CCPA'dan CPRA'ya:
Tüketici haklarının ele alınmasına ilişkin yeni kurallar
Yeni yıl, Kaliforniya sakinleri için yeni tüketici hakları. 1 Ocak 2023 tarihi itibariyle, bazen CCPA 2.0 olarak da adlandırılan CPRA yürürlüğe girmiştir. Temel değişiklikler Kaliforniya sakinlerinin gizlilik hakları ile ilgili olup, CPRA yeni haklar getirmenin yanı sıra CCPA kapsamında halihazırda verilen hakları da değiştirmektedir.
Bu değişikliklerin yüksek önemi, tüketicilerin gizlilikle ilgili konularda artan farkındalığından kaynaklanmaktadır. Tüketici davranışları neredeyse küresel gizlilik düzenlemeleri kadar hızlı değişmektedir. Artan farkındalıkla birlikte şirketlerin karşılaştığı taleplerin sayısı da sürekli artıyor. Hacme ek olarak, birden fazla yargı alanındaki taleplerle paralel olarak ilgilenmenin karmaşıklığı ve her bir rejim için süreçleri uyarlama zorunluluğu şirketler için bir zorluk teşkil etmekte ve önemli miktarda kaynak yatırımı gerektirebilmektedir.
Bu makale, revize edilmiş CCPA, yeni CPRA kapsamında tüketici haklarının ele alınmasına ilişkin açık bir rehberlik sağlamak üzere tasarlanmış bir serinin ilkidir. Aşağıda CPRA taleplerini yönetmek için genel adımları belirledik. Sonraki makaleler belirli hakların mekaniği ile ilgilenecektir.
I. CCPA; CPRA VE YÖNETMELİKLER
CPRA, Kaliforniya Medeni Kanunu’ndaki gizlilikle ilgili hükümleri değiştiren CCPA’da yapılan bir değişikliktir. CPRA tarafından yapılan yeni değişikliklerle Kaliforniya sakinlerine aşağıdaki haklar tanınmıştır:
- Kişisel bilgileri silme hakkı
- Yanlış kişisel bilgileri düzeltme hakkı
- Bilme hakkı:
- hangi kişisel bilgilerin toplandığını bilme ve bu bilgilere erişme
- hangi kişisel bilgilerin satıldığı veya paylaşıldığı ve kimlerle paylaşıldığı;
- Satış ve paylaşımdan vazgeçme hakkı
- Hassas kişisel bilgilerin kullanımını ve ifşasını sınırlama hakkı
- Vazgeçme veya diğer hakların kullanılmasının ardından misilleme yapılmaması hakkı
CCPA, esas olarak işletmelere nasıl uyacakları konusunda rehberlik sağlayan yönetmeliklerle (CCPA Yönetmelikleri) tamamlanmaktadır. CCPA Yönetmeliklerini belirleme yetkisi Başsavcıya verilmiştir. CPRA kapsamında kural koyma yetkisi yeni kurulan Kaliforniya Gizlilik Koruma Ajansına (CPPA) devredilmiş olup, bu ajans aşağıdaki amaçlarla CCPA Yönetmeliklerinde değişiklik yapılmasını önermiştir:
- Mevcut CCPA yönetmeliklerini CPRA’nın CCPA’da yaptığı değişikliklerle uyumlu hale getirmek için güncellemek;
- CPRA tarafından getirilen yeni hak ve kavramları işlevsel hale getirerek yasanın uygulanmasına açıklık ve belirginlik kazandırmak; ve
- yönetmeliklerin takip edilmesi ve anlaşılmasını kolaylaştırmak için kanunda belirtilen gereklilikleri yeniden düzenlemek ve birleştirmek.
Bu yeni CPRA Yönetmelikleri için son tarih 1 Temmuz 2022 idi, ancak CPRA’nın tamamlayıcı yönetmelikler olmadan yürürlüğe girmesinin etkisiyle 2023’e uzatıldı. CPRA’nın uygulanması 1 Temmuz 2023’e kadar başlamayacağından, CPPA’nın CPRA kapsamında revize edilmiş düzenlemeleri yayınlaması için hala biraz zaman kalmaktadır, ancak bu, şirketlerin uyum sağlaması için kalan süreyi kısaltmaktadır. Bu makalede, önerilen CPRA düzenlemelerinde Kaliforniya’daki tüketici taleplerinin yönetilmesine ilişkin genel adımlarda önemli değişiklikler olmayacağı varsayılmaktadır.
