• Anasayfa
  • Nesne
  • Tema
  • Kaliforniya Tüketici Gizliliği Yasasına (CCPA) Uyum İçin Nihai Kılavuz

Kaliforniya Tüketici Gizliliği Yasasına (CCPA) Uyum İçin Nihai Kılavuz

Yayınlanan: 2019-12-23

2018 Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya sakinlerinin verilerini ve gizliliğini korumak için kabul edilen bir yasadır. CCPA, mevcut California gizlilik yasalarının yerine geçmez, bunun yerine onların yanında işlev görür.

CCPA'ya göre, işletmelerin ne topladıkları ve nasıl kullanıldığı konusunda daha açık olmaları gerekiyor. Ayrıca bilgilerini satmadan önce reşit olmayanlardan onay almaları gerekir. Ayrıca, kullanıcılar artık işletmelerin verilerini satmasını engelleyebilir.

CCPA, topladığınız kullanıcı bilgilerini artık satamayacağınız anlamına gelmez. Ancak, Kaliforniya sakinleri söz konusu olduğunda, birkaç çemberden daha atlamanız gerekecek.

CCPA 1 Ocak 2020'de yürürlüğe girecek, ancak işletmelerin tam olarak uyması için 1 Temmuz 2020'ye kadar süreleri var. Bu, bunu ertelemek için bir bahane değil. Yaptırım eylemleri birkaç ay içinde başlamayacağından, işletmelerin politikalarını, süreçlerini ve web sitelerini uyarlamak için zamanları var.

CCPA Neleri “Kişisel Veri” Olarak Değerlendiriyor?

Kişisel veriler, bir kişiyi tanımlayan veya tanımlayan veya bir şekilde bir kişi veya hane ile bağlantılı olan herhangi bir şeydir. Bu şunları içerir:

  • E-mail adresleri
  • İstihdam Bilgileri
  • coğrafi konumlar
  • IP adresleri
  • İsimler

Teknik olarak, kamuya açık bilgiler CCPA tarafından kişisel veri olarak kabul edilmez. Yine de bu çok gri bir alandır ve risk almak yerine tam uyum tarafında hata yapmak en iyisidir. Ayrıca, bir kullanıcının kişisel verileri herkese açık olsa bile bu, diğer tüm kullanıcılarınız için geçerli değildir. Yine de her alanda uyumlu olmanız gerekir.

CCPA İşinizi Etkiler mi?

Kaliforniya sakinlerinden veri toplar ve işlerseniz CCPA işinizi etkiler. İşletmeniz veya bir ana şirket veya yan kuruluş da aşağıdakilerden bir veya daha fazlasını karşılamalıdır:

  • Yıllık brüt geliriniz 25 milyon dolar veya daha fazla
  • Her yıl 50.000 veya daha fazla Kaliforniya cihazından, hanesinden veya sakininden kişisel veri satın alıyor, alıyor veya satıyorsunuz
  • Yıllık gelirinizin en az %50'si California sakinlerinin kişisel verilerini satmaktan gelir

Bu eşikleri karşılamak için Kaliforniya merkezli bir işletmenizin olması gerekmez. California sakinleri, işletmenizin faaliyet gösterdiği yerden bağımsız olarak web sitenizi ziyaret edebilir. Diğer ABD eyaletlerindeki işletmelerin yanı sıra dünya çapındaki işletmeler CCPA'yı dikkate almak zorundadır.

Eşiklere atıfta bulunmak dışında işinizin büyüklüğü de önemli değil. Tek başına girişimler ve küçük işletmeler bile CCPA ile uyumlu olmalıdır. Ancak 4 milyon veya daha fazla tüketici için veri işleyen işletmelerin ekstra gereksinimleri karşılaması gerekiyor. Örneğin, kayıt tutma konusunda daha katı yönergeleri vardır.

Bir eşiği karşılıyorsanız ancak veri toplamıyorsanız (web sitenizde herhangi bir izleme aracınız yoksa), teknik olarak CCPA uyumlusunuzdur. Öte yandan, California müşterilerinden bilgi topluyorsanız ancak henüz eşikleri karşılamıyorsanız, CCPA'ya hazırlanmak yine de işe yarar. İşletmeniz hızla büyürse, CCPA uyumlu olmadan önce yanlışlıkla 25 milyon doları veya 50.000 California sakinini aşabilirsiniz.

Kaliforniya Sakini Nasıl Tanımlanır?

Kaliforniya yasalarına göre, ikamet eden kişi:

  • Geçici veya geçici bir neden dışında bir nedenle Kaliforniya'daysa
  • Geçici veya geçici bir nedenle şu anda eyalette olmasalar bile California'da yaşıyor

Bir kişi California'da yaşayabilir ve mukim olmayabilir veya California dışında yaşayabilir ve yine de mukim olabilir. Kendinizi korumak için, işinizin çoğunun Kaliforniya sakinlerinden geldiğini düşünmek için herhangi bir nedeniniz varsa CCPA'ya uyun.

