California Tüketici Mahremiyeti Yasası (“CCPA”), California’da ikametgâh edenleri korumak için gizlilik haklarını ve tüketici korumasını geliştirmeyi amaçlayan bir eyalet yasasıdır. CCPA, 1 Ocak 2020 tarihinde yürürlüğe girmişti. Yürürlüğe girdikten sonra veri sorumlularına uyum için 6 aylık süre verildi. Geçen sene neredeyse hepimizin telefonuna Google, Apple, Facebook gibi şirketlerden “Kullanıcı Koşullarında” veya “Gizlilik Politikamızda” değişiklik yaptık şeklinde ileti gönderilmişti. GDPR ile CCPA’nın ortak noktası oldukça çok. Bu nedenle GDPR’a uyum sağlayan şirketler, büyük oranda CCPA ile uyumludur da denilebilir.
CCPA’nın getirdiği belki de en önemli koruma, veri sorumlularının, müşterilerin veya kullanıcıların kişisel verilerini satarak ticari kazanç sağlama faaliyetlerinde bulunuyorsa bunu mutlaka bildirmelerini ve izin alınmasını zorunlu kılıyor. Yasa, müşteri ilgili izni vermediğinde veya izin vermiş olmasına rağmen sonradan iznini geri alması halinde kullanıcıların kişisel verilerini satarak ticari kazanç sağlamasını yasaklıyor. Bunun yanında diğer önemli haklar ise şu şekilde sıralanabilir:
Müşterilerin hangi verilerinin toplanıldığını bilme hakkı
Kişisel verilerin kiminle paylaşıldığı veya kime satıldığını bilme hakkı
Kişisel verilere erişme hakkı
Veri sorumlusu tarafından işlenen verilerin silinmesini talep etme hakkı
Yukarıda yazılan talepleri, müşterilerin uygun kullanabilmesi için veri sorumluları internet sitelerinde buna ilişkin bir hizmet sunmalıdır. Örneğin verilerinin satılmamasını isteyen bir müşteri, veri sorumlusunun “Kişisel Verilerimi Satma” isimli başvuru linkine tıklayarak, istediği talebi yerine getirebilir. Bunlarla birlikte yukarıda isteklerden biri ile veri sorumlusuna başvuran müşterilere karşı şirketler ayrımcılık yapamaz.
Kanundan Muafiyet
GDPR’dan farklı olan önemli alanlardan biri toplanan sağlık verilerinin CCPA kapsamına girmemesidir. Veri sorumluları, müşterilerin sağlık verilerini işlerken CCPA’ya değil de Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası’na (“HIPA”) uygun hareket etmesi gerekiyor.
Diğer bir muafiyet ise müşterilerin finansal bilgilerine ilişkindir. Eğer müşterilerin finans bilgileri, Finansal Kuruluşlar tarafından toplanıyor ise, ilgili veri sorumluları, Kaliforniya Finansal Bilgi Mahremiyeti Yasası (“CFIP”) ile Gramm-Leach-Bliley Yasası uyarınca sorumlu olacaklardır.
KAYNAKÇA
YAZAR
Bilgi Teknolojileri Ekibi
Comments