İşletmelerin ABD’deki Çocukların Çevrimiçi Gizliliğini Koruma Yasası’na (COPPA) uymak için ne yapması gerekiyor? İşletmenizin COPPA uyumlu olduğundan nasıl emin olacağınız ve uymadığınızda ne olacağı aşağıda açıklanmıştır!
Bir hafta içinde iki teknoloji devi Microsoft ve Amazon’a önemli bir darbe indiren her iki şirket de Çocukların Çevrimiçi Gizliliğini Koruma Yasasını (COPPA) ayrı olaylarda ihlal ettikleri için yasal işlem ve ağır para cezalarıyla karşı karşıya kaldı.
Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) ve yüksek para cezaları
ABD Federal Ticaret Komisyonu, Xbox oyun sistemiyle ilgili olarak Çocukların Çevrimiçi Gizliliğini Koruma Yasasını ihlal ettiği iddiasıyla Microsoft’a 20 milyon dolar para cezası verdi. Duyuru 5 Temmuz 2023’te yapıldı.
FTC soruşturması, Microsoft’un Xbox oyun hizmetine kaydolan 13 yaşın altındaki çocuklardan adları, e-posta adresleri, telefon numaraları ve doğum tarihleri gibi kişisel bilgileri vermelerinin istendiğini ortaya çıkardı.
Ayrıca, 2019 yılına kadar kayıt ekranında, Microsoft’un kullanıcı bilgilerini açık izin olmaksızın reklamverenlerle paylaşmasına izin veren önceden doldurulmuş bir onay kutusu bulunuyordu.
Microsoft’un veri toplama uygulamaları, bir ebeveyn kayıt sürecini terk etse bile toplanan bilgileri sakladıkları için endişeleri daha da artırdı. Bu tür eylemler, çocuklardan kişisel veri toplanmadan önce ebeveyn izni alınmasını gerektiren COPPA düzenlemelerini ihlal etmektedir.
Anlaşmanın bir parçası olarak Microsoft, uygulamalarını düzeltmeyi ve COPPA yönergelerine uyumluluğunu geliştirmeyi kabul etti. Şirket, gerekli değişikliklerin uygulanmasını sağlamak ve genç kullanıcıların mahremiyetini korumak için FTC tarafından sürekli olarak izlenecektir.
Bundan günler önce sıra Amazon’daydı. 31 Mayıs 2023’te FTC ve Adalet Bakanlığı (DOJ), Amazon’u yapay zeka destekli popüler ses asistanı Alexa aracılığıyla çocukların verilerini işlemesiyle ilgili aldatıcı uygulamalar yapmakla suçladı.
FTC, Amazon’un ebeveynleri ve kullanıcıları veri silme uygulamaları konusunda yanılttığını, çocukların kayıtlarını süresiz olarak tuttuğunu ve hassas ses ve coğrafi konum verilerini kendi amaçları için kullandığını ve bunların tümü COPPA Kuralını ihlal ettiğini iddia etti.
Suçlamaların bir sonucu olarak Amazon, FTC tarafından şaşırtıcı bir şekilde 25 milyon dolar para cezasına çarptırıldı. Şirketin ayrıca veri silme uygulamalarını yenilemesi ve Alexa için sıkı gizlilik önlemleri uygulaması gerekiyor.
FTC’den Tüketiciyi Koruma Bürosu yöneticisi Samuel Levine, Amazon’un eylemlerinin mahremiyetten çok kâra öncelik verdiğini ve COPPA tarafından korunan ebeveynlerin ve çocukların haklarını bariz bir şekilde göz ardı ettiğini belirtti.
Siparişin şartlarına göre Amazon, etkin olmayan alt hesapları, belirli ses kayıtlarını ve coğrafi konum bilgilerini silmelidir. Ayrıca, şirketin bu tür verileri algoritmaları için kullanması yasaklanmıştır ve bu da ileride çocukların mahremiyeti için daha fazla koruma sağlar.
ABD dışı işletmeler ve Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) uyumluluğu
Aralık 2014’te FTC, Çin merkezli bir mobil uygulama geliştiricisi olan BabyBus’a, Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) Kuralının olası ihlalleri konusunda onları uyaran bir mektup yayınladı.
FTC personeli, BabyBus’un küçük çocukları hedefleyen ve çeşitli eğitim konularını öğretmek için çizgi film karakterleri kullanan bazı uygulamalarının COPPA düzenlemelerine uymayabileceğine dair endişelerini dile getirdi.
ABD dışındaki şirketler, ABD’de ikamet eden çocuklardan kişisel bilgi toplarlarsa, COPPA kapsamına girebilirler. COPPA, 13 yaşının altındaki çocuklara yönelik olan veya 13 yaşının altındaki çocuklardan kişisel bilgi topladığına dair fiilen bilgisi olan herhangi bir çevrimiçi hizmet veya web sitesi için geçerlidir.
