Kaliforniya Gizlilik Hakları Yasası (CPRA): İşinizi Nasıl Hazırlarsınız?

Yayınlanan: 2022-07-14

Kaliforniya'da ikamet ediyor musunuz? Eğer öyleyseniz, o zaman CPRA endişelenmeniz gereken bir şeydir. Özellikle orada bir iş açmak ve tüketicilerinizden hassas bilgiler toplamak istiyorsanız.

GDPR gibi, CPRA da Amerika Birleşik Devletleri için standartlar belirlemek ve tüketicilerin kişisel verilerinin yanlış anlaşılmasını ve kötüye kullanılmasını önlemek için oluşturulmuştur. Ayrıca, CPRA 2023'ün başına kadar uygulanamayacak olsa da, 1 Ocak 2022'den sonra toplanan her türlü veri CPRA'ya tabidir.

CPRA hakkında öğrenilecek çok şey var ve size anlatacak daha çok şeyimiz var. Bu yüzden hiçbir yere gitmeyin çünkü bu yazıda CPRA'yı yoğun bir şekilde tartışacağız.

İşinizi CPRA'ya nasıl hazırlarsınız?

CPRA uyumluluğu

Kaliforniya'da faaliyet gösteren veya Kaliforniya'da ikamet edenlerden kişisel bilgi toplayan şirketler, pazarlama amaçlı olsun ya da olmasın, aşağıdaki durumlarda CPRA'ya tabidir:

  • Yıllık 25 milyon dolardan fazla gelir elde etmeyi başarıyor
  • Kaliforniya sakinlerinin kişisel bilgilerinin satışından ve paylaşılmasından elde edilen gelirin %50'sinden fazlasını elde etmeyi başarır
  • 100.000'den fazla Kaliforniyalı hanenin kişisel bilgilerini satın alır, paylaşır ve satar

CCPA'dan CPRA'ya yapılan önemli bir değişiklik, kişisel bilgilerin yalnızca pazarlama amacıyla kullanılması şartının kaldırılmasıdır. Yani şimdi, şirket tüketicilerin kişisel bilgilerinden kâr etmiyor olsa bile, yine de yasalara uymanız gerekiyor.

CPRA uyumluluğu oldukça ilginç çünkü küçük veya orta ölçekli bir işletmeyseniz, CPRA'ya değil CCPA'ya uymak zorunda kalabilirsiniz. Başlangıçta, işletmenizin CCPA'ya mı yoksa CPRA'ya mı uyması gerektiğini belirlemelisiniz. Birçoğu ikisinin de aynı olduğunu düşünüyor, ancak gerçek şu ki bazı önemli farklılıkları var. Nispeten, CPRA, CCPA'nın sahip olduğu birçok kısıtlamayı gevşetirken, bazı küçük ve orta ölçekli işletmeler CPRA'nın uyumluluğu kapsamına girmez. Bununla birlikte, aynı zamanda CCPA'nın birçok zayıflığını da güçlendirmektedir.

Not: CPRA hakkında bilgi edinmek istiyorsanız, Osano'nun web sitesinde daha fazlasını okuyabilirsiniz .

CCPA ve CPRA arasındaki farklar nelerdir?

CPRA, bir GDPR yaklaşımı sunarak, bireysel hakları genişleterek ve çok daha fazlasını sunarak CCPA'da yapılan bir değişiklik olarak kabul edilir. İşte ikisi arasındaki iki büyük fark:

  • CCPA'ya uymak, ticari pazarlama amaçları için hisse satın aldığınız, sattığınız veya aldığınız anlamına gelir. Ayrıca, yaklaşık 50.000 tüketici ve hane halkının kişisel bilgilerini satın alır, satar veya bunlardan pay alırsanız da geçerlidir. Ancak, CPRA 100.000'den fazla tüketici ve haneye ihtiyaç duyar.
  • CCPA'ya uymak, tüketicilerin kişisel bilgilerinin satışından yıllık gelirin en az %50'sini aldığınız anlamına gelir. CPRA ile kişisel bilgilerin satılması ve paylaşılmasıdır. Web sitesi ile kişisel bilgilerinizi paylaşırken bir SSL sertifikasına sahip olmanız gerekmektedir. Bu nedenle, aynı şifreleme düzeyinde kimliği doğrulanmış SSL sertifikaları sunan ClickSSL gibi tanınmış SSL sağlayıcılarından SSL sertifikaları satın almak önemlidir .

