CDPA'ya hazırlanın: Virginia Gizlilik Yasasını İmzalarken Doğu Kıyısı Batı Kıyısıyla Buluşuyor
Yayınlanan: 2021-04-22
Virginia eyaleti geçtiğimiz günlerde, şirketlerin tüketicilerin kişisel verilerini nasıl koruduğunu düzenleyen bir yasayı yürürlüğe koyan Doğu Sahili'ndeki ilk eyalet olmak için oy kullandı. Yeni yasa, teknoloji devlerinin kişisel bilgileri ele almaları konusunda yasa koyucular ve tüketicilerden gelen tepkilerle karşı karşıya kalmasıyla geliyor.
Virginia Tüketici Verilerini Koruma Yasası (CDPA) faturası 2 Mart 2021'de yasalaştı ve 2023'te yürürlüğe girecek.
2018 Kaliforniya Tüketici Gizliliği Yasası (CCPA), 2020 Kaliforniya Gizlilik Hakları Yasası (CPRA) ve hatta Avrupa'nın GDPR'sine benzer şekilde, CDPA, Amerika Birleşik Devletleri'nde gizlilik mevzuatı için bir dönüm noktası olan yılda en son gelişmedir.
Ancak diğer yasalara uyum konusunda çalışan işletmeler, başarılarına güvenmemelidir. CCPA veya CPRA'nın hükümlerinden farklı hükümlere sahip olan CDPA'ya hazırlanmaları gerekmektedir.
Bu makalede, Virginia Yasası'nın bu farklı hükümlerine bir göz atacağız ve bunları CCPA (CPRA tarafından değiştirildiği şekliyle) ve GDPR ile karşılaştıracağız.
| Temel Hükümler | Virginia CDPA'sı | Kaliforniya CCPA + CPRA | Avrupa GDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| İşleme Yeteneği | |||||||||||||||||||||||
| Veri Minimizasyonu | Evet | Numara | Evet | ||||||||||||||||||||
| İzin Verilen Amaç | Evet | Numara | Evet | ||||||||||||||||||||
| Bireysel haklar | |||||||||||||||||||||||
| İşleme faaliyetlerine ilişkin bildirim alma hakkı | Evet | Evet | Evet | ||||||||||||||||||||
| Kişisel verilere erişim hakkı | Evet | Evet | Evet | ||||||||||||||||||||
| Veri taşınabilirliği hakkı (yani, verilerin bir kuruluştan/platformdan diğerine aktarılabilmesi için kolayca kullanılabilir bir biçimde sağlanması gerekir) | Evet | Evet | Evet | ||||||||||||||||||||
| Kişisel verilerdeki hataları düzeltme hakkı | Evet | Numara | Evet | ||||||||||||||||||||
| Kişisel verileri silme hakkı | Evet | Evet | Evet | ||||||||||||||||||||
| Davranışsal reklamcılıktan vazgeçme hakkı | Evet | Numara | Evet | ||||||||||||||||||||
| Otomatik profil oluşturmaya ve karar vermeye itiraz etme hakkı | Evet | Numara | Evet | ||||||||||||||||||||
| Bu hakların kullanılması için ayrımcılık yapmama hakkı | Evet | Evet | Evet | ||||||||||||||||||||
| Kişisel bilgilerin satışından vazgeçme hakkı | Evet | Evet | Numara | ||||||||||||||||||||
| Hassas bilgilerin işlenmesini etkinleştirin veya devre dışı bırakın | Kayıt | Vazgeçmek | Kayıt | ||||||||||||||||||||
| Taleplerin reddine itiraz hakkı | Evet | Numara | Numara | ||||||||||||||||||||
| Hesap Verebilirlik/Yönetim | |||||||||||||||||||||||
| Veri Koruma Değerlendirmeleri | Evet | Numara | Evet | ||||||||||||||||||||
| Güvenlik | |||||||||||||||||||||||
| Bilgileri Korumak için Uygun Veri Güvenliği | Evet | Evet | Evet | ||||||||||||||||||||
| İhlal Bildirimi | Evet | Evet | Evet | ||||||||||||||||||||
| AEA Dışına Veri Aktarımı | |||||||||||||||||||||||
| Uluslararası transferler için ek önlemler | Numara | Numara | Evet | ||||||||||||||||||||
| Üçüncü Taraflara Transferler | |||||||||||||||||||||||
| Hizmet Sağlayıcı Sözleşmelerinde Sözleşme Gereksinimleri | Evet | Evet | Evet | ||||||||||||||||||||
| Pazarlama | |||||||||||||||||||||||
| Adtech çerezleri için onay | Evet | Evet | Evet | ||||||||||||||||||||
| Doğrudan pazarlamadan önce alınan onay | Numara | Numara | Evet | ||||||||||||||||||||
| Icra organları | |||||||||||||||||||||||
| Başsavcı | Başsavcı, CPPA | DPA | |||||||||||||||||||||
| Operasyon tarihi | |||||||||||||||||||||||
| 1 Ocak 2023 | 1 Ocak 2020 / 1 Ocak 2023 | 25 Mayıs 2018 | |||||||||||||||||||||
CCPA veya GDPR ile uyumluluğu sağlamak için çalışan işletmeler, bu yasaların pek çok benzer laf kalabalığı ve terminolojisi olduğunu görecektir; ancak, Virginia yasasının aynı şartlara sahip olduğunu varsaymak yanlış olur.
