Cambridge Analytica ve benzeri yüksek profilli veri kullanımları, Kaliforniyalı kanun yapıcıları harekete geçirdi. California Tüketici Gizliliği Yasası (CCPA), tüketicilerin gizlilik haklarını korumak için dünya çapındaki en geniş kapsamlı yasalardan biri olarak kabul edildi. Yasa, Kaliforniya’da yaşayanların kişisel verilerini koruma altına alırken, bu verileri işleyen şirketler için önemli yükümlülükler getiriyor.
Bu yasa sadece Kaliforniya merkezli işletmeleri değil, Kaliforniya’da yaşayan tüketicilerle iş yapan tüm işletmeleri etkiliyor. Dolayısıyla Florida’da faaliyet gösteren şirketler için de Kaliforniya Tüketici Gizliliği Yasası’na uyum kritik bir hale geldi.
CCPA’dan Etkilenen İşletmeler
CCPA, 1 Haziran 2020’de Kaliforniya Başsavcılığı tarafından nihai düzenlemelerin ilan edilmesiyle 1 Temmuz 2020’de yürürlüğe girdi.
California Tüketici Gizliliği Yasası (CCPA), aşağıdaki kriterleri karşılayan işletmeler için geçerlidir:
- Müşterilerden kişisel bilgi toplayan ve bu bilgilerin nasıl kullanıldığını belirleyen işletmeler.
- Kaliforniya’da faaliyet gösteren ve:
- Brüt geliri 25 milyon dolar veya üzeri olanlar,
- 50.000’den fazla tüketici, hane veya cihazın kişisel verilerini işleyen veya satanlar,
- Gelirinin %50’sinden fazlasını kişisel veri satışından elde eden işletmeler.
Bazı işletmeler belirli koşullarda CCPA’dan muaf tutulabilir. Ancak yasa, kâr amacı güden ticari kuruluşların büyük bir çoğunluğunu kapsamaktadır.
CCPA Kapsamındaki Kişisel Bilgiler
CCPA, geleneksel bilgilerin yanı sıra birçok yeni tür kişisel veriyi de kapsar. Bunlar arasında:
- E-posta, adres, telefon numaraları gibi temel bilgiler,
- Tarama geçmişi ve satın alma geçmişi,
- Biyometrik veriler (parmak izi, yüz verisi vb.),
- Coğrafi konum verileri,
- Mesleki ve eğitimle ilgili bilgiler,
- Psikolojik profiller ve tüketici eğilimleri.
Küçüklerle İlgili CCPA Kuralları
CCPA, reşit olmayanların kişisel bilgilerinin toplanmasını daha sıkı kurallara tabi tutar. 16 yaş altı çocuklar için ebeveyn izni gereklidir ve veri toplayan şirketler bu yaş grubundaki bireylerin rızasını “gerçek bilgi” ile doğrulamak zorundadır.
Kaliforniya Sakinlerinin Hakları
California Tüketici Gizliliği Yasası (CCPA) kapsamında, Kaliforniya sakinlerine şu haklar tanınır:
- İşletmelerin kendileri hakkında hangi bilgileri topladığını öğrenme hakkı,
- Kişisel bilgilerinin silinmesini talep etme hakkı,
- Kişisel bilgilerinin satışından vazgeçme hakkı,
- Ayrımcılığa uğramama hakkı (örneğin, fiyat farkı veya ürün kalitesinde farklılık olmaması).
CCPA Uyumluluğu İçin Florida İşletmelerinin Yapması Gerekenler
Florida’daki işletmeler için CCPA uyumluluğu sağlamak adına atılması gereken adımlar şunlardır:
- Verileri Takip Edin – Tüm kişisel veri toplama süreçlerinizi inceleyin.
- Bir CCPA Programı Uyarlayın – Veri gizliliği politikası oluşturun ve taleplere cevap verecek mekanizmalar kurun.
- Çalışanları Eğitin – CCPA gereklilikleri hakkında tüm çalışanlara eğitim verin.
- Politikaları Güncelleyin – Gizlilik politikalarınızı yılda en az bir kez gözden geçirin ve gerektiğinde güncelleyin.
Uyumsuzluğun Cezaları
California Tüketici Gizliliği Yasası (CCPA) ihlalleri ciddi cezalarla sonuçlanabilir:
- İhlalin düzeltilmediği her vaka için 2.500 ila 7.500 dolar arasında ceza,
- Tüketici başına 100 ila 750 dolar arasında yasal tazminat. Cal. Civ. Kod § 1798.150 (a) (1) (2018).
Florida İşletmeniz CCPA’ya Uyumlu Mu?
CCPA ile uyumluluğu sağlamak için işletmeniz için şu adımları göz önünde bulundurun:
⦁ Verileri Takip Edin
İşletmenizin topladığı tüm kişisel bilgileri tam olarak anlamak için verilerinizi denetleyin. Ardından, şirketinizin şu anda Kaliforniya’daki müşterilerden, çalışanlardan ve iş bağlantılarından topladığı bilgileri nasıl işlediğini izleyin. İşletmenizin verileri nasıl topladığını, sakladığını ve koruduğunu düşünün ve ardından tüm işinize ve iş ilişkilerinize bakın ve üçüncü tarafların da CCPA’ya uymasını sağlayın.
⦁ Bir CCPA Programı Uyarlayın
İşletmenizin topladığı tüm kişisel bilgiler için bir gizlilik politikası ve veri yönetim planı uygulaması gerekecektir. CCPA kapsamına giren işletmeler, kişisel, online veya telefonla veri toplamadan önce müşterileri bilgilendirmelidir. İşletmenizin prosedürlerine tüketicilerin nasıl yanıt verdiğine ilişkin kayıtları ve bilgi silme ve vazgeçme taleplerine yanıt verme bilgisini tutması gerekecektir. Ancak internetten bulup kopyala/yapıştır yaptığınız bir politika veya bir gizlilik politikası oluşturucu kullanmak CCPA programınız için işe yaramayacaktır. Gizlilik politikalarınızın ve prosedürlerinizin CCPA ile uyumlu olmasını sağlamak için işletmenizin satış, pazarlama, iş ve hukuk ekipleriyle işbirliği içinde çalışması gerekecektir.
⦁ Çalışanları Eğitin
Gizlilik politikalarınızı ve veri yönetimi planınızı geliştirdikten sonra, çalışanları eğitmenin zamanı da gelmiş olur. İşletmenizin, tüm çalışanların CCPA’ya uymasını sağlaması gerekecektir.
⦁ Gerektiğinde Güncelleyin
CCPA kapsamında, işletmelerin online gizlilik politikalarını en az 12 ayda bir güncellemesi gerekir. Mevcut düzenlemeler ayrıca bu politikaların engelli kişiler için makul ölçüde erişilebilir olmasını ve Web İçeriği Erişilebilirlik Yönergeleri ile uyumlu olmasını gerektirir.
CCPA ve Florida’daki işinizi nasıl etkilediği hakkında sorularınız varsa Boyer Hukuk Bürosu, P.L.’deki avukatlarla iletişime geçin. İş hukuku konusunda uzmanlaşmış avukatlarımız var ve sizin için danışmanlık sağlayabiliriz.