Калифорнийское агентство по защите конфиденциальности (CPPA) продолжает активно применять закон CCPA, объявив на прошлой неделе о двух новых кейсах.
Под удар попали:
PlayOn Sports: штраф $1,1 млн Компания формально предоставила возможность отказа (email + телефон), но:
Эти запросы не применялись к технологиям трекинга на самом сайте.
Пользователей перенаправляли на сторонние инструменты opt-out.
Cookie-баннер фактически принуждал нажать «Accept» (Принять) без равноценной альтернативы.
На мобильных устройствах ситуация была еще жестче: без согласия на трекинг пользователи вообще не могли воспользоваться билетами.
Ford: более $375 тыс. Здесь проблема была иной — избыточная верификация. Компания требовала подтверждения личности для запроса на отказ (opt-out). Регулятор прямо заявил: это создает «ненужное трение» и нарушает закон.
Что стоит учесть бизнесу: Механизм opt-out должен быть не формальным, а реально простым и действенным — без лишних шагов, проверок или ограничений для пользователя. Дизайн интерфейсов также должен быть нейтральным: кнопки «accept» и «reject» должны быть равнозначными, а cookie-баннеры не могут блокировать доступ или подталкивать к согласию. Кроме того, важно не только внедрить opt-out, но и регулярно проверять его техническую корректность для всех инструментов трекинга.
Оба кейса — об одном и том же: праве пользователя отказаться от передачи своих данных.
CPPA уже запустило обсуждение новых правил по «уменьшению трудностей» для пользователей при реализации их прав. Комментарии принимаются до 6 апреля — и это сигнал, что регулирование станет еще жестче.
Вывод прост: Регулятор больше не смотрит на «наличие политики» — он смотрит на реальный UX пользователя. И если пользователю сложно отказаться от передачи данных — это уже проблема бизнеса.