Kalifornia rozprawia się z brokerami danych

Kalifornijska Agencja Ochrony Prywatności nałożyła na firmę Accurate Append, Inc. karę w wysokości 55 400 dolarów za nieprzestrzeganie obowiązku rejestracji jako broker danych zgodnie z ustawą Delete Act. Kara ta podkreśla dążenie Kalifornii do uregulowania nieprzejrzystej branży brokerów danych, która nadal gromadzi, handluje i monetyzuje dane osobowe na dużą skalę.

Badanie UC Irvine z 2025 r. pt. „Prywatność konsumentów a ukryta gospodarka danymi” rzuca światło na systemowe zagrożenia dla prywatności związane z brokerami danych:

✅ Skala branży: W Kalifornii zarejestrowanych jest ponad 540 brokerów danych, którzy przetwarzają ogromne ilości danych konsumenckich, często bez bezpośredniej interakcji z osobami, których te dane dotyczą.

✅ Powszechne nieprzestrzeganie przepisów:

43% nie odpowiedziało na wnioski o dostęp do danych lub ich usunięcie zgodnie z CCPA.

37% zażądało nadmiernej ilości danych osobowych (np. kopii dokumentów tożsamości, numerów ubezpieczenia społecznego) w celu weryfikacji tożsamości, co paradoksalnie stworzyło nowe zagrożenia dla prywatności.

30% stosowało przestarzałe mechanizmy rezygnacji lub nie zapewniło linków rezygnacji zgodnych z CCPA.

✅ Nieprzejrzyste praktyki: Wielu brokerów nie zapewniało przejrzystych informacji, utrudniając konsumentom zrozumienie, w jaki sposób ich dane są gromadzone, udostępniane lub sprzedawane.

✅ Zagrożenia dla bezpieczeństwa: Badanie wykazało wiele naruszeń związanych z brokerami danych, które ujawniły poufne dane, takie jak numery ubezpieczenia społecznego i dokumentacja finansowa.

✅ Luki między jurysdykcjami: Nawet zarejestrowani brokerzy często działają w wielu stanach i jurysdykcjach, co komplikuje egzekwowanie przepisów i powoduje luki w ochronie praw konsumentów.

Te ustalenia potwierdzają, dlaczego egzekwowanie przepisów CPPA nabiera tempa: ostatnie działania obejmują Todd Snyder (345 178 USD), Honda (632 500 USD) oraz zamknięcie nieprzestrzegających przepisów brokerów, takich jak Background Alert.

✅ Co nas czeka

Ustawa Delete Act nakłada następujące obowiązki:

- Wszyscy brokerzy danych muszą rejestrować się co roku i uiszczać opłaty na rzecz kalifornijskiego rejestru brokerów danych.

- Platforma Delete Request and Opt-Out Platform (DROP), uruchomiona w 2026 r., umożliwi konsumentom złożenie jednego wniosku o usunięcie danych do wszystkich zarejestrowanych brokerów, usprawniając egzekwowanie praw i zwiększając stawkę za nieprzestrzeganie przepisów.

Kierunek działań Kalifornii w zakresie egzekwowania przepisów jest jasny: kary są coraz wyższe, nadzór nad przestrzeganiem przepisów jest coraz szerszy, a narzędzia takie jak DROP sprawią, że egzekwowanie przepisów będzie jeszcze bardziej rygorystyczne. W porównaniu z karami nakładanymi w Europie na podstawie RODO, kary w Stanach Zjednoczonych pozostają niewielkie, ale stale rosną. Badanie przeprowadzone przez UC Irvine pokazuje, że wielu brokerów nie jest przygotowanych na aktywny nadzór, a organy regulacyjne zbliżają się do nich.

✅ Co organizacje powinny zrobić teraz:

☑️ Przeprowadzić audyt umów brokerów danych pod kątem zgodności z przepisami i zabezpieczeń.

☑️ Przygotować się do integracji z platformą DROP — zapewnić procesy umożliwiające obsługę wniosków o usunięcie danych na dużą skalę.

☑️ Monitorować wzorce egzekwowania przepisów CPPA i dostosować się do obowiązków wynikających z CCPA, CPRA i Delete Act.

☑️ Stworzyć programy nadzoru dostawców dla podmiotów zewnętrznych przetwarzających dane i przeprowadzać okresowe przeglądy zgodności.

Badanie UC Irvine

Autor: Sebastian Burgemejster