Colorado Gizlilik Yasasına Bir Bakış: Kullanıcı Verilerinin Korunmasının Geleceğine İlişkin Tahminler
Yayınlanan: 2021-09-16
Geçtiğimiz Temmuz ayında Colorado, Colorado Gizlilik Yasası'nı (CPA) geçerek Kaliforniya, Nevada ve Virginia'dan sonra ABD'de kapsamlı gizlilik yasasını yürürlüğe koyan dördüncü eyalet oldu.
EBM ve benzeri yasalar zaman geçtikçe değişikliğe tabi olacak olsa da, soru şu: işletmeler her yeni bireysel yasaya uymaya başlamalı mı yoksa ne olursa olsun kullanıcı haklarının korunduğu bir tür plan oluşturmalı mı? politika değişiklikleri açısından olur mu?
Her eyaletin kendine özgü gizlilik düzenlemeleri ile şirketlerin bu değişiklikleri takip etmesi, uyumluluğu sağlaması ve cezalardan kaçınması giderek zorlaşıyor.
Bu süreci kolaylaştırmak için, farklı eyaletlerden bazı yeni örnekleri karşılaştıracağız ve bunların iş uygulamalarını ve ayrıca kullanıcı verilerinin korunmasında gelecekteki eğilimleri nasıl etkileyebileceği konusunda fikir vereceğiz.
Bu blog yazısında, Colorado Gizlilik Yasası'na ve Nevada'nın SB20'si, Virginia'nın CDPA'sı, Kaliforniya'nın CPPA'sı ve en son CPRA'sı ve Avrupa GDPR'si gibi diğer gizlilik yasalarına karşı nasıl yığıldığına bir göz atacağız.
İlk olarak, işte bu yasaların tüm önemli hükümlerinin bir özeti:
| Temel Hükümler | Colorado EBM | Nevada SB220 | Virginia CDPA'sı | Kaliforniya CDPA + CPRA | Avrupa GDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| İşleme Yeteneği | |||||||||||||||||||||||||||||||||||
| Veri Minimizasyonu | Evet | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| İzin Verilen Amaç | Evet | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| Bireysel haklar | |||||||||||||||||||||||||||||||||||
| İşleme faaliyetlerine ilişkin bildirim alma hakkı | Evet | Evet | Evet | Evet | Evet | ||||||||||||||||||||||||||||||
| Kişisel verilere erişim hakkı | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Veri taşınabilirliği hakkı (yani, verilerin bir kuruluştan/platformdan diğerine aktarılabilmesi için kolayca kullanılabilir bir biçimde sağlanması gerekir) | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Kişisel verilerdeki hataları düzeltme hakkı | Evet | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| Kişisel verileri silme hakkı | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Davranışsal reklamcılıktan vazgeçme hakkı | Numara | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| Otomatik profil oluşturmaya ve karar vermeye itiraz etme hakkı | Numara | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| Bu hakların kullanılması için ayrımcılık yapmama hakkı | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Kişisel bilgilerin satışından vazgeçme hakkı | Evet | Evet | Evet | Evet | Numara | ||||||||||||||||||||||||||||||
| Hassas bilgilerin işlenmesini etkinleştirin veya devre dışı bırakın | Kayıt | Kayıt | Vazgeçmek | Kayıt | |||||||||||||||||||||||||||||||
| Taleplerin reddine itiraz hakkı | Numara | Evet | Numara | Numara | |||||||||||||||||||||||||||||||
| Hesap Verebilirlik/Yönetim | |||||||||||||||||||||||||||||||||||
| Veri Koruma Değerlendirmeleri | Evet | Evet | Numara | Evet | |||||||||||||||||||||||||||||||
| Güvenlik | |||||||||||||||||||||||||||||||||||
| Bilgileri Korumak için Uygun Veri Güvenliği | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| İhlal Bildirimi | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| AEA Dışına Veri Aktarımı | |||||||||||||||||||||||||||||||||||
| Uluslararası transferler için ek önlemler | Evet | Numara | Numara | Evet | |||||||||||||||||||||||||||||||
| Üçüncü Taraflara Transferler | |||||||||||||||||||||||||||||||||||
| Hizmet Sağlayıcı Sözleşmelerinde Sözleşme Gereksinimleri | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Pazarlama | |||||||||||||||||||||||||||||||||||
| Adtech çerezleri için onay | Numara | Evet | Evet | Evet | |||||||||||||||||||||||||||||||
| Doğrudan pazarlamadan önce alınan onay | Evet | Numara | Numara | Evet | |||||||||||||||||||||||||||||||
| Icra organları | |||||||||||||||||||||||||||||||||||
| Başsavcı | Başsavcı | Başsavcı, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Operasyon tarihi | |||||||||||||||||||||||||||||||||||
| 1 Temmuz 2023 | 1 Ekim 2019 | 1 Ocak 2023 | 1 Ocak 2020 / 1 Ocak 2023 | 25 Mayıs 2018 | |||||||||||||||||||||||||||||||
Tüm Bu Gizlilik Yasalarının Ortak Noktası Nedir?
