Запрет темных паттернов и не только. Что нужно знать о поправках к CCPA

Поправки к Калифорнийскому закону о конфиденциальности потребителей (CCPA) ввели прямые ограничения на использование темных паттернов, которые обманным путем мешают потребителям отказаться от продажи персональных данных. Изменения вступили в силу с 15 марта 2021 г. и уже работают. Разбираемся, что это значит для разработчиков.

Темные паттерны – это особенности интерфейса сайта или приложения, которые вынуждает пользователя сделать то, что он обычно не стал бы делать. Например, подписаться на рассылку или согласиться с обработкой персональных данных. Темные паттерны используются намеренно, чтобы «помочь» потребителю ошибиться и выбрать то, что выгодно компании.

Они существуют не только в онлайне. Это и мелкий шрифт в договоре, и запутанные условия (например, двойные отрицания), и скрытое навязывание дополнительных услуг.

Пользователи уже давно борются с темными паттернами. Например, в 2015 году LinkedIn заключил мировое соглашение после того, как группа пользователей подала на него коллективный иск. Социальная сеть выплатила компенсацию 13 млн. долларов.

Основная претензия – интерфейс LinkedIn был сделан так, что при регистрации пользователь давал социальной сети доступ к своей адресной книге электронной почты Google. После этого LinkedIn рассылал приглашения всем контактам якобы от имени пользователя. Если получатели не реагировали, то LinkedIn отправлял повторные приглашения. Такими ухищрениями LinkedIn расширял свою сеть пользователей.

Примеры «темного» интерфейса LinkedIn

Поправки в Калифорнийский закон напрямую запретили темные паттерны, которые мешают потребителю отказаться от продажи его персональных данных. Под ограничение попали наиболее вопиющие ухищрения компаний.

Нельзя:

Поправки в CCPA не только ограничили ряд темных паттернов, но и добавили новые требования и положения.

Единая иконка для отказа от продажи персональных данных

CCPA предложил бизнесу использовать единую иконку для размещения на сайте или в приложении. Это не обязательное требование. Компании могут разместить иконку в дополнение к другим обязательным элементам: уведомлению о праве на отказ от продажи персональных данных и ссылке «Не продавать мои персональные данные». Иконка должна быть такого же размера, что и другие иконки на сайте.

Дополнение Политики конфиденциальности о пользователях до 15 лет

Если компания собирает и продает данные детей до 15 лет (включительно), то она должна описать в своей Политике конфиденциальности следующее:

Подтверждение полномочий представителя

Согласно CCPA, потребитель мог разрешить своему представителю направить запрос в компанию, чтобы получить его персональные данные или потребовать их удаления. Раньше представителю для подтверждения полномочий достаточно было показать доверенность.

Теперь правила ужесточились. Оператор персональных данных может потребовать, чтобы пользователь, назначивший представителя:

Уведомление «офлайн»-потребителей о праве на отказ от продажи данных

Компания, которая собирает данные в офлайн-формате, а затем продает их (например, супермаркет), должна предоставить потребителю офлайн-уведомление о том, что он имеет право отказаться от продажи данных. Например, дать ознакомиться с бумажным уведомлением или озвучить его устно, если данные передаются по телефону. Требования к офлайн-уведомлению такие же, как и к онлайн (простое, понятное, явное, четкое, доступное для потребителей с ограниченными возможностями).

Обновление CCPA затрагивают любую коммерческую компанию, которая ведет бизнес в Калифорнии, собирает персональные данные жителей Калифорнии и:

Местоположение или страна регистрации не важны.

Таким образом, CCPA применяется к любой компании, в игры которой заходит больше 50 000 жителей Калифорнии. Но компания может попасть под действие и по другим критериям.

Генеральный прокурор штата Калифорния может подать иск в суд. Если суд установит нарушение, то компания заплатит штраф $2500 за каждое нарушение или $7500 за каждое умышленное нарушение. Также он может выдать предписание об устранении нарушения.

При этом одним нарушением может считаться нарушение прав каждого потребителя, которого оно коснулось. Поэтому размер штрафа будет умножен на количество потребителей, которые были затронуты. В результате размер штрафа может существенно вырасти.

Генпрокурор штата сможет обратиться в суд, только если компания получила уведомление о нарушении и не устранила его в течение 30 дней. Поэтому в случае нарушения у компании будет время, чтобы привести все в порядок и не получить штраф. Но лучше всего задуматься об этом заранее.

Если у вас появились вопросы по CCPA, GDPR и другим законам, регулирующим обработку персональных данных, мы будем рады ответить!

Сергей Ковальков, cтарший юрист Versus.legal

Обратите внимание и на другие наши публикации: юридические особенности разработки порно-игр, нюансы использования образов знаменитостей в играх, гайд по Privacy Policy, способы получения возрастных рейтингов, а также материал об EULA.

Также совместно с редакцией DTF мы запустили специальный подсайт «Право и игры». В нем разработчики игр могут опубликовать любой юридический вопрос, а мы на него ответим в комментариях.