İşletmenizi CCPA ile Nasıl Uyumlu Hale Getirirsiniz?

CCPA'nın gereksinimlerini karşılamak için işletmenizin, çoğu değişen politika ve süreçleri gerektirecek birkaç adım atması gerekir. İşletmenizi CCPA ile nasıl uyumlu hale getireceğiniz aşağıda açıklanmıştır:

Verileri nasıl topladığınızı, kullandığınızı ve değiştirdiğinizi netleştirmek için gizlilik politikanızı güncelleyin

Muhtemelen zaten bir gizlilik politikanız var, ancak bunu CCPA uyumlu hale getirmek için biraz çalışmanız gerekecek. Temel olarak, gizlilik politikanız kullanıcılara hangi verileri topladığınızı ve bunlarla ne yaptığınızı söyler. CCPA için veri uygulamalarınız konusunda eskisinden daha şeffaf olmanız gerekir. Gizlilik politikanıza yapmanız gereken eklemeler şunlardır:

  • Kişisel bilgileri ne, neden ve nasıl topladığınız ve işlediğiniz
  • Kullanıcılar, topladığınız kişisel verilerine nasıl erişebilir, bunları değiştirebilir veya kaldırabilir?
  • Bu isteklerden birini yapan bir kullanıcının kimliğini doğrulama yönteminiz
  • Kişisel verilerin nasıl satıldığı ve bir kullanıcının kişisel verilerinin satılmasından nasıl vazgeçebileceği

Bunların minimum CCPA gereksinimleri olduğunu unutmayın. Veri toplama sürecinizde kullanıcıların bilmek isteyeceği daha fazla şey olduğunu düşünüyorsanız, ekleyin.

Reşit olmayanlardan onay alın

13 ila 16 yaş arasındaki reşit olmayanlardan veya 13 yaşından küçük çocukların ebeveynlerinden izin almanız gerekir. Web sitenize geldiklerinde veya verilerini satmadan önce onay isteyebilirsiniz. Her iki durumda da, onaylarını almadan verilerini satamazsınız. Kullanıcı onayı reddetse bile, aldığınız tüm yanıtları saklayın. Reşit olmayanlar dışında, verileri toplamadan ve kullanmadan önce kullanıcı onayına ihtiyacınız yoktur.

Kullanıcıların bilgilerini değiştirmesine izin ver

CCPA'nın bir kısmı, California kullanıcılarına kişisel verilerine erişme, bunları değiştirme, taşıma veya silme olanağı veriyor. Kullanıcıların bu tür istekleri göndermeleri için bir yöntem oluşturmanız ve bu yöntemlerden birinin ücretsiz bir numara olması gerekir. Daha sonra web sitenize bir iletişim formu ekleyebilir veya bir e-posta veya posta adresi sağlayabilirsiniz.

Bir istekte bulunduğunda kullanıcının kimliğini doğrulayın

Kullanıcılar bilgilerini değiştirmek için iletişime geçtiğinde, onların söyledikleri kişi olduklarını doğrulamak için bir yola ihtiyacınız vardır. Sürücü ehliyeti gibi devlet tarafından verilmiş bir belge aracılığıyla kimlik belgesi isteyemezsiniz. Bunun yerine, kişi verilerini gönderdiğinde kullandığınız kimlik doğrulama türünün aynısını kullanabilirsiniz. Ayrıca geçmişte sağladıkları bilgileri onaylamalarını isteyerek kimliklerini doğrulamayı deneyebilirsiniz.

İşletme, kullanıcının kimliğini doğrulayamazsa, elinden gelenin en iyisini yapmalıdır. Örneğin, bir kullanıcının bilgilerinin silinmesini istediğini, ancak işletmenin kullanıcının kimliğini doğrulayamadığını varsayalım. Bilgilerini silmek yerine saklarlar, ancak kullanıcının bilgilerinin satılmasından vazgeçmesine izin verirler. Uymanın bir yolu yoksa, işletme talebi reddedebilir.

Ana sayfanıza “Kişisel Bilgilerimi Satmayın” bağlantısı ekleyin

Web sitenizin ana sayfasında göze çarpan bir noktaya “Kişisel Bilgilerimi Satmayın” bağlantısı yerleştirmeniz gerekecek. Bu, kullanıcıların kişisel verilerini satmanızı engellemek istediklerinde tıklamaları durumunda. Kullanıcı verilerinin satışından vazgeçme süreci mümkün olduğunca basit ve kolay olmalıdır. İşletme, devre dışı bırakma taleplerine de yanıt vermelidir. Resmi CCPA bilgi formuna göre, “…işletmeler, bir tüketicinin vazgeçme tercihini belirten, kullanıcı tarafından etkinleştirilen gizlilik ayarlarını geçerli bir şekilde gönderilen bir vazgeçme talebi olarak ele almalıdır.”