EBM, GDPR, California kanunu ve Virginia kanunu gibi diğer gizlilik kanunlarına benzer. Bununla birlikte, Nevada'nın çevrimiçi olarak toplanan belirli verilerin satışına ilişkin çok daha sınırlı bir yasa çıkarması nedeniyle Nevada ile karşılaştırılmaz, bu nedenle aşağıdaki karşılaştırmanın dışında tutulur.
- Veri İşleme Sözleşmesi — Bu, tüm gizlilik yasalarında ortaktır. Basitçe söylemek gerekirse, bir kuruluşun bir hizmeti veya ürünü kullanırken gerçekleşen kişisel veri işleme faaliyetlerini tanımladığı bir yasal şablon taslağı hazırlaması gerektiği anlamına gelir. Kısaca veri işlemenin nasıl olacağı, kimin neyden sorumlu olacağı ve hangi güvenlik önlemlerinin alınacağından bahseder. Şablonumuzu 2018'de GDPR için hazırladık, burada bulabilirsiniz. Her yeni yasayla birlikte, tüm yeni yasal koşullara uyum sağlamak için şablon maddeleri güncelliyoruz.
- Gizlilik yasaları arasındaki ikinci ortak nokta, hepsinin, tüketiciler haklarını kullandıklarında hızlı ve düzgün bir şekilde yanıt vermek için kuruluşların uygun teknik ve organizasyonel önlemleri almasını gerektirmesidir. Bu hakların ne olduğu, yukarıdaki tabloda da görüldüğü gibi kanundan kanuna farklılık göstermekle birlikte, alınan tedbirler aynı kalmaktadır.
- Kişisel veri ihlali bildirimi , yasalarda yer alan bir diğer yaygın terimdir. Kişisel veri güvenliği ihlali, bir kuruluş tarafından herhangi bir biçimde tutulan kişisel verilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini etkileme potansiyeline sahip herhangi bir olaydır.
Kişisel veri güvenliği ihlalleri, aşağıdakiler de dahil olmak üzere birçok nedenden dolayı gerçekleşebilir:- gizli verilerin yetkisiz kişilere açıklanması;
- verilerin depolandığı veri veya ekipmanın kaybolması veya çalınması;
- bilgilerin yetkisiz kullanımına izin veren uygunsuz erişim kontrolleri;
- bilgisayar sistemlerine yetkisiz erişim elde etme girişimleri, örneğin bilgisayar korsanlığı; Veri "sahibi" tarafından yetkisiz olarak değiştirilen veya silinen kayıtlar;
- BT ekipmanı sistemlerine veya ağlarına yönelik virüsler veya diğer güvenlik saldırıları;
- Başkalarının bilgiye erişmesini engellemek için ekranı kilitlemeden bir kullanıcı hesabına giriş yapıldığında BT ekipmanını başıboş bırakmak;
- Yanlış alıcıya yanlışlıkla gönderilen kişisel veya hassas bilgiler içeren e-postalar.
