Utah: Veri Gizliliği Yasasını Geçirecek Başka Bir Eyalet, UCPA
Yayınlanan: 2022-05-31
2022 yılının Mart ayında, Utah Valisi Spencer J. Cox, Utah Tüketici Gizliliği Yasası (UCPA) olarak da bilinen Senato Tasarısı (SB) 227'yi yasalaştırdı.
UCPA, Utah tüketicilerine kişisel bilgileri üzerinde önemli gizlilik hakları veren sektörler arası bir gizlilik yasasıdır. Kimliği belirli veya belirlenebilir bir kişiye bağlı her türlü veri, kişisel veri olarak bilinir. Ek uyumluluk gereksinimleri, daha kesin olarak tanımlanmış "hassas veri" kategorileri için geçerlidir. Yasa 31 Aralık 2023'te yürürlüğe girecek.
UCPA, California, Virginia, Nevada ve Colorado tüketici mahremiyet yasalarına benzer ancak aynı değildir. Virginia Tüketici Verilerini Koruma Yasası'ndan (VCDPA) büyük ölçüde ilham almıştır ve bazı VCDPA benzeri öğeler Colorado Gizlilik Yasası'nda da bulunabilir.
İlk bakışta, UCPA'nın bazı özellikleri Kaliforniya Tüketici Gizliliği Yasası'na (CCPA) benzer görünmektedir. Ancak pratikte, tüketici mahremiyetine yönelik öncekilerden daha yumuşak, daha iş dostu bir yaklaşımdır .
UCPA Diğer Devlet Gizlilik Yasalarından Ne Kadar Farklıdır?
UCPA hükümlerinin aşağıdakilerle üst düzey bir karşılaştırmasını burada bulabilirsiniz:
- Colorado Gizlilik Yasası (EBM)
- Nevada Eyaleti Gizlilik Yasası (SB200)
- VCDPA
- CCPA (California Gizlilik Hakları Yasası (CPRA) tarafından değiştirildiği şekliyle)
- Genel Veri Koruma Yönetmeliği (GDPR)
| Temel Hükümler | Utah UCPA | Colorado EBM | Nevada SB220 | Virginia CDPA'sı | Kaliforniya CCPA + CPRA | Avrupa GDPR | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| İşleme Yeteneği | |||||||||||||||||||||||||||||||||||||||||
| Veri Minimizasyonu | Evet | Evet | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| İzin Verilen Amaç | Evet | Evet | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Bireysel haklar | |||||||||||||||||||||||||||||||||||||||||
| İşleme faaliyetlerine ilişkin bildirim alma hakkı | Evet | Evet | Evet | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Kişisel verilere erişim hakkı | Evet | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Veri taşınabilirliği hakkı. Veriler, bir varlıktan/platformdan diğerine aktarım için kolayca kullanılabilir bir biçimde mevcut olmalıdır. | Evet | Evet | . | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Kişisel verilerdeki hataları düzeltme hakkı | Numara | Evet | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Kişisel verileri silme hakkı | Evet | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Davranışsal reklamcılıktan vazgeçme hakkı | Evet | Numara | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Otomatik profil oluşturmaya ve karar vermeye itiraz etme hakkı | Evet | Numara | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Bu hakların kullanılması için ayrımcılık yapmama hakkı | Evet | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Kişisel bilgilerin satışından vazgeçme hakkı | Evet | Evet | Evet | Evet | Evet | Numara | |||||||||||||||||||||||||||||||||||
| Hassas bilgilerin işlenmesini etkinleştirin veya devre dışı bırakın | Vazgeçmek | Kayıt | - | Kayıt | Vazgeçmek | Kayıt | |||||||||||||||||||||||||||||||||||
| Taleplerin reddine itiraz hakkı | Numara | Numara | - | Evet | Numara | Numara | |||||||||||||||||||||||||||||||||||
| Hesap Verebilirlik/Yönetim | |||||||||||||||||||||||||||||||||||||||||
| Veri Koruma Değerlendirmeleri | Numara | Evet | - | Evet | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Güvenlik | |||||||||||||||||||||||||||||||||||||||||
| Bilgileri korumak için Uygun Veri Güvenliği | Numara | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| İhlal Bildirimi | Evet | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Avrupa Ekonomik Alanı (AEA) Dışına Veri Aktarımı | |||||||||||||||||||||||||||||||||||||||||
| Uluslararası transferler için ek önlemler | Evet | Evet | - | Numara | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Üçüncü Taraflara Transferler | |||||||||||||||||||||||||||||||||||||||||
| Hizmet Sağlayıcı Sözleşmelerinde Sözleşme Gereksinimleri | Numara | Evet | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Pazarlama | |||||||||||||||||||||||||||||||||||||||||
| Adtech çerezleri için onay | Numara | Numara | - | Evet | Evet | Evet | |||||||||||||||||||||||||||||||||||
| Doğrudan pazarlamadan önce alınan onay | Numara | Evet | - | Numara | Numara | Evet | |||||||||||||||||||||||||||||||||||
| Icra organları | |||||||||||||||||||||||||||||||||||||||||
| Utah Ticaret Bakanlığı | Başsavcı | - | Başsavcı | Başsavcı, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Operasyon tarihi | |||||||||||||||||||||||||||||||||||||||||
| 31 Aralık 2023 | 1 Temmuz 2023 | 1 Ekim 2019 | 1 Ocak 2023 | 1 Ocak 2020/ 1 Ocak 2023 | 25 Mayıs 2018 | ||||||||||||||||||||||||||||||||||||
Yukarıdaki tablodan da anlaşılacağı gibi, CCPA, CPRA, VCDPA ve CPA'ya uyan şirketler, UCPA'nın kriterlerini karşılama konusunda büyük olasılıkla hiçbir sorun yaşamayacaklardır.