CPRA ayrıca, beş yönetim kurulu üyesinin yönettiği özel bir gizlilik ajansı olan Californian Privacy Protection Agency'nin (CaIPPA) oluşturulmasını da içeriyordu. Bu üyelerin mahremiyet, tüketici hakları ve teknoloji konusunda uzman olması gerekir. Aksi takdirde hak kazanamazlar. Ek olarak, gizlilik ajansında sekiz yıldan fazla görev yapamazlar.

Değişiklikler

CCPA'yı takiben, bireyler kişisel verilerine, saklandıkları ve toplandığı tarihten itibaren yalnızca bir yıl boyunca erişim talep edebilirler. Ancak, CPRA ile istediğiniz zaman bunu yapma hakkına sahipsiniz.

Ayrıca, CCPA "satmak" tanımını yaptığında, tam olarak paylaşmak anlamına gelmez. Öte yandan, CPRA “Sat” ve “Paylaş” ı içerir. Ek olarak, CPRA, işletmelerin kişisel bilgilerini diğer taraflarla paylaşmasını ve satmasını durdurma (vazgeçme) hakkını açıklar.

Son olarak hem CCPA hem de CPRA'nın şirketlere dava açılmasına izin verdiğini unutmayalım. Tüketiciler, bir şirketin hassas bilgileri yetkisiz olarak ifşa etmesi ve şifreleri ve kullanıcı adlarını açığa çıkaran veri ihlallerine neden olması durumunda bunu yapabilir.

CPRA'daki yenilikler ve işinizi nasıl etkiliyor?

İşletmelerin uymakla yükümlü olduğu yeni hakların dahil edilmesi için hem EKDK'da hem de DKMM'de yeni değişiklikler yapılmıştır. Neden öyle? SalesForce'a göre, tüketicilerin yaklaşık %46'sı özel verileri üzerinde yeterli kontrole sahip olmadıklarını düşünüyor. Ne yazık ki, sadece %10'u kişisel verileri üzerinde yeterli kontrole sahip olduklarını düşünüyor.

Bununla birlikte, bu yasaları ihlal eden işletmeler binlerce dolarlık büyük para cezalarıyla karşı karşıya kalacak ve kasıtlı özel veri ihlalleri nedeniyle dava açılacak.

Şimdi, burada birkaç önemli şeyi açıklığa kavuşturalım. İlk olarak, CPRA kapsamında bir işletme olduğunuzda, kişisel bilgileri neden topladığınızı ve bu bilgileri kimlerle paylaştığınızı açıklamakla yükümlüsünüz. Ancak CCPA kapsamında kişisel verilerinizin neden toplandığını sorma hakkına sahipsiniz. Ayrıca, kişilerin yanlış bilgileri veya herhangi bir değişiklik yapılması gerektiğinde işletmeleri bilgilendirme hakları vardır.

CPRA kapsamında tüketicilerin daha fazla hakkı vardır. Bu, bilgilerinin nerede kullanıldığı ve görebilecekleri yanlış bilgilerin nasıl düzeltileceği hakkında bilgi edinmeyi içerir.

İşte işletmenizin bu düzenlemelere uyum sağlamak için uygulayabileceği birkaç şey:

  • Verileri neden topladığınızın amacını tanımlayın
  • Kişisel bilgileri korumak için güvenlik önlemleri uygulayın
  • Verilerin paylaşıldığı varlıkların bir listesini ve işletmenizin kişisel bilgileri toplayarak neden onlarla paylaştığını gösterin
  • İşletmenizin kullandığı ve topladığı tüm bilgi kaynaklarını sağlayın
  • Gizlilik bilgilerinizi güncellemeye devam edin ve işletmenizin her zaman en son yasalara uyduğunu gösterin. Güncellemeleri e-posta, web sitesi, telefon ve sosyal medya aracılığıyla iletmeyi unutmayın.
  • Gerçeklik için verileri işlemenizi ve gözden geçirmenizi sağlayan prosedürleri uygulayın. Ek olarak, kullanıcıların istedikleri takdirde kişisel bilgilerini paylaşmayı bırakabilmeleri için bir "devre dışı bırakma" özelliği ekleyin.