II. CPRA TALEPLERİNİN YÖNETİMİNDE GENEL ADIMLAR
Gizlilik taleplerini ele alma adımları, birden fazla talep türü için gerekli olan genel adımlar ve bir talep türü için benzersiz olan özel adımlar olarak ikiye ayrılabilir. Genel adımlar tüm hak türleri için aynı olmak zorunda değildir ancak aynı süreç adımıyla ilgilidir:
1. Talebin kabul edilmesi
CPRA, “taleplerin iletilmesi için belirlenmiş yöntemler” terimini, belirli yerleşik yöntemleri (posta adresi, e-posta adresi, internet web sayfası, internet web portalı, ücretsiz telefon numarası gibi) listeleyerek ve bir işletmeyle iletişim kurmak için yeni tüketici dostu yöntemlerin tanıtılmasına kapsam bırakarak (teknolojik tarafsız yaklaşım) tanımlar. İşletmelerin taleplerin iletilmesi için en az iki belirlenmiş yöntem sunmaları gerekmektedir. Hangi yöntemlerin sunulacağı tamamen işletmeye bağlı olmayıp CPRA’da kısmen öngörülmüştür. Silme talepleri, düzeltme talepleri ve bilgi edinme talepleri için aşağıdaki şema geçerlidir:
- Bir işletme yalnızca çevrimiçi olarak faaliyet gösteriyorsa ve bir tüketiciyle doğrudan bir ilişkisi varsa, yalnızca bir e-posta sağlaması gerekir;
- Bir işletme yalnızca çevrimiçi olarak faaliyet göstermiyorsa, taleplerin iletilmesi için iki veya daha fazla belirlenmiş yöntem sunmalıdır:
- Bir işletmenin bir web sitesi varsa, bu yöntemlerden biri bir web formu olmalıdır;
- en azından ücretsiz bir telefon numarası;
- Tüketicinin işletmede bir hesabı varsa, işletme tüketicinin bir talep göndermek için bu hesabı kullanmasını isteyebilir.
Ne Başsavcı ne de CCPA, “yalnızca çevrimiçi faaliyet göstermenin” veya “bir tüketiciyle doğrudan ilişkiye sahip olmanın” ne anlama geldiğini söylememektedir, bunun şu anlama geldiği varsayılabilir:
- İşletmenin herhangi bir fiziksel müşteri tesisine sahip olmadığı, bunun yerine hizmetlerini bir web sitesi aracılığıyla sunduğu; VE
- İşletmenin mal veya hizmetlerini üçüncü taraflar aracılığıyla veya onlar adına değil, doğrudan müşteriye sunması.
Kişisel bilgilerin satışından ve paylaşımından vazgeçme talepleri için belirlenen yöntemlerden biri, işletmenin web sitesindeki bağlantı aracılığıyla erişilebilen etkileşimli bir form olmalıdır. Bağlantıda “Kişisel Bilgilerimi Satmayın veya Paylaşmayın” yazmalıdır.
2. Uygunluk
Bir talebin alınması, otomatik olarak bir işletmenin bu talebi yerine getirmesi gerektiği anlamına gelmez. CPRA tarafından tanınan haklardan sadece Kaliforniya’da ikamet edenler yararlanabilir. Kaliforniya’da ikamet edenler şunları içerir:
- Kaliforniya Eyaletinde geçici veya geçici bir amaç dışında bulunan her birey ve
- Kaliforniya Eyaleti’nde ikamet eden ve geçici veya geçici bir amaç için Eyalet dışında bulunan her birey.
Dolayısıyla, uygunluk bireyin coğrafi konumuna bağlı değildir. Bir bireyin ikametgahı ile ilgili belirsizlik olması durumunda, bir taleple karşılaşan bir işletme, tüketiciden Kaliforniya’da ikamet ettiğine dair kanıt sunmasını isteyebilir.
3. Doğrulanabilir tüketici talebi - Kimlik belirleme
CPRA “doğrulanabilir tüketici talebi” terimini kullanmakta ve bunu, işletmenin ticari olarak makul yöntemler kullanarak hakkında kişisel bilgi topladığı tüketici olduğunu doğrulayabileceği bir tüketici tarafından yapılan bir talep olarak tanımlamaktadır.
Bir işletme talebi doğrulayamazsa, (i) bilme, (ii) silme veya (iii) verileri düzeltme taleplerine uyması yasaktır; bu, tüketicinin kimliğinin belirlenmesinin talep üzerine harekete geçmek için bir ön koşul olduğu anlamına gelir. Satış veya paylaşımdan vazgeçme taleplerinin yanı sıra hassas kişisel bilgilerin kullanımını ve ifşasını sınırlama taleplerinin kimlik tespiti gerektirmediğini belirtmek önemlidir.
Bir işletme, talep eden tüketici hakkında kişisel bilgi topladığını doğrulayabiliyorsa, bir tüketici talebi doğrulanır. Bir işletmenin yalnızca ticari açıdan makul yöntemler kullanması gerekmektedir. İşletmenin talebe yanıt vermek için harcadığı zaman ve/veya kaynaklar, yanıt vermemenin tüketici üzerindeki makul olarak öngörülebilir etkisinden önemli ölçüde daha ağır basıyorsa, çaba orantısız olacaktır.
Bir tüketicinin talepte bulunmak için yetkili bir temsilci kullanması durumunda, bir işletme yetkili temsilciden tüketicinin temsilciye talebi iletmesi için imzalı izin verdiğine dair kanıt sunmasını isteyebilir.