FTC’nin COPPA’daki SSS sayfasında, “Yabancı tabanlı web siteleri ve çevrimiçi hizmetler, ABD’deki çocuklara yönelikse veya ABD’deki çocuklardan bilerek kişisel bilgi topluyorlarsa, COPPA’ya uymak zorundadır” dedi.
“Yasanın “operatör” tanımı, Amerika Birleşik Devletleri’nde veya topraklarında ticaret yapan yabancı tabanlı web sitelerini ve çevrimiçi hizmetleri içerir. Bununla bağlantılı olarak, yabancı çocuklardan bilgi toplayan ABD merkezli siteler ve hizmetler de COPPA’ya tabidir.”
Bu nedenle, ABD dışındaki bir şirket ABD’deki çocukları hedefleyen bir web sitesi veya çevrimiçi hizmet işletiyorsa veya ABD’de ikamet eden 13 yaşından küçük çocuklardan bilerek kişisel bilgi topluyorsa, bu şirket COPPA gerekliliklerine tabidir ve uymak zorundadır. yasa ile.
Uyumluluk, çocuklardan kişisel bilgi toplamadan önce doğrulanabilir ebeveyn onayının alınmasını, veri uygulamaları hakkında ebeveynlere bildirimde bulunulmasını, uygun veri güvenliği önlemlerinin uygulanmasını ve uygun kayıtların tutulmasını içerebilir.
Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) uyumluluğu: Temel bilgileri doğru öğrenin
Çocukların Çevrimiçi Gizliliğini Koruma Kuralı’na (COPPA) uygunluğu sağlamak için şirketler çeşitli önlemler alabilir. Uyumluluğu sağlamanın birkaç yolu olsa da, şirketlerin göz önünde bulundurabileceği dokuz temel adım şunlardır:
Uyumluluğu sağlamak için Çocukların Çevrimiçi Gizliliğini Koruma Kuralı’nda (COPPA) özetlenen gereksinimleri tam olarak anlayın.
COPPA Kuralının tam metni ve FTC tarafından sağlanan COPPA SSS’leri ve uygunluk yayınları gibi kaynaklar ve çalışma kılavuzu, düzenleme hakkında ilk ve en iyi bilgi kaynaklarıdır.
Temel kavram ve tanımları öğrenin ve 13 yaşın altındaki çocuklardan kişisel bilgi toplayıp toplamadığınızı belirlemek için web sitenizin veri toplama uygulamalarını değerlendirin.
Belirlendikten sonra, doğrulanabilir ebeveyn onayı almak, bildirimde bulunmak ve kapsamlı bir gizlilik politikası sağlamak ve makul güvenlik önlemlerini uygulamak dahil olmak üzere özel uyumluluk yükümlülüklerinizi belirleyin.
Varsa, FTC onaylı Güvenli Liman programlarına katılmayı düşünün ve COPPA’nın doğru yorumlanması ve uygulanmasını sağlamak için yasal tavsiye alın. Devam eden uyumluluğu sürdürmek için yasadaki herhangi bir değişiklikten haberdar olun.
Özelleştirilmiş rehberlik almak için COPPA bilgisine sahip gizlilik ve veri koruma uzmanlarından hukuk danışmanlığı isteyin.
Alanda uzmanlaşmış gizlilik avukatlarını veya hukuk firmalarını araştırıp belirleyerek başlayın.
Niteliklerini, deneyimlerini ve itibarlarını değerlendirin. İhtiyaçlarınızı tartışmak, ilgili sorular sormak ve uzmanlıklarını ve uyumluluklarını değerlendirmek için ilk istişareleri planlayın.
Bilgiye dayalı bir karar vermek için fiyatlandırma ve taahhüt şartlarını tartışın. Son olarak, açık bir anlaşma ile taahhüdü resmileştirin.
13 yaşın altındaki çocuklardan kişisel bilgi topladığınız alanları belirlemek için web siteniz, çevrimiçi hizmetleriniz ve mobil uygulamalarınız üzerinde kapsamlı bir denetim gerçekleştirin. Kullanıcı yaşını doğrulamak için yürürlükte olan mekanizmalarınız olup olmadığını belirleyin.
Kişisel bilgilerin toplandığı tüm alanları inceleyin ve platformlarınıza entegre edilmiş üçüncü taraf hizmetlerini değerlendirin.
Kullanıcı hesabı ayarlarını, iletişim kanallarını analiz edin ve doğum tarihi onayı, yaş sınırlamaları, üçüncü taraf yaş doğrulama hizmetleri ve ebeveyn izni mekanizmaları gibi yaş doğrulama mekanizmalarını uygulayın.
Bu mekanizmalar, kullanıcının yaşını etkili bir şekilde doğrulamalı ve 13 yaşından küçük çocukların ebeveyn izni olmadan erişimini önlemelidir.
Çocuklardan kişisel bilgilerin toplanmasını içerebilecek içerik veya özelliklere erişimi kontrol etmek için yaş sınırlamaları veya yaş doğrulama süreçleri gibi önlemler uygulayın. Herhangi bir veri toplamadan önce doğrulanabilir ebeveyn onayı alın.
