CCPA: Tüketici Haklarının Yönetilmesi - CPRA düzenlemeleri artık uygulanabilir
Kaliforniya Gizlilik Hakları Yasası yönetmeliklerinin (CPRA yönetmelikleri) ilk yürürlük tarihi olan 1 Temmuz 2023’ten önce uyum önlemlerini uygulamaya koymak için acele eden kuruluşlar, Sacramento County Yüksek Mahkemesi’nin geçtiğimiz Haziran ayında aldığı ve yürürlüğü 29 Mart 2024’e erteleyen son dakika kararıyla rahatlamış olacaklardır. Ancak, Kaliforniya Üçüncü Bölge Temyiz Mahkemesi’nin geçen hafta aldığı karar, Kaliforniya Gizlilik Koruma Ajansı’nın (CPPA) tüketici gizlilik hakları taleplerinin ele alınması, verilerin satışı/paylaşımı için devre dışı bırakma mekanizmaları ve devre dışı bırakma sinyallerinin zorunlu olarak tanınmasına ilişkin ayrıntılı kuralları içeren CPRA yönetmeliklerini derhal uygulamaya başlayabileceği anlamına geliyor. Şu andan itibaren, uygulama faaliyetlerinde bir hızlanma ve yaptırımlarda bir artış görmeyi bekleyebiliriz. Başsavcılığın yakın zamanda yayın platformlarının tüketicilerin kişisel bilgilerini satan veya paylaşan işletmeler için opt-out gerekliliklerine uyup uymadıklarını araştırmayı planlamasının da işaret ettiği gibi, tüketici haklarına riayet etmenin uygulama öncelikleri listesinde üst sıralarda yer alacağını rahatlıkla varsayabiliriz. Burada, CCPA kapsamında mevcut olan tüketici hakları yelpazesini özetliyor (CPRA tarafından yapılan değişiklikler ve CPRA düzenlemelerinin gereklilikleri göz önünde bulundurularak) ve tüketici hakları taleplerinin uyumlu bir şekilde ele alınmasını sağlamak için işletmelerin atması gereken pratik adımlara bakıyoruz.
I. CCPA TÜKETİCİ HAKLARI
CCPA (CPRA tarafından değiştirildiği şekliyle) Kaliforniya sakinlerine altı ana gizlilik hakkı sağlamaktadır:
| Gizlilik Hakları | Açıklama | | --- | --- | | Sil | Tüketiciler, bir işletmenin kendileri hakkında topladığı (veya üçüncü bir tarafa toplattığı) kişisel bilgileri silmesini talep edebilir. Verileri silme zorunluluğuna istisnalar uygulanabilir, örneğin işletmenin yasal olarak bilgileri saklaması veya tüketiciyle sözleşme yapması gerekiyorsa. | Bir birey, bir işletmenin tüketici hakkında tuttuğu yanlış bilgileri düzeltmesini talep edebilir ve işletme bu tür düzeltmeleri yapmak için ticari olarak makul çabayı göstermelidir. | Bil ve Eriş | Bir tüketici, herhangi bir 12 aylık dönemde bir işletmeden iki kez aşağıdakileri açıklamasını isteyebilir:
- birey hakkında topladığı kişisel bilgi kategorileri
- birey hakkında topladığı belirli kişisel bilgiler
- verilerin elde edildiği kaynak kategorileri
- işletmenin bilgileri hangi amaçlarla kullandığı
- işletmenin verileri ifşa ettiği üçüncü taraf kategorileri
- işletmenin üçüncü taraflara sattığı, paylaştığı veya ifşa ettiği bilgi kategorileri. | | Veri satışı/paylaşımından vazgeçme | Bir birey, bir işletmenin kişisel bilgilerini satmayı veya paylaşmayı (bağlamlar arası davranışsal reklamcılık için) durdurmasını talep edebilir. Böyle bir talebin alınmasının ardından, birey daha sonra onay vermediği sürece, bir işletmenin verileri daha fazla satması/paylaşması yasaklanır. | Tüketiciler, işletmeleri hassas kişisel bilgilerini (örneğin genetik veriler, kesin coğrafi konum, sosyal güvenlik numarası, finansal bilgiler) yalnızca bireye talep ettikleri hizmetleri sağlamak gibi sınırlı amaçlar için veya belirli sayılmış iş amaçları için kullanmaya yönlendirebilir. | Eşit Muamele İşletmeler, CCPA haklarını kullandıkları için tüketicilere karşı ayrımcılık yapamaz. |
CCPA bu hakları Kaliforniya’da ikamet edenlere sağlamaktadır. Kaliforniya’da ikamet eden bir kişi, geçici veya geçici bir nedenle eyalet dışında olsa bile, Kaliforniya’da ikamet eden bir kişidir. Dolayısıyla, uygunluk bireyin coğrafi konumuna bağlı değildir. Bir talebi ele alan bir işletme, gerekirse tüketiciden Kaliforniya’da ikamet ettiğine dair kanıt sunmasını isteyebilir.
