California Gizlilik Hakları Yasası (CPRA) olarak da bilinen Önerme 24, Ocak ayında yürürlüğe girdi. Kasım 2020’de California seçmenleri tarafından kabul edilen CPRA, tüketicilere bir işletmenin kendileri hakkında sahip olduğu yanlış kişisel bilgileri düzeltme hakkı vererek Kaliforniya Tüketici Gizliliği Yasası (CCPA) kapsamında tüketici verilerinin gizliliğine yönelik korumaları artırıyor. Ayrıca, tüketicilerin kendileri hakkında toplanan hassas kişisel bilgilerin kullanımını ve ifşasını sınırlamasına olanak tanır.
CCPA, “tüketicilerin kişisel bilgilerini toplayan, tüketicilerin kişisel bilgilerini işleme amaçlarını ve araçlarını belirleyen ve California Eyaletinde iş yapan herhangi bir tüzel kişilik” için geçerli olduğundan, bunun kurumsal işletmeler için ağır sonuçları vardır. CCPA kapsamına girebilmek için kuruluşların ya yıllık brüt gelirlerinde 25 milyon dolardan fazla kazanması, yıllık gelirlerinin en az yarısını tüketicilerin kişisel bilgilerini satmaktan elde etmesi ya da kişisel bilgileri satın alması, alması, satması veya paylaşması gerekir. yıllık bazda en az 50.000 tüketici, ev veya cihaz.
Kuruluşların, CCPA gibi değişen yasaların bir adım önünde olma zorunluluğu vardır, ancak tüketici gizliliğini korumak, faaliyet gösterdiğiniz yere, toplayıp paylaştığınız verilerin türüne, tüketicilerinizin nerede bulunduğuna ve daha fazlasına bağlı olarak büyük ölçüde değişebilir. Güvenli ve uyumlu bir altyapıyı sürdürmek için mevcut teknoloji çözümlerinin yanı sıra eyalet ve yerel rehberlikten nasıl yararlanabileceğinizi öğrenmek için okumaya devam edin.
CCPA Merceğinden Tüketici Gizliliğini Anlamak
Thomas Reuters’e göre, düzenleyici kurumlar her gün 250’den fazla uyumluluk güncellemesi yayınlıyor. Dolayısıyla kuruluşların %25’inin hangi düzenlemelerin kendileri için geçerli olduğunu veya uyumluluğu sağlamak için ne yapmaları gerektiğini anlamaması mantıklı. Belirli gereksinimler yasaya bağlı olarak değişebilse de CCPA, ABD’de tüketici gizliliğinin nasıl büyüdüğünü ve değiştiğini anlamaya çalışırken başlamak için harika bir yerdir.
CCPA, CPRA ile birlikte tüketicilere altı temel hak verir.
- Bilme hakkı: Tüketiciler, bir işletmenin kendileri hakkında hangi kişisel bilgileri topladığını ve bu bilgilerin nasıl kullanıldığını ve paylaşıldığını bilme hakkına sahiptir.
- Silme hakkı: Tüketiciler, belirli istisnalar dışında toplanan kişisel bilgileri işletmelerin silmelerini talep edebilir.
- Ayrılma hakkı: Tüketiciler, kişisel bilgilerinin satılmasından veya paylaşılmasından vazgeçebilir.
- Ayrımcılık yapmama hakkı: Tüketiciler, CCPA haklarını kullandıkları için ayrımcılığa tabi tutulamaz.
- Düzeltme hakkı: Bir işletme yanlış kişisel bilgiler topladıysa, sakladıysa veya paylaştıysa, tüketiciler işletmelerden bu verileri düzeltmelerini isteyebilir.
- Sınırlama hakkı: Tüketiciler, Sosyal Güvenlik numaraları gibi hassas kişisel bilgilerin veya kesin coğrafi konum verilerinin nasıl kullanılacağını ve ifşa edileceğini sınırlayabilir.
CCPA ayrıca işletmeler için belirli yükümlülükler getirir. Örneğin, işletmeler, kişisel bilgilerle ilgili uygulamalarını, veriler toplanmadan önce veya veri toplama noktasında ifşa etmelidir. İşletmelerin ayrıca tüketici hakları taleplerine 45 gün içinde yanıt vermeleri gerekmektedir. Ancak bu yanıt süresini tüketiciye bildirmek kaydıyla 45 gün daha uzatabilirler. Ek olarak, CPRA kapsamında işletmeler, düzenli siber güvenlik denetimleri ve gizlilik risk değerlendirmeleri gerçekleştirmeli ve ayrıca topladıkları ve sakladıkları veri miktarını en aza indirmelidir.
Veri Güvenliğini ve Uyumluluğu Geliştirmek İçin Derinlemesine Savunmadan Yararlanın
CCPA gibi düzenlemeler hızla bunaltıcı hale gelebilir. Veri güvenliği ve uyumluluğuna proaktif bir derinlemesine savunma yaklaşımı benimsemek, kuruluşların herhangi bir güvenlik platformu ve teknolojisinin tasarımının, geliştirilmesinin ve devreye alınmasının tüm aşamalarında çok sayıda yerleşik koruma katmanına sahip olmasını sağlar.
Veri güvenliği ve uyumluluğu söz konusu olduğunda, kuruluşların bilmesi gereken dört temel aşama vardır:
- keşif: Kuruluşlar, ne kadar veriye sahip olduklarını, bu verilerin nerede bulunduğunu ve bu verilerde ne tür bilgilerin yakalandığını anlamalıdır.
- Koruma: Tüm verilerin haritası çıkarıldıktan sonra şirketler, verileri dış tehditlere karşı korumak için hassasiyet etiketleri uygulayabilir, verileri şifreleyebilir ve ek koruma önlemleri alabilir.
- Risk yönetimi: Verileri içeriden gelen risklere karşı korumak için otomatik güvenlik uyarıları ve çok faktörlü kimlik doğrulama kullanılabilir.
- Kayıp önleme: Son olarak şirketler, hassas bilgileri gereğinden fazla paylaşmadıklarından emin olmak için yapay zeka destekli veri kaybı önleme politikalarından yararlanabilir.
Tüketici verilerinin gizliliği gelişmeye devam ederken, şimdi güçlü veri tutma ve silme stratejileri oluşturmanın zamanı geldi. Kuruluşlar, çalışanları gelen “bilme hakkı” taleplerine hazırlamak, aynı zamanda tüketicilerin kişisel ve hassas bilgilerini belirlemek ve iş çapında risk değerlendirmeleri yapmak istiyorlarsa hızlı hareket etmelidir.