Beancount.io LogoBeancount.io

Texaský zákon o ochrane údajov a mozaika 20 štátov: Príručka pre dodržiavanie predpisov v roku 2026

13 minúty čítaniaMike ThriftMike Thrift
Texaský zákon o ochrane údajov a mozaika 20 štátov: Príručka pre dodržiavanie predpisov v roku 2026

Kým dočítate túto vetu, niekde v Spojených štátoch spotrebiteľ práve klikol na „Nepredávať ani nezdieľať moje osobné údaje“. Ak vaša firma prevádzkuje webovú stránku, spúšťa reklamy alebo uchováva e-mailové adresy zákazníkov, toto jediné kliknutie vás už môže zaväzovať podľa jedného alebo viacerých z dvadsiatich komplexných štátnych zákonov o ochrane súkromia, ktoré sú teraz v USA účinné – a väčšina majiteľov malých podnikov o tom nemá ani tušenia.

Texaský zákon o ochrane a bezpečnosti údajov (TDPSA) nadobudol účinnosť 1. júla 2024 a Texas sa stal najľudnatejším štátom bez komplexného zákona o ochrane súkromia, ktorý ho napokon prijal. TDPSA však nie je jediným príbehom. K roku 2026 má aktívne komplexné zákony o ochrane súkromia spotrebiteľov dvadsať štátov, dvanásť štátov vyžaduje uznávanie univerzálnych signálov na odhlásenie, ako je Global Privacy Control (GPC), a tri úplne nové zákony – v Indiane, Kentucky a na Rhode Islande – vstúpili do platnosti 1. januára 2026. Obdobia na nápravu (cure periods), ktoré dávali zákonom v prvých štátoch čas na adaptáciu, v priebehu roka 2026 zanikajú, čo znamená, že presadzovanie práva bude oveľa prísnejšie.

Táto príručka rozoberá, čo skutočne musíte v roku 2026 urobiť, aby ste udržali regulátorov ďaleko od svojich dverí – bez toho, aby ste si museli kupovať program na ochranu súkromia za päťdesiattisíc dolárov, ktorý nepotrebujete.

Prečo na Texase záleží viac, než si myslíte

Texaský zákon o ochrane súkromia má jednu zvláštnosť, ktorou sa líši od všetkých ostatných štátnych zákonov: nezaujíma ho, koľko peňazí zarobíte, ani koľko záznamov uchovávate. Zaujíma ho len to, či spĺňate definíciu malého podniku podľa amerického Úradu pre malé podniky (SBA) – vo všeobecnosti ide o menej ako 500 zamestnancov s príjmovými limitmi špecifickými pre dané odvetvie.

Väčšina štátnych zákonov o ochrane súkromia (kalifornský CCPA, virgínsky VCDPA, coloradský CPA, connecticutský CTDPA) viaže uplatniteľnosť na číselné prahy: 100 000 spotrebiteľov alebo 25 000 spotrebiteľov, ak viac ako polovica vašich príjmov pochádza z predaja osobných údajov, alebo ročný hrubý príjem nad 25 miliónov dolárov. TDPSA tieto prahy zahadzuje.

To vytvára zvláštnu inverziu. Stredne veľká SaaS spoločnosť so sídlom v Texase so 600 zamestnancami a miernym príjmom môže plne podliehať TDPSA, zatiaľ čo vysoko ziskový kalifornský startup s 30 zamestnancami môže byť vyňatý podľa prahu SBA, ale podliehať testu príjmov CCPA. Ak podnikáte v oboch štátoch, nemôžete si vybrať ten priateľskejší – musíte splniť požiadavky toho zákona, ktorý sa vzťahuje na spotrebiteľa podávajúceho žiadosť.

Výnimka TDPSA pre citlivé údaje, ktorá v skutočnosti neexistuje

Tu je tá záludná časť. Aj keď vaša firma spĺňa kritériá malého podniku podľa veľkostných štandardov SBA a inak by bola oslobodená od TDPSA, stále musíte získať súhlas spotrebiteľa pred predajom citlivých osobných údajov. Takže „oslobodený“ neznamená „robte si, čo chcete“. Ak predávate e-mailové adresy spojené so zdravotnými záujmami, náboženskou príslušnosťou, presnou geolokáciou alebo biometrickými identifikátormi, potrebujete výslovný súhlas (opt-in) bez ohľadu na veľkosť firmy.