Ayrıca, vazgeçebilmeleri için insanlardan bir hesap oluşturmalarını isteyemezsiniz. Bazı işletmeler, kullanıcıyı tanımlamanın bir yolu olarak bir hesap talep etmek isteyebilirken, CCPA, bunu devre dışı bırakmak için bir ön koşul olarak engeller. Kullanıcının zaten bir hesabı varsa ve bu şekilde kimliğini doğrulayabiliyorsanız, sorun değil.

Müşterilerle yapılan alışverişlerin kayıtlarını tutun

İşletmeler, tüm kullanıcı isteklerinin kayıtlarını tutmalı ve ayrıca kullanıcılara verdikleri yanıtları kaydetmeli ve kaydetmelidir. Kayıtlarınızı en az 24 ay saklayın; Daha güvenli olmak için, onları süresiz olarak tutun.

Gizlilik taleplerine göre ayrımcılık yapmayın

CCPA, işletmelerin gizlilik haklarını kullanmaları durumunda kullanıcılara karşı ayrımcılık yapamayacağını söylüyor. Bu, bir kullanıcı verilerini satamayacağınızı söylerse, onlara hizmetleri reddedemeyeceğiniz veya misilleme olarak fiyatlarını ayarlayamayacağınız anlamına gelir.

Bir işletmenin, verilerinin satışına izin veren kişilere bir teşvik sunması mümkündür. Bu durumda, kişisel verilerin değerini nasıl hesapladığınız da dahil olmak üzere, teşvikin ayrıntılarını açıklamanız gerekir.

CCPA'ya Uymamanın Cezaları

1 Temmuz 2020'ye kadar CCPA'ya uymazsanız, Başsavcı sizi bilgilendirecektir. Yanıt vermek ve uyumluluğu hızlandırmak için 30 gününüz olacak. Bu 30 gün içinde uymazsanız, aleyhinize bir hukuk davası açabilirsiniz. Oradan, ihlal başına 7.500 ABD doları para cezasına çarptırılabilirsiniz, bu da Kaliforniya kullanıcısı başına anlamına gelir. Örneğin, 2.000 Kaliforniya sakininden veri toplarsanız, toplamda 15.000.000 ABD Doları olan 7.500 x 2.000 ABD Doları para cezasına çarptırılabilirsiniz. Bu kesinlikle kaçınmak isteyeceğiniz bir fatura!

CCPA ve GDPR Arasındaki Farklar

CCPA yönergeleri GDPR'lere benzer görünse de, ikisinin temel farklılıkları vardır. İşletmeniz şu anda GDPR ile uyumlu olsa bile bu, otomatik olarak CCPA uyumlu olacağı anlamına gelmez. Bazı CCPA yönergelerini karşılayabilirsiniz, ancak hepsini değil. GDPR'yi aşabilecek CCPA yönergelerinden bazıları şunlardır:

  • Ana sayfaya “Kişisel Bilgilerimi Satmayın” bağlantısı ekleme
  • Kullanıcıların bilgilerinde değişiklik veya bilgilerin kaldırılmasını talep etmeleri için bir yöntem oluşturma
  • Bu tür bir talepte bulunduğunda kişinin kimliğini belirlemek
  • Bilgilerini satmadan önce reşit olmayanlardan onay almak

GDPR için bazı süreçleri önceden ayarlamış olsanız da, yöntemlerinizin de CCPA ile uyumlu olup olmadığını tekrar kontrol etmek isteyeceksiniz. İkisi arasında küçük ama önemli farklar var. Örneğin, CCPA kapsamında, 12 aylık bir dönem boyunca sattığınız kişisel bilgi kategorilerini göstermeniz gerekir; bu GDPR'nin bir gerekliliği değildir. Öte yandan, CCPA, GDPR'nin sahip olduğu çerez izin gerekliliğine sahip değildir.

Son düşünceler

İlk adımınız, işletmenizin 1 Ocak 2020'den itibaren CCPA ile uyumlu olması gerekip gerekmediğini değerlendirmektir. Veya işletmenizin gelecekte uyumlu olması gereken bir noktaya gelip gelmeyeceğini düşünün. Eğer öyleyse, daha sonra uğraşmak zorunda kalmamak ve para cezası alma riskine girmek zorunda kalmamak için her şeyi şimdi yerine oturtmak en iyisidir. Web sitenizi CCPA'ya uyacak şekilde tam olarak nasıl kurduğunuz, mevcut süreçlerinize ve iş gücünüze bağlıdır. Mümkün olduğu kadar otomatikleştirebilir veya çok fazla değişiklik veya kaldırma talebi beklemiyorsanız, doğrudan kullanıcılara yanıt veren birkaç çalışanınız olabilir.

Henüz bir gizlilik politikanız yoksa, CCPA ile ilgilenseniz de ilgilenmeseniz de bu, bir tane yazmak için harika bir fırsattır. Web Siteniz için Gizlilik Politikası Nasıl Oluşturulur başlıklı makalemize göz atın.

Sammby / Shutterstock.com aracılığıyla Öne Çıkan Görsel