Чем opt-out модель США отличается от opt-in GDPR?

В GDPR — согласие до обработки. В США — обработка по умолчанию, пользователь может отказаться. Do Not Sell ссылка + GPC signal обязательны.

Главная/ IP / Право/ Юридическая упаковка/ США

🇺🇸 США — CCPA/CPRA, state laws, COPPA

Юридическая упаковка сайта
для рынка США

Q: Применяются ли US privacy laws к компаниям за пределами США?

Да, если компания собирает данные резидентов штата. CCPA: выручка $26,6M+ или 100K+ consumers. CalOPPA: любой сайт с PII калифорнийцев.

Q: Нужен ли COPPA compliance?

Если сайт направлен на детей до 13 или фактически знает что собирает их данные. Age gate + verifiable parental consent. FTC: до $50K.

Q: Какие штаты самые строгие?

Калифорния (CPPA, DPIA, ADMT), Maryland (minimisation by default), Texas ($1B+ settlement), Rhode Island (без cure period).

Q: Нужна ли Privacy Policy?

Да. CalOPPA обязывает любой сайт с PII калифорнийцев. CCPA добавляет требования к содержанию. Де-факто — нужна для любого сайта с US-трафиком.

Q: Можно ли дистанционно?

Да. Документы на английском с учётом multi-state requirements.

Нет единого федерального закона — вместо этого 20+ штатов с собственными privacy laws. CCPA/CPRA (Калифорния) — самый строгий. COPPA защищает детей до 13 лет. Штрафы — до $7 500 за нарушение, $1,4 млрд совокупно в 2025 году. Opt-out модель (не opt-in как GDPR).

CCPA / CPRA COPPA 20+ state laws Opt-out модель CalOPPA $7 500 / violation

Упаковка сайта для США → ← Все юрисдикции

20+штатов с comprehensive
privacy laws (2026)

$1,4Bштрафов и settlements
в 2025 году

$7 500за одно умышленное
нарушение CCPA

CPPAпервое в США
privacy-агентство (CA)

Регуляторная среда

Нет федерального закона —
лоскутное одеяло штатов

США — единственная крупная экономика без единого федерального закона о защите данных. Вместо этого — 20+ штатов с собственными comprehensive privacy laws, плюс федеральные отраслевые акты (COPPA, HIPAA, GLBA, FERPA).

CCPA/CPRA (Калифорния) — самый строгий закон, де-факто стандарт. CPPA — первое в США выделенное агентство по privacy (сотни расследований в 2026). В 2026 вступили в силу законы Indiana, Kentucky, Rhode Island. Enforcement координируется между Attorney General штатов.

Ключевое отличие от GDPR: opt-out модель (пользователь должен сам отказаться от продажи данных), а не opt-in (согласие до обработки). Global Privacy Control (GPC) обязателен к исполнению в CA, CO, CT, MT.

Ключевые законы

CCPA/CPRA — Калифорния. Самый строгий. Выручка $26,6M+ или 100K+ consumers. Opt-out, sensitive data, DSAR, DPIA. CPPA enforcement.

COPPA — Федеральный. Дети до 13 лет. Verifiable parental consent. FTC enforcement. До $50K за нарушение.

CalOPPA — Федеральный де-факто: любой сайт, собирающий PII калифорнийцев, обязан иметь Privacy Policy.

State laws — VA, CO, CT, TX, OR, MT, MD, DE, NJ, NH, NE, TN, IN, KY, RI, OK и др. Каждый со своими порогами и cure periods.

Закон / штат	Штраф за нарушение	Особенности
CCPA/CPRA (CA)	$2 500 (неумышленное) / $7 988 (умышленное)	Per violation. CPPA + AG enforce. Рекорд: $2,75M (2026)
CA Delete Act	$200/день per unfulfilled deletion	Data brokers. Compounding daily. С 01.08.2026
COPPA	До $50 000 per violation	FTC enforcement. Дети до 13 лет. Verifiable parental consent
TX TDPSA	До $7 500 per violation	Texas AG. Settlement $1B+ (2025)
Другие штаты	$7 500–$10 000 per violation	AG штата. Некоторые без cure period (RI)

✓

Privacy Policy (CCPA/CalOPPA-compliant)Категории PII, цели, третьи стороны, права потребителей, «Do Not Sell», GPC. На каждой странице.

✓

«Do Not Sell or Share My Personal Information» linkCCPA §1798.135. Видимая ссылка в footer. Opt-out должен работать без аккаунта.

✓

Cookie banner / opt-out mechanismUS модель: opt-out (не opt-in). GPC signal обязателен в CA, CO, CT, MT. CMP-платформа.

