Sephora, California’nın gizlilik yasasını çiğnediği iddialarını çözmek için 1,2 milyon dolar ödemeyi kabul etti.
Bu, ABD devletinin nispeten yeni yasayı kullanarak güvence altına aldığı ilk ödemedir ve tam rızaları olmadan insanlar hakkında bilgi satan şirketlerin önünde bir atış olacaktır.
Anlaşma, Cali Başsavcısı Rob Bonta’nın Sephora ve diğer işletmeleri herhangi birinin Kaliforniya Tüketici Gizliliği Yasası’na (CCPA) aykırı olup olmadığını görmek için araştırdığı bir yıl süren “uygulama taramasını” takip ediyor.
Yasal kartal’a göre, çok uluslu makyaj mağazası, insanlara kendileri hakkında veri sattığını düzgün bir şekilde açıklamadı. Bonta, Sephora’nın ayrıca, devletin gizlilik yasasını ihlal ederek insanların bu bilgilerin satışından vazgeçme isteklerini işleme koymadığını iddia etti. Sephora’ya ayrıca Global Privacy Control (GPC) destekli bir tarayıcı veya uzantı aracılığıyla kişisel verilerinin satılmasını istemediklerini bildiren netizenlerin isteklerini de göz ardı ettiği söylendi.
Mahkeme belgelerine göre Sephora [PDF], reklam ağları ve veri analizi sağlayıcıları dahil olmak üzere üçüncü taraf şirketlere, reklam veya analitik hizmetler karşılığında müşterilerinin çevrimiçi faaliyetlerine erişim hakkı verdi. İddiaya göre bu, söz konusu üçüncü tarafların, örneğin bir MacBook veya Dell kullanıp kullanmadıklarını, satın aldıkları eyeliner markasını ve hatta çevrimiçi alışveriş sepetlerine hangi doğum öncesi vitaminlerini ve ayrıca hangi doğum öncesi vitaminlerini eklediklerini takip ederek netizen profilleri oluşturmalarına izin verdi. kesin konum.
Bonta’ya göre bu, tüketici verilerinin satışını teşkil eder. Davada, “Hem analitik için kişisel bilgilerin ticareti hem de bir reklam seçeneği için kişisel bilgilerin ticareti, CCPA kapsamında satışları oluşturdu” iddiasında bulundu.
Sephora ise aynı fikirde değil.
Bir sözcü, “Sephora, tüketicilerin mahremiyetine saygı duyuyor ve kişisel bilgilerinin Sephora deneyimlerini geliştirmek için nasıl kullanıldığı konusunda şeffaf olmaya çalışıyor” dedi. Kayıt“Sephora, verileri yalnızca Sephora deneyimleri için kullanır.”
Güzellik canavarına göre sorun, CCPA’nın geleneksel anlamda “satışı” tanımlamamasıdır.
Sözcü, “‘Satış’, tüketicilere daha alakalı Sephora ürün önerileri, kişiselleştirilmiş alışveriş deneyimleri ve reklamlar sunmamıza olanak tanıyan çerezler gibi yaygın, endüstri çapında teknoloji uygulamalarını içerir” dedi.
“Tüketiciler, Sephora.com web sitesinin alt kısmındaki ‘CA – Kişisel Bilgilerimi Satma’ bağlantısını tıklayarak veya Global Gizlilik Kontrolünü yayınlayan bir tarayıcı kullanarak bu kişiselleştirilmiş alışveriş deneyiminden çıkma fırsatına sahipler.”
Çıkma, kim çıktı?
Sephora ayrıca, insanların Kasım 2021’den bu yana GPC aracılığıyla da dahil olmak üzere kişisel bilgilerin satışından vazgeçmelerine izin verdiğini iddia etti.
Bu arada devletin soruşturması, Sephora’nın dot-com’unu ziyaret ederken üçüncü taraf reklamcılık ve analitik sağlayıcıları içeren ağ trafiğini izlemek için tarayıcı uzantılarını kullandı ve ardından tüketiciler GPC’yi açtığında bu trafiğin nasıl değiştiğine baktı – aslında Sephora’ya şunu söylüyor: satma bilgilerim. Mahkeme belgesine göre, Sephora’nın sitesi bu sinyali görmezden geldi:
Bonta bu hafta yaptığı açıklamada, “Bugünkü anlaşmanın, Kaliforniya’nın tüketici mahremiyeti yasasına hala uymayan işletmelere güçlü bir mesaj göndermesini umuyorum.” Dedi. “Ofisim izliyor ve seni sorumlu tutacağız.”
