Каліфорнійське агентство із захисту конфіденційності (CPPA) продовжує активно застосовувати закон CCPA і минулого тижня оголосило про два нові кейси.
Під удар потрапили:
- PlayOn Sports: штраф $1,1 млн
Компанія формально дала можливість відмови (email+телефон), але:
- ці запити не застосовувалися до трекінгових технологій на сайті
- користувачів перенаправляли на сторонні opt-out інструменти
- cookie-банер фактично змушував натиснути “Accept” без рівноцінної альтернативи
На мобільних пристроях ще жорсткіше: без згоди на трекінг користувачі взагалі не могли скористатися квитками.
- Ford: понад $375 тис.
Тут проблема інша – зайва верифікація.
Компанія вимагала підтвердження особи для opt-out запиту. Регулятор прямо сказав: це створює “непотрібне тертя” і порушує закон.
Бізнесу варто врахувати, що механізм opt-out має бути не формальним, а реально простим і дієвим – без зайвих кроків, перевірок чи обмежень для користувача. Дизайн інтерфейсів також має бути нейтральним: кнопки “accept” і “reject” повинні бути рівнозначними, а cookie-банери не можуть блокувати доступ або підштовхувати до згоди. Крім того, важливо не лише впровадити opt-out, а й регулярно перевіряти, що він технічно коректно працює для всіх трекінгових інструментів.
Обидва кейси – про одне й те саме: право користувача відмовитися від передачі своїх даних.
CPPA вже запустило обговорення нових правил щодо “зменшення труднощів” для користувачів при реалізації їхніх прав. Коментарі приймаються до 6 квітня – і це сигнал, що регулювання стане ще жорсткішим.
Висновок простий – регулятор більше не дивиться на “наявність політики” – він дивиться на реальний UX користувача. І якщо користувачу складно відмовитися від передачі даних – це вже проблема бізнесу.