Mobile logo
Top

Kişisel Veride Kaliforniya – AB Rekabeti

Yazı

Kişisel Veride Kaliforniya – AB Rekabeti

CCPA + CPRA = GDPR eder mi

Özel yaşamın gizliliği, ya da, kişisel veri güvenliğini daha da pekiştirmeye yönelik  yasal düzenleme çalışmalarında küresel rekabet duracağa benzemiyor. Ama hemen bir hakkı teslim etmek gerekiyor. Avrupa Birliği (AB), uzun zamandır küresel ticari rekabette gerisinde kaldığı ABD’yi ve özellikle silikon vadisine ev sahipliği yapan Kaliforniya Eyaletini, tüketicilerin, yani bireylerin özel yaşamına dair hukuki güvence sağlamada adeta masaya oturtmuş ve  bileğini bükmüş durumda. 

Aslında 1980’li yılların başında kişisel verilerin işlenmesine dair 108 sayılı Avrupa Konvansiyonu ile temelleri atılan yasal düzenleme çalışmalarında, AB  son noktayı 2016 yılında AB Parlamentosunda kabul ettiği AB Genel Veri Koruma Regülasyonu (General Data Protection Regulation) ile -şimdilik- koymuş oldu. Böylece, okyanusun diğer yakasından herhangi bir tüccar, AB sınırlarında yaşayan bir kişiyi, portföyünde her an ulaşabileceği bir tüketici olarak göremeyecekti. Dahası, veri işleyerek ticaretini devam ettirmek istiyorsa GDPR’a uyumlu olduğunu da görünür kılmak zorundaydı. AB’nin bu hamlesi, küresel ölçekli ticari marka ve firmalarıya belkide dünyanın en büyük veri toplayıcısı olan ABD’de de karşılık buldu. İleri teknoloji, inovasyon, risk sermayesi ve sosyal medya şirketlerinin küresel merkezi olarak görülen Silikon vadisine de ev sahipliği yapan Kaliforniya eyaletiyle sınırlı da olsa Kaliforniya Tüketici Mahremiyeti Yasası (California Consumer Privacy Act) 1 Ocak 2020 itibariyle yürürlüğe girmiş oldu. 

CCPA’den hemen sonra: CPRA

Ancak biraz da telaşla yapılan bu düzenlemede eksikliklerin fark edilmesi uzun sürmedi. Aynı yıl sonbaharında tamamlanan çalışmalar neticesinde 1 Ocak 2023’de yürürlüğe girecek şekilde -GDPR ile de uyumlu olmaya yönelik olarak- önemli düzenlemeler içeren Kaliforniya Mahremiyet Hakları Yasası (California Privacy Rights Act) 16 Aralık 2020’de kabul edildi. Federal nitelikli bir düzenleme de olsa, ABD’de son zamanlarda kişisel veri güvenliği alanında göze çarpan bu iki düzenleme dışında aslında  ABD ölçeğinde HIPAA veya GLBA gibi özel düzenlemeler söz konusudur. Health Insurance Portability and Accountability Act, 1996 yılında, bireysel ve grup odaklı pazarda sağlık sigortası kapsamının sürekliliği ve taşınırlığına yönelik bir düzenleme olarak sadece sağlık verilerinin gizliliği konusunda kabul edilmişti. Gramm-Leach-Bliley Act ise, finans kuruluşlarının müşterilerinin verilerine yetkisiz şahısların erişmesini önlemeye yönelik bir düzenlemedir. Bu kurumlar ayrıca finansal verilerinin nasıl kullanılacağını ve kiminle paylaşılacağını müşterileriyle paylaşmak durumdadır.

CCPA ve GDPR Kıyası 

Şimdi, bu genel açıklamalardan sonra geliniz GDPR ve CCPA arasındaki benzerlik ve farklılıkları temel başlıklar altında ele alalım:

Uygulama Alanı ve Kapsam

GDPR, vatandaşlıktan bağımsız olarak Avrupa Birliği içindeki istisnasız herkese koruma sağlayan bir düzenlemedir. Genel esaslar itibariyle GDPR’dan ayrılmamak kaydıyla üye ülkelerin daha kısıtlayıcı olabilecek (ve çoğu zaman) kendi yasaları da olabilmektedir. CCPA ise, yalnızca Kaliforniya eyaleti sınırları içerisinde işlenen veriler için geçerlidir. HIPAA veya GLBA gibi hali hazırda bir federal kanun tarafından kapsanan diğer verileri kapsamaz.

