California Gizlilik Hakları Yasası (CPRA): CCPA 2.0'a Hazır mısınız?
Yayınlanan: 2020-12-01
Mayıs 2020'de, Kaliforniyalılar Tüketici Gizliliği için gizlilik savunuculuğu grubu, Kaliforniya Gizlilik Hakları Yasasını (CPRA, CCPA 2.0, Önerme 24 veya Önerme 24 olarak da bilinir) Kasım 2020 oylamasına eklemek için 900.000 imza topladıklarını duyurdu.
3 Kasım'da yapılan Genel Seçimlerde Kaliforniyalıların %56'sı CPRA lehinde oy kullandı. Yasa, 1 Ocak 2023'te yürürlüğe girdikten sonra Kaliforniya Tüketici Gizliliği Yasası'nı (CCPA) gözden geçirmeyi ve başarmayı amaçlıyor.
Kısacası, yasa, GDPR ile uyum sağlamak için kullanıcı gizlilik haklarını genişletiyor, işletmelere ek görevler getiriyor ve ABD'de gizlilik uygulamasına ve yaptırımına adanmış ilk devlet otoritesi olan California Privacy Protection Agency'yi (CPPA) kuruyor .
CCPA, Kaliforniya dışında zaten önemli bir etkiye sahip oldu ve ABD genelinde veri gizliliği için standart haline geldi. Bu yüzden bu tasarının yakından izlenmesi gerekiyor - California'da olmasalar bile işletmeleri etkileyebilir. Yeni uyumluluk gereksinimlerine hazırlanmaya başlamak için pazarlamacıların bilmesi gereken temel noktaları aşağıda özetledik.
Yeni Bir Gizlilik Uygulama Ajansı
Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdiğinde, AB yasaları uygulamak için Veri Koruma Kurumu'nu atadı. ABD, yeni tüketici gizlilik haklarını dayatmak için karşılaştırılabilir bir yetkiye sahip değil.
California Gizlilik Koruma Ajansı'nın (CPPA) devreye girdiği yer burasıdır. Görevi, yeni yönergeleri açıklamak, cezalar uygulamak ve gizlilik ihlalleri hakkında duruşmalar düzenlemektir.
Yeni Tüketici Hakları ve Kişisel Bilgi Kavramları
CPRA, Kaliforniya'daki veri gizliliği ortamına (GDPR sayesinde AB'de zaten mevcut olan) yeni kavramlar getiriyor.
İşte açıklananlardan bazıları:
- Düzeltme hakkı – Tüketicilere doğru olmayan kişisel bilgileri düzeltme hakkının verilmesi.
- Kısıtlama hakkı – Tüketicilere hassas kişisel bilgilerin kullanımını ve ifşasını sınırlama hakkının verilmesi.
- "Hassas" kişisel tanımlayıcı bilgiler - Yeni yasaya göre, Sosyal Güvenlik Numaraları, pasaport numaraları, kesin coğrafi konum, biyometrik bilgiler vb. gibi belirli bilgi türleri "hassas" olarak işaretlenecektir.
Neler Değişti?
CCPA 2020
- Bilme Hakkı
- Silme Hakkı
- Üçüncü Şahıs Satışlarından Vazgeçme Hakkı
- Ayrımcılık Yapmama Hakkı
Daha geniş bir düzenlenmiş veri kümesinde örtük olarak hassas PI'yi içerir, ancak hassas PI için ayrı gereksinimler ve yasaklar getirmez (artırılmış doğrulama gereksinimleri dışında).
CPRA 2023
- Bilme Hakkı
- Silme Hakkı
- Üçüncü Kişi Satış ve Paylaşımından Çıkma Hakkı
- Hassas PI Kullanımını ve İfşasını Sınırlama Hakkı
- Düzeltme Hakkı
- Otomatik Karar Verme Hakkında Bilgiye Erişim Hakkı
- Otomatik Karar Verme Teknolojisinden Çıkma Hakkı
- Hassas PI'yi Kısıtlama Hakkı
- Denetim Yükümlülükleri
- Ayrımcılık Yapmama Hakkı
Hassas PI'lara ayrı gereksinimler ve kısıtlamalar getirir:
- Açıklama gereksinimleri
- Kullanım ve ifşa için devre dışı bırakma gereksinimleri
- Kullanım ve ifşa için katılım onayı standardı
- Amaç sınırlama gereksinimleri
Kişisel Bilgi Satışının Yeni Tanımı
CPRA, şirketlerin Kaliforniya sakinlerinden topladıkları kişisel bilgilerle neler yapabileceklerini yeni bir şekilde tanımlayacak. CCPA'ya göre satış, "bir tür finansal bedel için veri alışverişi" olarak tanımlandı ve bu tanım birçok kişi tarafından çok muğlak kabul edildi. CPRA, insanların kişisel bilgilerini iki farklı kategoriye bölerek ve satarak bu sorunu çözüyor.
