AB Genel Veri Koruma Tüzüğü, Kaliforniya Gizlilik Hakları Kanunu ve Virginia Tüketici Veri Koruma Kanunu Karşılaştırma Tablosu

[vc_row][vc_column css=”.vc_custom_1632402016287{margin-top: 48px !important;}”][vc_custom_heading text=”AB Genel Veri Koruma Tüzüğü, Kaliforniya Gizlilik Hakları Kanunu ve Virginia Tüketici Veri Koruma Kanunu Karşılaştırma Tablosu” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Genel Veri Koruma Tüzüğü (GDPR) Kaliforniya Gizlilik Hakları Kanunu (CPRA) Virginia Tüketici Veri Koruma Kanunu (CDPA)
VERİ ÖZNESİ Veri öznesi, kimliği belirli veya belirlenebilir gerçek kişidir.(Art.4) AB vatandaşları ve veri sorumlusu kapsamına giren CPRA’de veri öznesi Kaliforniya’da yerleşik olan tüketici’dir. Tüketici, yalnızca bireysel veya hane halkı için hareket eden Virginia’da ikamet bir gerçek kişidir.
VERİ SORUMLUSU Veri sorumlusunun Avrupa Birliği içinde kurulmasına bakılır.(Art. 3/1)  Bazı durumlarda veri sorumlusu Birlik içinde kurulmasa da Tüzük kapsamında bir veri işleme faaliyeti yürüttüğü kabul edilir. ( Art.3/2-a,b)

Yalnızca kar amaçlı kuruluşlar yani işletmeler CPRA kapsamındadır ve veri sorumlusudur.

CPRA kapsamına aşağıdakilerden herhangi birini karşılayan Şirketler girmektedir:

 

  • Yıllık cirosu en az 25 milyon Dolar olan Şirketler ;
  • 000 veya daha fazla tüketicinin, hanenin veya cihazın kişisel verilerini elde eden Şirketler;
  • Yıllık cirolarının en az %50’sini Kaliforniya sakinlerinin kişisel verilerini satarak elde eden Şirketler

Aşağıdakilerden birini veya birilerini kapsayan  işletmeler veri sorumlusudur:

  • En az 100.000 Virginia sakininin kişisel verilerini kontrol etmek veya işlemek; veya
  • En az 25.000 Virginia sakininin kişisel verilerini kontrol etmek veya işlemek ve
  • Kişisel verilerin satışından elde edilen brüt gelirin yüzde 50’sinden fazlasını elde etmek
VERİ İŞLEYEN GDPR’de Veri İşleyen, Veri sorumlusu adına veri işleyen gerçek ve tüzel kişidir. Kanun kapsamına giren işletmeler olarak tanımlanmıştır. GDPR ile aynı şekilde tanımlanmıştır.
KİŞİSEL VERİ TANIMI “Kişisel veriler”, doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir bir kişiyle ilgilidir. Belirli bir tüketici veya hanehalkı ile doğrudan veya dolaylı olarak tanımlayan, ilgili, açıklayan, makul olarak ilişkilendirilebilecek bilgilerdir. Kişisel veriler,” kimliği belirlenebilir bir kişiyle bağlantılı veya ilişkilendirilebilecek her türlü bilgidir.”
ÖZEL NİTELİKLİ KİŞİSEL VERİ

GDPR’da özel nitelikli kişisel veri tanımı yapılmış ve bu kapsamda biyometrik veriler de tanımlanmıştır.

GDPR sağlık verilerini hassas nitelikli kişisel veriler kategorisine koyar ve onları özel olarak korumaya alır ve ancak açık rıza ile işler.

CPRA de özel nitelikli kişisel veriler tanımı yapılmıştır.

CPRA özel nitelikli kişisel veriyi kamusal alanda paylaşılmamış olan kişisel veriler olarak değerlendirmektedir. Tüketicinin ırk veya etnik köken, din veya felsefi inanç ,sağlık verileri, cinsel yönelim, genetik verileri, kesin coğrafi konumu, tüketiciyi benzersiz şekilde tanımlamak amacıyla toplanan biyometrik veriler, iletişimin amaçlanan alıcısı işletme değilse, bir tüketicinin posta, e-posta ve metin mesajlarının içeriği gibi veriler özel nitelikli kişisel verilerdir.

 

Özel nitelikli kişisel veriler için opt out yaklaşımı uygulanacaktır.

Irk veya etnik köken, dini inançlar, mental veya fiziksel sağlık teşhisi, cinsel yönelim veya vatandaşlık veya göçmenlik durumunu ortaya koyan veriler,genetik veya biyometrik veriler,çocukların verileri ve hassas coğrafi konum verileri özel nitelikli kişisel veri olarak tanımlanmaktadır.

 

Özel nitelikli kişisel verinin işlenmesi için GDPR ‘da olduğu gibi veri öznesinin açık rızası alınmalıdır.

KİŞİSEL VERİLERİN SATILMASI GDPR, işleme faaliyetinin sınırlarını koyar (Art.6) Kişisel verilerin satılması Tüzükte işleme faaliyeti kapsamına alınmamıştır. Kanunda kişisel verilerin satılmasına dair bir tanım bulunmamaktadır. Kişisel verilerini satışı ve paylaşımı olarak geçer. Paylaşımda Şirketin   3. Tarafa davranışsal reklamcılık ile bir menfaat sağlaması olarak geçmektedir, maddi bir kazanç sağlanmaz.[1][1] https://www.onetrust.com/blog/ccpa-vs-cpra-what-has-changed/ Satış kavramı burada da tanımlanmıştır. CPRA’ye benzerdir.
VERİ ÖZNESİNİN HAKLARI

GDPR, Veri öznesine kişisel verilerinin düzeltilmesini isteme,

İşlenen kişisel verilerinin hangileri olduğunu öğrenme,

Kişisel verilerinin unutulmasını isteme( right to forgotten),

İşlemenin kısıtlanmasını isteme,

Kişisel verilerinin işlenmesine itiraz etme,

İşlenen kişisel verisini erişme,

Kişisel verisinin başka bir veri sorumlusuna aktarılacak şekilde taşınabilir ve kullanılabilir formatta  verilmesini isteme ( right to portability) hakları verilmiştir.

