משרד התובע הכללי של קליפורניה פרסם פרטים אודות שורה ארוכה של הליכי אכיפה שביצע בשנה האחרונה בעניין חוק פרטיות הצרכנים במדינה (California Consumer Privacy Act - CCPA). סקירת ההליכים מגלה שפעולות האכיפה נעשים כלפי חברות במגוון ענפים ושווקים, ביניהם שיווק הדיגיטלי, רשתות חברתיות, רשתות מזון, רשתות ביגוד, תקשורת ועוד. חברות שזוהו כחשודות בהפרה קיבלו על כך התראה ונדרשו לתקן את ההפרה תוך 30 ימים כמצוות החוק.
משרד התובע הכללי נקט במהלך השנה בין היתר בהליכי האכיפה הבאים:
- רשת חברתית שנחשדה בהפרה נדרשה לתקן את החוזים שלה עם ספקי שירותים כך שיאסרו על שמירה, שימוש או גילוי של מידע אישי לכל מטרה שאינה אספקת השירותים שהוגדרו בחוזה, כנדרש לפי ה-CCPA.
- פלטפורמת היכרויות נחשדה בהפרה לאחר שנודע שהיא מוכרת מידע אישי של משתמשיה ללא מתן אפשרות לסרב למכירה. הפלטפורמה נדרשה להוסיף לינק "אל תמכרו את המידע האישי שלי" לעמוד הבית שלה ולעדכן את מדיניות הפרטיות שלה בהתאם. הרגולטור קבע כי העובדה שהמשתמש נדרש ללחוץ על כפתור "אפשר שיתוף" בעת יצירת החשבון לא מהווה הסכמה מספקת למכירת המידע.
- רשת חברתית נחשדה בהפרה לאחר שלא השיבה לבקשות צרכנים לעיון או למחיקת המידע האישי שלהם. היא נדרשה להטמיע מערכת ייעודית לתגובה מהירה לבקשות עתידיות.
- חברת גיימינג נחשדה בהפרה משום שאפליקציית המשחק שלה מעבירה לצד שלישי מידע אישי אודות משתמשים – כולל קטינים בגילאי 13 עד 15 – מבלי להציב מנגנון opt-out למבוגרים או opt-in לקטינים. בתגובה לטענות הרגולטור, החברה הסירה את תוכנת הצד השלישי מהאפליקציה. החברה גם נדרשה להוסיף מנגנוני הגנה למידע של קטינים.
- רשת חנויות מכולת נדרשה להוסיף למדיניות הפרטיות שלה הבהרה לגבי אופן הגשת בקשות צרכנים באמצעות באי כוח מורשים, קרי אנשים או עסקים שמוסמכים להגיש בקשות לעיון או למחיקת מידע בשם הצרכן.
- חברת מדיה דיגיטלית נחשדה בהפרה משום שדרשה מצרכנים להגיש טפסים רבים על מנת לבטל הסכמתם למכירת המידע שלהם. היא נדרשה לתקן את תהליך ביטול ההסכמה ולהוסיף את הלינק "אל תמכרו את המידע האישי שלי" לכל אתריה.
- חברת תיווך נתונים נחשדה בהפרה לאחר שהתגלה כי היא דורשת מצרכנים להזדהות באמצעי זיהוי ממשלתי (הכולל, בין היתר, כתובת מגורים) לשם יצירת חשבון להגשת בקשות למימוש זכויות לפי ה-CCPA, וכל זאת ללא אפשרות ממשית לוותר על הסכמתם למכירת המידע. הלינק "אל תמכרו את המידע האישי שלי" שפרסמה באתר שלה פשוט לא עבד. החברה נדרשה הן לתקן את הלינק והן לבטל את הדרישה ליצירת חשבון לשם הגשת בקשות.