- GDPR, CCPA, VCDPA ve CPA kapsamındaki diğer bir ortak gereklilik, herhangi bir yeni yüksek riskli işleme projesi için Veri İşleme Etki Değerlendirmeleri (DPIA'lar) yürütme sürecidir . Bir DPIA, bir projenin veya girişimin bireylerin mahremiyeti üzerinde sahip olabileceği potansiyel etkiyi sistematik olarak değerlendirme sürecidir. Kuruluşların potansiyel gizlilik sorunlarını ortaya çıkmadan önce belirlemelerine ve bunları azaltmanın bir yolunu bulmalarına olanak tanır. GDPR, ilk olarak yüksek riskli işlemeye dahil olan kuruluşlar için zorunlu DPIA'ları uygulamaya koydu; örneğin, yeni teknolojinin uygulandığı, bir profil çıkarma işleminin bireyleri önemli ölçüde etkilemesinin muhtemel olduğu veya genel olarak erişilebilir bir alanın geniş çaplı izlenmesinin olduğu yerler.
Örneğin, Convert'in kullandığı kişisel verilerinize erişim hakkınızı kullanmak için [email protected] adresine yazılı bir talep göndermelisiniz. Talepte, talebinizin ilgilendiğiniz özel gizlilik yasası kapsamındaki erişim hakkınızın kullanılması amacıyla yapıldığını belirtin. DPO'nun yazılı talebinize yanıt vermesi gerekir. Kişisel bilgilerin yanlış kişiye verilmediğinden emin olmak için DPO'nun sizden talep etmesi gereken kimliğinizi kanıtlamaya hazır olun. Yukarıdaki süreç GDPR, CCPA, CPA'ya özeldir ve Gizlilik sayfamızda zaten belgelenmiştir.
Benzer şekilde, Convert hesabınızı kapatmak, hizmetten ayrılmak ve tüm Convert verilerinizin yedeğini almak istiyorsanız, veri taşınabilirliği hakkınızı kullanabilirsiniz. Verileri indirme seçeneği hemen mevcut değilse, yukarıdaki aynı e-posta adresine bir e-posta yazabilir ve DPO'dan hizmet genelinde kullanılan verilerin bir yedeğini isteyebilirsiniz. DPO, yazılı talebiniz üzerine hareket etmelidir.
GDPR Projesinde Convert, personel için geliştirilmiş kılavuz ve DPIA'ları yürütmek için kullanılacak bir şablon. Önceden doldurulmuş tarama sorularını içeren şablonu burada bulabilirsiniz. Bu şablon o zamandan beri yeni ABD gizlilik yasalarına uyarlanmıştır.
Ama Bazı Temel Farklar Var!
GDPR kişisel verileri korur. ABD yasaları esas olarak kişisel verilerinin korunmasını tercih eden tüketicileri korur.
- Verilere karşı tüketicinin korunmasına ilişkin tartışma, tüm bu gizlilik girişimlerinin merkezinde yer almaktadır. Aynı zamanda GDPR'yi diğer tüm gizlilik yasalarından ayıran önemli bir noktadır. GDPR ile kişisel veriler, toplama, işleme, depolama ve üçüncü taraflara aktarma gibi çeşitli aşamalarda korunur. ABD yasaları, tüketicinin çevrimiçiyken ve hizmetleri kullanırken, ürünlere göz atarken veya ürünleri test ederken korunmasını sağlar. Bu nedenle, yeni bir yasa yürürlüğe girdiğinde bir şirketin Gizlilik Politikası aynı kalamaz. Yeni yasal şartları ve hükümleri yansıtmak için yeni bölümlerin eklenmesi gerekmektedir. Her bir yasaya uymak için tam olarak ne ekleyeceğinizi öğrenmek için her zaman avukatlarınıza danışın.
