie są używane do reklamy ukierunkowanej lub uznane za “sprzedaż”.
• CDPA przyznaje konsumentom prawo do rezygnacji z przetwarzania danych osobowych w celu reklamy ukierunkowanej, sprzedaży lub profilowania—co bezpośrednio wpływa na praktyki związane z plikami cookie.

Podsumowując, chociaż nie istnieje federalne prawo dotyczące plików cookie, stanowe ustawy, takie jak CCPA i CDPA, nakładają na firmy ukierunkowane wymogi dotyczące wykorzystywania plików cookie, zwłaszcza w związku z danymi osobowymi i praktykami reklamy ukierunkowanej. Podejście regulacyjne jest fragmentaryczne i w dużej mierze reaktywne na konkretne zastosowania plików cookie, zamiast narzucać ogólne wymogi, jak ma to miejsce w innych jurysdykcjach (np. RODO w UE).