GDPR'ye karşı CCPA: 2020 Kaliforniya Tüketici Gizliliği Yasası (ve GDPR'ye Karşı Nasıl İstiflenir) hakkında her şey

GDPR Madde 4, CCPA 1798.140

Kişisel verilerin ilgili olduğu tanımlanmış veya tanımlanabilir kişiler olarak tanımlanan veri sahipleri.

Kaliforniya'da ikamet eden olarak tanımlanan tüketiciler:

• Kaliforniya'da geçici veya geçici bir amaç dışında.
• California'da ikamet eden, ancak şu anda geçici veya geçici bir amaç için Eyalet dışında.

Tüketiciler şunları içerir:

• Ev eşyası ve hizmetlerinin müşterileri.
• Çalışanlar.
• İşletmeden İşletmeye işlemler.

Ne GDPR ne de CCPA tüzel kişiler için geçerli olmakla birlikte, her ikisi de gerçek kişiler için geçerlidir, ancak tanımlanma biçimleri farklıdır. CCPA, Kaliforniya sakinleri için geçerli olduğunu açıkça belirtirken, GDPR herhangi bir ikamet veya vatandaşlık şartı belirtmeden daha belirsiz “AB veri özneleri” terimini kullanır. CCPA, GDPR'nin yaptığı gibi yalnızca bir bireye değil, belirli bir haneye bağlanabilecek verileri de korur .

GDPR Madde 3, CCPA 1798.140

Veri denetleyicileri ve veri işlemcileri:

• AB'de kurulmuş olup, veri işlemenin AB içinde gerçekleşip gerçekleşmediğine bakılmaksızın AB kuruluşunun faaliyetleri bağlamında kişisel verileri işleyen.
• AB'de mal veya hizmet sunma veya davranışlarını izleme ile bağlantılı olarak AB veri konularının kişisel verilerini işleyen AB'de kurulmamıştır.

Aşağıdakilerden birini karşılayan, Kaliforniya'da iş yapan herhangi bir kâr amacı gütmeyen kuruluş:

• 25 milyon dolardan fazla brüt geliri var.
• Her yıl 50.000'den fazla tüketicinin, hanenin veya cihazın kişisel bilgilerini ticari amaçlarla satın alır, alır, satar veya paylaşır.
• Yıllık gelirinin yüzde 50'sini veya daha fazlasını tüketicilerin kişisel bilgilerinin satışından elde eder.

GDPR'nin kapsamı geniştir: işletmelerden kamu kurumlarına ve kar amacı gütmeyen sektöre kadar tüm kuruluşlar için geçerlidir. Bu arada CCPA, uygulanabilirliğini çok net gereksinimleri karşılayan kar amacı gütmeyen şirketlerle sınırlandırmıştır.

Coğrafi konumla ilgili olarak, GDPR, nerede olurlarsa olsunlar AB veri konularının verilerini işleyen tüm şirketler için geçerlidir. CCPA bu noktada net değildir: kendi yetki alanına giren şirketler "Kaliforniya'da iş yapıyor" olmalıdır, ancak şirketin bu eyalette mi olması veya belirli kar eşiklerini karşılaması gerekip gerekmediği konusunda netlik sağlamaz.

GDPR Madde 4, CCPA 1798.140

Kişisel veriler, kimliği belirli veya belirlenebilir bir veri sahibine ilişkin her türlü bilgidir. GDPR, işleme için yasal bir gerekçe geçerli olmadığı sürece, tanımlanmış özel kategorilerdeki kişisel verilerin işlenmesini yasaklar.

Belirli bir tüketici veya hanehalkı ile doğrudan veya dolaylı olarak tanımlayan, ilgili, açıklayan, ilişkilendirilebilen veya makul bir şekilde bağlantılı olabilecek kişisel bilgiler.

GDPR tüm kişisel veri kategorileri için geçerliyken, CCPA yalnızca Gramm-Leach-Bliley Yasası (GLBA) veya Sağlık Bilgilerinin Taşınabilirliği ve Sorumluluğu Yasası (HIPAA) gibi mevcut federal gizlilik yasalarının kapsamına girmeyen veriler için geçerlidir.

GDPR Madde 4, CCPA 1798.140

Sahte veriler kişisel veri olarak kabul edilir. Anonim veriler kişisel veri olarak kabul edilmez.

CCPA, bir işletmenin kimliği belirsizleştirilmiş veya toplulaştırılmış tüketici bilgilerini toplama, kullanma, saklama, satma veya ifşa etme yeteneğini kısıtlamaz. Bununla birlikte, CCPA, verilerin tanımlanmamış veya toplanmış olduğunu iddia etmek için yüksek bir bar oluşturur. Sahte veriler, belirli bir tüketici veya hane ile ilişkilendirilmeye devam ettiği için CCPA kapsamında kişisel bilgi olarak nitelendirilebilir.

GDPR ve CCPA kapsamındaki "takma ad" tanımı, kişisel verilerin, kişisel verilerin, ek bilgiler kullanılmadan artık kimliği belirli veya belirlenebilir bir kişiye atfedilemeyecek şekilde işlenmesi olması bakımından çok benzerdir. tanımlama için gerekli ek bilgileri ayrı ayrı tutan teknik ve organizasyonel önlemleri uygulamaya koymak.