Neler Değişti?
CCPA 2020
- 25+ milyon $ yıllık geliri var;
- satın alır veya satar, VEYA işin ticari amacı için alır veya paylaşır, 50.000'den fazla tüketici, ev veya cihaz PI; veya
- yıllık gelirin en az %50'sini tüketici PI satışından elde eder.
CPRA 2023
- 25+ milyon $ yıllık geliri var;
- 100.000'den fazla tüketici veya hanenin PI'sini satın alır, satar veya paylaşır; veya
- yıllık gelirin en az %50'sini tüketici PI'sini satmaktan veya paylaşmaktan elde eder.
16 Yaş Altı Çocuklar İçin Daha Fazla Hak
- Çocukların kişisel bilgilerinin hukuka aykırı olarak paylaşılmasına yönelik idari para cezalarında artış : 16 yaşından küçük çocukların kişisel bilgilerini içeren her türlü ihlal, ihlal başına 7.500 ABD Doları para cezasına tabidir. Mevcut yasaya göre, bu ceza sadece kasıtlı ihlaller için ayrıldı. 16 yaşından büyük kişilerin dahil olduğu diğer tüm kasıtsız fiiller için 2500 $'lık maksimum para cezası aynı kalır.
- 16 yaşın altındaki çocukların kişisel bilgilerinin paylaşılması için onay gereksinimleri : CPRA kapsamında tüketiciler yalnızca PI'lerini satmaktan değil, aynı zamanda özellikle üçüncü taraflara satmaktan da vazgeçebilirler. Benzer şekilde, CCRA, işletmelerin 16 yaşından küçük çocukların PI'lerini paylaşmak veya satmak için olumlu katılım onayı alma ihtiyacını ele alır. tüketicinin veya tüketicinin ebeveyni veya vasisi, tüketicinin 13 yaşından küçük veya en az 13 yaşında ve 16 yaşından küçük olduğunu belirtmek için.”
Müteahhitler için Yeni Neler Var? Hizmet Sağlayıcılar İçin Sözleşmeden Doğan Yükümlülükler
CPRA, bir işletmenin yazılı bir sözleşme uyarınca bir iş amacıyla bir tüketicinin kişisel bilgilerini kullanıma sunduğu kişileri tanımlamak için "yükleniciler" terimini tanıtmaktadır (CCPA'nın "hizmet sağlayıcılarına" benzer, burada kişisel bilgileri işleyen kişilere atıfta bulunulmaktadır " "bir işletme" adına).
CCPA, hizmet sağlayıcıları ve alt hizmet sağlayıcıları tanımlarında belirsiz iken, CPRA yeni kuralları çok net bir şekilde belirlemektedir. Herhangi bir yüklenici veya hizmet sağlayıcı, diğer alt işleyicilerle herhangi bir işbirliği konusunda şeffaf olmak için yazılı bir sözleşme ile bağlıdır. Hizmet sağlayıcılar, diğer tüketici verilerini ekleyemez veya tutamaz, bu da işletmelere kişisel bilgilerin edinilmemesini veya etik olmayan bir şekilde kullanılmamasını sağlamak için "makul ve uygun adımları atma" hakkı verir.
Pazarlamacıların CPRA Hakkında Bilmeleri Gerekenler
2023'e gelindiğinde, pazarlamacıların, reklamcılar tarafından kullanılan hedef kitle oluşturma ve hedefleme bilgileri gibi birinci taraf veya üçüncü taraf verileri olsun, tüketicilere ulaşmak için topladıkları ve kullandıkları verilere daha fazla dikkat etmesi gerekiyor. Doğrudan veya diğer hizmet sağlayıcılar veya yükleniciler aracılığıyla herhangi bir veri toplama işlemi için açık tüketici onayı gerekir. Kişisel bilgilerin daha sonra kullanılması, paylaşılması veya satılması da ifşa edilmelidir.
