Skip to main content

1 Şubat 2020 6 Dakika okuma

Kaliforniya Tüketici Gizliliği Yasası (CCPA) 1 Ocak 2020'den itibaren Yürürlüktedir

Yeni yılın başlangıcını kutlarken, işletmelerin kişisel verileri işleme şeklini etkileyecek olan 2020 için yeni Kaliforniya gizlilik yasasına daha yakından bakıyoruz. Kaliforniya Tüketici Gizliliği Yasasıveya CCPAolarak adlandırılan yasa, Kaliforniya sakinlerine kişisel verilerinin saklanma ve işlenme şekli üzerinde daha fazla kontrol sağlamayı amaçlamaktadır. 1 Ocak 2020 tarihindenitibaren bu gizlilik yasası yürürlüktedir.

Bu yeni yasa kimleri etkileyecek? CCPA hakkında bilinmesi gereken başlıca şeyler nelerdir? Bir web sitesi sahibi olarak buna uyduğunuzdan emin olmak için ne yapabilirsiniz?

Yeni yasa, daha önce Avrupa GDPR'sinde olduğu gibi, çoğu web sitesi sahibini ve operatörünü etkileyecektir. Yine de, CCPA birçok yönden GDPR kadar katı değildirve daha açık bir şekilde tüketicilerin kişisel verilerini satan şirketleri hedeflemektedir.

CCPA hangi web sitelerini etkileyecek?

Her şeyden önce, yasanın etkileri Kaliforniya sakinleriylesınırlıdır. Ancak bu, Kaliforniya dışındaki işletmelerin bu eyaletteki müşterilerle iş yapmaları durumunda yasalara uymak zorunda kalmayacakları anlamına gelmez. California'da ikamet edenler, nereden işletiliyor olursa olsun herhangi bir web sitesine erişebildiğinden, temel olarak, ABD'deki ve yurtdışındaki tüm web sitesi sahiplerinin CCPA uyumluluğuna yönelik adımlar atması gerektiği anlamına gelir.

Bunu daha önce Avrupa'da AB vatandaşlarının kişisel bilgilerini işleyen tüm şirketleri hedefleyen GDPR kanununda görmüştük. GDPR yürürlüğe girdiğinde, ABD'deki ve başka yerlerdeki web sitesi sahipleri ya tüm müşterileri için GDPR'ye uyuyordu ya da ziyaret Avrupa Birliği'ndeki bir IP'den yapılıyorsa web sitelerine erişimi engellemeye karar verdi.

Diğer Amerika eyaletlerinden herhangi birinde bir web sitesi işletiyorsanız, burada da benzer bir seçimle karşı karşıya kalabilirsiniz. Kaliforniya'da yaşayan müşterilerinizi dışarıda bırakmayı göze alabilirseniz, Kaliforniya IP'lerinden gelen ziyaretleri engelleme seçeneği vardır. Ancak veri gizliliği yasalarının gelecekte de yasa koyucuların gündeminde olması muhtemeldir. Gelecekte tüm eyaletlerin olmasa da daha fazlasının benzer yasalar çıkarması öngörülebilir değil. Bu nedenle, potansiyel müşterileri aşamalı olarak engellemek yerine, işletmenizin nerede olduğuna bakılmaksızın şimdi uymak daha akıllıca olabilir.

İkincisi, GDPR'den farklı olarak, yasanın etkileri biraz sınırlıdır. CCPA yalnızca aşağıdaki şirketleri ilgilendirecektir:

  • brüt geliri en az 25 milyon dolarolanlar
  • Yılda en az 50.000 California sakini/hane /cihaz hakkında kişisel bilgileri olanlar
  • Yıllık gelirlerinin en az %50'siKaliforniyalıların kişisel verilerinin satışından elde edilir

Web siteniz kişisel bilgiler topluyorsa ancak yukarıdaki kategorilerden birine girmiyorsa, her zamanki gibi iş yapmakta özgürsünüz. Bu uyarılar, yasanın küçük işletme sahipleri düşünülerek tasarlanmadığını, bunun yerine çok sayıda kişisel bilgi satmaktan kâr eden şirketleri hedef aldığını gösteren açık bir işarettir. Ancak, web sitenizde sahip olduğunuz Kaliforniya'dan gelen benzersiz ziyaretçi sayısını kontrol ettiğinizden emin olun. Bu sayı yılda 50.000'i aşarsa, CCPA uyumluluğunu göz önünde bulundurmanız gerekir.

CCPA kapsamında kişisel veri olarak kabul edilen nedir?

İlgili kişisel veriler hemen hemen aynı olduğundan, daha önce GDPR ile ilgili konulardatartıştıklarımızdan büyük bir fark yoktur: adlar, e-posta adresleri, konum, biyometrik verilervb. Kanun, bunu "tanımlayan, belirli bir tüketici veya hanehalkı ile doğrudan veya dolaylı olarak ilişkilidir, açıklanır, ilişkilendirilebilir veya makul bir şekilde bağlantılı olabilir". Lütfen kamuya açık bilgilerinyanı sıra kimliği belirsizveya toplu tüketici bilgilerininCCPA kapsamında kişisel bilgi olarak kabul edilmediğini unutmayın.

