CCPA Neyi Temsil Eder ve İş İçin Ne İfade Eder?

Yayınlanan: 2022-08-05

CCPA Neyi Gösterir? CCPA, California Tüketici Gizliliği Yasası'nın (CCPA) kısaltmasıdır. Kaliforniya'daki tüketicilerin bir işletmenin onlardan hangi bilgileri toplayabileceğini bilmelerini sağlayan bir veri gizliliği yasasıdır. Ayrıca bu tüketicilere açıklama talep etme hakkı verir.

California Tüketici Gizliliği Yasası, Amerika Birleşik Devletleri'ndeki en kapsamlı gizlilik yasasını oluşturur.

Dört temel alanı kapsar:

  • İşletmelerin bilgilerini ne amaçla kullandığını bilme hakkı
  • İşletmeler tarafından tutulan bilgileri silme hakkı
  • Kişisel bilgilerin satışından vazgeçme hakkı
  • CCPA haklarını kullanırken ayrımcılık yapmama hakkı

Örneğin, geçmişte bir işletmeyle ilişki kurduysanız ve California'da ikamet ediyorsanız, o işletmeden sizin hakkınızda topladıkları bilgileri size vermesini isteme ve ayrıca bu bilgileri silme hakkınız vardır.

Tüketicilerin mahremiyetlerine ilişkin beklentileri konusunda farkındalık arttıkça, CCPA ülkeyi kasıp kavuran birçok veri koruma yasasının ilki arasında yer alıyor.

CCPA 2018'de kabul edildi ve kişisel tüketici bilgilerini toplayan ve satan şirketleri hedefliyor.

Kaliforniyalılara verilerinin nasıl saklandığı ve kullanıldığı konusunda daha fazla kontrol sağlamayı amaçlayan bu uygulama, konut sakinlerine kişisel bilgilerinin akıbeti konusunda daha önemli bir söz hakkı vererek çığır açan veri korumaları sunar.

Ancak CCPA yalnızca Kaliforniya'da bulunan işletmeler için mi geçerlidir?

CCPA Kimlere Uygulanır?

GDPR'nin Avrupalı ​​müşterileri olan Amerikan şirketlerini etkileyeceği gibi, CCPA da eyalette tüketicileri olan Kaliforniyalı olmayan şirketleri etkileyebilir.

CCPA, çevrimiçi olarak faaliyet gösteren ve Kaliforniyalılardan veri toplayan veya Kaliforniya'da iş yapan herhangi bir işletmeyle ilgilidir - bu şirket fiziksel olarak Kaliforniya'da bulunmasa bile. CCPA'nın uygulanabilmesi için bir işletmenin şu üç kriterden herhangi birini karşılaması gerekir:

  • Yıllık en az 25 milyon dolar gelir elde edin.
  • 50.000'den fazla müşteriden veri alın.
  • Tüketici verilerini satarak yıllık gelirinin en az yarısını kazanın.

Bir işletme bu üç kriterden herhangi birinin kapsamına giriyorsa, tüketicileri Kaliforniya'da ikamet ediyorsa CCPA gerekliliklerini karşılamalıdır. Bunu yapmamak, bir işletmenin CCPA cezaları ödemesine neden olabilir.

İlgili Blog: CMMC Sertifikalarına Kimin İhtiyacı Var?

CCPA Gizlilik Yasasının Kapsamı

CCPA, verilerinin internette kullanımı ve satışı söz konusu olduğunda Kaliforniya tüketicilerine kritik haklar verir. Her birinin ne anlama geldiği hakkında daha fazla ayrıntıya girelim.

  • Bilgiye erişim hakkı: Kaliforniya'daki tüketiciler, hangi kategorilerdeki kişisel bilgilerin nereden, kime ve neden toplandığını veya satıldığını bilme hakkına sahiptir.
  • Veri silme hakkı: Kaliforniya'daki tüketiciler, bir şirketin kendileri hakkında topladığı kişisel verileri silmesini talep edebilir.
  • Veri toplama veya satıştan vazgeçme hakkı: Kaliforniya'daki tüketiciler, bir şirkete bilgilerini toplamaması veya üçüncü taraflara satmamasını emredebilir. CCPA, parasal bir değişimin ötesine geçen bir “satış” tanımını içerir.
  • Taşınabilirlik Hakkı: Bireylerin kişisel verilerini yapılandırılmış, ortak ve makine tarafından okunabilir bir formatta elde etmelerine ve bu kişisel verileri serbestçe başka bir denetleyiciye aktarmalarına olanak tanır.

CCPA, Kaliforniyalılara, genellikle bir ihlal yoluyla kişisel bilgileri tehlikeye girdiğinde CCPA'ya tabi herhangi bir işletmeyi dava etme konusunda sınırlı bir yetenek verir.

Bununla birlikte, eyalet Başsavcısına sakinleri adına dava açma konusunda çok daha genel bir yetenek verir.

CCPA, kişisel bilgileri "belirli bir tüketici veya hanehalkı ile doğrudan veya dolaylı olarak tanımlayan, bunlarla ilgili olan, açıklayan, ilişkilendirilebilen veya makul bir şekilde bağlantılı olabilecek" herhangi bir bilgi olarak tanımlar.

