Her Markanın CCPA Hakkında Bilmesi Gereken Temel Şeyler

Yayınlanan: 2019-12-21

2018'de Avrupa Genel Veri Koruma Yönetmeliği'nin (GDPR) yürürlüğe girmesi, Avrupa ve dünya genelindeki işletmeler için veri gizliliği ortamını yeniden şekillendirdi ve tüketici verilerinin gizliliğini ve güvenliğini, müşteri katılımını önemseyen herkes için önemli bir konu haline getirdi.

1 Ocak 2020'de yürürlüğe girmesi planlanan Kaliforniya Tüketici Gizliliği Yasası (CCPA) ile GDPR'nin başlattığı gizlilik devrimi, Amerikan şirketleri için yuvaya döndü. Bu yeni mevzuat büyük bir konu ve markalar için, özellikle de uyumlu hale gelmek için çalışmaya başlamamış olanlar için korkutucu olabilir. Braze müşterilerimize veya başkalarına yasal tavsiye sağlayamazken, CCPA ve genel olarak veri gizliliği söz konusu olduğunda düşünmeniz gereken bazı temel konularda size yol gösterebiliriz. Hızlanmak için okumaya devam edin:

Temeller

CCPA nedir?

CCPA, başlangıçta Kaliforniya eyalet hükümeti tarafından Haziran 2018'de kabul edilen Kaliforniya Tüketici Gizliliği Yasası'nın kısaltmasıdır. Yasa, Kaliforniya'da ikamet eden kişiler için yeni gizlilik ve tüketici korumaları sağlar. CCPA'nın uygulanması 1 Ocak 2020'de başlayacaktır.

Kaliforniya neden CCPA'yı geçti?

2018'de, Cambridge Analytica skandalı da dahil olmak üzere bir dizi veri gizliliği olayının ardından, "Californians for Consumer Privacy" (Tüketici Gizliliği için Kaliforniyalılar) adlı bir savunuculuk grubu, seçmenler tarafından kabul edilirse son derece katı yeni bir tüketici gizliliği yasası oluşturacak bir eyalet oylama girişimi önerdi.

Bu çabayı önlemek için, Kaliforniya yasama organı CCPA'yı tanıttı ve kabul etti, bu da Kaliforniyalıların Tüketici Gizliliği için girişimlerini geri çekmelerine yol açtı. CCPA'nın Amerika Birleşik Devletleri'nde tüketici veri gizliliği hakları konusunda yeni bir çığır açtığı düşünülürken, önerilen girişimden daha az katı gereksinimlere sahiptir.

Kaliforniya sakinlerinin CCPA kapsamında hangi hakları vardır?

CCPA kapsamında, California sakinleri, kişisel bilgilerini (PI) kimin topladığını ve bu bilgilerle ne yapıldığını bilme hakkına sahiptir ve bilgilere erişme, silme, "satıştan vazgeçme" hakkına sahiptir. ” kişisel bilgilerinin saklı tutulması ve tüm bu hakların ayrım gözetilmeksizin kullanılması – yani vazgeçmeyen kişilere sağlanan menfaat veya haklardan mahrum bırakılamaz.

CCPA, merkezi Kaliforniya dışında olan kuruluşlar için geçerli midir?

Yasa, Kaliforniya'da 25 milyon dolar veya daha fazla gelirle iş yapan tüm kuruluşların yanı sıra 50.000 veya daha fazla Kaliforniya sakininden veri toplayan veya gelirlerinin en az %50'sini kişisel bilgileri "satmaktan" elde eden işletmeler için geçerlidir. Bu, büyük olasılıkla eyalette yerleşik çoğu şirketi ve ayrıca Kaliforniya sakinlerini içeren kitlelere sahip birçok ABD ve uluslararası kuruluşu içerir.

CCPA ve Veri

Hangi veriler CCPA tarafından düzenlenir?

CCPA, yalnızca bir iş amacı ile bağlantılı olarak "kişisel bilgilerin" toplanmasını, satılmasını ve açıklanmasını kapsar. Bununla birlikte, sosyal medya şirketleri, veri komisyoncuları ve çevrimiçi davranışsal reklamcılar tarafından işlenen büyük miktardaki veriyi hedefleme hedefiyle kabul edildiğinden, ona geniş kapsamlı bir etki sağlayan bir dizi katı gereksinime sahiptir.

CCPA kapsamında PI, bir kişiyi tanımlayabilen her şeyi (ad, adres, e-posta, banka hesap numarası, doğum tarihi, biyometrik bilgi, parmak izi vb.) ve ayrıca ev verileri, ses, termal ve koku alma bilgilerini içerir. Bu nedenle, CCPA kapsamındaki PI tanımı, bunu, gizlilik haklarıyla ilgili dünyadaki en geniş yasalardan biri haline getirir.

Markalar, CCPA kapsamında müşterilere hangi bilgileri ifşa etmek zorundadır?