UCPA, GDPR'nin "denetleyici" ve "işleyici" terminolojisini kullanır ve tüketicilere iddia edilen ihlaller için özel bir dava hakkı sunmaz. Diğer tüm hükümet düzenlemeleri gibi , tüketicilere kişisel bilgilerinin kontrolünü verir .
Bununla birlikte, aynı zamanda bazı hayati ayrımlar da yapar.
Örneğin, UCPA tüketicilere kişisel verilerindeki hataları düzeltme hakkı vermez ve kontrolörlerin belirli işleme operasyonlarının veri koruma etki değerlendirmelerini (DPIA'lar) yürütmesini gerektirmez.
UCPA, kapsam dahilindeki işletmelere, tüketicilere hassas verilerini işlemeden önce bildirimler ve kapsam dışında kalma fırsatı vermelerini zorunlu kılar.
Bu, hassas verileri toplamak ve işlemek için katılım izni gerektiren VCDPA ve CPA ile çelişir. Ayrıca, doğrudan Başsavcıya (AG) gitmek yerine, tüketici şikayetleri, endişeleri AG'ye iletebilecek olan Utah Ticaret Bakanlığı aracılığıyla yönlendirilir.
UCPA'nın Temel Hükümleri
İşte UCPA'nın bazı önemli hükümleri.
Kişisel Verilerin ve Hassas Verilerin Geniş Tanımlanması
UCPA'ya göre kişisel veriler, kimliği belirli veya belirlenebilir bir kişiyle ilgili veya makul bir şekilde ilişkilendirilebilecek herhangi bir bilgidir. Diğer kişisel veri türleri için geçerli olmayan ek standartlara ve sınırlamalara tabi olan belirli veri türlerini “hassas veri” olarak sınıflandırır.
Daha Az Veri Sahibi Hakları
Tüketicilerin UCPA kapsamında dört temel hakkı vardır:
- Erişim hakkı: Bir kontrolörün tüketicinin kişisel verilerini işleyip işlemediğini bilme ve bu verilere erişim hakkı.
- Silme hakkı: Tüketicinin veri sorumlusuna vermiş olduğu kişisel verilerin silinmesini isteme hakkı.
- Taşınabilirlik hakkı: Daha önce kontrolöre sağlanan tüketicinin kişisel verilerinin bir kopyasını taşınabilir ve kolay erişilebilir bir biçimde alma, tüketicilerin verileri herhangi bir kısıtlama olmaksızın başka bir kontrolöre iletmesine izin verme hakkı.
- Vazgeçme hakkı: Kişisel verilerin “hedefli reklam” ve “satış” için işlenmesini reddetme hakkı.
Tüm bu önemli haklara rağmen, UCPA, diğer eyalet yasalarının aksine, tüketicilere yanlış kişisel bilgileri düzeltme olanağı sunmaz.
Erişilebilir ve Açık Gizlilik Bildirimleri
UCPA ayrıca kontrolörlerin tüketicilere en azından aşağıdaki bilgileri içermesi gereken bir bildirim sağlamasını gerektirir:
- Kontrolörün işlediği kişisel veri türleri
- Farklı veri kategorilerinin işlenme amaçları
- Müşteriler haklarını nasıl kullanabilir?
