Wat is vereist onder Cpra ‘Do Not Sell or Share’?

De California Privacy Rights Act (CPRA) breidt de rechten van consumenten verder uit dan de California Consumer Privacy Act (CCPA) door bedrijven te verplichten expliciete opt-out-opties aan te bieden voor zowel de verkoop als het delen van persoonlijke informatie. De CPRA stelt dat:

“Een consument heeft te allen tijde het recht om een bedrijf dat persoonlijke informatie over de consument verkoopt of deelt met derden, op te dragen de persoonlijke informatie van de consument niet te verkopen of te delen. Dit recht kan worden aangeduid als het recht om bezwaar te maken tegen verkoop of delen.” (CPRA §1798.120)

Dit amendement introduceert een dubbel opt-out-mechanisme, waarmee eerdere verplichtingen die uitsluitend gericht waren op de verkoop van persoonsgegevens worden uitgebreid. De eis om het delen aan te pakken, weerspiegelt het evoluerende data-ecosysteem waarin persoonlijke informatie vaak wordt verspreid buiten transactionele verkopen om, zoals het delen van gegevens voor cross-context gedragsgerichte reclame.

Belangrijke mandaten onder de CPRA omvatten:

• Duidelijke en opvallende link: Bedrijven moeten een “Verkoop of deel mijn persoonlijke informatie niet”-link prominent op hun websites weergeven, zodat consumenten er gemakkelijk toegang toe hebben. Deze link moet zichtbaar zijn zonder dat men hoeft te scrollen of door meerdere pagina's hoeft te navigeren.

• Respect voor globale opt-out-signalen: De CPRA vereist dat bedrijven globale privacy-controlesignalen zoals de Global Privacy Control (GPC) respecteren. Dergelijke signalen dienen als een gestandaardiseerd mechanisme voor gebruikers om hun voorkeur aan te geven om zich af te melden voor verkoop of delen op meerdere websites.

Het praktische effect is een bredere reikwijdte van consumentencontrole:

• Opt-out-mechanismen moeten zowel verkoop als delen dekken.
• Bedrijven moeten technische en procedurele maatregelen implementeren om gebruikersvoorkeuren te detecteren en te respecteren die via weblinks en browsersignalen worden gecommuniceerd.
• Niet-naleving kan leiden tot handhavingsacties door de California Privacy Protection Agency (CPPA), opgericht onder de CPRA.

Deze dubbele opt-out-vereiste sluit aan bij bevindingen in privacyonderzoek die benadrukken dat consumentenbewustzijn en controle over datastromen cruciaal zijn voor het behoud van privacy (Acquisti, Brandimarte, & Loewenstein, 2015). De expliciete opname van delen in de CPRA pakt lacunes aan die in eerdere wetten werden geïdentificeerd, waar gegevensuitwisselingen die geen verkoop vormden buiten de controle van de consument vielen (Englehardt & Narayanan, 2016).

Samenvatting van de CPRA ‘Verkoop of deel niet’-vereisten:

• Plaats een duidelijke en opvallende “Verkoop of deel mijn persoonlijke informatie niet”-link op websites.
• Bied consumenten de mogelijkheid om zich af te melden voor zowel de verkoop als het delen van hun persoonlijke informatie.
• Respecteer globale opt-out-voorkeurssignalen, zoals de Global Privacy Control.
• Implementeer systemen om naleving van deze keuzesignalen in realtime te garanderen.

Dit uitgebreide kader weerspiegelt een belangrijke regelgevende verschuiving die tot doel heeft de transparantie te vergroten en de privacyrechten van consumenten in digitale omgevingen te versterken.