California Valisi Gavin Newsom’un, veri simsarlarının yasal yükümlülüklerini kanun haline getiren bir yasa tasarısını imzalamasıyla, Golden State’te insanlara hizmet veren işletmeler, tüketicilerin kişisel gizliliğini korumak için yeni bir dizi süreci karşılamak zorunda kalacak. Yeni yasa, Kaliforniya’ya özgü süreçleri önceki gizlilik mevzuatı tarafından oluşturulan bir devlet kurumu altında birleştiriyor.
Resmi olarak “Veri Aracısı Kaydı: Erişilebilir Silme Mekanizması” (SB362) olarak adlandırılan Kaliforniya Silme Yasası, bu tür kuruluşların sorumluluklarını ve süreçlerini açıklığa kavuşturmak amacıyla veri aracılarıyla ilgili bölümleri eklemek ve değiştirmek için eyalet medeni kanununu günceller. Yeni yasa aynı zamanda veri komisyoncusu yükümlülüklerinin uygulanmasını Kaliforniya Bölge Savcılığı’ndan Kaliforniya Gizlilik Koruma Ajansı’na devrediyor.
Kaliforniya Gizliliği Koruma Ajansı, tüketicileri hakları ve bu hakları nasıl kullanacakları konusunda bilgilendiren bir web sitesi bulundurmanın yanı sıra, 1 Ocak 2026’ya kadar tüketicilerin tüm veri komisyoncularından kişisel verilerinin silinmesini talep etmelerine olanak tanıyan bir mekanizma oluşturmakla görevlendirildi. Veri komisyoncularının, 1 Ağustos 2026’dan itibaren en az 45 günde bir ajansın mekanizmasına erişmeye başlaması ve tüm tüketici silme taleplerini işleme koyması gerekecek. Aracı, bir tüketicinin verilerini sildikten sonra, ayrıca ilgili sahip olduğu tüm kişisel bilgileri de silmek zorunda kalacak. o tüketici aynı 45 günlük dönemde. Silme Yasası ayrıca veri komisyoncularının 1 Temmuz 2027’den itibaren Kaliforniya Gizlilik Koruma Ajansı’na “kaydolmasını, kayıt ücreti ödemesini ve bilgi sağlamasını” gerektirir.
Ticari Kaygılar
Yeni yasa, veri komisyoncusunu “işletmenin doğrudan ilişkisi olmayan bir tüketicinin kişisel bilgilerini bilerek toplayan ve üçüncü taraflara satan bir işletme” olarak tanımlıyor. 2020 Kaliforniya Gizlilik Hakları Yasası’nda “işletme” tanımı — şu koşullardan en az birini karşılayan bir şirket: brüt yıllık geliri 25 milyon doların üzerinde; en az 50.000 kişinin, hanenin veya cihazın kişisel bilgilerini topluyor; ve/veya yıllık gelirinin en az yarısını tüketici verilerinin satışından elde ediyor – hala geçerli.
Veri komisyoncularının, iş iletişim bilgileri, veri silme bağlantıları, denetim raporları ve şirketin reşit olmayanlar, coğrafi konum verileri veya üreme sağlığı hizmetleri hakkında bilgi toplayıp toplamadığı gibi bilgileri sağlayarak Kaliforniya Gizliliğini Koruma Ajansı’na kaydolması gerekecek – bu çok önemli bir konu Federal kürtaj hakları korumalarının kaldırılmasından bu yana tüketici hakları savunucuları için.
Bununla birlikte, endüstri grubu Uluslararası Gizlilik Profesyonelleri Birliği’nin (IAPP) yeni yasayı ele alırken belirttiği gibi, ne CCPA, CPRA ne de Silme Yasası tüketicilerle “doğrudan ilişki”yi tanımlamamaktadır. IAPP’ye göre, veri komisyoncularının sahip olduğu bir diğer endişe, Kaliforniya Gizlilik Koruma Ajansı’na kaydolmayan komisyonculara yönelik para cezalarının günde 200 dolara iki katına çıkarılmasını içeren bir hüküm içeriyor. Bu arada Tüketici Veri Endüstrisi Birliği, tüketici verilerinin silinmesinin dolandırıcılığa kapı açacağını ileri sürdü.
Platform.sh’nin veri gizliliği ve uyumluluğundan sorumlu başkan yardımcısı Joey Stanford, yaptığı açıklamada Yasanın bazı boşlukları kapatacağını ve bunun tüketicilere fayda sağlayacağını söyledi. Şöyle ekledi: “Düzenleme, işletmeler için uygulama maliyetleriyle birlikte gelir ve genellikle etkilenen şirketlerin kârlılıklarına olumsuz bir darbe vurur, bu da şirketlerin geri adım atmasına neden olabilir.”
Daha Geniş Düzenleme için Yem
İlginç bir şekilde, Silme Yasası, Birleşik Krallık-ABD Veri Köprüsü’nün 12 Ekim’de yürürlüğe girmesinden yalnızca iki gün önce imzalanarak yasalaştı. Bu anlaşma, ABD ile Birleşik Krallık arasında kişisel verilerin aktarılmasına ilişkin koşulları belirliyor. ABD ile Avrupa Birliği arasında da benzer bir anlaşma zaten mevcut ancak 2016 Brexit referandumunun ardından İngiltere’nin 2020 yılı itibarıyla AB’den ayrılması nedeniyle ayrı bir anlaşma yapılması gerekti. Artık İngiltere AB dışında olduğundan, diğer pek çok ülkede olduğu gibi Avrupa’nın katı GDPR’sinden ayrı gizlilik yasalarına sahip olup uyumluluk karmaşıklığı sunmaktadır. Ancak ABD henüz gerçek anlamda birleşik bir federal gizlilik düzenlemesi oluşturmadı. Federal veri gizliliği mevzuatı, yasa koyucular doğru denge üzerinde anlaşabildiklerinde doğal bir ilerleme gibi görünüyor. “Veri gizliliğini eyalet düzeyinde düzenlemeye yönelik girişimlerin arttığını gördükçe, belki de CCPA+CPRA+Silme Yasası’nın doğru kombinasyonunun bir araya getirilmesiyle, bu federal bir yasanın taslağı olabilir. Ancak veri komisyoncuları üzerinde herhangi bir etkisi olmayacak. Stanford, diğer coğrafyalarda (örneğin Hindistan) ABD için ülke çapında politika oluşturmanın çok büyük faydası olacağını söyledi.