4. Üçüncü Taraf - İşlemci
Özel nitelikli kişisel verilerin silinmesi, devre dışı bırakılması veya kullanımının ya da ifşasının sınırlandırılması talepleri durumunda, bir işletme, işletmenin kişisel bilgileri sattığı veya paylaştığı tüm üçüncü taraflara da tüketicinin talebine uymaları için bildirimde bulunmalı ve talebi üçüncü tarafın kişisel bilgileri ifşa ettiği veya paylaştığı diğer kişilere iletmelidir.
5. Zaman Çizelgesi
İşletmelerin bir tüketici gizlilik talebine ne zaman tepki vereceği ve yanıt vereceğine ilişkin kurallar, hakkın türüne bağlı olarak farklılık göstermektedir.
Silme talepleri, düzeltme talepleri ve bilme talepleri söz konusu olduğunda, bir işletme talebin alındığını 10 iş günü içinde teyit etmeli ve işletmenin talebi nasıl işleyeceği hakkında bilgi vermelidir. Nihai yanıt, bu süreyi 45 gün daha uzatarak toplam 90 güne çıkarma seçeneğiyle birlikte, talebin alınmasından itibaren en geç 45 gün içinde teslim edilir.
Sözleşmelere göre, bir işletmenin satış/paylaşımdan vazgeçme taleplerine ve hassas kişisel bilgilerin kullanımını ve ifşasını sınırlama taleplerine uymak için en fazla 15 iş günü süresi vardır.
| Hakları | Zaman çizelgesi | Gerekli eylem | | ----------- | ----------- | | - Bilin
- Silme
- Doğru
| 10 iş günü | - Talebi onaylayın
- müdahale süreci hakkında bilgi sağlamak
| | - Bilin
- Silme
- Doğru
| 45 takvim günü
Bir 45 takvim günü daha uzatma imkanı
| - Talebi doğrulayın
- Nihai yanıtı sağlayın
| | - Opt-out
- Limit
| 15 iş günü | Talebe uyun |
6. Muafiyetler
Bir işletmenin bir tüketici talebine uymak zorunda olmamak için dayanabileceği, bunlarla sınırlı olmamak üzere, bir dizi genel istisna vardır:
- hiçbir yükümlülüğün bir işletmenin federal, eyalet veya yerel yasalara uyma, hukuki, cezai veya düzenleyici soruşturmalara, incelemelere vb. uyma, kolluk kuvvetleri ve devlet kurumları ile işbirliği yapma veya yasal hak taleplerini yerine getirme veya savunma ihtiyacı dahil olmak üzere bir dizi yükümlülüğe uyma kabiliyetini kısıtlamayacağı; hiçbir yükümlülüğün, bir işletmenin tüketicilerin kimliksizleştirilmiş veya toplu tüketici bilgilerini toplama, kullanma, saklama, satma, paylaşma veya ifşa etme veya söz konusu ticari faaliyetin her yönünün tamamen Kaliforniya dışında gerçekleşmesi halinde tüketicinin kişisel bilgilerini toplama, satma veya paylaşma kabiliyetini kısıtlamayacağı; Tıbbi bilgilerle ilgili olarak bir işletmenin ticari sırları ifşa etme yükümlülüğü olmaması gibi sektöre özgü muafiyetler;
- tüketicinin kredi değerliliğine ilişkin faaliyetler için muafiyet vb;
- Belirlenmiş ABD mevzuatına tabi olarak toplanan, işlenen, satılan veya ifşa edilen belirli bilgiler için muafiyetler;
- belirli araç ve mülkiyet bilgilerine ilişkin muafiyetler;
- özellikle tekrar eden nitelikleri nedeniyle açıkça temelsiz veya aşırı olan talepler. Bir işletme, bilgi veya iletişim sağlamanın veya talep edilen eylemi gerçekleştirmenin idari maliyetini göz önünde bulundurarak talebi ele almak için makul bir ücret talep etmeyi seçebilir veya talep üzerine hareket etmeyi reddetmeyi ve bunu reddetme nedenini tüketiciye bildirmeyi tercih edebilir. Doğrulanabilir bir tüketici talebinin açıkça temelsiz veya aşırı olduğunu kanıtlama yükümlülüğü, muafiyetten yararlanmak isteyen işletmeye aittir;
- hane halkı verilerine ilişkin talepler.
Prighter Hakkında
Prighter Group, dünyanın dört bir yanındaki şirketlerin birden fazla veri koruma rejimine uygun olarak uluslararası iş yapmalarını sağlama misyonu etrafında toplanmıştır. Gizlilikle ilgili etkileşimlerinizin yönetimi için bir SaaS çözümü ile birlikte uzmanlaşmış gizlilik temsilciliği hizmetleri sunarak, şirketin yerel veri koruma yasalarına uygun olarak yeni pazarlara ulaşmasını sağlıyoruz. Hem yazılım hem de profesyonel hukuk hizmetlerinin en iyilerini bir araya getirerek pazar lideri gizlilik teklifimizi sunuyoruz. Prighter tarafından korunan işinizi güvenle büyütün.
Gizlilikle ilgili daha fazla haber ve içerik için bizi Linkedin’de takip edin