Ford ukarany grzywną za „niepotrzebne utrudnienia” związane z możliwością rezygnacji

Często rozmawiamy o egzekwowaniu przepisów dotyczących prywatności w kontekście naruszeń bezpieczeństwa danych. Coraz więcej przypadków wskazuje jednak na coś innego: organy regulacyjne zwracają również uwagę na zjawisko „utrudnień wynikających z samego projektu”, w ramach którego korzystanie z praw do prywatności staje się niepotrzebnie trudne.

Najnowszym przykładem jest decyzja organu Cal Privacy dotycząca firmy Ford Motor Company. Firma Ford zgodziła się zmienić swoje praktyki i zapłacić grzywnę w wysokości 375 703 dolarów po tym, jak CalPrivacy stwierdziła, że Ford wprowadził niepotrzebne utrudnienia do procesu rezygnacji z przetwarzania danych zgodnie z ustawą CCPA.

Link

Foto: Freepik

Zgodnie z decyzją CalPrivacy firma Ford wymagała od konsumentów potwierdzenia tożsamości (poprzez weryfikację adresu e-mail) przed umożliwieniem im rezygnacji ze sprzedaży i udostępniania danych osobowych zebranych za pośrednictwem serwisów internetowych Forda oraz usług związanych z pojazdami podłączonymi do sieci.

Problem nie polegał jedynie na „dodatkowych krokach”. W decyzji podkreślono, że firma Ford nie rozpatrywała wniosków o rezygnację, dopóki konsumenci nie zakończyli etapu weryfikacji adresu e-mail, co w praktyce stanowiło przeszkodę w skorzystaniu z prawa do rezygnacji.

Przesłanie CalPrivacy: „Rezygnacja powinna być łatwa”.

Agencja porównuje utrudnienia związane z rezygnacją do utrudnień przy finalizacji transakcji: jeśli dodasz zbędne kroki, mniej osób dokończy tę czynność.

Ugoda nakłada na firmę Ford następujące obowiązki:

➡️ zapewnienie łatwych metod rezygnacji z gromadzenia danych, wymagających minimalnej liczby czynności, oraz

➡️ przeprowadzenie audytu technologii śledzenia na swojej stronie internetowej w celu zapewnienia zgodności z sygnałami preferencji dotyczących rezygnacji, w tym z GPC.

CalPrivacy zaznacza również, że niniejsze postępowanie wynikało z szeroko zakrojonego przeglądu praktyk w zakresie ochrony prywatności w ekosystemie pojazdów połączonych z internetem, podobnie jak wcześniejsze działania egzekucyjne w tym sektorze.

Sprawa ta jest interesująca, ponieważ odzwierciedla to, co bardzo często ma miejsce w praktyce korporacyjnej: rezygnacja z usług i korzystanie z praw do prywatności może napotykać wiele trudności, czasami potęgowanych przez firmy w celu dalszego czerpania zysków z danych osobowych.

W konkretnym przypadku firmy Ford dodatkowa weryfikacja może nie być najbardziej kontrowersyjnym przykładem. Moim zdaniem dodatkowa weryfikacja może czasami być uzasadniona jako praktyka bezpieczeństwa mająca na celu prawidłową identyfikację wnioskodawcy.

Istnieje jednak wyraźna granica, której nie należy przekraczać: praktyki powodujące nadmierne utrudnienia, takie jak specjalne portale, ukryte zakładki i niepotrzebna wieloetapowa weryfikacja, powinny być publicznie krytykowane i aktywnie zwalczane przez organy nadzorcze.

Prawa do prywatności są coraz częściej egzekwowane na poziomie doświadczenia użytkownika (UX) i wdrożenia technicznego, a nie tylko w tekście prawnym.

Autor: Sebastian Burgemejster