Mapa súladu v 20 štátoch

Do roku 2026 sú komplexné zákony o ochrane súkromia účinné alebo čoskoro nadobudnú účinnosť v týchto štátoch: Kalifornia, Virgínia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Oregon, Texas, Delaware, New Hampshire, New Jersey, Kentucky, Minnesota, Maryland, Rhode Island, Nebraska a Maryland (Online Data Privacy Act).

Väčšina týchto zákonov sa riadi štruktúrou „virgínskeho modelu“: práva na prístup, opravu, vymazanie, prenositeľnosť a odhlásenie, plus povinnosti prevádzkovateľa týkajúce sa oznámení, minimalizácie údajov a limitov spracovania. Kalifornia stojí osamotene so širším pokrytím zamestnancov a B2B vzťahov v rámci CCPA/CPRA a jedinečnými nariadeniami o audite kybernetickej bezpečnosti a automatizovanom rozhodovaní.

Praktický záver: budujte systém pre najprísnejšieho spoločného menovateľa, nie pre každý štát izolovane. Program ochrany súkromia vyladený podľa požiadaviek Kalifornie, Colorada a Texasu pokryje povinnosti podľa všetkých 17 ostatných štátnych zákonov.

Práva spotrebiteľov, ktoré musíte splniť do štyridsiatich piatich dní

Takmer v každom štátnom zákone majú spotrebitelia rovnaké kľúčové práva:

  • Prístup – môžu sa opýtať, aké osobné údaje o nich uchovávate.
  • Oprava – môžu od vás vyžadovať opravu nepresných údajov.
  • Vymazanie – môžu vyžadovať vymazanie svojich údajov (s výnimkami pre právne účely, prevenciu podvodov, interné použitie).
  • Prenositeľnosť – môžu požadovať strojovo čitateľnú kópiu.
  • Odhlásenie z predaja, cielenej reklamy a profilovania – tri samostatné práva na nesúhlas, ktoré sú vo väčšine štátov spojené.

Väčšina zákonov vám dáva 45 dní na odpoveď, s možnosťou predĺženia o ďalších 45 dní, ak je to odôvodnené. Kalifornská CCPA dáva 45 dní s predĺžením o 45 dní. Texas dáva 45 dní s predĺžením o 45 dní. Potrebujete proces overenej žiadosti, ktorý žiadosť prijme, overí, splní a zaprotokoluje – a potrebujete, aby bol škálovateľný a nestál len na jednej preťaženej e-mailovej schránke právneho oddelenia.

Čo znamená „overený“ v praxi

Nemôžete len tak prijať požiadavku bez preverenia. Ak vám niekto pošle e-mail s textom „vymažte všetky moje údaje“, musíte overiť, či je daná osoba skutočne dotknutou osobou. Bežné prístupy k overovaniu zahŕňajú:

  • Potvrdenie požiadavky prostredníctvom prihlásenia do účtu.
  • Porovnanie predložených informácií s evidovanými záznamami.
  • Odoslanie potvrdzujúceho e-mailu s jednorazovým kódom.
  • Vyžadovanie notársky overeného čestného vyhlásenia pri vysoko rizikových požiadavkách (zriedkavé; vyhradené pre prípady, kedy by strata údajov bola katastrofálna).

Zlyhanie pri autentifikácii vytvára dve riziká: vymažete údaje podvodníkovi (útok vymazaním) alebo zverejníte osobné údaje nesprávnej osobe (porušenie dôvernosti). Obe sú porušením predpisov.

Globálne riadenie súkromia: Jediný signál prehliadača, ktorý spúšťa desiatku zákonov

Najdôležitejšou technickou zmenou v oblasti dodržiavania predpisov pre rok 2026 je Globálne riadenie súkromia (Global Privacy Control – GPC). Ide o signál na úrovni prehliadača, ktorý každej navštívenej webovej stránke automaticky oznamuje: „Odmietam predaj alebo zdieľanie mojich osobných údajov.“

Do 1. januára 2026 vyžaduje dvanásť štátov, aby podniky rešpektovali GPC ako platnú požiadavku na odhlásenie: Kalifornia, Colorado, Connecticut, Montana, Nebraska, New Hampshire, New Jersey, Minnesota, Maryland, Delaware, Oregon a Texas. Niektoré z týchto štátov GPC výslovne pomenovali; iné jednoducho vyžadujú uznanie akéhokoľvek „univerzálneho mechanizmu na odhlásenie“ a GPC je dominantnou implementáciou.

Čo to znamená technicky: váš web musí pri každej požiadavke čítať HTTP hlavičku Sec-GPC (alebo ekvivalent v rozhraní navigator API) a keď tento signál zaznamená, musí potlačiť predaj údajov, behaviorálnu reklamu naprieč kontextmi a zdieľanie — bez vyzvania používateľa. Žiadny cookie banner. Žiadne ďalšie kliknutie. Jednoducho potlačiť.