GDPR, AB’de yaşayan bireylere mal veya hizmet sunan veya bu kişilerin davranışını izleyen tüm işletmeler için geçerlidir. Dolayısıyla, AB vatandaşlarının kişisel verilerini işleyen AB dışındaki her şirketin bir DPO  (Data Protection Officer) ataması gerekecektir. CCPA ise, şirketin nerede olduğuna bakılmaksızın, Kaliforniya’da yaşayanların kişisel bilgilerini toplayan veya satan işletmeler için geçerlidir. Bu işletmelerin de, 25 milyon doların üzerinde yıllık brüt gelir elde eden ve / veya 50.000’den fazla tüketiciyle iş yapan ve / veya gelirlerinin% 50’sini veya daha fazlasını tüketicilerin kişisel bilgilerini satarak elde eden işletmeler olması gerekir.

Yaptırımlar-Para Cezaları

  • GDPR’a göre ihlal durumunda daha hafif ihlallerde veri Sorumlusunun küresel yıllık cironun %2’si veya 10 milyon €’ya kadar (hangisi daha yüksekse), daha ağır ihlallerde ise % 4’ü veya 20 milyon €’ya kadar, (hangisi daha yüksekse) para cezası öngörülmüş.
  • CCPA ihlale bağlı olarak yasal zararlara ve şahısların zararlarına bağlı kalır. CCPA’ya uymamanın cezaları ise:
  • Her kasıtsız ihlal için ihlal başına 2.500 $
  • Her kasıtlı ihlal için ihlal başına 7.500 $

Veri İşlemede Yasal Dayanaklar:  Açık Rıza & Red Onayı

GDPR’a göre, AB vatandaşları ve sakinlerinin kişisel bilgilerini işlemek için altı önemli yasal dayanak sayılmıştır. Bunlardan en popüler olanı Açık Rıza ‘dır (Consent).CCPA’da ise işlemenin yasal dayanağı tanımlanmamaktadır.

AB’de, henüz veri işlemeden önce, veri sorumlusunun GDPR uyarınca işlemenin yasal dayanağını belirlemesi gerekirken CCPA ise, bireylerin  verilerinin satılmasını önlemeye yönelik tercih etme/reddetme (opt out) hakkını kullanmadıkça işletmelere tüketicilerin verilerini işlemesine izin verir. Buradaki satış’dan kasıt, parasal bir değer karşılığında erişim, gönderme, yayınlama, iletişim vb. dahil olmak üzere kişisel verilerin herhangi bir üçüncü tarafa aktarılması anlamına gelir.

Veri Sahibi mi Tüketici mi?

İşte Avrupa ile ABD hukuku arasında bireyin verisi üzerinde yaplacak işlemlerle ilgili rıza/onay sürecine bakış farklılığı tam da burada ortaya çıkıyor!  Avrupa, kimliği belirli ya da belirlenebilir gerek kişi olarak Veri Sahibini tanımlıyor (Data Subject) ve tamamen “birey” merkezli ve veriyi işlemeden önce onun tercihini önceleyen (consent, opt in) bir bakışla konuya yaklaşırken; ABD’de birey kavramı yerini -tam da kapitalist bir bakışla- “tüketici”ye bırakmış durumda. Ve bir veri işleme sürecinde tüketici, şayet verisinin satılmasını/aktarılmasını reddetmediği müddetçe (opt out) girişimci/İşletme verinin kaderi üzerimde söz sahibi! 

Kapsama Alanı Dışı Veri Aktarımı

GDPR, EEA (Avrupa Ekonomik Alanı) dışındaki veri aktarımlarıyla ilgili bir dizi kısıtlamaya sahiptir. CCPA ise, Kaliforniya dışındaki veri aktarımlarında herhangi bir sınırlama içermiyor.

Kapsam Dışı Veriler

GDPR kapsamında, kimlik, iletişim, finans, gibi genel ve sağlık, biyometrik, ceza ve güvenlik tedbirleri gibi özel nitelikli olmak üzere kategorize edilen   kişisel verileri içerisinde neredeyse kapsam dışı tutulan bir veri söz konusu değilken, yukarda ABD’deki bazı özel yasalardan bahsederken izah edildiği gibi CCPA’ye göre 

  • Tıbbi bilgiler,
  • Bir klinik araştırmanın parçası olarak toplanan bilgiler
  • Tüketici raporlama kuruluşlarına veya bu kuruluşlardan bilgi satışı – kredi için başvuranların kredi itibarını araştıran kredi verenlere veya kredi veren kuruluşlara bir ücret karşılığında sunulan kredi faaliyetlerini toplayan, derleyen ve raporlayan bağımsız bir firma.
  • Diğer Finansal veriler

CCPA koruması kapsamında değildir. 

CCPA ve CPRA Kıyası 

İşte bu saydığımız farklılıklar gibi daha bir çok alandaki uyumsuzluklar Kaliforniya yasasında bazı değişiklik ve yenilikleri zorunlu kıldı. 