Kullanıcıların kayıt sırasında yaşlarını doğrulamalarını veya doğum tarihlerini vermelerini gerektiren pop-up’lar veya açılış sayfaları gibi yaş sınırlamaları ayarlayın. Kimlik doğrulaması veya veri tabanı kontrolleri yoluyla kullanıcıların yaşını doğrulama konusunda uzmanlaşmış üçüncü taraf yaş doğrulama hizmetleri uygulayın.
Doğrulanabilir ebeveyn onayı almak için, e-posta veya çevrimiçi formlar gibi çevrimiçi mekanizmaları, postayla izin formları gibi çevrimdışı yöntemleri, kredi kartı doğrulamasını, bilgiye dayalı doğrulamayı veya ebeveyn izni için ücretsiz bir telefon numarasını düşünün. Seçilen yöntemin ebeveyn onayı için makul güvence sağladığından emin olun ve alınan tüm onayların uygun şekilde belgelenmesini sağlayın.
Özellikle çocukların kişisel bilgileriyle ilgili olarak veri toplama, kullanma ve ifşa etme uygulamalarınızı özetleyen açık ve kolay erişilebilir bir gizlilik politikası geliştirin. Web sitenizde veya çevrimiçi hizmetinizde belirgin bir şekilde gösterin.
Bu gizlilik politikası, kısa ve anlaşılır bir dille olmalı, veri toplama yöntemlerine ilişkin belirli bilgileri detaylandırmalı ve çocukların kişisel bilgilerinin toplanma amacının açık bir açıklamasıyla birlikte olmalıdır.
Ayrıca, verilerin nasıl kullanılacağını ve paylaşılacağını, ebeveyn onayı alma sürecini ve bilgileri korumak için uygulanan güvenlik önlemlerini de ana hatlarıyla belirtmelidir.
Ek olarak, gizlilik politikası, kullanıcıların ve ebeveynlerin toplanan verilere erişmesi ve bunları kontrol etmesi için seçenekler sağlamalı, gizlilikle ilgili sorular için iletişim bilgileri sağlamalı ve politika güncellemelerinin nasıl iletileceğini belirtmelidir.
Veri toplama uygulamalarınız ve gizlilik politikanız hakkında ebeveynleri doğrudan bilgilendirmek için bir yöntem oluşturun. Bu, doğrulanabilir ebeveyn onayı almayı veya e-posta veya diğer uygun yollarla bildirim göndermeyi içerebilir.
Web siteniz veya çevrimiçi hizmetiniz onlara yönelikse veya bu tür veri toplama konusunda bilginiz varsa bu zorunludur. E-posta onayları, imzalı onay formları veya kredi kartı doğrulaması gibi mekanizmalardan yararlanın.
COPPA’nın doğrulanabilir ebeveyn izni şartının istisnaları vardır, ancak bunlar son derece çarpıktır ve çoğunlukla tüketicinin lehine olmak üzere büyük ölçüde yoruma tabidir.
Çocukların kişisel bilgilerini korumak için şifreleme, kısıtlı veri erişimi ve düzenli güvenlik değerlendirmeleri dahil olmak üzere makul güvenlik uygulamalarını uygulayın.
Yetkisiz erişimi önleyerek veri aktarımını güvenli hale getirmek için SSL/TLS gibi şifreleme teknolojilerini kullanarak başlayın.
Kullanıcı erişim kontrolleri ve güçlü kimlik doğrulama yöntemleri aracılığıyla çocukların kişisel bilgilerine erişimi yetkili personelle sınırlandırın. Herhangi bir zayıflığı derhal tespit etmek ve ele almak için sızma testi ve güvenlik açığı taraması gibi düzenli güvenlik değerlendirmeleri yapın.
Dosya şifreleme, güvenlik duvarları ve veri yedekleme gibi önlemlere sahip korumalı veritabanları veya sunucular kullanarak çocukların kişisel verilerinin güvenli bir şekilde saklanmasını sağlayın. Potansiyel riskleri azaltarak yalnızca gerekli olan minimum kişisel bilgiyi toplayın ve saklayın.
COPPA gereklilikleri hakkında personelinize kapsamlı eğitim sağlayın. Çocukların kişisel bilgileriyle ilgilenirken uyumun, gizlilik uygulamalarının, veri işlemenin ve uygun prosedürlerin önemini vurgulayın.
COPPA’ya sürekli bağlılığı sağlamak için uygunluk çabalarınızı sürekli olarak izleyin ve gözden geçirin. Kuraldaki herhangi bir güncelleme veya değişiklikten haberdar olun ve uygulamalarınızda gerekli düzenlemeleri yapın.
COPPA uyumluluğu devam eden bir süreçtir ve yasal güncellemeler ve çocukların çevrimiçi gizliliğini korumaya yönelik en iyi uygulamalar hakkında bilgi sahibi olmak çok önemlidir. Uyum çabalarınızın COPPA gereklilikleriyle uyumlu olmasını sağlamak için durumunuza özel yasal tavsiye almak çok önemlidir.