Czym jest „sprzedaż” w CCPA?

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) wprowadza szeroką definicję “sprzedaży” w kontekście danych osobowych konsumentów. Zgodnie z ustawą sprzedaż to jakakolwiek czynność “sprzedawania, wynajmowania, uwalniania, ujawniania, rozpowszechniania, udostępniania, przekazywania lub innego komunikowania” danych osobowych konsumenta innej firmie lub stronie trzeciej “za wynagrodzeniem pieniężnym lub innym wartościowym świadczeniem” (Cal. Civ. Code § 1798.140(t)(1)). Język ustawy w znacznym stopniu wykracza poza tradycyjne pojęcie sprzedaży, obejmując każde przekazanie lub udostępnienie w zamian za wartość, w tym korzyści niepieniężne.

Analiza języka ustawy wskazuje na kilka kluczowych kwestii:

• Termin “sprzedaż” obejmuje transfery, w których świadczenie niekoniecznie jest pieniężne, ale może być “innym wartościowym świadczeniem”.
• Odbiorca — określany jako “strona trzecia” — to każdy podmiot inny niż sama firma zbierająca dane.
• Prawo nie ogranicza “sprzedaży” do transakcji bezpośrednich; obejmuje również pośrednie transfery i ujawnienia.

Brak jednoznacznej definicji “świadczenia” w ustawie CCPA sprawia, że jego interpretacja zależy od ogólnych zasad prawa umów i kalifornijskiego kodeksu cywilnego. Ta niejednoznaczność doprowadziła do rozbieżnych wdrożeń i ocen ryzyka wśród firm, szczególnie w odniesieniu do dostawców usług reklamy cyfrowej i analityki.

Empiryczny przegląd praktyk w zakresie zgodności wykazuje, co następuje:

• Wiele firm interpretuje udostępnianie danych sieciom reklamowym lub brokerom danych jako “sprzedaż”, biorąc pod uwagę wymianę danych użytkownika za dostęp do narzędzi marketingowych lub analitycznych, nawet jeśli nie wiąże się to z żadną bezpośrednią płatnością.
• Doradcy prawni często zalecają, aby z ostrożności zapewnić mechanizmy rezygnacji, gdy z udostępnianiem informacji wiąże się jakakolwiek wymiana wartości.
• CCPA wymaga, aby firmy oferowały konsumentom wyraźne prawo do rezygnacji z takiej sprzedaży, najczęściej w widoczny sposób poprzez link “Nie sprzedawaj moich danych osobowych” lub równoważny mechanizm (Cal. Civ. Code § 1798.135(a)(1)).

Reakcje interesariuszy obejmowały:

• Wdrożenie dedykowanych stron internetowych umożliwiających rezygnację oraz banerów cookie.
• Zwiększoną kontrolę umów ze stronami trzecimi w zakresie wykorzystywania i dalszego przekazywania danych osobowych.
• Usprawnione wewnętrzne śledzenie przepływów danych w celu identyfikacji przypadków, które mogą kwalifikować się jako sprzedaż zgodnie z definicją CCPA.

Ogólnie rzecz biorąc, definicja sprzedaży w CCPA obejmuje liczne powszechne praktyki dotyczące danych, które wiążą się z dostępem stron trzecich, niezależnie od tego, czy dokonywane są bezpośrednie płatności. Ustawowy nacisk na wybór konsumenta poprzez wymagane mechanizmy rezygnacji znacząco wpłynął na działalność biznesową i strategie zgodności z przepisami o prywatności. W miarę ewolucji interpretacji sądowych i regulacyjnych, zakres tego, co stanowi sprzedaż w rozumieniu CCPA, pozostaje obszarem aktywnego rozwoju prawnego.