Bu başlıkta sizlere bir sonraki yazımızda daha ayrıntılı değineceğimiz bazı önemli yeniliklerden bahsedelim:

  • CPRA ile tüketici tanımının yanına biraz daha birey kavramın yerleştiğini görüyoruz. Daha önce kapsamda olmayan, özel nitelikli kategorinin terminolojiye girdiğini, biyometrik veri, ırk ve etnik köken bazı özel nitelikli verilerin de kapsama dahil ediyor. 
  • Veri Sahibine (tüketiciye) CCPA ile sadece Bilgi edinme, Erişme, Verisinin satışını/paylaşımını reddetme (opt out), Silme hakları verilmişken, CPRA, yanlış olan kişisel bilgileri düzeltme hakkını, kişinin kişisel bilgilerini paylaşmayı reddetme hakkını ve hassas kişisel bilgilerinin kullanımını ve ifşa edilmesini sınırlama hakkını sununuyor.
  • Gereklilik ve Orantılılık: Bir tüketicinin kişisel bilgilerinin toplanması, kullanılması, saklanması ve paylaşılmasının amaçlara ulaşmak için makul ölçüde gerekli ve orantılı olması gerektiğine dair yeni yükümlülükler içeriyor.
  • Aydınlatma benzeri bildirim gereksinimleri: Kişisel bilgilerin paylaşılması, hassas kişisel bilgilerin işlenmesi ve tüm kategorilerdeki kişisel bilgilerin saklanmasıyla ilgili ek bilgileri içerecek şekilde bildirim gereksinimlerini genişletir.
  • Uygulama: California Mahremiyet Koruma Ajansı’nın kurulmasını öngörüyor. Böylece CCPA ihlalleri için belirlenen 30 günlük iyileştirme süresini ortadan kaldırıyor.

CCPA’de CPRA ile yapılan ve 2023’de yürürlüğe girecek değişiklik ve yenilikler şimdilik şöyle dursun, basitleştirerek ve akılda kalması adına  ve değişiklikleri şimdilik göz ardı ederek, sizler için CCPA ile GDPR arasındaki benzerlik ve farklılıları gösteren bir tablo hazırladık. 

Sonuç

Evet, bir anlamda Big Data’nın beşiği, Whatsapp, Google, Apple gibi  dev küresel  markaların ev sahibi Kaliforniya’nın kendi toprakları üzerinde yaşayan sakinlerinin özel yaşamı ve mahremiyeti konusunda da bir şeyler yapmış olması Amerikan Rüyasının gereğiydi! Diğer yandan ise, günümüz veri yönetiminde suyun başını tutan bu kürsel devler karşısında çaresiz bırakılmış olma duygusunu yaşıyorduk. Belki de en yakınlarımızla bile paylaşmadığımız sosyal ve özel yaşama dair tüm sırlarımız, alışkanlıklarımız bu devlerin data merkezlerinde depolanmış vaziyette! 

Ama küresel ticarette pazar kaybetme endişesi ve doğu eksenli yeni ekonomik küresel oluşum çabaları -istemeden de olsa! – egemen aktörlere bireyin değerini hatırlattı. AB GDPR sayesinde, sadece ABD menşeli satıcılar karşısında vatandaşlarının/sakinlerinin özel yaşamının farkındalığını sağlamakla kalmadı, aynı zamanda ABD ve dünyanın diğer ülkelerine de aynı kalibrasyonda düzenlemeler yapmaları halinde ticari ilişkilerin devam edebileceği mesajını verdi.
CCPA ile ilk önce tüketici olarak tanımladığı  bireylere verilerinin kaderine hakim olma konusunda birtakım haklar vererek yola çıkıldı. Ancak, açık rıza prosedürünün işleyişindeki mantalite farklılığı, bazı eksik kalan hakların farkına varılması, özel nitelikli kategoridekiler gibi kapsama dahil edilmemiş olan veri kategorilerinin de kapsamda alınması gibi yukarıda saydığımız durumlar CCPA’i GDPR karşısında yetersiz kılmaktadır. Bu gerçekliğin farkında olan eyalet otoritesinin geçtiğimiz yıl sonunda kabul ettiği CPRA hemen hemen kalan açığı kapatacak gibi. Dolayısıyla başlığımızda yer verdiğimiz denklemdeki eşitliğin ancak 2023 yılında sağlanabileceği söylenebilir. 

Kapak Resmi için Kaynak : Varonis

16 Ocak 2021
1
0
CCPA GDPR yasalar
Related Posts
Açık Rızayı Şarta Bağlayabilir (mi)siniz (?)
 28 Şubat 2021
Google GDPR uyumu için harekete geçti
 3 Ağustos 2020
İrlanda Veri Koruma Yetkilisi Helen Dixon, Fortune Paris Küresel Forumunda konuşurken, 19 Kasım 2019, STUART ISETT—FORTUNE
Teknoloji Devleri GDPR Kıskacında
 4 Ocak 2020
Ali Atlıhan
Ali Atlıhan
Yorum Bulunmuyor

Yorum Yapın