- Kanunlar, katılma / çıkma rejiminin kapsamı bakımından da farklılık göstermektedir. GDPR, bir katılım rejimi altında çalışır, yani Avrupa Birliği üye ülkeleri, gezindikleri sitede görünen izin başlığındaki bir onay kutusunu işaretleyerek açıkça onay verene kadar ziyaretçiden herhangi bir kişisel veri toplamaz. ABD merkezli yayıncı sitelerinde ise bunun tersi oluyor. Bir ziyaretçi veri işlemeden vazgeçmeye karar verene kadar veriler toplanabilir. California, yalnızca bir şekilde hibrit bir devre dışı bırakma/kabul etme rejimi altında çalışır. CCPA, bir kuruluşun varsayılan olarak tüketicilerin verilerini toplamasına izin verir, ancak veri toplayıcıların veri toplamadan önce tüketicilere gizlilik bildirimleri sağlamasını da gerektirir. CPA, VCDPA açık bir devre dışı bırakma rejimi altındadır.
Convert'te, şeffaflığa ve ziyaretçilerin tercihlerine değer verdiğimiz ve Kullanıcı Deneyimimizi gereksinimlerine uyacak şekilde uyarladığımız için bir katılım rejimi altında çalışıyoruz. - Uluslararası veri aktarım kurallarında da farklılıklar görülebilir. GDPR, bu aktarımlarda yine çok katıdır ve yalnızca alıcı ülke benzer gizlilik düzenlemelerine sahip olduğunda bunlara izin verir. Aksi takdirde, kuruluşların standart sözleşme maddelerini veya kullanıcıların onayını kullanmasını gerektirir. Öte yandan, CCPA ve VCDPA, bir olay meydana gelene kadar dünya çapında uluslararası veri aktarımlarına izin verir. Daha sonra organizasyon sorumlu tutulur ve para cezası uygulanır. EBM biraz hoşgörülüdür ve kuruluşların uluslararası veri aktarımları gerçekleştiğinde kullanıcıları/ziyaretçileri bilgilendirmesini gerektirir, ancak bunları kısıtlamaz.
Convert'te GDPR'ye bağlı kalırız ve istendiğinde gerekli aktarım araçlarını sağlarız (Standart Sözleşme Maddeleri, kullanıcılarımızın imzaladığı sözleşmenin bir parçasıdır). - Son olarak, yasaların gizlilik ihlallerine karşı farklı yanıt süreleri vardır. GDPR ve VCDPA, denetleyicilere veya işlemcilere gizlilik ihlallerine tepki vermeleri için 30 gün verir. CPPA'ya izin verilir, ancak CPRA ihlallerini gidermek için bir süre önermesi zorunlu değildir. EBM, 60 günlük bir yanıt süresi sunmalıdır.
Convert herhangi bir gizlilik ihlalinin parçası olmadığı için bunu test etmek kolay olmadı, ancak bu tür istekleri dahili olarak simüle ettik ve 7-10 gün içinde yanıt verebileceğimizi öğrendik. Birçok insanın ve aracın dahil olabileceği gerçeği göz önüne alındığında oldukça etkileyici.
Şirketiniz EBM'ye Hazır mı?
Bu yasaların çoğu benzer kelimelere sahiptir, bu nedenle farklılıkları tespit etmek oldukça zordur. Ancak yukarıdaki bu karşılaştırma ile sizin için daha anlaşılır hale getirmeye çalıştık. Bu gizlilik yasalarına uyum sağlamak için, bunları gözden geçirmek ve hukuk uzmanlarına danışmak için çok zaman harcamaya hazır olun.
Neyse ki, bazı önlemler evrensel olarak hepsi için geçerlidir. Bunları önceki makalelerimizden birinde listeledik, ancak burada yine hafızanızı tazelemek için:
- Kapsamlı bir veri envanteri oluşturun ve sürdürün, hem ilgili veri türlerine hem de işleme faaliyetlerinin doğasına ilişkin bilgi sağlayın.
- Hassas verilerin gereksiz riskler olmadan ayrıldığından ve yönetildiğinden emin olun.
- Veri Koruma Etki Değerlendirmelerini (DPIA) yürütmek için bir çerçeve uygulayın.