Yeni bir korunan veri kategorisi

CPRA, hassas kişisel bilgi (SPI) fikrini tanıttı. Bu, bu tür bilgileri toplayan işletmeleri daha sağlam veri koruması sağlamaya zorlar. SPI, aşağıdaki kişisel bilgi türlerini içerir:

  • Sağlık verileri
  • Genetik veriler
  • dini veriler
  • Etnik köken
  • coğrafi konum
  • Bir kişinin cinsel yönelimiyle ilgili veriler
  • Kimlik kartları, ehliyetler, Sosyal Güvenlik numaraları ve daha fazlası
  • Etnik ve ırksal köken

CPRA, yeni bir veri kategorisine kısıtlamalar getirir. Ayrıca SPI toplayan şirketler için güncellenmiş amaç ve açıklama, devre dışı bırakma gereksinimleri ve daha fazlası dahil olmak üzere yeni gereksinimler ekler.

Veri minimizasyonu ve depolama sınırlamaları

İşletmelerin, mümkün olduğunda kişisel bilgilerin tutulmasını, kullanılmasını ve paylaşılmasını en aza indirmesi veya sınırlaması gerekir. Genel olarak, CPRA, işletmelerin kişisel bilgileri gerekenden daha uzun süre tutmasını engeller. Ayrıca şirketler, topladıkları her bir kişisel veri için saklama süreleri hakkında CPRA'yı bilgilendirmelidir.

Peki, bu konuda ne yapmanız gerekiyor? İlk olarak, işletmeniz kişisel verileri ne kadar süreyle tutacağını ve gerektiğinden daha uzun olup olmayacağını belirtmelidir. Bu, veri silme de dahil olmak üzere şirket politikalarında belirtilmeli ve tüm yasalara uyulmasını sağlamalıdır.

Misillemeye izin verilmez

CPRA'nın bilgilerini devre dışı bırakan tüketicilere karşı ayrımcılığı kabul etmediğini bilmek önemlidir. Bu, aşağıdakileri içerir:

  • Tüketiciye mal ve hizmet türlerini reddetmek
  • Tüketiciye farklı düzeyde veya kalitede mal ve hizmet sağlanması
  • İndirimler veya diğer avantajlar dahil olmak üzere, mal veya hizmetleriniz için farklı fiyatlar talep etme
  • Bir ekip üyesine, şirketinize başvuran bir adaya, hatta vazgeçme haklarını kınayan bağımsız bir yükleniciye karşı çıkmak

Pazarlamanız için gizlilik dostu araçlar kullanın

Pazarlama ve reklama büyük bütçeler yatırdığınızda, yatırımlarınızın gerçekten karşılığını aldığından emin olmalısınız. Bunu yapmak için, tüm pazarlama kanallarınızdan veri toplayacak ve daha fazla veriye dayalı kararlar almanız için size değerli raporlar verecek bir pazarlama analitiği platformuna ihtiyacınız var.

RedTrack, gizlilik dostu çözümünüzdür (GDPR, CCPA, CCPR vb. ile uyumludur), ancak yine de pazarlama çabalarınızı analiz ederek ve performansınızla ilgili gerçek rakamları göstererek sonuçlar sağlar.

Bir izin yönetimi platformu (CMP) kullanmayı düşünün

CMP'ler, işletmenizin herhangi bir şirket belgesini yönetmesine ve veriler toplanmadan, saklanmadan ve hatta paylaşılmadan önce yasal olarak kullanıcı onayını yönetmenize yardımcı olmanın mükemmel bir yoludur. Gizlilik yasalarına uymanızı sağlarlar ve hatta değişiklik yapıldığında sizi bilgilendirirler. Ayrıca, CMP'ler veri bilgileri için yaptığınız istekleri yönetebilir ve tüm üçüncü taraf satıcıları izleyebilir.

Gizlilik yasalarından haberdar olmanıza ve veri isteklerini yönetmenize yardımcı olması için kullanmayı düşünebileceğiniz bazı CMP'ler şunlardır:

  • OneTrust
  • Quantcast
  • TrustArc
  • çerez robotu
  • tepe tepe

Sarmalamak

Bu makale için hepsi bu. Bunlar, CPRA'da yapılan yeni değişikliklerdir. Ancak bunların sadece şimdiye kadar yapılmış olacağını düşünmeyin, CPRA sürekli değişiyor!

CPRA'nın genel amacı, tüketicilerin verileri üzerinde yeterli kontrole sahip olmalarını ve veri ihlalleri veya kişisel verileri üzerindeki kontrollerini kaybetme konusunda kendilerini güvensiz hissetmemelerini sağlamaktır. Sonuçta veriler tüketicilere aittir ve verilerinin nasıl kullanılacağına onlar karar verebilir.