CCPA ve GDPR ile benzerlikler olsa da, CDPA her kuruluşa özgü olması muhtemel nüanslar içerir.
Bunu okurken bunalıyorsanız, yeni gizlilik yasasına uyumun üstesinden gelmeye yardımcı olmak için aşağıda verdiğimiz adım adım talimatlara göz atın.
İlk olarak, kuruluşunuzdaki avukatların, BT uzmanlarının ve gizlilik uzmanlarının yasanın işletmenize uygulanmasını değerlendirmesini sağlayın. Ardından, boşlukları belirleyin ve bu sorunlara yönelik çözümleri içeren bir uyum planı geliştirin.
Daha fazla ayrıntıya girelim, olur mu?
CDPA ile uyumluluğu sağlamak için yapmanız gerekenler:
- Kapsamlı bir veri envanteri oluşturun ve sürdürün, hem ilgili veri türlerine hem de işleme faaliyetlerinin doğasına ilişkin bilgi sağlayın.
- Hassas verilerin gereksiz riskler olmadan ayrıldığından ve yönetildiğinden emin olun.
- Veri Koruma Etki Değerlendirmelerini (DPIA) yürütmek için bir çerçeve uygulayın.
- Sektör tarafından tanınan standartlarla tutarlı olduklarından emin olmak için yürürlükte olan siber güvenlik politikalarını, uygulamalarını ve kontrollerini değerlendirin.
- Tüketicilerin kişisel bilgilerinin satışından (geçerli olduğu durumlarda) vazgeçmelerini sağlayın.
- Kamuya açık gizlilik politikalarını, diğer değişikliklerin yanı sıra, kimliği gizlenmiş kişisel verileri yeniden tanımlamamayı taahhüt edecek ve veri işleme faaliyetleri hakkında ayrıntılı bilgi verecek şekilde güncelleyin.
- CDPA kapsamında kişisel verilere erişme, bunları düzeltme, silme ve devre dışı bırakmaya yönelik tüketici taleplerini kabul etmek, izlemek, doğrulamak ve yerine getirmek için mekanizmalar geliştirin.
- Müşteri hizmetleri çalışanlarınızın, tüketici taleplerini verimli ve öngörülebilir bir şekilde karşılamak için düzenlemeler hakkında doğru bilgiye sahip olduğundan emin olun.
Son olarak, 2023 uzak bir gelecek gibi görünse de uyum planınızı oluşturmayı ertelemeyin.
Diğer son gizlilik yasaları bize bir şey öğrettiyse, o da bu girişimlerin dikkatli bir şekilde planlamak, gizlilik mekanizmalarınızdaki boşlukları tespit etmek ve yeni politikalar, süreçler ve iyileştirme çabalarını uygulamak için yoğun çaba ve zaman gerektirmesidir.
New York ve Washington gibi daha fazla eyalet tüketici gizliliğini koruma yasalarını yürürlüğe koymaya başladığı için CDPA uyum çabalarına başlamak için çok erken değil.
Tüketici gizliliğini koruma yasalarını veya yasalarını geçirmede daha fazla eyalet yasama organı aktif hale geldikçe, bir şey netleşiyor: müşteri gizliliğinin sağlanması artık sonradan düşünülemez. İş modelinize göre pişirilmelidir.