- Sektör tarafından tanınan standartlarla tutarlı olduklarından emin olmak için yürürlükte olan siber güvenlik politikalarını, uygulamalarını ve kontrollerini değerlendirin.
- Tüketicilerin kişisel bilgilerinin satışından vazgeçmelerini sağlayın (varsa).
- Kamuya açık gizlilik politikalarını, diğer değişikliklerin yanı sıra, kimliği gizlenmiş kişisel verileri yeniden tanımlamamayı taahhüt edecek ve veri işleme faaliyetleri hakkında ayrıntılı bilgi verecek şekilde güncelleyin.
- EBM kapsamında kişisel verilere erişim, düzeltme, silme ve kapsam dışında kalma konusunda tüketici taleplerini kabul etmek, izlemek, doğrulamak ve yerine getirmek için mekanizmalar geliştirin.
- Müşteri hizmetleri çalışanlarınızın, tüketici taleplerini verimli ve öngörülebilir bir şekilde karşılamak için düzenlemeler hakkında doğru bilgiye sahip olduğundan emin olun.
Önümüzdeki On Yılda Gizlilik Manzarası Nasıl Görünecek?
Veri gizliliği, bu on yılın belirleyici bir sorunu olarak ortaya çıkıyor. Bu, hem işletmelerin hem de bireylerin artık 'özel' diye bir şey olmadığının giderek daha fazla farkına vardığı, mahremiyete daha duyarlı bir dünya olacak.
Son gizlilik yasaları bize bu girişimlerin dikkatli bir şekilde planlamak, gizlilik mekanizmalarındaki boşlukları tespit etmek ve yeni politikalar, süreçler ve iyileştirme çabalarını uygulamak için yoğun çaba ve zaman gerektirdiğini öğretti. Böylece veri gizliliği ortamı hızla değişmeyecek.
Gizliliğin geleceği büyük ölçüde yazılmamış olsa da, çeşitli eğilimler onu çeşitli şekillerde şekillendiriyor. Önümüzdeki on yıl içinde bu trendlere en iyi şekilde yön veren kuruluşlar, yeni yasalara uymaya devam edenlerden daha rekabetçi olacak.
Ne olduklarını görelim.
- Çoğu tüketici, kişisel verilerini proaktif olarak koruyacaktır. Daha iyi gizlilik koruma araçları göreceğiz (aynı şekilde artık gizliliği ihlal eden araçlarımız var). Bu korumalara uymayan kuruluşlar, müşterilerini kaybetme riskiyle karşı karşıya kalacaktır.
- Sınır ötesi veri aktarımları daha kolay hale gelecek. Yabancıların giremeyeceği yerel veri krallıkları kurmak zorunda kalmayacağız.
- Gizlilik müşteri deneyimi yolculukları : Gizlilik yasalarının kültürel ve yasal beklentileri ile her şirketin veri ve teknoloji etiği konusundaki duruşuna uygun yeni projeler geliştirilecektir.
- Çalışan gizliliği kültürü: İnsan kaynakları, kapsamlı bir gizlilik kültürü geliştirmek için şirketin veri ve teknoloji değerleriyle uyumlu çalışan gizlilik programlarını kullanacaktır. Böyle bir program, işyerinde yeni teknolojiler ve veri kullanımları için gizlilik ve etik etki değerlendirmelerini gözden geçiren ve ileten bir çalışan kurulu içerebilir.
10 yılda çok şey değişebilir, ama yine de çok az şey değişebilir. Convert'te ziyaretçilerimizin ve kullanıcılarımızın gizliliğine saygı duymayı kültürümüzün bir parçası haline getirdik. 2030'da nerede olacağız? 2030 yılına kadar, bireysel özgürlüklerden ödün vermeden birlikte sorunsuz çalışan düzenleyicilerin yanı sıra, kullanıcıların gizliliğine saygı duyan işletmeler görüyoruz. Bu vizyon, Convert şirketindeki ekibimiz için en önemli olan ve sizin de bize katılacağınızı umduğumuz şeydir!
