Wat is een 'verkoop' in CCPA?

De California Consumer Privacy Act (CCPA) stelt een brede definitie vast van “verkoop” in de context van persoonlijke informatie van consumenten. Volgens de wet is een verkoop elke handeling van “verkopen, verhuren, vrijgeven, openbaar maken, verspreiden, beschikbaar stellen, overdragen of anderszins communiceren” van de persoonlijke informatie van een consument aan een ander bedrijf of een derde partij “voor monetaire of andere waardevolle tegenprestatie” (Cal. Civ. Code § 1798.140(t)(1)). De wettekst gaat aanzienlijk verder dan de traditionele noties van verkoop en omvat elke overdracht of het delen in ruil voor waarde, inclusief niet-monetaire voordelen.

Analyse van de wettekst onthult verschillende kernpunten:

• De term “verkoop” omvat overdrachten waarbij de tegenprestatie niet noodzakelijkerwijs monetair is, maar ook “andere waardevolle tegenprestatie” kan zijn.
• De ontvanger—beschouwd als een “derde partij”—is elke entiteit anders dan het verzamelende bedrijf zelf.
• De wet beperkt “verkoop” niet tot directe transacties; het dekt ook indirecte overdrachten en openbaarmakingen.

Het ontbreken van een expliciete definitie voor “tegenprestatie” binnen de CCPA laat de interpretatie ervan afhangen van algemene beginselen van het contractenrecht en de California Civil Code. Deze dubbelzinnigheid heeft geleid tot uiteenlopende implementaties en risicobeoordelingen onder bedrijven, met name met betrekking tot digitale advertenties en aanbieders van analysediensten.

Empirisch onderzoek van de nalevingspraktijken toont het volgende aan:

• Veel bedrijven interpreteren het delen van gegevens met advertentienetwerken of datahandelaars als een “verkoop”, gezien de uitwisseling van gebruikersgegevens voor toegang tot marketingtools of analyses, zelfs als er geen directe betaling bij betrokken is.
• Juridisch adviseurs raden vaak aan om het zekere voor het onzekere te nemen en opt-out-mechanismen aan te bieden wanneer er enige uitwisseling van waarde is verbonden aan het delen van informatie.
• De CCPA vereist dat bedrijven consumenten een duidelijk recht bieden om zich af te melden voor deze verkopen, het meest zichtbaar via een “Mijn persoonlijke informatie niet verkopen”-link of een gelijkwaardig mechanisme (Cal. Civ. Code § 1798.135(a)(1)).

Reacties van belanghebbenden omvatten:

• Implementatie van speciale opt-out-webpagina's en cookiebanners.
• Verhoogde contractuele controle met derden met betrekking tot het gebruik en de verdere overdracht van persoonlijke informatie.
• Verbeterde interne tracking van gegevensstromen om gevallen te identificeren die kunnen kwalificeren als een verkoop onder de definitie van de CCPA.

Over het algemeen strekt de definitie van verkoop van de CCPA zich uit tot tal van gangbare gegevenspraktijken waarbij toegang door derden betrokken is, ongeacht of er directe betalingen worden gedaan. De wettelijke nadruk op consumentenkeuze via vereiste opt-out-mechanismen heeft de bedrijfsvoering en de nalevingsstrategieën voor privacy wezenlijk beïnvloed. Naarmate gerechtelijke en regelgevende interpretaties evolueren, blijft de reikwijdte van wat een verkoop vormt onder de CCPA een gebied van actieve juridische ontwikkeling.