Kalifornia pridala požiadavku na zobrazenie pre rok 2026: firmy musia viditeľne uvádzať, či bol signál preferencie odhlásenia spotrebiteľa spracovaný. Indikátor „Požiadavka na odhlásenie bola rešpektovaná“ priamo na stránke sa stáva novým štandardom. Ak to vynecháte, regulátor (alebo sériový žalobca) môže argumentovať, že ste neposkytli oznámenie o prijatí odhlásenia.

Pasca v adtech reťazci

Tu zlyháva väčšina spoločností. Rešpektovať GPC na úrovni stránky je jednoduché. Rešpektovať ho v celom vašom nadväzujúcom adtech stacku — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, u každého predajcu dynamického retargetingu — je ťažké. Každý z týchto predajcov má vlastný príznak odhlásenia, signál alebo parameter pixelu, ktorý musíte nastaviť pri detekcii GPC. Ak jeden vynecháte, pokračujete v zdieľaní údajov s týmto predajcom v rozpore so štátnym zákonom.

Auditujte svoj správca značiek (tag manager). Pri každom predajcovi, ktorý sa spúšťa na vašom webe, zdokumentujte, ako rešpektuje GPC. Nedôverujte marketingovým tvrdeniam — testujte s prehliadačom s povoleným GPC a sieťovým snímačom (network sniffer).

Citlivé údaje: Vyžaduje sa výslovný súhlas (Opt-In)

Takmer v každom štátnom zákone vyžaduje spracúvanie citlivých osobných údajov potvrdzujúci súhlas (opt-in). Citlivé údaje zvyčajne zahŕňajú:

  • Čísla sociálneho zabezpečenia, čísla vodičských preukazov, čísla pasov, prihlasovacie údaje k finančným účtom.
  • Biometrické údaje používané na identifikáciu osoby.
  • Zdravotné a lekárske informácie, na ktoré sa ešte nevzťahuje zákon HIPAA.
  • Presnú geolokalizáciu (často definovanú ako okruh do 1 750 stôp alebo podobne).
  • Rasový alebo etnický pôvod.
  • Náboženské presvedčenie.
  • Sexuálnu orientáciu, rodovú identitu.
  • Štátne občianstvo alebo imigračný status.
  • Osobné údaje detí (mladších ako 13, niekedy pod 16 rokov).

Súhlas musí byť udelený slobodne, musí byť konkrétny, informovaný a jednoznačný. Vopred zaškrtnuté políčka sa nepočítajú. Spájanie súhlasu so všeobecným prijatím podmienok poskytovania služieb sa nepočíta. Skryté vyhlásenia sa nepočítajú. Ak spracúvate citlivé údaje, potrebujete vyhradený proces súhlasu s jasným jazykom a záznamom o tom, ako, kedy a kde bol súhlas získaný.

Zmluvy o spracúvaní údajov: Kontrakty s dodávateľmi sú teraz požiadavkou na zhodu

Každý štátny zákon o ochrane osobných údajov vyžaduje, aby podniky zdieľajúce osobné údaje s dodávateľmi z tretích strán (nazývanými „sprostredkovatelia“ alebo „poskytovatelia služieb“) podpísali písomnú zmluvu — Zmluvu o spracúvaní osobných údajov (Data Processing Agreement – DPA) — ktorá tieto údaje upravuje.

Súladná DPA v roku 2026 musí:

  1. Špecifikovať povahu, účel a trvanie spracúvania.
  2. Identifikovať typy údajov a kategórie dotknutých spotrebiteľov.
  3. Zaväzovať sprostredkovateľa k povinnosti mlčanlivosti.
  4. Vyžadovať od sprostredkovateľa súčinnosť pri vybavovaní žiadostí o práva spotrebiteľov.
  5. Vyžadovať od sprostredkovateľa vymazanie alebo vrátenie údajov pri ukončení zmluvy.
  6. Povoliť audity a vyžadovať prenesenie povinností na ďalších sprostredkovateľov.
  7. Obmedziť cezhraničné prenosy a uložiť bezpečnostné povinnosti.

Ak používate nástroje SaaS — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — musíte mať u nich všetkých zaevidované DPA. Väčšina hlavných predajcov ponúka DPA formou „click-through“. K pochybeniam dochádza pri špecializovaných nástrojoch, freelanceroch, dodávateľoch a jednorazových integráciách, o ktorých nikto neuvažoval ako o „predajcoch“.