Başka bir deyişle, tanımlanabilir bir bireye bağlanabilen herhangi bir istatistik, eylem veya bilgi parçası. Bu geniş tanım, dijital alandaki hemen hemen her eylemi kapsar.

Gizlilik Yasaları Küçük İşletmeleri Nasıl Etkiler?

Yukarıdaki ek kriterler, özellikle küçük ve orta ölçekli işletmeleri korumak için tasarlanmıştır.

Yukarıdaki üç gereksinimden birini karşılamayan şirketler için CCPA uyumluluğu geçerli değildir ve Kaliforniyalılar için gizlilik gereksinimleri değişmeden kalır.

Aynı şekilde, işlerinin tüm yönleri, kişisel verilerin satışı da dahil olmak üzere, Kaliforniya dışında gerçekleşirse, CCPA KOBİ'leri etkilemeyecektir. Ancak, söz konusu işletme yukarıdaki üç kriterden birini karşılıyorsa ve hatta tek bir California müşterisi varsa, CCPA geçerli olacaktır.

Bununla birlikte, CCPA'nın belirli bir işletmeye uygulanıp uygulanmayacağı konusunda önemli bir kafa karışıklığı bulunmaktadır.

625 işletme sahibi ve şirket yöneticisiyle yapılan bir anket, ankete katılanların en az %34'ünün CCPA'nın kendilerini etkileyip etkilemediğini bilmediğini, %22'sinin ise "umursamadığını" iddia ettiğini ortaya koydu.

Kafanız karıştıysa, yalnız değilsiniz. Gerekirse uyumlu olduğunuzdan emin olmak için alandaki uzmanlara danıştığınızdan emin olun. CCPA'ya uyulmaması ağır para cezalarına neden olabilir.

CCPA ihlalleri, her ihlal için 2500 ABD Doları ve kasıtlı ihlaller için 7500 ABD Doları cezaya tabidir.

KOBİ'ler CCPA ile Nasıl Uyumlu Olabilir?

GDPR uyumluluğuna giden yolda olan veya halihazırda olan KOBİ'ler, CCPA uyumluluğunu daha geniş bir kapsama sahip olsa da biraz daha kolay bulacaktır.

Kişisel bilgileri toplayan ve satan şirketler için CCPA uyumluluğu şunları içerir:

  • Gizlilik bildirimlerini ve politikalarını güncelleme. CCPA, şirketin "toplama noktasında veya öncesinde" bilgi toplama ve satma niyetinin tüketiciye açık bir şekilde bildirilmesini gerektirir. Bu bildirim, hangi bilgilerin toplandığını ve neden toplandığını içermelidir.
  • Veri envanterini yeni sınıflandırmalarla güncelleme. Arka uçta depolanan veriler, bilgilerin satışına, üçüncü taraflara aktarılmasına, toplama ve satış zamanına ilişkin kayıtları ve ayrıca bilgilerin HIPAA veya başka bir veri gizliliği yasası kapsamında olup olmadığının göstergesini içermelidir.
  • California tüketici haklarına uymak için prosedürler oluşturmak. Şirketler, tüketicilerin kişisel bilgilerine erişim, silme veya satıştan çıkma talebinde bulunmaları için bir yola ihtiyaç duyar.
  • Site ve iş güvenliğinin gözden geçirilmesi. CCPA, “makul” kişisel veri koruması gerektirir. KOBİ'ler için, yönetilen bir hizmet sağlayıcı bu yükü hafifletebilir.
  • Eğitim personeli. Personeli CCPA'nın ne olduğu, uyumluluk gereksinimlerinin neler olduğu, yeni prosedürlerin nasıl ele alınacağı ve olası olayların nasıl ele alınacağı konusunda eğitin.
  • Şimdi başlıyor. Kaliforniyalı tüketiciler, 12 ay öncesine kadar toplanan verileri talep edebilir. İşletmeler, 1 Ocak 2019 tarihine kadar toplanan ve satılan verilerin kayıtlarını sağlayabilmelidir.

CCPA Uyumlu Olmak İçin Neler Gerekir | CCPA ne anlama geliyor? | Etki Ağı

İlgili Blog: İşletmenizi Korumak için Siber Güvenlik Stratejisi Geliştirme

CCPA, CalOPPA ve GDPR Arasındaki Fark Nedir?

CCPA kapsamında verilen haklar, sakinler ve çalışanlar anlamına gelen California “tüketicileri” için geçerlidir.

Bu tüketiciler, toplanan verilere erişme ve bunları silme hakkına ve ayrıca çevrimiçi iş yaptıkları herhangi bir şirket tarafından gelecekte toplanmaktan vazgeçme hakkına sahiptir.

Buna karşılık, CalOPPA , 2003 tarihli Kaliforniya Çevrimiçi Gizliliği Koruma Yasasıdır.