II. CCPA HAK TALEPLERİNİN YÖNETİMİNE İLİŞKİN GENEL ADIMLAR
CCPA kapsamında tüketici gizlilik hakları taleplerini yönetirken, taleplerin alınması ve talep sahibinin tanımlanması gibi tüm haklar için ortak olan adımlar (Genel Adımlar) ve belirli bireysel haklara özgü faaliyetler (Özel Adımlar) vardır. Bu makalede CCPA taleplerini yönetirken gerekli olan Genel Adımları inceleyeceğiz.
(A) Taleplerin alınması
İşletmeler, tüketicilere taleplerini nasıl ileteceklerine dair talimatlarla birlikte gizlilik politikalarında tüketicileri hakları konusunda bilgilendirmekle yükümlüdür. İşletmeler ayrıca, kullanılan hakkın türüne bağlı olarak bireylere gizlilik hakları taleplerinde bulunmaları için belirli yöntemler sunmalıdır.
Silme, düzeltme ve bilme/erişme hakları
İşletmelerin belirli sayıda “taleplerin iletilmesi için belirlenmiş yöntemler” (posta adresi, e-posta adresi, internet web sayfası, internet web portalı, ücretsiz telefon numarası) ve işletme tarafından onaylanan herhangi bir yeni tüketici dostu iletişim yöntemi sunmaları gerekmektedir.
AG) aşağıdaki gibi:
- Bir işletme yalnızca çevrimiçi olarak faaliyet gösteriyorsa ve bir tüketiciyle doğrudan bir ilişkisi varsa, taleplerin alınması için yalnızca bir e-posta adresi sağlaması gerekir; - Bir işletme yalnızca çevrimiçi olarak faaliyet göstermiyorsa, aşağıdaki koşullarla iki veya daha fazla belirlenmiş yöntem sağlaması gerekir: - her işletme ücretsiz bir telefon numarası sunmalıdır; - bir işletmenin bir web sitesi varsa, bu yöntemlerden biri web sitesi aracılığıyla olmalıdır, örneğin bir web formu; - tüketicinin işletmede bir hesabı varsa, işletme tüketicinin bir talep göndermek için bu hesabı kullanmasını isteyebilir.
Ne Başsavcı ne de CCPA, “yalnızca çevrimiçi faaliyet gösterme” veya “bir tüketiciyle doğrudan ilişki kurma” ifadelerinin ne anlama geldiğini söylememektedir, bunun şu anlama geldiği varsayılabilir:
- işletmenin herhangi bir fiziksel müşteri tesisine sahip olmadığı, bunun yerine hizmetlerini bir web sitesi aracılığıyla sunduğu; VE - işletmenin mallarını veya hizmetlerini üçüncü taraflar aracılığıyla veya onlar adına değil, doğrudan müşteriye sunduğu.
Satış/paylaşımdan vazgeçme ve hassas bilgilerin ifşasını sınırlama hakları
(i) kişisel bilgileri satan/paylaşan veya (ii) hassas kişisel bilgileri kullanan/ifşa eden bir işletmenin ayrıca satış/paylaşımdan vazgeçme ve bu bilgilerin kullanımını veya ifşasını sınırlandırma taleplerini iletmek için iki veya daha fazla belirlenmiş yöntem sunması gerekmektedir. Sunulan yöntemlerden en az biri, işletmenin tüketiciyle öncelikli olarak etkileşim kurma şeklini yansıtmalıdır. Vazgeçme mekanizması tüketiciler için kullanımı kolay olmalı ve minimum adım gerektirmelidir ( CCPA yönetmeliklerinde daha fazla ayrıntı verilmiştir).
Çoğu durumda, bir işletme web sitesinde bireylerin haklarını kullanabilecekleri “Kişisel Bilgilerimi Satmayın veya Paylaşmayın” ve/veya “Hassas Kişisel Bilgilerimin Kullanımını Sınırlandırın” (uygun olduğu şekilde) yazan açık ve göze çarpan bir bağlantı sağlamalıdır. Bu bağlantıya tıklamak ya tüketici için hemen istenen etkiyi yaratacak ya da onları verilerinin satışı/paylaşımı veya kullanımı/açıklanması hakkında bilgi edinebilecekleri ve bu seçimi yapabilecekleri bir web sayfasına yönlendirecektir. Bunu basitleştirmek için işletmeler tüketicilere bir “Alternatif Opt-Out Bağlantısı” sağlayabilir. Bu, bireylerin tek bir mekanizma aracılığıyla hem satış/paylaşımdan vazgeçme haklarını hem de verilerinin kullanımını/açıklanmasını sınırlama haklarını kolayca kullanmalarına olanak tanıyan tek ve açıkça etiketlenmiş bir bağlantı görevi görür. Alternatif Opt-Out Bağlantısını kullanmayı tercih eden işletmelerin bağlantıyı “Gizlilik Tercihleriniz” veya “Kaliforniya Gizlilik Tercihleriniz” olarak adlandırması ve başlığa bitişik olarak aşağıdaki opt-out simgesini içermesi gerekmektedir:
İşletmeler ayrıca, Küresel Gizlilik Kontrolü gibi devre dışı bırakma tercih sinyallerini (“OOPS”), satış/paylaşımdan vazgeçmek için geçerli bir talep olarak belirli gereksinimleri karşılayan satış/paylaşımdan vazgeçmek için geçerli bir talep olarak onurlandırmalıdır.