Posúdenia ochrany údajov: Kedy musíte dokumentovať riziko

Väčšina štátnych zákonov vyžaduje posúdenia ochrany údajov (DPA — mätúco rovnaká skratka ako pre zmluvu o spracúvaní údajov) pre činnosti spracúvania, ktoré predstavujú zvýšené riziko. Medzi spúšťacie aktivity patria:

  • Spracúvanie na účely cielenej reklamy.
  • Predaj osobných údajov.
  • Profilovanie, ktoré vyvoláva právne alebo podobne významné účinky.
  • Spracúvanie citlivých údajov.
  • Akékoľvek spracúvanie predstavujúce zvýšené riziko ujmy.

Texas, Virgínia, Colorado, Connecticut a ďalšie štáty to vyžadujú. Posúdenie musí zvážiť prínosy pre prevádzkovateľa, spotrebiteľa, verejnosť a sprostredkovateľa v porovnaní s rizikami pre spotrebiteľa, pričom opatrenia na zmiernenie rizík musia byť zdokumentované. Tieto posúdenia si uchovávajte v evidencii. Regulátori si ich môžu vyžiadať počas vyšetrovania.

Koniec lehôt na nápravu: Prečo je rok 2026 prelomový

Prvé štátne zákony o ochrane súkromia prišli s ustanoveniami o „práve na nápravu“ — 30 alebo 60-dňovou lehotou odkladu po tom, čo dozorný orgán vydal oznámenie o porušení, počas ktorej mohol podnik problém vyriešiť skôr, než mu bola uložená akákoľvek pokuta. Toto bolo navrhnuté ako akési „pomocné kolieska“.

V roku 2026 tieto pomocné kolieska miznú. Lehoty na nápravu končia v priebehu roka 2026 v štátoch Connecticut, Delaware, Kentucky, Minnesota a Montana. Úplne nový zákon štátu Rhode Island od začiatku žiadnu lehotu na nápravu nemal. Lehota na nápravu v Kalifornii vypršala už pred rokmi.

Texas si ponechal svoju 30-dňovú lehotu na nápravu bez stanoveného konca platnosti, čo je nezvyčajne veľkorysé. Avšak sankcie po uplynutí tohto 30-dňového okna dosahujú až 7 500 USD za porušenie. Pri nárokoch na ochranu súkromia spotrebiteľov „za porušenie“ často znamená za každého dotknutého spotrebiteľa — vynásobte to svojou databázou zákazníkov a matematika začne vyzerať veľmi hrozivo.

Prepojenie súladu s ochranou súkromia s vaším účtovníctvom

Súlad s predpismi o ochrane súkromia ovplyvňuje financie viac, než si väčšina prevádzkovateľov uvedomuje. Ide najmä o tri oblasti:

Alokácia nákladov na dodávateľov. Dodávatelia riešení pre ochranu súkromia — platformy na správu súhlasov, nástroje na vybavovanie žiadostí DSAR, služby overovania identity, paušály za právne poradenstvo v oblasti súkromia — sú prevádzkové náklady, ktoré by ste mali sledovať oddelene. Takto môžete reportovať náklady na dodržiavanie predpisov svojej správnej rade a prijímať rozhodnutia o ROI (návratnosti investícií) v otázke, ktoré zákony plniť nad rámec povinností a kde akceptovať riziko.

Rezerva na prípady porušenia. Väčšina štátnych zákonov od vás výslovne nevyžaduje vyčlenenie finančných prostriedkov na potenciálne úniky údajov, ale ak spracúvate citlivé údaje vo veľkom rozsahu, vytvorenie rezervy na podmienené záväzky je dobrou praxou. Aj malé porušenia vyvolávajú náklady na oznámenia, ponuky monitorovania úverov a poplatky za forenzné vyšetrovanie, ktoré môžu dosiahnuť šesťciferné sumy.

Poistná dokumentácia. Poisťovne kybernetickej zodpovednosti pri obnove poistiek čoraz častejšie vyžadujú dokumentáciu vášho programu ochrany súkromia — písomné pravidlá, inventár zmlúv o spracúvaní údajov (DPA), testovanie implementácie GPC, protokoly o reakciách na žiadosti DSAR. Udržiavanie prehľadných záznamov môže výrazne ovplyvniť výšku poistného.

Presné účtovníctvo s jasnou účtovou osnovou, ktorá oddeľuje náklady na dodržiavanie ochrany súkromia, výdavky na dodávateľov a rezervy na reakciu na incidenty, robí výročné revízie rozpočtu, správy pre radu a obnovy poistiek oveľa menej bolestivými.

