İşletmelerin 2024’ün üçüncü çeyreğine girerken üç yeni eyalet gizlilik yasasıyla mücadele etmeleri gerekiyor. Teksas Veri Gizliliği ve Güvenliği Yasası, Oregon Tüketici Gizliliği Yasası ve Florida Dijital Haklar Bildirgesi’nin tümü 1 Temmuz’da yürürlüğe girdi. Kaliforniya, Colorado, Connecticut, Utah ve Virginia’da hâlihazırda yürürlükte olan tüketici verileri gizliliği yasaları nedeniyle birçok ulusal ve uluslararası şirketlerin şu anda yürürlükte olan sekiz eyalet gizlilik yasasına uygunluğu onaylaması gerekiyor.
Önümüzdeki iki yıl içinde yürürlüğe girmesi planlanan daha fazla eyalet gizlilik yasasıyla birlikte, Amerika Birleşik Devletleri’ndeki tüketici gizliliği düzenlemeleri işletmeler için giderek daha zorlayıcı hale geldi. Birçok işletme, kendileri için hangi yasaların geçerli olduğunu ve bunlara uymak için ne yapmaları gerektiğini belirlemek gibi göz korkutucu bir görevle mücadele ediyor. Bu yasalar arasında pek çok benzerlik olmasına rağmen, işletmelerin harici web sitesi belgelerini ve dahili uyumluluk prosedürlerini güncellemeye çalışırken dikkate alması gereken bazı nüanslar vardır.
Bu makalede Teksas, Oregon ve Florida yasaları arasındaki daha önemli farklılıklardan bazılarına göz atacağız.
Uygulanabilirlik Eşikleri
Bir şirket, belirli bir eyaletin tüketici gizliliği yasası kapsamına girip girmediğini nasıl belirleyebilir? Tipik olarak eyalet gizlilik yasaları, kişisel verilerin işleneceği minimum tüketici sayısını veya işletmenin kişisel verilerin satışından belirli bir gelir yüzdesi elde etmesi durumunda daha küçük bir minimum tüketici sayısını belirtir. Bunlar bir eyalet gizlilik yasasının uygulanabilirliğini tetikleyen birincil eşiklerdir; ancak Kaliforniya Tüketici Gizliliği Yasası ve Utah Tüketici Gizliliği Yasası gibi bazıları geliri doğrudan uygulanabilirlik analizine dahil eder.
Eyalet gizlilik yasalarının çoğuyla tutarlı olarak, Oregon Tüketici Gizliliği Yasası, Oregon’da iş yapan veya Oregon sakinlerine ürün veya hizmet sağlayan ve bir takvim yılı boyunca kontrol veya süreçleri kontrol eden tüm kuruluşlar için geçerli olan bir veri işleme hacmi eşiği içerir. (1) 100.000 veya daha fazla tüketicinin kişisel verileri (yalnızca bir ödeme işleminin tamamlanması amacıyla kontrol edilen veya işlenen kişisel veriler hariç); veya (2) kişisel verilerin satışından yıllık brüt gelirin yüzde 25 veya daha fazlasını elde ederken 25.000 veya daha fazla tüketicinin kişisel verileri.
Buna karşılık, Florida Dijital Haklar Bildirgesi kapsamındaki yükümlülüklerin büyük kısmı, diğer şeylerin yanı sıra küresel brüt yıllık geliri 1 milyar dolardan fazla olan ve aşağıdakilerden en az birini karşılayan kuruluşlar için geçerlidir: (1) yüzde 50 gelir elde etmek veya daha fazla çevrimiçi reklam satışından elde edilen küresel brüt yıllık gelir (hedefli reklamların sağlanması dahil); (2) eller serbest sözlü aktivasyonu kullanan bir bulut bilişim hizmetine bağlı entegre bir sanal asistanla tüketiciye yönelik akıllı hoparlör ve sesli komut bileşen hizmetini işletmek; veya (3) tüketicilerin indirip kurması için en az 250.000 farklı yazılım uygulaması sunan bir uygulama mağazası veya dijital dağıtım platformu işletmek. Başka bir deyişle, FDBR’nin uygulanabilirliği veri işleme için belirli bir eşik tüketici sayısının aşılmasına bağlı değildir. Bunun yerine, FDBR’nin uygulanabilirliği, gelire ve belirli ticari faaliyetlere dayalı olarak çok büyük işletmelerden oluşan belirli bir grupla dar bir şekilde sınırlandırılmıştır.