B) Tanımlama
Gizlilik haklarının kullanılmasına yönelik her türlü girişimde olduğu gibi, örneğin bir kişiye başka bir kişinin kişisel verilerinin sağlanması gibi, ilgili verilerin hukuka aykırı bir şekilde işlenmesini önlemek için talep alan işletmenin talep sahibinin kimliğini teyit edebilmesi önemlidir.
Kişisel bilgileri bilme, silme veya düzeltme hakları için bir işletmenin “doğrulanabilir bir tüketici talebi” alması gerekir. İşletmelerin, hakkında kişisel bilgi topladığı bireyin tüketici olduğunu tespit etmek için ticari açıdan makul yöntemler kullanması gerekmektedir. Verilerin satışından/paylaşımından vazgeçme taleplerinin yanı sıra hassas kişisel bilgilerin kullanımını/açıklanmasını sınırlama talepleri doğrulanabilir bir tüketici talebinin alınmasını gerektirmez.
Bir tüketici talepte bulunmak için yetkili bir temsilci kullandığında, bir işletme yetkili temsilciden tüketicinin temsilciye talebi iletmesi için imzalı izin verdiğine dair kanıt sunmasını isteyebilir.
C) Yanıt Süreleri
CCPA, işletmelerin bir tüketici talebine yanıt vermesi gereken süreyi belirtir ve bu süreler de hakkın türüne göre farklılık gösterir.
Bilgilerin silinmesi, düzeltilmesi veya bilinmesi/erişilmesi hakları için bir işletme şunları yapmalıdır
- talebin alındığını teyit etmeli ve işletmenin talebi 10 iş günü içinde nasıl işleme alacağı hakkında bilgi vermelidir; ve - talebin alınmasından itibaren 45 gün içinde nihai bir yanıt vermelidir (ancak işletme bunu 45 gün daha uzatarak toplam 90 güne çıkarabilir).
Buna karşın, verilerin satışından/paylaşımından vazgeçme talepleri ve hassas kişisel bilgilerin kullanımını/açıklanmasını sınırlama talepleri için işletmelerin en fazla 15 iş günü süresi vardır.
(D) Hizmet Sağlayıcıların, Yüklenicilerin ve Üçüncü Tarafların Bilgilendirilmesi
Kişisel bilgilerin silinmesi veya düzeltilmesi ve/veya bilgilerin satışından/paylaşımından vazgeçilmesi veya hassas kişisel bilgilerin kullanımının/açıklanmasının sınırlandırılması taleplerini alan işletmeler, ilgili hizmet sağlayıcıları, yüklenicileri ve bilgilerin satıldığı, paylaşıldığı veya açıklandığı tüm üçüncü tarafları bilgilendirmelidir.
(E) Muafiyetler
Bir işletmenin bir tüketici talebine uymak zorunda kalmamak için dayanabileceği birkaç genel istisna vardır. CCPA tarafından getirilen yükümlülüklerin aksi takdirde işletmenin federal, eyalet veya yerel yasalara, sivil, cezai veya düzenleyici soruşturmalara, soruşturmalara vb. uyma veya kolluk kuvvetleri ve devlet kurumları ile işbirliği yapma veya yasal talepleri yerine getirme veya savunma yeteneğini kısıtlayacağı durumlar buna bir örnektir. Tıbbi bilgiler gibi sektöre özel muafiyetler de bulunmaktadır. Bir işletmenin ticari sırları ifşa etme yükümlülüğü yoktur ve tüketici hakları hane halkı verileri için geçerlidir. Taleplerin açıkça temelsiz veya aşırı olduğu durumlarda (örneğin tekrar eden talepler), bir işletme (i) talebi ele almak için makul bir ücret talep edebilir (bunu yaparken maliyetlerini yansıtır) veya (ii) talep üzerine hareket etmeyi reddedebilir ve nedenini tüketiciye bildirebilir. Bir talebin açıkça asılsız veya aşırı olduğunu kanıtlama yükümlülüğü, muafiyetten yararlanmak isteyen işletmeye aittir.
Sonuç
Bu değişikliklerin artan önemi, tüketiciler arasında gizlilikle ilgili konular ve verilerinin kullanımına ilişkin hakları konusunda artan farkındalıktan kaynaklanmaktadır. Farkındalık arttıkça, şirketlerin karşılaştığı taleplerin sıklığı da artmaya devam etmektedir. Büyük hacmin ötesinde, talepleri birden fazla yargı alanında aynı anda ele almanın karmaşıklığı ve süreçleri her bir düzenleyici çerçeve için özelleştirme ihtiyacı, şirketler için zorluklar oluşturmakta ve genellikle önemli kaynak yatırımı gerektirmektedir. Düzenleyici soruşturma ve yaptırım tehdidi belirirken, kuruluşların CCPA’nın zorlu gerekliliklerini karşılamak için doğru politikalara, prosedürlere ve araçlara sahip olduklarından emin olmalarının tam zamanıdır.