MELEKLER, 6 Şubat 2023 /PRNewswire/ — Yaklaşık bir yıl süren kural koyma çalışmalarının ve 1.000 sayfadan fazla kamuya açık yorumun ardından, ülkenin ilk özel veri gizliliği ajansı Cuma günü tüketicilere özel verileri üzerinde benzeri görülmemiş bir kontrol sağlamayı amaçlayan düzenlemeleri onayladı.
California Gizlilik Koruma Ajansı (CPPA) oybirliğiyle oy kullandı 3 Şubat ilk kural koyma paketini nihai onay için İdari Hukuk Bürosuna (OAL) göndermek. Kurul, paketi iki hafta içinde sunacak ve OAL’nin paketi onaylaması için 45 günü var. Bu, değiştirilmiş Kaliforniya Tüketici Gizliliği Yasası (CCPA) için düzenlemelerin Nisan ayında kitaplarda olacağı anlamına gelir. Bazı tüketici yanlısı düzenlemelerin kaldırılmasının ardından, 450 sayfalık kamuoyu yorumunun ardından yasada başka değişiklik yapılmadı.
“Kişisel veri satışı, bizi izlemek ve profilimizi çıkarmak için kullanılan görünmez bir ekonomidir. Ajans, düzenlemelerde bazı önemli değişiklikler yapmayı reddetse de, halkın kendilerine ait olanı kontrol altına almak için bu düzenlemelere her zamankinden daha fazla ihtiyacı var.” söz konusu Justin KloczkoConsumer Watchdog’un gizlilik savunucusu.
Yasa, tüketicilere, şirketlerin kişisel bilgilerini kötüye kullanmasını durdurma hakları verir, buna aşağıdakiler dahildir:
Üçüncü taraflarla paylaşılan verileri devre dışı bırakma yeteneği. Birçok kişi, yasanın orijinal versiyonunun kusurlu olduğuna, çünkü sadece verilerin ‘satılmasını’ engellediğine, ancak birçok sosyal medya ve reklam şirketinin iş modelini besleyen veri paylaşımını engellemediğine dikkat çekti. Özel verileri üçüncü taraflara gönderen boru hattı artık kesiliyor.
Tüketiciler artık hassas verilerin birinci taraflarca kullanılmasını engelleyebilir, ırk, konum, cinsel yönelim, sağlık ve dini inançlar dahil olmak üzere. İşletmeler, kendilerine gönderilen küresel bir sinyal ve “Bilgilerimi Paylaşma/Satma” ana sayfası düğmesi aracılığıyla insanların gizlilik tercihlerini kullanmalarına izin vermelidir.
Bir işletmenin derlediği yanlış kişisel bilgileri silme veya düzeltme hakkıve talep edilen değişiklikleri üçüncü kişilere bildirmek. CPRA ayrıca işletmelerin verileri elinde bulunduran üçüncü tarafları bilgilendirmesini zorunlu kılarak silme taleplerini genişletir.
İşletmeler ayrıca toplanan hassas bilgilerin kategorilerinin bir listesini sağlamalıdır. kişisel bilgilerin satılıp satılmadığı veya paylaşılıp paylaşılmadığı ve işletmenin her bir kişisel bilgi kategorisini saklamayı amaçladığı sürenin uzunluğu.
Veri kullanımının amaçla orantılı olması gerekir. Bir şirket, verileri tüketicinin sağladığı nedenle tamamen alakasız bir nedenle kullanamaz. Örneğin, bir el feneri uygulaması, çalışması için coğrafi konumunuzu kullanamaz.
Başlangıçta karşılamak için tasarlanmış 1 Temmuz 2022 son teslim tarihine rağmen, iki yönetim kurulu üyesinin ayrıldığını gören küçük kadrolu ajans tarafından düzenlemeler birkaç kez geri çekildi. Ekim ayındaki son kamuya açık görüş duruşmasından bu yana yönetmeliklerde herhangi bir değişiklik yapılmadı.
“Dört yüz elli sayfalık yorum değerlendirildi ve daha fazla değişikliğe gerek olmadığına karar verdik.” Lisa KimCuma günkü yönetim kurulu toplantısında gizlilik kurulunun hukuk müşaviri.
Ajansın yapmayı reddettiği bu değişiklikler, kişisel bilgileri silmek için 15 günlük bir pencereyi kapatmayı içeriyordu.
“Birisi vazgeçtiğinde bile, işletmelere iki haftalık bir ödemesiz süre verildiği için kişisel bilgiler satılmaya devam edecek. İşletmeler, verilerinizi satabilecek duruma gelir gelmez bir kişinin devre dışı bırakma talebini yerine getirmeye zorlanmalıdır; bu gizlilik uzmanların söylediğine göre sadece birkaç saniye,” dedi Kloczko.
Kurul, süreyi kaldırmayı reddetme gerekçelerinde, maksimum 15 günlük sürenin tüketicinin devre dışı bırakma hakları ile bu hakları işleyen işletmelerin yükü arasında denge kurduğunu söyledi. Ayrıca, “Bu konuda bir düzenlemeye gerek olup olmadığını belirlemek için daha fazla analiz yapılması gerekiyor.” Büyük ihtimal sorun çıkacak gibi tekrar ziyaret edildi gelecekte.
Kurul ayrıca, işletmenin kişisel bilgilerin toplanmasını kontrol eden üçüncü şahısların isimlerini belirtmesi gerekliliğini de kaldırdı. Tüketiciler, kişisel bilgilerini tam olarak kimin ele alacağını, verilerini paylaşan veya satan kişilerden doğrudan bilmeyi hak ediyor.
Kurul ayrıca, bir tüketicinin devre dışı bırakma seçeneğinin görüntülendiğini belirten önceki düzenlemesine geri dönmeyi de reddetti. Bir işletmenin, tüketicinin kişisel bilgileri satıştan/paylaşımdan vazgeçme tercihini işleyip işlemediğini web sitesinde göstermesi zorunlu değildir, bu da insanları gizlilik haklarını kullanıp kullanmadıkları konusunda karanlıkta bırakır.
Yasanın uygulanması başlıyor 1 Temmuz. Yönetim kurulu yakında risk değerlendirmeleri, denetimler ve otomatik karar verme ile ilgili bir sonraki düzenlemeleri için görüşler alacak.
KAYNAK Tüketici Gözlemcisi