CCPA uyumlu olmak için ne yapmam gerekiyor?

Yine de kişisel bilgileri toplayabilir ve hatta satabilirsiniz, ancak kullanıcıların bu süreçten çıkmalarını kolaylaştırmanız gerekir. Kanun, bir işletme, kullanıcıların kişisel bilgilerini satıyorsa, ana sayfalarında "Kişisel Bilgilerimi Satmayın"başlıklı açık bir bağlantı sağlamalıdır. Ayrıca, kaydolma veya devre dışı bırakma seçeneğine dayalı olarak farklı hizmetler veya özellikler sunmak yasa dışıdır. Tüm müşterilerin aynı hizmetlerden yararlanmaya devam etmesi gerekir.

GDPR'ye benzer şekilde, müşterilere veri erişimi, kişisel verilerini silmeve toplanan ve satılan tüm kişisel veri kategorilerinin (bu durumda) açıklanmasını talepetme hakkı vermeniz gerekir. Bu yıllık olarak yapılacaktır. Talep üzerine, talepten önceki 12 ayaait kişisel verileri sağlamanız gerekir. Ayrıca, müşteri bu tür talepleri yılda en fazla iki kezsunabilir.

Ayrıca, lütfen aşağıdakileri gizlilik politikanıza eklediğinizdenemin olun:

  • topladığınız ve işlediğiniz tüm bilgi kategorileri
  • bu bilgi kategorilerinin ne için kullanıldığı
  • bilgilerin nasıl toplandığını
  • kişilerin kişisel verilerine erişim, değiştirme, taşıma veya silme talep etme prosedürü nedir
  • istek gönderen kişinin kimliğinin nasıl doğrulandığı
  • kişisel veriler satılıyorsa, bunun burada açıklanması gerekir
  • verilerinin satışından nasıl vazgeçilir

GDPR uyumluluğu otomatik olarak sizin de CCPA uyumlu olduğunuz anlamına mı geliyor?

Zorunlu olmamakla birlikte, GDPR'ye uymak için adımlar attıysanız, CCPA uyumlu olmanız da olasıdır. Kişisel verilerin satışına ilişkin açık kurallar dışında, yukarıdaki koşulların tümü GDPR'de de bulunmaktadır.

CCPA'ya uymamanın riskleri nelerdir?

Web sitesi sahiplerinin karşılaştığı ana risk, veri ihlalidir. Kanuna göre, tüketici verilerine yetkisiz erişimin ve hırsızlığın önlenmesinden şirket sorumludur. Böyle bir durumda, verileri sızdırılan herhangi bir kullanıcı, 100 ila 750 ABD Doları arasında bir miktarda zararın tazminiiçin dava açma hakkına sahiptir. Binlerce kullanıcının verilerinin çalındığı büyük bir veri ihlali, bir şirketi potansiyel olarak iflasa götürebilir. 1000 x 750 $'ı çarptığınızda etkinin bir tahminini elde edersiniz.

Ancak, herhangi bir hukuk davası açılmadan önce, mümkünse, şirketlere "fark edilen ihlali düzeltmeleri" için 30 gün süre tanınır.

Analytics Araçları CCPA uyumluluğu

Tanımlanmamış verilerve toplu verilerCCPA kurallarına uymadığından, çoğu analiz aracı varsayılan olarak uyumludur. Ancak, kişisel verilerin kullanımıyla ilgili tüm bilgilere sahip olduğunuzdan emin olmak için bu tür üçüncü tarafların veri işleme sözleşmesini ve gizlilik politikalarını okuduğunuzdan emin olmalısınız. GDPR'ye uyum çabasının bir parçası olarak Ziyaretçi Analizi de CCPA uyumlu hale geldi. Şirketimiz, verilerin başkalarıyla satılması veya paylaşılması ile uğraşmaz. Topladığımız veriler, herhangi bir bireyin veya hanenin veya cihazın kimliğiyle ilişkilendirilemez.

Yeni gizlilik yasası hakkında daha fazla ayrıntıya ihtiyacınız varsa , 1.81.5'in tam metnini okuyabilirsiniz. California Tüketici Gizliliği Yasasıburada. Ziyaretçi Analizinin gizlilik yasalarına nasıl uyduğu hakkında daha fazla bilgi edinmek isterseniz, lütfen Gizlilik Politikamızıve Veri İşleme Sözleşmemiziokuyun.

Hepsi Bir Arada Analiz Uygulaması

Ziyaretçi Analitiği ile Benzersiz İçgörüler Kazanmaya Başlayın

Yolculuğumuzda bize katılın ve tüm çabalarımızın, tüm web sitesi yönetim ihtiyaçlarınızı karşılayacak şekilde hizmetlerimizi sürekli olarak yükseltmeye yönlendirileceğine söz verebiliriz.