CCPA, her yıl güncellenmesi gereken ayrıntılı açıklama gerekliliklerini içerir; şirketler, son 12 ay içinde bir iş amacıyla topladıkları, "sattıkları" ve ifşa ettikleri kişisel bilgileri ifşa etmeli ve California sakinlerinin kişisel bilgileri söz konusu olduğunda ifşa, erişim ve devre dışı bırakma haklarına sahip olmasını sağlamalıdır. Kuruluşların ayrıca topladıkları PI kategorilerini ve bu bilgileri toplamanın amacının ne olduğunu açıklamaları gerekir ve bunu bir web sitesi, etkinlik veya başka bir şey olsun, toplama noktasında yapmalıdırlar.

CCPA "satışı" nasıl tanımlar?

CCPA, "satmayı" çok geniş bir şekilde tanımlar ve çok az kişinin veri satışıyla ilişkilendireceği faaliyetleri kapsar. CCPA'ya göre satış, yalnızca para karşılığında kişisel bilgilerin aktarılması anlamına gelmez; kanun ayrıca satışın “kiralama, serbest bırakma, ifşa etme, yayma, kullanıma sunma, aktarma veya sözlü, yazılı olarak başka bir şekilde iletişim kurma, veya elektronik veya diğer yollarla, bir tüketicinin kişisel bilgileri işletme tarafından başka bir işletmeye veya üçüncü bir tarafa parasal veya diğer değerli karşılıklar için."

Kanun “diğer değerli hususları” tanımlamadığından ve “satış” tanımı veri paylaşımını içerdiğinden, veri satmayan birçok markanın (kelimenin yerel anlamıyla) veri paylaşımı yapması gerekebilir. yasaya uymak için yapsalar bile. "Diğer değerli hususlar" herhangi bir değer olarak kabul ediliyor, bu nedenle kişisel veriler üçüncü bir tarafla paylaşılıyorsa ve bunun her iki taraf için de herhangi bir değeri varsa, bu CCPA kapsamında potansiyel olarak bir "satış"tır ve bu, CCPA'nın dünyadaki en geniş gizlilik yasaları arasında sayılmasının nedenleri.

CCPA kapsamında kişisel bilgileri "sattığı" kabul edilen markalar için özel gereksinimler var mı?

Bir şirket, CCPA kapsamında Kaliforniya'da ikamet eden bir kişinin PI'sini "satıyorsa", o kuruluşun web sitesine, bireylerin kişisel bilgilerinin "satışını" devre dışı bırakmalarına olanak tanıyan belirgin bir "Kişisel Bilgilerimi Satma" bağlantısını eklemesi gerekir. bilgi. Bunu yapmayan markalar olası para cezaları ve diğer cezalarla karşı karşıya kalır.

CCPA'nın reşit olmayanlardan bilgi toplama konusunda kuralları var mı?

CCPA, yetişkinlerin veri toplamayı devre dışı bırakmasına izin verir ve bu devre dışı bırakmanın ardından en az 12 ay boyunca işletmelerin verilerini toplamak için yeniden izin istemelerini engeller. Ancak, 16 yaşından küçük çocuklar için kurallar önemli ölçüde daha katıdır ve kişisel bilgilerinin toplanması için bir tercih yapılmasını gerektirir. Ve 12 yaşın altındaki çocuklar için, ebeveyn izni olmadan hiçbir kişisel bilgi toplanamaz (örneğin, ebeveyn veya diğer vasi, çocuğu tercih etmelidir).

CCPA, yasa çıkmadan önce toplanan veriler için geçerli mi?

CCPA'ya tabi bir şirket kişisel bilgiler toplarsa, veriler CCPA'nın yürürlüğe girmesi için 1 Ocak 2020 tarihinden önce toplanmış olsa bile bu şirketin CCPA gerekliliklerine uyması gerekir. Bu, Kaliforniya'da ikamet eden bir tüketicinin kişisel bilgileriyle ilgili tüm haklarını kullanabileceği anlamına gelir; örneğin, tüketici markanızdan kendileri hakkında beş yıl önce topladığınız verileri silmesini isteyebilir ve CCPA kapsamında markanız bunu yapmakla yükümlü olacaktır. böyle yap.

CCPA Uygulaması

CCPA için son başvuru tarihi ne zaman?

CCPA ilk olarak Haziran 2018'de kabul edilmiş olsa da, kuruluşlara yasaya uymaları gerekmeden önce 1 Ocak 2020'ye kadar süre verildi.

CCPA'ya uymamanın cezaları nelerdir?

California başsavcısı, CCPA'nın ihlali nedeniyle kuruluşlara 2.500 dolara kadar para cezası verme yetkisine sahiptir; ancak, bu kuruluşların bir uyumsuzluk bildirimine yanıt vermek için 30 günleri olacak ve bu süre içinde sorunu ele alırlarsa para cezasına çarptırılmayacaktır. Anlaşılması gereken önemli bir nokta, bu para cezaları her bir ihlal için geçerlidir, bu nedenle ihlalden 100 kişi etkilenirse, olası para cezası 2.500 ABD Doları yerine 250.000 ABD Doları olacaktır. Buna ek olarak, uyumsuzluğun kasıtlı olduğu tespit edilirse, cezalar ihlal başına toplam 7.500 ABD Dolarına kadar çıkabilir ve bu da markalar için önemli finansal etki potansiyelini daha da yükseltir.