GDPR Madde 13, CCPA 1798.100

Veri sorumluları, kişisel veri toplama ve veri işleme faaliyetleri hakkında ayrıntılı bilgi vermelidir. Bildirim, verilerin doğrudan ilgili kişiden mi yoksa üçüncü bir taraftan mı toplandığına bağlı olarak belirli bilgileri içermelidir.

İşletmeler tüketicileri aşağıdakiler hakkında bilgilendirmelidir:

• Toplanan kişisel bilgi kategorileri.
• Her kategori için kullanım amacı.

Hem GDPR hem de CCPA, kuruluşların topladıkları kişisel verilerle ne yaptıklarını açıklamalarını gerektirir. Ancak CCPA, şirketlerin son 12 aydaki veri satışlarını ve veri işlemeye ilişkin faaliyetlerini açıklamasını şart koşarken, GDPR böyle bir sınırlama getirmez.

GDPR Madde 24, CCPA 1798.150

GDPR, veri denetleyicilerinin ve veri işleyenlerin, riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri almasını gerektirir.

CCPA, veri güvenliği gerekliliklerini doğrudan dayatmaz. Ancak, bir işletmenin mevcut Kaliforniya yasalarından kaynaklanan riske uygun makul güvenlik uygulamalarını ve prosedürlerini uygulama ve sürdürme görevinin ihlalinden kaynaklanan belirli veri ihlalleri için bir dava hakkı tesis eder.

• Toplanan kişisel bilgi kategorileri.
• Her kategori için kullanım amacı.

Makul güvenlik önlemleri, bir kuruluşun koşullarına ve düzenleyicinin yorumuna göre bir dereceye kadar değişebilse de, yasal yaklaşımda büyük ölçüde benzerdir.

GDPR Madde 12 – Madde 21, CCPA 1798.120

Genişletilmiş Kişi Hakları :

• bilgilerine erişmek;
• yanlışlıklar düzeltildi;
• bilgilerin silinmesi;
• doğrudan pazarlamayı önlemek;
• otomatik karar vermeyi ve profil oluşturmayı önlemek;
• veri taşınabilirliği

Genişletilmiş Kişi Hakları :

• bilgilerine erişmek;
• yanlışlıklar düzeltildi;
• bilgilerin silinmesi;
• doğrudan pazarlamayı önlemek;
• otomatik karar vermeyi ve profil oluşturmayı önlemek;
• veri taşınabilirliği

GDPR, kuruluşların veri işleme ve verilerine üçüncü taraf erişimi için veri sahiplerinden önceden izin almalarını şart koşarken, CCPA, veri sahiplerinin verilerinin satışından vazgeçmelerine izin verir ve işletmelerin en üstte görünür bir bağlantıya sahip olmasını gerektirir. Bu amaçla ana sayfalarının.

Hem GDPR hem de CCPA, veri taşınabilirliği hakkını sunar: yani tüketicilere kişisel verilerini yaygın olarak kullanılan, makine tarafından okunabilir bir formatta sağlama ve daha sonra başka bir varlığa iletilebilir.

GDPR, bu yönde bir adım daha ileri giderek, kuruluşları bir veri sahibinin bilgilerini talep üzerine başka bir veri denetleyicisine aktarma yükümlülüğü altına sokuyor.

CCPA kapsamında, işletmelerin tüketicilere yalnızca elektronik olarak kolayca kullanılabilir bir biçimde bilgileri sağlamaları gerekmektedir.

GDPR'nin silme hakkı, ifade özgürlüğü hakkının kullanılması için gerekli veriler veya AB veya AB üye devlet yasalarına uygunluk için gerekli veriler gibi birkaç dikkate değer istisnaya sahip olsa da, CCPA bu istisnaları yalnızca ifade özgürlüğünü ve bilgiyi içermekle kalmaz, daha da genişletir. sözleşmeler için gereklidir, ancak en önemlisi, tüketicinin verileri sağladığı bağlamla uyumlu dahili kullanımlar.

GDPR Madde 8 , CCPA 1798.120

GDPR'nin varsayılan rıza yaşı 16'dır, ancak bireysel üye devletlerin yasaları yaşı 13'ün altına indirebilir.

Ebeveyn sorumluluğu olan kişi, rıza yaşının altındaki çocuklar için rıza göstermelidir. Çocuklar, yaşa uygun bir gizlilik bildirimi almalıdır.

Çocukların kişisel verileri, yüksek güvenlik gereksinimlerine tabidir.

CCPA, 16 yaşın altındaki bir tüketicinin kişisel bilgilerinin rızası olmadan satılmasını yasaklar.

13 – 16 yaş arası çocuklar doğrudan onay verebilir. 13 yaşından küçük çocuklar için ebeveyn izni gerekir.

GDPR, çocuklar için özel korumayı vurgular ve bilgi toplumu hizmetleri sağlamak için işlendiğinde çocukların kişisel verilerinin korunmasına yönelik özel hükümler sağlar.

CCPA, kişisel bilgilerin “satılması” ile ilgili olarak çocuklar için özel bir kural oluşturur, ancak bu kural bilgi toplumu hizmetleri ile sınırlı değildir.