Teksas Veri Gizliliği ve Güvenliği Yasası uygulanabilirliğe başka bir yaklaşım daha getiriyor. TDPSA genel olarak (1) Teksas’ta iş yapan veya Teksas’ta ikamet edenler tarafından kullanılan ürün veya hizmetleri üreten; (2) kişisel verileri işlemek veya satışına katılmak; ve (3) ABD Küçük İşletme İdaresi tarafından tanımlandığı şekliyle küçük işletmeler değildir. Burada herhangi bir gelir eşiği veya minimum kişi sayısı yoktur. Bunun yerine uygulanabilirlik, Küçük İşletme İdaresi tarafından tanımlandığı gibi, belirli bir sektöre göre işletmenin büyüklüğüne bağlı olacaktır.
Varlık Türü Muafiyetleri
Tüm eyalet veri gizliliği yasaları, çeşitli kuruluşlara veya verilere özgü muafiyetler içerir, ancak yasalar bu alanda da önemli ölçüde farklılık gösterir. Bazıları belirli türdeki kuruluşları (örneğin, Gramm-Leach-Bliley Yasası’na (GLBA) tabi finansal kuruluşlar veya Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’na (HIPAA) tabi sağlık kuruluşları) muaf tutar. Diğerleri belirli veri kategorilerini muaf tutar (örneğin, GLBA Başlık V’e tabi veriler veya HIPAA’ya tabi korunan sağlık bilgileri). Bu nedenle, muafiyetin kuruluşun tamamına mı yoksa belirli bir veri türüne mi uygulanacağının teyit edilmesi önemlidir. Örneğin, Teksas kanunu finansal kuruluşlar veya GLBA’ya tabi veriler için geçerli değildir. Bunun aksine, Oregon kanunu yalnızca bilgi GLBA’ya uygun olarak toplanır, işlenir, satılır veya ifşa edilir.
Eyalet gizlilik yasalarının tamamı olmasa da çoğu, kar amacı gütmeyen kuruluşlar veya yüksek öğrenim kurumları gibi diğer işletme kategorileri için de muafiyetler içermektedir. İşletmelerin bu diğer muafiyetler ve tipik muafiyetlere ilişkin istisnalar konusunda bilgi sahibi olması önemlidir. Örneğin, çoğu eyalet gizlilik kanununun aksine, Oregon kanunu kar amacı gütmeyen kuruluşlar için genel bir muafiyet içermemektedir. Oregon yasası, Oregon Sağlık ve Bilim Üniversitesi ve Oregon Eyalet Barosu dahil olmak üzere kamu şirketlerinin yanı sıra, sigortayla bağlantılı dolandırıcılık eylemlerini tespit etmek ve önlemek için kurulmuş kar amacı gütmeyen kuruluşları veya radyo veya radyo programlarına program sağlarken ticari olmayan faaliyetlerde bulunanları muaf tutar. televizyon ağları. Oregon, kar amacı gütmeyen kuruluşlara uyum sağlamaları için 1 Temmuz 2025’e kadar ek süre sağlıyor.
Gizlilik Politikası Açıklamaları
Tüm veri gizliliği yasaları, işletmelerin kişisel bilgilerin nasıl toplandığını ve kullanıldığını açıklayan gizlilik politikaları yayınlamasını gerektirir. Ayrıca, işletmenin kişisel verileri üçüncü taraflara satıp satmadığını veya bu verileri hedefli reklam veya profil oluşturma amacıyla işleyip işlemediğini açıklamak için genellikle gizlilik politikaları gerektirir. Örneğin, Oregon yasası, gizlilik politikalarının, kişisel verilerin hedefe yönelik reklam veya profil oluşturma amacıyla işlenmesine ilişkin açık ve dikkat çekici bir açıklama içermesini gerektirir. Ancak Florida ve Teksas yasaları uyarınca, hassas verilerin satışıyla uğraşan işletmelerin gizlilik politikalarına aşağıdaki açıklamayı özellikle dahil etmesi gerekir: “BİLDİRİM: Hassas kişisel verilerinizi satabiliriz.” Biyometrik veri satışı yapan işletmelerin ayrıca gizlilik politikalarına şu açıklamayı da özel olarak dahil etmesi gerekmektedir: “DİKKAT: Biyometrik kişisel verilerinizi satabiliriz.”