CCPA ayrıca, Kaliforniya sakinlerinin yasaları ihlal ettiğini düşündükleri kuruluşlara karşı şikayette bulunmalarına ve kişi başına 750$'a varan potansiyel ödemelere izin verir.

Ek olarak, CCPA kapsamında özel bir dava hakkı vardır; yani kişi, bir şirketin CCPA'nın güvenlik gereksinimlerine uymadığına ve o kişinin PI'sine ilişkin bir veri ihlali olduğuna inanırsa, bir kişi dava açabilir. Bu bireysel dava hakkı, teorik olarak bu tür davaları açma fırsatını sabırsızlıkla bekleyen ve büyük tazminatları geri almak isteyen birkaç davacı avukatının bulunduğu Kaliforniya'nın ihtilaflı ortamında özellikle caydırıcı bir olasılık olan toplu davalara yol açabilir. geniş davacı sınıfları adına. Ödüller, maruz kalınan fiili zararları aşabilir ve bu olasılığı özellikle CCPA'ya tabi şirketler için korkutucu hale getirir. Ek olarak, mevcut inceleme altındaki önerilen düzenlemeler, tüzüğün güvenlik gereksinimlerinin ihlal edildiği durumlarda yalnızca izin vermek yerine, CCPA'nın tüm ihlalleri için özel bir dava hakkı uygulamayı düşünüyor.

CCPA uyumluluğu söz konusu olduğunda kuruluşlar nereden başlamalı?

Kuruluşlar, web sitelerinde ve Kaliforniya'da ikamet edenlerden kişisel bilgi toplamanın tüm noktalarında uygun açıklamaları içermelerini sağlamalıdır. Tüm CCPA taleplerine uyabilmelidirler ve CA sakinlerinin kişisel bilgilerini "sadıkları" kabul edilirlerse, web sitelerinde belirgin bir şekilde "Verilerimi Satma" düğmesini içermelidirler.

Halihazırda GDPR uyumlu olan kuruluşlar, CCPA uyumluluğu yolunda ilerliyor, ancak iki yasanın gereksinimleri aynı değil ve şirketler, güvenilir danışmanlarından tavsiye almaları için teşvik ediliyorlar. 1 Ocak 2020'den önceki CCPA gerekliliklerine uygundur.

CCPA ve GDPR

CCPA ve GDPR nasıl farklıdır?

Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) 2016'da kabul edildi ve Avrupa'nın çoğunda, bireylerin kendi kişisel verilerini kontrol etme konusunda temel bir hakka sahip olduklarına dair örtük inançtan ilham aldı. Öte yandan CCPA, California eyaletinin sakinlerinin mahremiyetini koruma ve onları kişisel bilgilerin kötüye kullanılmasından (kimlik hırsızlığı, mali dolandırıcılık, itibar hasarı, taciz vb.) .

Bu farklılıklar göz önüne alındığında, GDPR öncelikle etkilenen her bireyin kişisel verilerin sahipliğini ve kontrolünü sağlamaya odaklanırken, CCPA çevrimiçi şirketlerin Kaliforniya sakinlerinin bilgisi ve rızası olmadan büyük miktarda kişisel bilgi içeren işlemleri gerçekleştirme becerisini hedeflemeye odaklandı. Özetle, GDPR, verilerin depolanması, bunlara erişilmesi ve aktarılması dahil olmak üzere kişisel verilerin işlenmesiyle ilgili tüm faaliyetler için geçerlidir. Ancak CCPA, yalnızca bir iş amacıyla kişisel bilgilerin toplanması, "satılması" ve açıklanması için geçerlidir.

CCPA ve GDPR hangi açılardan birbirini tamamlar?

Hem CCPA hem de GDPR, bireylerden kişisel bilgiler toplayan kuruluşların bu kişisel bilgilerle ne yapacaklarını açıklamalarını gerektirir ve her iki yasa da kendi kişisel bilgileriyle ilgili olarak üçüncü taraflara bir dizi benzer haklar sağlar. Ek olarak, her iki yasa da bireylerin kendi kişisel bilgileri üzerinde rıza, şeffaflık ve kontrol sağlamasını gerektirir ve her iki yasa da gereksinimleri karşılamayanlara para cezası verir.

AB ve Kaliforniya arasındaki düzenleyici ortamlardaki farklılıkların sırasıyla CCPA ve GDPR'nin uygulanmasını etkilemesi bekleniyor mu?

Kaliforniya, Avrupa Birliği'nden çok daha fazla ihtilaflı bir ortam olduğundan ve Kaliforniya'daki düzenleyicilerin yeni yılda başlayan yasayı sıkı bir şekilde uygulamaya çalışacağı beklentisi nedeniyle, CCPA'ya uymadıkları için daha fazla kuruluşun para cezasına çarptırıldığını görmemiz olasıdır. GDPR uygulaması başladığında yaptığımızdan daha fazla. Bu göz önüne alındığında, CCPA'ya agresif bir şekilde uyum sağlamak yerine bekleyip görmeyi seçen kuruluşların ciddi bir risk alması muhtemeldir.