Kişisel bilgileri toplayan ticari web sitelerinin, özellikle Kaliforniya'da ikamet edenlerin görebileceği bir gizlilik politikası yayınlamasını zorunlu kılan, Amerika Birleşik Devletleri'ndeki ilk eyalet yasasıydı.

Bu gizlilik politikası, web sitesi operatörlerinin belirtilen gizlilik politikalarına uymasını gerektirir.

GDPR , Avrupa Birliği tarafından Mayıs 2018'de oluşturulan Genel Veri Koruma Düzenlemeleridir.

Avrupa Birliği vatandaşlarına internetteki özel verileri üzerinde önemli ölçüde daha fazla kontrol sağlar.

Özellikle GDPR, web sitelerinin veri toplamak için tüketici onayını alma şeklini günceller, kişisel verilerin nasıl kullanıldığını iletmek için açık yönergeleri ana hatlarıyla belirtir ve kullanıcı onayı kanıtı için gereksinimler oluşturur.

CCPA, CalOPPA ve GDPR, uygulama ve kapsam açısından çok farklıdır.

Bununla birlikte, hepsinin ortak bir kritik özelliği var - sırasıyla Kaliforniya ve Avrupa Birliği sakinlerinden daha fazlasını etkiliyorlar.

Bu iki bölgeden herhangi birinin sakinleri olan veya bunlarla etkileşime giren çevrimiçi olarak faaliyet gösteren herhangi bir işletme , kendilerini bu yasalara tabi bulur.

CCPA'nın Kaliforniya'da faaliyet gösteren işletmelerle sınırlı olmadığı gibi, GDPR de Avrupa Birliği'nde bulunan işletmelerle sınırlı değildir. AB sakinlerinin verilerini işleyen herhangi bir küresel şirket, GDPR uyumlu olmalıdır.

Gizlilik Yasaları: CCPA, Caloppa, GDPR | CCPA'nın açılımı nedir? | Etki Ağı

California Tüketici Gizliliği Yasası: CPRA ve CCPA

CPRA, California Tüketici Gizliliği Yasası anlamına gelir. Önerme 24 olarak da bilinir. Kaliforniya seçmenleri bu oy pusulasını 2020'de onayladı. CCPA gerekliliklerine değişiklikler ekleyerek ona "CCPA 2.0" takma adını verdi.

CPRA şunları ekler:

  • Tüketicilerin bir şirketten kendileri hakkındaki yanlış bilgileri değiştirmesini talep edebilecekleri anlamına gelen Düzeltme Hakkı
  • Tüketicilere hassas kişisel bilgilerinin kullanımını ve ifşasını sınırlama hakkı veren Kısıtlama Hakkı
  • Tüketicilere iş performanslarını, ekonomik durumlarını, sağlıklarını, ilgi alanlarını vb. "profillendiren" teknolojiyi devre dışı bırakma hakkı veren otomatik karar vermeye karşı hak.

CPRA ayrıca kuruluşlara Risk Değerlendirmeleri ve Ayrımcılık Yasağı yapma yükümlülüğü getirir. Önlem 2020'de geçmiş olsa da, CCPA revizyonlarının çoğu 2023'e kadar “faaliyet göstermeyecek”.

Ancak, California Privacy Protection Agency'yi kuran hüküm yürürlüktedir. Temelde bu, CCPA'yı uygulayacak ve uygulayacak mahremiyet ve tüketici hakları konusunda uzmanlığa sahip beş üyeden oluşan bir kurul oluşturur.

İlgili Bilgi Grafiği: MSP ve MSSP – Temel Farklılıklar

Önemli Çıkarımlar

CCPA, ABD'deki en geniş kapsamlı ve kapsamlı veri gizliliği yasasıdır. Kaliforniya tüketicilerine verilerinin çevrimiçi olarak toplanması, kullanılması ve satışı ile ilgili belirli haklar verir.

Kanunun KOBİ'ler için belirli muafiyetleri olmasına rağmen, yine de bu şirketleri potansiyel olarak etkileyebilir.

CCPA, bildirimlerin tüketicilere nasıl verildiğinin yanı sıra işletmelerin kişisel bilgileri nasıl sakladığı, sınıflandırdığı ve koruduğu konusunda önemli değişiklikler gerektirir.

CCPA ve CPRA, CalOPPA ve GDPR, kullanıcı verilerinin tanımları ve korumaları bakımından farklı olsalar da, ortak bir ortak noktaları vardır: dünyanın dört bir yanındaki insanların bu bölgelerde yaşayan insanlarla iş yapma şeklini etkilerler.

Davadan kaçınmak için uyumluluğa proaktif olarak hazırlanmak en iyisidir. İşletmenizin federal yasalara ve eyalet yasalarına uymak için ne yapması gerektiğini öğrenmek için bugün bir uzmana danışın.

Uyumluluğu ve siber güvenliği korumak karmaşık bir konu olabilir. Yönetilen bir siber güvenlik hizmetinin, siz işinize odaklanırken uyumluluğu nasıl ele alabileceğini öğrenmek için , Siber Güvenlik Yönetimi konusunda konu uzmanı Jeff Leder'in yer aldığı bu videoyu izleyin.