✓

Terms of ServiceGoverning law (штат), arbitration clause, DMCA Safe Harbor, limitation of liability, class action waiver.

✓

COPPA compliance (если дети до 13)Verifiable parental consent, age gate, Children's Privacy Policy. FTC enforcement.

✓

Data Subject Access Request (DSAR) processCCPA: 2 verification methods, 45-day response, free of charge. Consumer rights page.

✓

Vendor / DPA agreementsCCPA требует контракты с service providers и contractors. Запрет на sell/share без контракта.

✓

Risk Assessment / DPIA (CA, CO, CT)С 01.01.2026 в CA: DPIA при продаже данных, sensitive data, ADMT, профилировании.

WCR Consulting

Юридическая упаковка сайта
для рынка США

Готовим документы с учётом CCPA/CPRA, COPPA и state-specific requirements. Для компаний, работающих в нескольких штатах — мульти-state compliance пакет.

Аудит сайта на US privacy compliance
Privacy Policy (CCPA/CalOPPA)
«Do Not Sell» opt-out mechanism
Cookie banner + GPC support
Terms of Service (US law)
COPPA compliance (если дети)
DSAR process + verification
Vendor agreements + Risk Assessment

🇺🇸 CCPA + state laws 📋 Multi-state ⏱ 7–14 рабочих дней 📄 English

Заказать упаковку для США →

Применяются ли US privacy laws к компаниям за пределами США? +

Да, если компания собирает данные резидентов конкретного штата. CCPA применяется к бизнесу с выручкой $26,6M+, или обрабатывающему данные 100K+ калифорнийцев, или получающему 50%+ дохода от продажи данных. CalOPPA применяется к любому сайту, собирающему PII калифорнийцев — независимо от места регистрации.

Чем opt-out модель США отличается от opt-in модели GDPR? +

В GDPR нужно получить согласие до начала обработки (opt-in). В США по умолчанию можно обрабатывать данные, но пользователь имеет право отказаться (opt-out). CCPA требует ссылку «Do Not Sell or Share My Personal Information» и поддержку GPC-сигнала. Для sensitive data — opt-in даже в CCPA.

Нужен ли COPPA compliance, если сайт не для детей? +

COPPA применяется, если сайт (a) направлен на детей до 13 лет, или (b) фактически знает, что собирает данные детей. Если сайт general audience, но есть дети среди пользователей — нужна age gate и механизм verifiable parental consent. FTC активно штрафует: до $50K за нарушение.

Какие штаты самые строгие? +

Калифорния (CCPA/CPRA) — самый строгий: выделенный регулятор CPPA, DPIA, ADMT rules, data broker registry. Следом — Maryland (data minimisation by default), Connecticut (AI disclosure), Texas (рекордный settlement $1B+). Rhode Island — единственный без cure period.

Нужна ли Privacy Policy для сайта с US-аудиторией? +

Да. CalOPPA (2003) обязывает любой сайт, собирающий PII калифорнийцев, иметь Privacy Policy. Штраф: $2 500 per violation после 30-дневного уведомления. CCPA добавляет требования к содержанию: категории данных, третьи стороны, rights, opt-out. Де-факто — нужна для любого сайта с US-трафиком.

Можно ли сделать упаковку дистанционно? +

Да. Бриф, документы, согласования — полностью онлайн. WCR Consulting готовит документы на английском с учётом multi-state requirements.

Нужна упаковка сайта для US-рынка?

Расскажите о проекте — подготовим Privacy Policy, Terms, DSAR и compliance-пакет под нужные штаты.

Заказать упаковку → Задать вопрос

Telegram WhatsApp Email

Юридическая упаковка сайта для рынка США: CCPA, CPRA, COPPA, state privacy laws

Юридическая упаковка сайта
для рынка США

Нет федерального закона —
лоскутное одеяло штатов

Ответственность за нарушения

Что обязательно для сайта
с US-аудиторией

Частые вопросы

Связанные направления

Юридическая упаковка сайта для рынка США: CCPA, CPRA, COPPA, state privacy laws

WCR Consulting

Contacts

Social media

WCR Consulting

Contacts

Social media

Юридическая упаковка сайтадля рынка США

Нет федерального закона —лоскутное одеяло штатов

Ответственность за нарушения

Что обязательно для сайтас US-аудиторией

Частые вопросы

Связанные направления

Юридическая упаковка сайта для рынка США: CCPA, CPRA, COPPA, state privacy laws

Юридическая упаковка сайта
для рынка США

Нет федерального закона —
лоскутное одеяло штатов

Что обязательно для сайта
с US-аудиторией