1,2 milyon dolarlık bir ücret ödemeye ek olarak, uzlaşma [PDF] ayrıca küresel perakendecinin veri sattığını netleştirmek için çevrimiçi açıklamalarını ve gizlilik politikasını netleştirmesini ve netizenlerin GPC aracılığıyla da dahil olmak üzere bundan vazgeçmeleri için yollar sağlamasını gerektirir.
Sephora ayrıca hizmet sağlayıcı sözleşmelerini CCPA gerekliliklerini karşılayacak şekilde değiştirmeyi ve kişisel bilgilerin satışıyla ilgili olarak başsavcıya raporlar sunmayı kabul etti.
Biz ihbarda bulunduk
Forrester Research analisti Stephanie Liu, “Sephora’ya karşı yaptırımın oldukça büyük iki özelliği var” dedi. Kayıt. “Birincisi, başsavcı veri satışını gerçekten geniş bir şekilde tanımlıyor.”
CCPA kapsamında tüketici bilgilerinin satışının ne olduğu konusundaki tartışmalar, yasanın 2020’de yürürlüğe girmesinden önce bile devam etmekteydi. Bununla birlikte, CCPA’yı genişleten ve yürürlüğe giren California Gizlilik Hakları Yasası’nın (CPRA) Ocak 2023’ten itibaren geçerli olmak üzere, şirketlerin kişilerin kişisel bilgilerini üçüncü taraflarla “paylaşmamasını” da zorunlu kılıyor.
Liu, “AG, Sephora’nın sizin hakkınızda faydalı veriler topladığını ve diğer şirketlerle paylaştığını söylüyor, bu da kitabında bir satış olarak nitelendiriliyor” dedi. “Ve bu gerçekten dikkate değer.”
GCP çekiş kazanacak mı?
Liu’ya göre yerleşimdeki ikinci ilginç veri noktası, GPC’nin dahil edilmesidir.
“Sephora’nın, kullanıcıların Küresel Gizlilik Kontrolü ayarlarını, bilgilerini satmaktan vazgeçme sinyali olarak kabul etmediğini söylüyor ve bu, gizlilik savunucuları için bir kazanç” diye ekledi.
Lui, “Küresel Gizlilik Kontrolü birkaç yıldır bir fikirdi ve hala geniş çapta benimsenmedi – örneğin Google Chrome’da değil” dedi. “Bu, California AG’nin bunu ciddiye aldığını ve zaten bir çıkış şekli olarak geçerli olduğunu düşündüğünü açıkça gösteriyor.”
Ayrıca, yaptırım eylemi, savunucuların ve yasa koyucuların coğrafi konum, arama geçmişi, özel sohbetler ve hatta satın alma işlemleri gibi dijital verilerin nasıl gözetlemek için kullanılabileceğine dair alarmlar vermeleriyle, veri gizliliğinin önemli bir sorun haline geldiği bir zamanda geliyor. insanları yargılayın.
Post-Roe gizlilik etkileri
Bu, Nebraska’lı bir anne ve genç kızı için, bir mahkeme celbi ile görevlendirildikten sonra Meta, daha sonra kızına artık yasadışı bir kürtaj yaptırdığı için ceza davası açmak için kullanılan kadınlar arasındaki özel Facebook sohbetlerini devrettiğinde geçerliydi. ev durumu.
Bonta, eyaletin Sephora’ya karşı açtığı davada Roe sonrası veri gizliliği sorunlarına özellikle dikkat çekiyor:
EFF Kıdemli Yasama Aktivisti Hayley Tsukayama, Kaliforniya’nın yaptırım eylemi ve şirketlerden tüketicilerin verilerinin satışından vazgeçmelerine izin vermelerini istemesi, eyalet tüketicileri için – “ve hepimiz için” olumlu bir harekettir. Kayıt.
Tsukayama, “Verilerle ilgili tüketici seçimlerine saygı duymak, opak veri ekosisteminde bilgi akışı göz önüne alındığında her zamankinden daha önemli” dedi. “Birçok bilgi – hangi kozmetikleri satın aldığımız bile – sağlığımızla ilgili hassas şeyleri ortaya çıkarabilir.”
“Ayrıca başsavcının, kendi sözleriyle, CCPA’nın diğer potansiyel ihlalcilerini inceleyen bir ‘uygulama taraması’ yaptığını duymaktan da memnunuz” diye devam etti. “CCPA için yaptırımların çoğu başsavcının elinde ve bu tür ihlalleri güçlü bir şekilde takip etmek önemlidir.” ®