- Veri sorumlusunun varsa üçüncü kişilerle paylaştığı kişisel veri türleri
- Varsa , denetleyicinin kişisel veri alışverişinde bulunduğu üçüncü taraflar
Daha Hafif Veri İşleme Sözleşmeleri (DPA)
UCPA, daha hafif Veri işleme Anlaşmaları içerir ve bir denetleyicinin bir işlemciye bağlanmasını gerektirir. Bu işlemci, denetleyici için kişisel verileri yönetir ve işler.
Denetleyici ve işlemcinin girdiği terimler şunları belirtmelidir:
- Sözleşmenin niteliği ve amacı
- İşlem süresi
- Veri konusunun türü
- Her bir tarafın hak ve yükümlülükleri
İşleyiciler ayrıca tüm alt yüklenicileri gizliliği korumaya ve bunları yalnızca belgelenmiş bir sözleşme yoluyla görevlendirmeye mecbur bırakmalıdır . Bu sözleşme, bir işlemci adına verilerle ilgileniyorsa, alt yükleniciyi bir işlemci olarak kabul eder.
Diğer gizlilik yasalarından farklı olarak, UCPA, işlemcileri denetlemek veya denetleyicilerin bir işlemciyi taşeronluktan vazgeçmelerine izin vermek için veri işleme şartları gerektirmez.
Tanıdık Güvenlik Gereksinimleri
UCPA'nın güvenlikle ilgili bir bölümü vardır. Kontrolörlerin, kişisel verilerin güvenliğini sağlamak ve işlemenin boyutuna, kapsamına, hacmine ve doğasına bağlı olarak tüketicilere yönelik öngörülebilir zarar risklerini ortadan kaldırmak için uygun idari, teknik ve fiziksel veri güvenliği uygulamalarını kullandığını belirtir.
Convert'in UCPA Uyumluluk Kontrol Listesi
Utah'ta faaliyet gösteren kuruluşlar, UCPA'yı diğer eyalet yasalarıyla aynı şekilde değerlendirmelidir. Ancak, uyum söz konusu olduğunda her kutuyu işaretlemek zor olabilir.
Kuruluşların UCPA'nın inceliklerinde gezinmelerine yardımcı olmak için bu kullanışlı uyumluluk kontrol listesini derledik.
İşte aklınızda bulundurmanız gerekenler:
- İşletmenizin UCPA kapsamında olduğundan emin olun . Kuruluşlar, mali ve veri hacmi eşiği de dahil olmak üzere UCPA'nın yetki alanı eşiğini karşılayıp karşılamadıklarını değerlendirmelidir.
- Gizlilik politikanızı yeniden gözden geçirin. Gizlilik politikanızı kişisel verilerin işlenmesini, ek tüketici haklarının bildirilmesini ve tüketicilerin bu hakları kullanmaları için yöntemlerin belirlenmesini yansıtacak şekilde gözden geçirin.
- Verilerinizi korumak için makul veri güvenliği uygulamalarını kullanın. Endüstri standartlarını karşıladıklarından emin olmak için siber güvenlik politikalarınızı, uygulamalarınızı ve kontrollerinizi inceleyin.
- Ziyaretçilerin (varsa) kişisel verilerinin işlenmesinden vazgeçmelerine izin verin. Utah sakinlerine, bir şirketin kişisel bilgilerini hedefli reklamcılık için satması veya kullanması durumunda vazgeçme haklarını kullanmaları için bir yol sağlayın.
- Hassas bir veri toplama mekanizması uygulayın. İşletmeler, tüketicilere bir uyarı ve devre dışı bırakma fırsatı vermeden hassas verileri toplamamalıdır. Bu yükümlülüğe uymak için şirketler uygun devre dışı bırakma sistemlerini uygulamalıdır.
- Tüketici sorularını hemen alın ve yanıtlayın. UCPA erişim ve silme haklarını kullanmak için tüketici taleplerini kabul etmek, izlemek, onaylamak ve yerine getirmek için prosedürler geliştirin.
Dönüştür Tüm Gizlilik Yasalarına Saygı Gösterir (AB + ABD)
Utah yasalarına uygunluk, diğer eyalet yasalarıyla aynı şekilde ele alınmalı ve yalnızca Utah'ta ikamet edenler için geçerli olduklarını netleştirmek için küçük dil değişiklikleri yapılmalıdır. UCPA, açıkça belirtilmesi gereken, devre dışı bırakma mesajlarının farklı coğrafi hedeflemesini gerektirebilir.
Convert, devlet gizliliği ve siber güvenlik mevzuatını yakından takip eder. "UCPA'ya nasıl hazırlanılacağı" ve diğer yeni ABD gizlilik yasaları hakkında daha fazla bilgi için GDPR yol haritamıza bakın.
