Egzekwowanie CCPA w akcji: Todd Snyder zmuszony do zmiany praktyk ochrony prywatności i zapłacenia 345 178 USD grzywny
- Katarzyna Celińska
- 27 maj 2025
- 1 minut(y) czytania
Kalifornijska Agencja Ochrony Prywatności wydała nakaz egzekwowania prawa wobec krajowego sprzedawcy detalicznego Todd Snyder, Inc. nakładający grzywnę w wysokości 345 178 USD i wymagający znacznych zmian w praktykach ochrony prywatności w następstwie naruszenia CCPA.
Kluczowe naruszenia:
⚠️ Failed to Process Consumer Opt-Out Requests Properly
Przez ponad 40 dni portal prywatności sprzedawcy detalicznego nie przetwarzał wniosków o rezygnację, naruszając prawa konsumentów do ograniczenia sprzedaży lub udostępniania ich danych osobowych.
⚠️ Zbierał nadmierne dane podczas składania wniosków o ochronę prywatności
Firma żądała więcej danych osobowych niż było to konieczne od konsumentów składających wnioski o rezygnację lub usunięcie.
⚠️ Niewłaściwe praktyki weryfikacji tożsamości
Todd Snyder wymagał od konsumentów zweryfikowania ich tożsamości, zanim mogli zrezygnować ze sprzedaży lub udostępniania danych - praktyka oznaczona przez CPPA jako bariera dla praw konsumentów.
CPPA podkreśliła, że firmy są w pełni odpowiedzialne za zapewnienie prawidłowego działania platform zarządzania prywatnością i nie mogą zlecać odpowiedzialności na zewnątrz.
Grzywna ta jest podręcznikowym przykładem tego, jak niewdrożenie nawet podstawowych administracyjnych kontroli prywatności zgodnie z CCPA może skutkować działaniami regulacyjnymi. Chociaż wymagania CCPA różnią się od RODO i innych globalnych przepisów dotyczących prywatności, istnieją wyraźne podobieństwa w zakresie obowiązków administracyjnych.
Firmy przetwarzające dane kalifornijskich konsumentów zgodnie z CCPA i CPRA muszą zrozumieć pełne spektrum obowiązków w zakresie zgodności, progów i ryzyka.
Kto musi przestrzegać przepisów:
✅ Firmy o rocznych globalnych przychodach przekraczających 25 milionów dolarów.
✅ Firmy, które kupują, sprzedają lub udostępniają dane osobowe ponad 100 000 Kalifornijczyków rocznie.
✅ Firmy uzyskujące ponad 50% przychodów ze sprzedaży lub udostępniania danych osobowych.
Autor: Sebastian Burgemejster
Komentarze