Kaliforniya Tüketici Gizlilik Yasası ("CCPA") 1 Ocak 2020'de yürürlüğe girdi. CCPA çok önemli bir düzenleme olarak kabul ediliyor çünkü Kaliforniya, ABD'de veri koruma ve gizlilik yasası uygulayan ilk ve en katı devlet olacak.

Bu makalede CCPA ve KVKK'yı birlikte değerlendirecek, düzenlemelerin ana noktalarını daha ayrıntılı olarak inceleyeceğiz.

ccpa nedir california consumer privacy act kimleri kapsar ccpa kvkk arasındaki farklar nelerdir

CPPA Kimleri Kapsar?

Kapsam konusu, iki yasa arasındaki en önemli farktır.

KVKK herhangi bir kısıtlama olmaksızın tüm gerçek ve tüzel kişileri kapsarken, CCPA sadece "işi" kapsamaktadır.

CCPA, bir "işletmeyi" kâr amacı güden herhangi bir varlık olarak tanımlar:

  • Kaliforniya'da iş yapan,

  • Kaliforniya'da ikamet eden bir kişinin "kişisel bilgilerini" toplayan ve işleyen,

  • Yıllık geliri 25 milyon doları aşan firmalar,

  • Bir yılda Kaliforniya'da ikamet eden 50.000 veya daha fazla kişinin kişisel verisini toplayan, satın alan, satan veya paylaşan varlıklar,

  • Yıllık gelirlerinin yüzde 50'sini veya daha fazlasını tüketici kişisel bilgilerini "satarak" elde eden kişiler

işletme kabul edilir.

Kişisel Veri nedir?

ccpa'ya göre kişisel veri nedir kvkk'ya göre kişisel veri nedir

CCPA'nın önemli farklarından biri kişisel veri kelime grubunun geniş tanımlamasıdır.

CCPA'ya göre, Kaliforniya sakinlerinin ve tüketicilerin:

  • Belirli bir tüketici veya hane halkı ile ilişkilendirilebilir gerçek adları,
  • Makul bir şekilde doğrudan veya dolaylı olarak ilişkilendirilebilecek takma adları,
  • Posta adresi,
  • Benzersiz kişisel tanımlayıcı özellikleri,
  • Çevrimiçi tanımlayıcıları,
  • Internet Protokol adresleri,
  • E-posta adresleri,
  • Hesap adları,
  • Sosyal güvenlik numaraları,
  • Ehliyet numaraları,
  • Pasaport numaraları

gibi tanımlayıcılar kişisel veri kabul edilir.

CCPA'nın geniş kişisel veri tanımı olmasına rağmen, yer ve kişi grubu açısından bir kısıtlama getirmiştir.

Öte yandan KVKK sadece kişisel verilerin sınırlı bir tanımını yapmakla kalmamış, aynı zamanda bölge ve kişi açısından herhangi bir kısıtlama getirmemiştir.

Right-to-Know Nedir?

Right-to-know, iki yasa arasındaki benzer noktalardan biridir.

CCPA, Kaliforniya'da ikamet eden kişilere, son 12 ay içinde hangi kategorilerdeki kişisel bilgilerinin işlendiğini, satıldığını veya ifşa edildiğini sorma hakkı verir.

İşletmeler de bu istekleri 45 gün içinde yanıtlamakla yükümlüdürler.

KVVKK da madde 11'de ilgili kişiye aynı hakkı tanımıştır. İlgili kişiler veri sorumlusuna başvurma; hangi kişisel verilerinin işlendiğini, üçüncü şahısları aktarılıp aktarılmadığını sorma hakkına sahiptir.

CCPA'ya benzer şekilde KVKK, veri sorumlularının en geç 30 gün içinde ilgili kişiye herhangi bir ücret talep etmeden geri dönmesi gerektiğini şart koşmuştur.

Düzenlemeye Uyulmaması Halinde Yaptırım ve Cezalar Nelerdir?

ccpa düzenlemelerine uyulmaması halinde meydana gelebilecek yaptırımlar ve cezalar

CCPA tarafından düzenlenen yaptırımlar ve cezalar en az KVKK'da belirtilenler kadar katıdır.

Devlet Başsavcısı, CCPA ihlalleri durumunda ceza verebilecek tek kişidir.
Her bir ihlal için $2.500'a kadar, her kasıtlı ihlal için ise $7.500'ye kadar idari para cezası verebilir.

KVKK'dan farklı olarak, para cezalarının alt veya üst limiti bulunmamaktadır. Oysa KVKK para cezaları incelendiğinde, bu limitlerin belirtildiği görülmektedir.

Kapsam Dışında Kalma veya Kapsamda Olma Ne Demektir?

KVKK'nın aksine, CCPA tüketicilere kapsamda olma veya olmama hakkını veriyor. İşletmeler, kişisel verilerin üçüncü taraflara satılıp satılmayacağını seçme hakkı tanıyor. Bu, uzun vadede şirketler için çok önemli bir konu gibi görünüyor.

Sonuç

Sonuç olarak, CCPA kişisel verilerin korunması için ABD'de önemli bir adımdır. Kaliforniya eyaletinden başlayan CCPA, gizlilik ve veri koruma ile ilgili ciddi düzenlemelerin yakında yürürlüğe gireceğini bize gösteriyor. Bu yasa, kişisel verilerle çalışan işletmeleri çok ayrıntılı süreçlerin beklediğini gösteriyor.

Kaynak