Praktický balík pre súlad v roku 2026

Ak začínate od nuly, tu je minimálny životaschopný program ochrany súkromia pre malý alebo stredne veľký podnik v USA v roku 2026:

  1. Identifikujte, ktoré zákony sa na vás vzťahujú. Mapujte svoju zákaznícku základňu, počet zamestnancov a príjmy podľa prahových hodnôt uplatniteľnosti jednotlivých štátov.
  2. Zverejnite jedno konsolidované oznámenie o ochrane osobných údajov, ktoré spĺňa najprísnejší uplatniteľný zákon. Zahrňte zverejnenia o citlivých údajoch, zverejnenia o predaji/zdieľaní, účely spracúvania, doby uchovávania, práva spotrebiteľov a kontaktný kanál.
  3. Vybudujte si proces pre žiadosti DSAR. Vyberte si nástroj (alebo štruktúrovaný proces založený na e-maile a tabuľkách, ak ste malá firma), ktorý prijíma, overuje, vybavuje a zaznamenáva žiadosti do 45 dní.
  4. Implementujte rešpektovanie GPC. Sledujte signál na úrovni stránky. Ak je nastavený, potlačte dodávateľov pre predaj a cielenú reklamu. Ak máte návštevnosť z Kalifornie, zobrazujte indikátor o rešpektovaní odhlásenia.
  5. Podpíšte DPA (zmluvy o spracúvaní údajov) s každým dodávateľom. Urobte si inventár všetkých dodávateľov. Podpíšte DPA. Uložte ich tam, kde ich nájdete.
  6. Vykonajte posúdenia (DPA) pre vysokorizikové spracúvanie. Každé jedno zdokumentujte a archivujte.
  7. Vytvorte proces súhlasu so spracovaním citlivých údajov s aktívnym prihlásením (opt-in) a zaznamenaným dôkazom.
  8. Zdokumentujte svoj bezpečnostný program. Väčšina štátnych zákonov vyžaduje „primeranú“ bezpečnosť. Primeraná bezpečnosť zahŕňa písomné pravidlá, kontroly prístupu, šifrovanie počas prenosu aj v pokoji, správu zraniteľností a postupy reakcie na incidenty.

Bežné chyby, ktoré robia malé podniky

  • Predpoklad, že výnimka SBA pre malé podniky vás úplne zbavuje povinností TDPSA. Nie je to tak — spracúvanie citlivých údajov stále vyžaduje súhlas.
  • Považovanie cookie líšt za kompletný program ochrany súkromia. Lišty sú len jednou z taktík. Nenahrádzajú procesy DSAR, zmluvy DPA ani rešpektovanie signálu GPC.
  • Ignorovanie prenosu povinností na dodávateľov. Vaše zmluvy DPA s dodávateľmi musia vyžadovať, aby títo dodávatelia preniesli povinnosti aj na svojich subdodávateľov. Väčšina vzorových DPA to pokrýva, ale pred podpisom si ich prečítajte.
  • Považovanie odhlásenia (opt-out) za marketingové rozhodnutie. Rešpektovanie odhlásenia je zákonná požiadavka, nie preferencia. Zastavte tok údajov, aj keď to poškodí výkon retargetingu.
  • Nečinnosť až do uplynutia lehoty na nápravu. Ak dostanete oznámenie o porušení, máte obmedzený čas. Konajte okamžite, zdokumentujte nápravu a získajte písomné potvrdenie od dozorného orgánu.

Udržujte svoje záznamy o súlade čisté od prvého dňa

Ako budete budovať program súladu s ochranou súkromia v rámci mozaiky rôznych štátnych predpisov, budú sa vám hromadiť faktúry od dodávateľov, platby konzultantom, poistné a náklady na reakcie na incidenty, ktoré je potrebné sledovať, kategorizovať a reportovať. Beancount.io poskytuje účtovníctvo v čistom texte, ktoré vám dáva úplnú transparentnosť a kontrolu verzií nad vašimi finančnými údajmi — vďaka čomu sú výročné správy pre radu, obnovy poistiek a analýzy nákladov na dodržiavanie predpisov dramaticky jednoduchšie než zápasenie s netransparentnou účtovnou knihou. Začnite zadarmo a zistite, prečo vývojári, finanční profesionáli a prevádzkovatelia dbajúci na súkromie dôverujú účtovníctvu v čistom texte pri vedení svojich firemných kníh.