Czego wymaga CPRA w ramach ‘Do Not Sell or Share’?

Ustawa California Privacy Rights Act (CPRA) rozszerza prawa konsumentów poza zakres ustawy California Consumer Privacy Act (CCPA), nakazując firmom zapewnienie wyraźnych opcji rezygnacji zarówno ze sprzedaży, jak i udostępniania danych osobowych. CPRA stanowi, że:

“Konsument ma prawo w dowolnym momencie polecić firmie, która sprzedaje lub udostępnia dane osobowe konsumenta stronom trzecim, aby nie sprzedawała ani nie udostępniała jego danych osobowych. Prawo to może być określane jako prawo do rezygnacji ze sprzedaży lub udostępniania”. (CPRA §1798.120)

Ta nowelizacja wprowadza podwójny mechanizm rezygnacji, rozszerzając wcześniejsze zobowiązania, które koncentrowały się wyłącznie na sprzedaży danych osobowych. Wymóg uwzględnienia udostępniania odzwierciedla ewoluujący ekosystem danych, w którym dane osobowe są często rozpowszechniane poza sprzedażą transakcyjną, na przykład w celu udostępniania danych do reklamy behawioralnej w różnych kontekstach.

Kluczowe wymogi w ramach CPRA obejmują:

• Wyraźny i widoczny link: Firmy muszą umieścić link „Nie sprzedawaj ani nie udostępniaj moich danych osobowych” w widocznym miejscu na swoich stronach internetowych, zapewniając konsumentom łatwy dostęp. Link ten musi być widoczny bez konieczności przewijania lub nawigowania przez wiele stron.

• Poszanowanie globalnych sygnałów rezygnacji: CPRA wymaga od firm honorowania globalnych sygnałów kontroli prywatności, takich jak Global Privacy Control (GPC). Sygnały takie służą jako ustandaryzowany mechanizm, za pomocą którego użytkownicy mogą wskazać swoją preferencję rezygnacji ze sprzedaży lub udostępniania danych na wielu stronach internetowych.

Praktycznym skutkiem jest szerszy zakres kontroli konsumenta:

• Mechanizmy rezygnacji muszą obejmować zarówno sprzedaż, jak i udostępnianie.
• Firmy muszą wdrożyć środki techniczne i proceduralne w celu wykrywania i honorowania preferencji użytkowników przekazywanych za pośrednictwem linków internetowych oraz sygnałów przeglądarki.
• Niezastosowanie się do przepisów może prowadzić do działań egzekucyjnych ze strony California Privacy Protection Agency (CPPA), powołanej na mocy CPRA.

Ten podwójny wymóg rezygnacji jest zgodny z wynikami badań nad prywatnością, które podkreślają, że świadomość i kontrola konsumentów nad przepływem danych mają kluczowe znaczenie dla ochrony prywatności (Acquisti, Brandimarte i Loewenstein, 2015). Wyraźne uwzględnienie przez CPRA udostępniania danych wypełnia luki zidentyfikowane we wcześniejszych przepisach, w których wymiana danych niestanowiąca sprzedaży pozostawała poza kontrolą konsumentów (Englehardt i Narayanan, 2016).

Podsumowanie wymogów CPRA dotyczących zasady „Nie sprzedawaj ani nie udostępniaj”:

• Umieść wyraźny i widoczny link „Nie sprzedawaj ani nie udostępniaj moich danych osobowych” na stronach internetowych.
• Zapewnij konsumentom możliwość rezygnacji zarówno ze sprzedaży, jak i udostępniania ich danych osobowych.
• Honoruj globalne sygnały preferencji rezygnacji, takie jak Global Privacy Control.
• Wdróż systemy zapewniające zgodność z tymi sygnałami wyboru w czasie rzeczywistym.

Te rozszerzone ramy odzwierciedlają znaczącą zmianę regulacyjną, której celem jest zwiększenie przejrzystości i wzmocnienie praw konsumentów do prywatności w środowiskach cyfrowych.