 

GDPR’da opt out hakkı tanımlanmamış olup veri öznesinin açık rızasını çekmesi (withdrawal of consent) olarak ifade edilmiştir.

 

Veri sahiplerinin talepleri, gecikme olmaksızın ve her halükarda talebin alınmasından itibaren en çok  1 ay içinde yerine getirilmelidir.

Kişisel verilerin düzeltilmesini isteme,

İşlenen kişisel verilerinin hangileri olduğu  öğrenme,

Kişisel verisinin silinmesini isteme(right to deletion),

Kişisel verisinin satılmasından ve paylaşılmasından vazgeçme (opt-out hakkı),

İşlenen kişisel verisine erişme,

Kişisel verisinin başka bir veri sorumlusuna aktarılacak şekilde taşınabilir ve kullanılabilir formatta  verilmesini isteme ( right to portability),

Özel nitelikli kişisel verilerin paylaşımının ve kullanımının kısıtlanmasını isteme hakları mevcuttur.

Hakların kullanılması halinde şirketler tüketiciye 45 gün içinde cevap vermelidir.

 

 

Tüketicinin vazgeçme hakkı (opt out) sadece kişisel verisinin satılması ve paylaşılması halinde doğar. Kanun, Kaliforniya sakinlerine “satan” tarafın web sitesinin ana sayfasında “kişisel bilgilerimi satma”(Do not sell my personal information) yazan belirgin bir bağlantı aracılığıyla “kişisel bilgilerinin” “satılmasını” devre dışı bırakma hakkı verir.  CCPA, tüketicilere kişisel bilgilerinin ticari amaçlarla satılmasından ve/veya ifşa edilmesinden vazgeçme hakkı verir. Bu nedenle, vazgeçme yalnızca kişisel bilgilerin satışını durdurabilir ve bilgilerinin diğer kullanımlarını etkilemez.

Tüketicinin vazgeçme hakkını kullanması için üyelik, hesap açma gibi işlemler gerekmemelidir.

Tüketici’nin hakları CDPA’de GDPR ile aynıdır.

 

 

 

CDPA’ de opt out hakkı daha kapsamlıdır. Sadece satış halinde değil, satışın yanı sıra  tüketiciyi ilgilendiren yasal veya benzer şekilde önemli etkiler yaratan kararların geliştirilmesi için profil oluşturma ( profilling), kişiselleştirilmiş hedeflenmiş reklamcılıkta ( targeted advertising) da tüketiciye opt out hakkı tanınır. [1]

 

Veri öznesinin belirtilen haklarını kullanması halinde şirketler tüketiciye gecikme olmaksızın 45 gün içinde cevap vermelidir.

[1] https://talkingtech.cliffordchance.com/en/data-cyber/data/virginia-s-consumer-data-privacy-act.html

 VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ GDPR’da diğerlerinden farklı olarak Veri Koruma Otoritesi atanması, işleme faaliyetinin kaydedilmesi ve uluslararası aktarımların özel hükümlere tabi tutulması farklıdır. Veri sorumlusunun; risk değerlendirmeleri, kullanılan siber güvenlik  sistemlerinin denetimlerinin yapılması, veri minimizasyonu ( tüketicilerin yeterli, bağlantılı ve gerekli sayıda verilerinin işlenmesi), veri koruma değerlendirmeleri, açık ve anlaşılır gizlilik politikalarının belirlenmesi, gizlilik politikalarında özel nitelikli kişisel veri işlenecekse özellikle belirtilmesi, gerekli idari ve teknik tedbirlerin alınması gibi yükümlülükleri vardır. Veri sorumlusunun; denetleyiciler tarafından hedeflenen reklam, satış, profil oluşturma ve hassas verilerin işlenmesi de dahil olmak üzere yüksek riskli işlemeye ilişkin bir veri koruma değerlendirmesi yaptırması, açık ve anlaşılır bir gizlilik bildirimi yapması( GDPR’daki gibi) gizlilik politikalarında özel nitelikli kişisel veri işlenecekse özellikle belirtilmesi, yeterli koruma sağlayacak siber güvenlik sistemlerinin sağlanması, bu sistemlerin düzenli denetimlerinin yapılması, özel nitelikli kişisel verilerin işlenmesinden önce açık rıza alınması, gerekli teknik ve idari tedbirlerin alınması gibi  GDPR ile benzer yükümlülükleri vardır.
DENETİM MAKAMI GDPR’da denetim makamı her bir Birlik  ülkesinin yetkili, bağımsız veri koruma otoritesi’dir. Kaliforniya hükümetinin Kaliforniya Gizlilik Koruma Ajansı ( California Privacy Protection Agency-CPPA) Virginia Başsavcısı denetim makamıdır.
CEZALAR İhlal cezası, 20 milyon Euro’ya veya yıllık gelir/cironun %4’üne kadardır (hangisi daha fazla ise)

İhlal başına 2500 ABD doları; eğer ihlal  bir çocuğun kişisel bilgilerini içeriyorsa, ihlal başına 7.500 ABD dolar.

Özel hukukta dava açma hakkı vardır.

İhlal başına 7.500 $ ceza verilmesi öngörülmüştür.

Özel hukukta dava açma hakkı yoktur.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *