MakaleKaliforniya Tüketici Gizliliği Yasası İçin Eksiksiz Bir Kılavuz

California Tüketici Gizliliği Yasası'nın, sakinlerin verilerini yöneten işletmeleri nasıl etkilediğini ve Yasa'nın düzenlemelerini ihlal etme riskini azaltmak için neler yapabileceğinizi öğrenin.

*Bu yazı 2018'de yazılmıştır. CCPA 1 Ocak 2020'de yürürlüğe girmiştir.

2018'deki büyük GDPR paniğinden bu yana birkaç ay geçti. Hepimizin uyumluluğu tamamlamak, nefesimizi tutmak ve geleceğe bakmak için zamanımız oldu (ancak henüz GDPR uyumluluğunu ele almadıysanız veya GDPR'nin ne olduğunu bilmiyorsanız) , ABD Tabanlı Web Siteleri için GDPR hakkındaki makaleme bakın). Peki, ABD merkezli kuruluşlar için kişisel gizlilik düzenlemeleri için sırada ne var?

23 Eylül 2018'de yasayla imzalanan Kaliforniya Tüketici Gizliliği Yasası'dır (CCPA). Bu sefer GDPR ile gördüğümüz histeriyi hepimiz önleyebilmeliyiz. İnşallah, yasa 1 Ocak 2020'de yürürlüğe girmeden çok önce hepimiz araştırmamızı ve gerekli özeni gösteriyoruz.

Devam etmeden önce, bu makalenin orta ve büyük ölçekli işletmeler arası (B2B) web sitelerinin sahiplerini hedeflediğini lütfen unutmayın. Kuruluşunuzun halka açık mı yoksa özel mi olduğu, kuruluşunuzun Kaliforniya'da olup olmadığı önemsizdir.

Bu ve benzeri konulardaki çoğu blog yazısını son derece şüpheli buluyorum, bu nedenle bu makale için araştırma yalnızca yasa metnine bağlı. Bilgilerinizi nereden edindiğinize bakılmaksızın, konuda uzmanlaşmış bir avukatla doğrulayın. Şirketiniz temel işinin bir parçası olarak kişisel bilgilerle ilgileniyorsa, bu makale sizin için değildir.

İşte anlatacaklarım:

• Kaliforniya Tüketici Gizliliği Yasası nedir?
• CCPA tarafından kimler korunmaktadır?
• Tam olarak ne korunuyor?
• Hangi kuruluşlar uymak zorundadır?
• Tüketicinin hakları nelerdir?
• CCPA uyumluluğunu sağlamak için adımlar nelerdir?
• Uymamanın cezaları nelerdir?

Hadi dalalım!

Kaliforniya Tüketici Gizliliği Yasası nedir?

1972'de California seçmenleri, California Anayasasını, mahremiyet hakkını tüm insanların “devredilemez” hakları arasına dahil edecek şekilde değiştirdi. Değişiklik, her Kaliforniyalı için yasal ve uygulanabilir bir gizlilik hakkı sağladı. Bu gizlilik hakkının temeli, bireylerin kişisel bilgilerinin satışı da dahil olmak üzere kullanımını kontrol etme yeteneğidir – AB 375, Bölüm 2(a)

Bu değişikliği desteklemek için, bir dizi Kaliforniya kanunu halihazırda kabul edilmiştir: Çevrimiçi Gizliliği Koruma Yasası, Dijital Dünya Yasasında Kaliforniya Küçükleri için Gizlilik Hakları ve Shine the Light.

CCPA, sakinlerin haklarını daha fazla korumak için bunlara dayanan yeni bir yasadır. Önerilen bir oylama girişimi olarak başladı, ancak destekçileri 28 Haziran 2018'den önce yeni bir yasanın çıkarılması şartıyla geri çekmeyi kabul etti.

Oy pusulasında ne olacağını kesinleştirmek için son tarih buydu. Bunu karşılamak için, kusurlu bir yasa tasarısı (Meclis Yasası 375), daha önce çekiş kazanamamasından sonra yeniden dirildi. Aceleyle geçti. Oy pusulası girişimi ve AB 375, oylama girişimi ve sonuçta ortaya çıkan yasanın çok farklı olduğu kanıtlansa da, her ikisi de Kaliforniya Tüketici Gizliliği Yasası olarak anılır.

California Meclisi üyeleri, bir yasanın zamanında kabul edilmemesi ve inisiyatifin oy pusulasına girmesi durumunda, seçmenlerin işletmelerin uyması imkansız olmasa da zor olacak bir yasayı geçireceğinden korktular.

Daha sonra 2018'de, California Eyalet Senatosu'ndan (Senato Bill 1121) değiştirilmiş bir versiyon geçti. Ancak yasa hala mükemmel değil ve daha fazla değişiklik yapılması muhtemel görünüyor.

Kanunun detaylarına girmeden önce bazı kısımların değişebileceğini kabul etmeliyiz. Belki de yasanın kendisi asla uygulanmayabilir.

Şu anda, herhangi bir eyalet veri gizliliği yasasını geçersiz kılacak bir federal veri gizliliği yasası oluşturmaya yönelik girişimler bulunmaktadır. Federal yasa koyucular, Kaliforniya yasasının ya aşırıya kaçtığını ya da yeterince ileri gitmediğini düşünebilir ve sonra federal bir yasayı aceleye getirebilir... California Eyalet Meclisi tarafından alınan eylemi yansıtan bir hareket.

Eyalet ve federal yasa koyucuların seçmen odaklı girişimlere ve bir dizi bireysel eyalet yasasına karşı temkinli olmaları mantıklıdır. İşletmeler, pratik olmayan teknik direktifler veya 50 farklı eyaletin yasalarına uymanın ezici yükü ile yüklenebilir.

Bir web geliştiricisi olarak bu iki senaryodan da korkuyorum. Ancak bireysel bir tüketici olarak California kanunu beni hayal kırıklığına uğrattı. Kişisel, tanımlanabilir verileri korumak için yeterince ileri gitmez.

Ne olursa olsun, önümüzdeki birkaç yıl oldukça kaotik olacak, ama şu anda durduğumuz yer burası...

CCPA tarafından kimler korunmaktadır?

CCPA, Kaliforniya'da yaşayan tüm kişiler için geçerlidir. Yasanın metni şöyle:

Tüketici, herhangi bir benzersiz tanımlayıcı da dahil olmak üzere, 1 Eylül 2017'de okunduğu şekliyle, Kaliforniya Düzenlemeler Yasası'nın Başlık 18'in 17014. – AB 375, Bölüm 3, 1798.140

"Doğal bir kişi" basitçe bireysel bir insan olarak düşünülebilir. Bir "tüzel kişi", aksine, sadece bir tüzel kişilik olabilir. Yerleşik tanımı şu şekildedir:

Kanunda tanımlandığı şekliyle "mukim" terimi, (1) geçici veya geçici bir amaç dışında Devlette bulunan her bireyi ve (2) Devlette ikamet eden ve geçici olarak Devlet dışında bulunan her bireyi kapsar. geçici veya geçici bir amaç. Diğer tüm bireyler yerleşik değildir. – California Düzenlemeler Kanunu, Başlık 18, Bölüm 17014

Kuruluşunuzdaki akıllı bir teknoloji uzmanı, Kaliforniya'dakilere farklı bir deneyim sunarak kullanıcıları eyalete göre filtrelemeyi önerebilir. Ancak bu yaklaşımda üç kusur var.

İlk olarak, California sakinleri, o sırada eyalette olup olmadıklarına bakılmaksızın korunur. İkincisi, bir kullanıcının konumunu belirlemek için kullandığımız araçlar kusurludur. Üçüncüsü, yalnızca Kaliforniya'daki kullanıcılar için ayrı bir web sitesi deneyimi sürdürmek ek bir şey olacaktır, gereksiz sorumluluk.

Yasa metni boyunca (başlık dahil) "Tüketiciler" kelimesinin Kaliforniya'da ikamet eden tüm gerçek kişileri ifade etmek için kullanıldığını unutmayın. Garip bir seçim çünkü bireylerin kanunla korunmak için mal veya hizmet satın almaları gerekmiyor.

Ne korunuyor?

CCPA, California sakinlerinin kişisel bilgilerini korur. Kişisel bilgiler, bir birey veya hane ile doğrudan veya dolaylı olarak ilişkilendirilebilecek bilgilerdir.

Örneğin, Çerez veya IP adresi aracılığıyla anonim bir kullanıcı hakkında veri toplamanın ve ardından bu verileri daha sonraki bir tarihte bir kişiyle ilişkilendirmenin tamamen mümkün olduğunu unutmayın. Bu, verilerin bir kişiyle "ilişkilendirilebileceği" anlamına gelir.

Dolayısıyla, CCPA işiniz için geçerliyse, bu koleksiyonu veriler toplandığında kişiye ifşa etmelisiniz - kişi henüz tanımlanmasa veya asla belirlenmeyecek olsa bile. Kişiyi tespit etmek mümkün olduğu için uymanız gerektiği anlamına gelir. Kişisel bilgiler şunları içerir, ancak bunlarla sınırlı değildir:

(A) Gerçek ad, takma ad, posta adresi, benzersiz kişisel tanımlayıcı, çevrimiçi tanımlayıcı İnternet Protokolü adresi, e-posta adresi, hesap adı, sosyal güvenlik numarası, ehliyet numarası, pasaport numarası veya diğer benzer tanımlayıcılar gibi tanımlayıcılar.

(B) Bölüm 1798.80'in (e) alt bölümünde açıklanan herhangi bir kişisel bilgi kategorisi.

(C) Kaliforniya veya federal yasalar kapsamında korunan sınıflandırmaların özellikleri.

(D) Kişisel mülkiyet, satın alınan, elde edilen veya düşünülen ürün veya hizmetler veya diğer satın alma veya tüketim geçmişleri veya eğilimleri dahil olmak üzere ticari bilgiler.

(E) Biyometrik bilgiler.

(F) Göz atma geçmişi, arama geçmişi ve bir tüketicinin bir İnternet Web sitesi, uygulaması veya reklamıyla etkileşimine ilişkin bilgiler dahil ancak bunlarla sınırlı olmamak üzere İnternet veya diğer elektronik ağ etkinliği bilgileri.

(G) Coğrafi konum verileri.

(H) Ses, elektronik, görsel, termal, koku veya benzeri bilgiler.

(I) Mesleki veya istihdamla ilgili bilgiler.

(J) Aile Eğitim Hakları ve Mahremiyeti Yasası'nda (20 USC bölüm 1232g, 34 CFR Bölüm 99) tanımlandığı gibi, kamuya açık olmayan kişisel tanımlayıcı bilgiler olarak tanımlanan eğitim bilgileri.

(K) Tüketicinin tercihlerini, özelliklerini, psikolojik eğilimlerini, tercihlerini, eğilimlerini, davranışlarını, tutumlarını, zekasını, yeteneklerini ve yeteneklerini yansıtan bir tüketici hakkında bir profil oluşturmak için bu alt bölümde tanımlanan herhangi bir bilgiden çıkarılan çıkarımlar.

– AB 375, Bölüm 3, 1798.140

Hangi kuruluşlar uymak zorundadır?

Kuruluşunuz California Eyaletinde iş yapmıyorsa, ortadasınız. Ve web sitenize California içinden göz atan biri, eyalette iş yapma niyetini göstermez. Ancak şirketiniz Kaliforniya'da iş yapıyorsa kendinize birkaç soru sormalısınız:

1. Kuruluşunuzun 25 milyon doları aşan yıllık brüt geliri var mı? (Rakamın Tüketici Fiyat Endeksi ile uyumlu olduğunu unutmayın).
2. Kuruluşunuz her yıl 50.000 veya daha fazla tüketicinin, hanenin veya cihazın kişisel bilgilerini ele alıyor mu?
3. Kuruluşunuz, yıllık gelirinin yüzde 50'sini veya daha fazlasını tüketicilerin kişisel bilgilerinin satışından mı elde ediyor?

Bu üç sorudan herhangi birine evet yanıtı verebiliyorsanız, kuruluşunuz buna uymalıdır. Kuruluşunuz tüm bu eşiklerin altındaysa ancak bunlardan herhangi birini aşan daha büyük bir kuruluşa (%50'den fazla kontrole sahip) aitse, yine kuruluşunuzun buna uyması gerekir.

Tüketicinin hakları nelerdir?

Bu yasa kapsamında Kaliforniya sakinlerine tanınan haklar, GDPR kapsamında AB vatandaşlarına tanınan haklara pek çok benzerlik taşımaktadır. GDPR gibi, işletmeler de kullanıcılara ne zaman veri topladıklarını ve bilgi toplanmadan önce bununla tam olarak ne yapacaklarını bildirmelidir:

Bir tüketicinin kişisel bilgilerini toplayan bir işletme, toplama noktasında veya öncesinde, toplanacak kişisel bilgi kategorileri ve kişisel bilgi kategorilerinin hangi amaçlarla kullanılacağı konusunda tüketicileri bilgilendirecektir – AB 375, Bölüm 3, 1798.100(b)

Ve bir işletmenin topladığı tüm verilerini talep etme hakkına sahiptirler:

Bir tüketici, bir tüketicinin kişisel bilgilerini toplayan bir işletmenin, bu tüketiciye, işletmenin topladığı kişisel bilgilerin kategorilerini ve belirli parçalarını ifşa etmesini talep etme hakkına sahip olacaktır – AB 375, Bölüm 3, 1798.100(a)

Buna dayanarak tüketiciler, bilgilerin toplandığı kaynakların kategorilerini, veri toplamanın iş amacını ve bilgilerin paylaşıldığı 3. tarafların kategorilerini bilme hakkına sahiptir.

Ayrıca kullanıcılar, verilerinin sizin kayıtlarınızdan ve tüm hizmet sağlayıcılarınızın kayıtlarından silinmesini talep etme hakkına sahiptir.

Bir tüketici, bir işletmenin tüketiciden topladığı tüketici hakkında herhangi bir kişisel bilgiyi silmesini talep etme hakkına sahip olacaktır – AB 375, Bölüm 3, 1798.105(a)

Temel işiniz tüketicilerin kişisel verileriyle uğraşmaksa, farkında olmanız ve yanıt vermeye hazır olmanız gereken ek haklar vardır. Ama yine, bu makale sizin için değil.

CCPA uyumluluğunu sağlamak için adımlar nelerdir?

Her şeyden önce, tüm veri toplama konusunda kullanıcıları önceden bilgilendirmelisiniz. GDPR'den farklı olarak CCPA, pozitif bir onay mekanizması gerektirmez. Örneğin, bir kullanıcı bir formu doldurduğunda, verilerle ne yapacağınızı açıklayan basit bir ifade yeterli olacaktır. Kullanıcının koleksiyonu anladığını ve kabul ettiğini belirten bir kutucuğu işaretlemesine gerek yoktur.

Kullanıcılara verilerini talep etmek veya verilerinin silinmesini sağlamak için en az iki yöntem sağlamalısınız. Bu yöntemlerden biri ücretsiz bir numara olmalıdır; diğeri sadece bir web sitesi adresi olabilir.

Tüm talepler doğrulanmalı ve 45 gün içinde yanıtlanmalıdır. Bu süre, ilk 45 günlük süre içinde tüketiciye bildirdiğiniz takdirde 45 gün daha uzatılabilir. Kullanıcıya açıklamanız, önceki 12 aylık veri toplama sürecini içermelidir, bu nedenle 1 Temmuz 2019'dan itibaren gerekli verileri depolayıp alabileceğinizden emin olun.

Bir tüketiciden kişisel bilgilere erişmesi için doğrulanabilir bir tüketici talebi alan bir işletme, bu bölüm – AB 375, Bölüm 3, 1798.100(d) tarafından gerekli kılınan kişisel bilgileri tüketiciye ücretsiz olarak ifşa etmek ve tüketiciye sunmak için derhal gerekli adımları atacaktır.

Herhangi bir 12 aylık dönemde tek bir kullanıcının veri talebine birden fazla yanıt vermek zorunda değilsiniz.

CCPA'nın 1798.110, 1798.115 ve 1798.125 Bölümleri uyarınca tüketici haklarının bir tanımını ifşa etmek için gizlilik politikanızı güncellemelisiniz. Ayrıca, verileriyle ilgili talepte bulunmak için mevcut yöntemleri de sunmanız gerekir.

Yukarıda belirtildiği gibi, bu yöntemlerden biri ücretsiz bir numara olmalıdır. Ayrıca, son 12 ayda topladığınız tüm bilgi kategorilerini açıklamalı ve bu bilgileri en az 12 ayda bir güncel tutmalısınız.

Aynı zamanda, işletmenin gizlilik uygulamaları veya bu başlığa uygunluk hakkında tüketici sorgularını ele alan tüm bireylerin tüm gereksinimler hakkında bilgilendirilmesini sağlamalısınız. Tüketicileri bu bölümlerdeki haklarını kullanmaya nasıl yönlendireceklerini de bilmeleri gerekir.

Ana sayfanızda "Kişisel Bilgilerimi Satmayın" başlıklı bir bağlantınızın olması gerektiğini öneren bazı kişiler görebilirsiniz, ancak bu gereksinim tüketicilerin kişisel bilgilerini satan işletmelere özeldir. Bu yazıda daha önce bahsettiğim gibi tüketicilerin kişisel bilgilerini satıyorsanız bu yazı size göre değil.

Son olarak, CCPA tarafından verilen gizlilik haklarını kullanan kullanıcılara karşı ayrımcılık yapamazsınız. Ayrımcılık, mal veya hizmetlerin reddedilmesini, daha yüksek fiyatlar talep edilmesini veya farklı düzey veya kalitede mal ve hizmetlerin sağlanmasını içerir.

Kişisel bilgilerin toplanması için mali teşvikler sunabilirsiniz. Ancak bu teşvik programlarının doğaları gereği zorlayıcı veya tefeci olmamasına dikkat edin.

Uymamanın cezaları nelerdir?

California Başsavcısı tarafından değerlendirilen cezalar, GDPR ihlalleriyle gelen cezalara kıyasla nispeten küçüktür. İhlal iddiası olması durumunda, sorunu düzeltmeniz için size 30 gün süre tanınacağını ve yalnızca bunu yapmazsanız cezayı ödemeniz gerekeceğini unutmayın.

İhlalde bulunursanız ve sorunu çözmezseniz, kasıtsız bir ihlal için 2.500 ABD Doları ve kasıtlı bir ihlal için 7.500 ABD Doları para cezasıyla karşı karşıya kalırsınız. Bu cezalar o kadar hafiftir ki, bazı şirketler kesinlikle yasayı görmezden gelmeyi seçecektir. Ama bunu büyük bir tehlikeyle yapıyorlar.

CCPA'yı ihlal ettiğinin tespit edilmesiyle ortaya çıkan daha büyük maliyet, toplu dava davalarına maruz kalma riskinin artmasıdır. Kanuni zararlar, olay veya fiili hasarlardan hangisi daha büyükse, tüketici başına 100 - 750 ABD Doları ile sınırlıdır. Ancak binlerce kişinin verilerini yönetmek yaygın olduğu için, bir toplu davadaki toplam zarar önemli olabilir.

Öneriler

Belki de bu yeni yasalarla ilgili en endişe verici şey, daha fazlasının geleceği bilgisidir. Ya veri gizliliğimizi korumak için tasarlanmış daha fazla eyalet kanunu veya geçirilecek ve eyalet kanunlarını önleyen veya geçersiz kılan bir federal kanun görmeye başlayacağız.

Bu gelecekteki yasaların neler içerebileceğini bilmek imkansız, ancak bazı eğitimli tahminler yapabiliriz. Ayrıca, tüm devletler ve AB genelinde uyumun sağlanmasına yardımcı olacak birkaç ek uygulama vardır:

• Belirli bir süre sonra müşteri verilerini elden çıkarmak için bir süreç tanımlayın
• Veri toplamanın tüm noktalarında olumlu bir onay mekanizması gerektir
• Daha az veri toplayın!

Bu son öneriyi gerçekleştirmek kolaydır ve sizi birçok sorumluluktan kurtarır. Çoğu modern web sitesinde, kullanıcı etkinliğini kaydeden, izleyen ve kullanan birçok şey vardır.

Bunların büyük çoğunluğu aslında web sitesi sahibi için veri toplamaz; hedeflenen reklam ağları için veri toplarlar. Analitik, yazı tipi barındırma, içerik dağıtım ağları, widget'ları paylaşma ve benzerleri gibi "ücretsiz" hizmetler, ücretsiz olmaktan başka bir şey değildir.

Onlar için kullanıcılarınızın gizliliğiyle ödeme yapıyorsunuz. Bunları mümkün olduğunda web sitenizde kullanmayın veya artık kullanıcılarınızın kişisel verilerini ifşa etmeyecek şekilde yapılandırmayın.

Kaynaklar

• California Eyalet Meclisi Bill No. 375
• California Eyalet Senatosu Bill No. 1121
• Data Privacy Monitor'ün CCPA hakkındaki makaleleri Normalde bloglara bağlantı vermekten kaçınırım, ancak özellikle DPM ve Alan L. Friel'in gönderileri sürekli olarak mükemmel

CCPA düzenlemeleri ezici olabilir. Umarım, bilmeniz gereken her şeyi pekiştirmemize yardımcı olmuşuzdur. Sitenizin denetimini yapmayı düşündüğünüzde, sohbet etmekten memnuniyet duyarız. Markanız için web ve dijital hususlar hakkında daha fazla bilgi için, size yardımcı olacak birkaç ipucu ve kaynak:

• Sitenizi erişilebilir kılmak için ne gerektiğini öğrenin.
• Web sitesi güvenliğinin anahtarlarını ve sitenizi nasıl güvende tutacağınızı öğrenin.
• İlgi çekici (ve dönüşüm sağlayan) bir işletme web sitesinin nasıl oluşturulacağına bir göz atın.