Kalifornijska Agencja Ochrony Prywatności kontynuuje egzekwowanie przepisów wobec brokerów danych, zawierając ugodę z Background Alert, Inc. za niezarejestrowanie się zgodnie z kalifornijską ustawą o usuwaniu danych. Sprawa ta podkreśla rosnącą kontrolę nad brokerami danych i zmieniającym się krajobrazem regulacyjnym w zakresie ochrony danych konsumentów.
Background Alert, Inc., broker danych z siedzibą w Kalifornii, nie zarejestrował się i nie uiścił rocznej opłaty zgodnie z wymogami ustawy o usuwaniu danych. Firma gromadziła i sprzedawała profile konsumentów, agregując miliardy publicznych rejestrów, wyciągając wnioski na temat osób i generując szczegółowe profile osobiste.
Wydział ds. egzekwowania przepisów CPPA podjął działania po tym, jak Background Alert nie dotrzymał terminu rejestracji, co doprowadziło do ugody, która wymaga od firmy zamknięcia działalności do 2028 r. lub nałożenia grzywny w wysokości 50 000 USD.
Broker danych to firma, która kupuje, gromadzi i sprzedaje dane konsumentów, często z rejestrów publicznych, aktywności online i źródeł zewnętrznych. W przeciwieństwie do firm, które zbierają dane bezpośrednio od konsumentów (np. platform mediów społecznościowych lub witryn handlu elektronicznego), brokerzy danych uzyskują informacje pośrednio, a następnie sprzedają je lub udostępniają innym firmom, reklamodawcom lub agencjom rządowym.
Zgodnie z kalifornijską ustawą Delete Act (SB 362) i CCPA (California Consumer Privacy Act), brokerzy danych muszą:
- Rejestrować się corocznie w CPPA i uiszczać obowiązkową opłatę w celu wsparcia działań związanych z egzekwowaniem prawa.
- Zapewniać przejrzystość w zakresie rodzajów gromadzonych danych, wykorzystywanych źródeł i stron trzecich, którym sprzedają dane.
- Przestrzegać praw konsumentów wynikających z CCPA, w tym dostępu do danych, usuwania danych i żądań rezygnacji.
- Zgodność z platformą Delete Request and Opt-Out Platform, uruchomioną w 2026 r., która umożliwia konsumentom złożenie pojedynczego wniosku o usunięcie danych, który ma zastosowanie do wszystkich zarejestrowanych brokerów danych.
Branża brokerów danych od dawna działa w szarej strefie, z ogromnymi ilościami personaldata są gromadzone i sprzedawane z ograniczoną przejrzystością. The DeleteAct i wysiłki w zakresie egzekwowania CCPA naciskają na odpowiedzialność, zapewniając konsumentom większą kontrolę nad ich danymi osobowymi.
Z mojej perspektywy firmy przetwarzające dane konsumentów - zwłaszcza w sektorach technologii reklamowych, finansów i HR - muszą uważnie monitorować zmiany regulacyjne i zapewniać zgodność z ewoluującymi przepisami dotyczącymi prywatności. Jak zawsze, utrzymanie prywatności, bezpieczeństwa i zgodności z przepisami zintegrowanymi z operacjami biznesowymi będzie miało kluczowe znaczenie, ponieważ coraz więcej stanów i krajów wprowadza podobne przepisy.
California Data Broker Crackdown
The California Privacy Protection Agency continues its enforcement sweep against data brokers, securing a settlement with Background Alert, Inc. for failing to register under California’s Delete Act. This case highlights the growing scrutiny on data brokers and the evolving regulatory landscape for consumer data protection.
Background Alert, Inc., a California-based data broker, was found to have failed to register and pay an annual fee as required by the Delete Act. The company collected and sold consumer profiles by aggregating billions of public records, drawing inferencesabout individuals, and generating detailed personal profiles.
The CPPA’s Enforcement Division took action after Background Alert missed the registration deadline, leading to a settlement that requires the company to shut down operations until 2028 or face a $50,000 fine.
A data broker is a business that buys, collects, and sells consumer data, often from public records, online activities, and third-party sources. Unlike companies that collect data directly from consumers (e.g., social media platforms or e-commerce sites), data brokers obtain information indirectly and then sell or share it with other businesses, advertisers, or government agencies.
Under California’s Delete Act (SB 362) and CCPA (California Consumer Privacy Act), data brokers must:
- Register annually with the CPPA and pay a mandatory fee to support enforcement efforts.
- Provide transparency about the types of data collected, sources used, and third parties they sell data to.
- Honor consumer rights under CCPA, including data access, deletion, and opt-out requests.
- Comply with Delete Request and Opt-Out Platform, launching in 2026, which allows consumers to submit a single deletion request that applies to all registered data brokers.
The data broker industry has long operated in a gray area, with massive amounts of personaldata being collected and traded with limited transparency. The DeleteAct and CCPA enforcement efforts are pushing for accountability, ensuring consumers have more control over their personal data.
From my perspective, businesses handling consumer data - especially in the ad-tech, financial, and HR sectors - must closely monitor regulatory changes and ensure they comply with evolving privacy laws. As always, keeping privacy, security, and compliance integrated into business operations will be critical as more states and countries introduce similar regulations.
Autor: Sebastian Burgemejster
Comments