Czym jest „udostępnianie” w CPRA?

Ustawa California Privacy Rights Act (CPRA) redefiniuje i rozszerza pojęcie “udostępniania” (sharing) danych osobowych, głównie w kontekście międzykontekstowej reklamy behawioralnej. Język ustawowy precyzuje, że “udostępniać, udostępnione lub udostępnianie” (share, shared, or sharing) oznacza: “wynajmowanie, wydawanie, ujawnianie, rozpowszechnianie, udostępnianie, przekazywanie lub inne komunikowanie ustnie, na piśmie, drogą elektroniczną lub w inny sposób danych osobowych konsumenta przez firmę stronie trzeciej w celu międzykontekstowej reklamy behawioralnej, niezależnie od tego, czy odbywa się to za wynagrodzeniem pieniężnym lub innym wartościowym świadczeniem” (Cal. Civ. Code § 1798.140(ah)(1)). Stanowi to znaczące rozszerzenie w stosunku do ustawy California Consumer Privacy Act (CCPA), która koncentrowała się głównie na “sprzedaży” (sale) jako przekazywaniu danych za wynagrodzeniem pieniężnym.

Analiza definicji zawartej w CPRA pokazuje, że:

• “Udostępnianie” (Sharing) obejmuje wszelkie komunikowanie lub przekazywanie danych osobowych stronie trzeciej.
• Cel przekazania—w szczególności dla międzykontekstowej reklamy behawioralnej—jest kluczowy. Taka reklama jest definiowana jako kierowanie reklam do konsumentów na podstawie ich aktywności w różnych firmach, na różnych stronach internetowych, w aplikacjach lub usługach.
• Nie ma wymogu wartości pieniężnej; wystarczy jakiekolwiek wartościowe świadczenie, a nawet jego brak.
• Podmiot otrzymujący dane jest uważany za “stronę trzecią”, jeśli konsument nie wchodzi z nim w celową interakcję (Cal. Civ. Code § 1798.140(ai)).

Wyniki przeglądu implikacji operacyjnych pokazują, że:

• Firmy muszą traktować ujawnianie danych na potrzeby reklamy ukierunkowanej jako “udostępnianie” (sharing), niezależnie od tego, czy dochodzi do wymiany płatności.
• Prawa konsumentów są bezpośrednio zaangażowane; osoby fizyczne mogą zrezygnować z takiego “udostępniania” na mocy CPRA (Cal. Civ. Code § 1798.120(a)).
• Zgodność z przepisami wymaga od firm zapewnienia jasnych powiadomień i mechanizmów rezygnacji dla konsumentów w odniesieniu do takich praktyk dotyczących danych.

Rozróżnienie między “sprzedażą” (sale) a “udostępnianiem” (share) w ramach CPRA staje się w praktyce jasne: “sprzedaż” dotyczy danych wymienianych za korzyść majątkową, podczas gdy “udostępnianie” obejmuje szerszy zestaw ujawnień dokonywanych specjalnie na potrzeby międzykontekstowej reklamy behawioralnej. Podmioty nie mogą unikać zobowiązań, strukturując transakcje jako niepieniężne, jeśli obejmują one reklamę stron trzecich.

Podsumowując, sposób, w jaki CPRA traktuje “udostępnianie” (sharing), odzwierciedla zwrot w kierunku większej ochrony konsumentów i przejrzystości w ekosystemach reklamy cyfrowej. Przekazywanie danych stronom trzecim w celu wyświetlania ukierunkowanych reklam—niezależnie od tego, czy dochodzi do wymiany pieniędzy—podlega bezpośredniej kontroli regulacyjnej. Zmusza to organizacje do ponownej oceny swoich przepływów danych i odpowiedniego dostosowania strategii zgodności (IAPP, 2023; Cal. Civ. Code § 1798.140).