Pazarlamacıların CPRA'ya hazırlanmak için yapması gerekenler şunlardır:
1. Şirketinizde Şeffaflığa Öncelik Verin
CPRA, işletmelerin topladıkları veriler konusunda şeffaf olmaları gerektiğini açıkça ortaya koymaktadır. Verileri nasıl topladığınıza, nerede sakladığınıza, ne kadar süreyle sakladığınıza ve tüm yaşam döngüsü boyunca nasıl yönettiğinize zaten dikkat ediyorsanız, şimdi tüm bu önlemleri kullanıcılarınızla paylaşmanın zamanı geldi. Aynı şekilde, CPRA kapsamında işletmeler, kullanıcıları belirli eylemleri gerçekleştirmeye zorlamak için izin yapılarını nasıl kullanacakları konusunda sınırlandırılacaktır. Bu, pazarlama departmanınızın yaptığı bir şeyse, karanlık kalıplardan ve örtülü rızadan kaçınmak için nasıl rıza topladığınızı analiz etmeye başlayın.
2. Çerezleri İnceleyin ve Politikaları Güncelleyin
GDPR'ye benzer şekilde, CPRA, tanımlama bilgilerinin kullanımını içeren belirli veri paylaşım işlevlerini sınırlar. Web sitenizde bulunan çerezlerin envanterini çıkarmaya başlayın ve en son düzenlemelere uygun olduklarından emin olmak için politikalarınızı güncelleyin. CPRA'nın tüm yeni maddelerini içerecek şekilde laf kalabalığınızı güncellediğinizden emin olun - herhangi bir "hassas" PI topluyor musunuz? Kullanıcılar otomatik karar verme teknolojisinden nasıl vazgeçebilir? Bu hususların tüketiciler için net olduğundan emin olun.
3. Ortaklarla Yapılan Tüm Sözleşmeleri İnceleyin (Yayıncılar Dahil)
CPRA'ya bağlı bir işletme olarak, ortaklarınızın sizin yaptığınız gibi gizlilik yasalarına aynı düzeyde uyum sağlamasını sağlamalısınız. Tüm kullanıcı verilerinin açık rıza yoluyla elde edildiğinden ve etik olarak yönetildiğinden emin olmak için tüm sözleşmelerinizi (gerekirse yasal dahil) iyice gözden geçirin.
CPRA, özellikle hedef kitle ve davranışsal hedefleme söz konusu olduğunda, veri satış uygulamalarını sınırlar. Yayıncılarla olan ortaklıklarınızı incelediğinizden ve birinci taraf veri havuzlarını kullanan ve verileri bu gizlilik düzenlemelerine uyarak elde etmiş olanları tercih ettiğinizden emin olun.
4. Bir Gizlilik Uzmanıyla Çalışın
İster birini işe alın, ister harici bir danışman veya ajansla çalışın, en son düzenlemelerden haberdar olmanıza yardımcı olacak bir uzmana ihtiyacınız vardır. CPRA muhtemelen işinizi etkileyecek son veri gizliliği yasası değildir. Aslında yasa, gelecekte ülke çapında kabul edilmesi muhtemel yeni standartlar belirliyor.
Hazır mısın?
Tasarı geçtiğine göre, işletmelerin yeni uyumluluk gereksinimlerine aşina olmaları gerekiyor. Yasa 1 Ocak 2023'te yürürlüğe girecek ve 1 Temmuz 2023'te yürürlüğe girecek, ancak şirketler tarafından 1 Ocak 2022'de toplanan kişisel bilgiler için zaten geçerli olabilir.
Yeni gizlilik düzenlemelerine uyum sağlamak için bu kadar uzun süre beklemek aşırı gelebilir, ancak özellikle çok sayıda ortakla çalışıyorsanız, daha büyük kuruluşlarda işler hızla karmaşıklaşabilir. Bu yüzden hemen başlamanızı öneririz.
Herhangi bir sorunuz mu var? Convert, piyasadaki gizlilikle en uyumlu A/B test aracıdır. Uzmanlarımız, gizlilik düzenlemelerinin tüm ayrıntılarını ve tam uyumlu olmak için gerekenleri bilir - bize sorularınızı buradan gönderin.