Veri Sahibi Hakları
Eyalet tüketici mahremiyeti kanunları tarafından yaygın olarak verilen veri sahibi hakları arasında bilme ve erişim hakkı, düzeltme hakkı, silme hakkı, veri taşınabilirliği hakkı ve kişisel verilerin satışından, hedefli reklamdan veya profil oluşturmadan vazgeçme hakkı yer alır. Oregon tüketicilere, bir işletmenin kişisel verilerini açıkladığı belirli üçüncü tarafların listesini alma konusunda ek bir hak verir. Florida kanunu aynı zamanda hassas verilerin toplanmasından veya işlenmesinden vazgeçme hakkının yanı sıra ses tanıma veya yüz tanıma özelliğinin çalıştırılması yoluyla toplanan kişisel verilerin toplanmasından vazgeçme hakkını da içerir.
“Hassas Veri” Tanımı
Pek çok eyalet gizlilik kanunu, bir bireyin ırksal veya etnik kökenini, dini inançlarını, zihinsel veya fiziksel sağlık teşhisini, cinsel yönelimini, vatandaşlık veya göçmenlik durumunu ortaya koyan kişisel verileri ve aynı zamanda aşağıdaki amaçlarla işlenen genetik veya biyometrik verileri içerecek şekilde “hassas verileri” tanımlar. Bir bireyin benzersiz bir şekilde tanımlanması, bir çocuğun kişisel verileri ve kesin coğrafi konum verileri. Oregon yasasındaki hassas veri tanımı aynı zamanda tüketicinin ulusal kökenini, transseksüel veya ikili olmayan cinsiyet statüsünü ve suç mağduru statüsünü de içermektedir.
İleriye Bakış
Önümüzdeki birkaç yıl içinde daha fazla eyalet tüketici mahremiyeti kanunu yürürlüğe gireceğinden, işletmeler bunların kapsanıp kapsanmadığını dikkatli bir şekilde değerlendirmeli ve mahremiyet uyumluluk programlarını geçerli kanunlardaki farklı gereklilikleri ve nüansları hesaba katacak şekilde ayarlamalıdır. Montana Tüketici Verilerinin Gizliliği Yasası Ekim ayında yürürlüğe girecek. Önümüzdeki birkaç yıl içinde gizlilik yasalarının yürürlüğe gireceği diğer eyaletler arasında Delaware, Indiana, Iowa, Kentucky, Maryland, Minnesota, Nebraska, New Hampshire, New Jersey, Rhode Island ve Tennessee yer alıyor. Bu yasalar, hâlihazırda yürürlükte olan sekiz yasada bulunan temel özelliklerin çoğunu içermektedir, ancak uygulanabilirlik ve gereksinimler üzerinde önemli bir etkiye sahip olabilecek küçük farklılıklar ve nüanslar bulunmaktadır. Daha fazla eyalet veri gizliliği yasalarını yürürlüğe koydukça, farklılıkları takip etmek, uyarlanabilir bir uyumluluk programının geliştirilmesi ve sürdürülmesinde önemli ve bazı açılardan zorlu bir çalışma olacaktır. Dahası, Kongre’nin yakın zamanda kapsamlı bir federal gizlilik yasasını geçirmesi ihtimali de pek mümkün görünmüyor. 7 Nisan’da ABD Senatörü Maria Cantwell, Senato Ticaret, Bilim ve Ulaştırma Komitesi Başkanı ve ABD Temsilcisi Cathy McMorris Rodgers, Amerikan Gizlilik Hakları Yasasına ilişkin yasa taslağını açıkladı. Taslakta bazı güncellemeler yapıldı ve Senato Ticaret Komitesi’nin “Amerikalıların Gizliliğini ve Yapay Zeka Hızlandırıcıyı Koruma İhtiyacı” konulu toplantısı yapıldı. Ancak önemli engeller devam ediyor ve bu yıl federal bir veri gizliliği yasasının çıkmasını beklemiyoruz.
Yazarlar Hakkında
Carolyn Ho ve Sarah Rugnetta, Constangy, Brooks, Smith & Prophete LLP’nin New York merkezli avukatları ve firmanın Constangy Siber Ekibinin üyeleridir. [email protected].