California Tüketici Koruma Yasası (CCPA) ve Çerezler: Bilmeniz gerekenler

"Güvenlik sadece bir yanılsamadır ve mahremiyet bir efsanedir" - Bilinmiyor

Bunu veya bunun bazı varyasyonlarını bir yerde duymuş olabilirsiniz. Eh, şimdi mahremiyetin bir efsaneden daha fazlası olduğunu söylemenin zamanı geldi. On yılda değişen yüzlerce şeye işaret edebiliriz. Ancak siber güvenlik dünyasında en büyük değişiklik, insanların mahremiyet algısındaki değişimdir.

İnsanlar mahremiyetleri konusunda daha fazla endişe duymaya başladılar ve onu koruma haklarının farkına vardılar. Hükümetler siber güvenlikte büyük iyileştirmeler yaptı, yeni yasalar çıkardı, büyük değişiklikler yaptı ve birçok düzenleme ve yönerge getirdi.

CCPA, Kaliforniya'da ikamet eden tüketicilerin gizliliğini korumayı amaçlayan bu tür bir gizlilik kanunudur. Bu yazıda, web siteniz için CCPA ve çerez kullanımı hakkında bilmeniz gereken her şeyi öğreneceksiniz.

California Tüketici Koruma Yasası veya CCPA, California, Amerika Birleşik Devletleri'nde ikamet eden tüketicilerin gizlilik haklarını korumayı amaçlayan kapsamlı bir veri koruma yasasıdır. Yasa 2018'de yürürlüğe girdi ve kullanıcıların işletmelerin kendileri hakkında topladığı kişisel bilgiler üzerinde daha fazla kontrol sahibi olmalarını sağlıyor.

California, Amerika Birleşik Devletleri'nde büyük bir iş pazarıdır. Statista'ya göre, 2021 itibariyle 3.4 trilyon dolarlık brüt devlet ürünü ile dünyanın en büyük alt-ulusal ekonomisidir. Dolayısıyla CCPA'nın Kaliforniya'da iş yapan çok sayıda kar amacı gütmeyen kuruluşu etkileyeceği açıktır.

CCPA düzenlemeleri fiziksel konuma dayalıdır ve Kaliforniya'da ikamet eden kişilerin kişisel bilgilerini toplayan veya saklayan tüm kuruluşlar için geçerlidir.

CCPA, California'da iş yapan ve aşağıdaki kriterlerden herhangi birini karşılayan kar amacı gütmeyen kuruluşlar için geçerli olacaktır:

1. Yıllık 25 milyon doları aşan gelirler.

2. Yılda 50.000'den fazla müşterinin, hanenin veya cihazın kişisel bilgilerini alır ve yönetir.

3. Gelirinin %50 veya daha fazlasını kişisel bilgilerin satışından elde eder.

Şu an itibariyle, CCPA yalnızca kar amacı gütmeyen işletmeler için geçerlidir ve kar amacı gütmeyen kuruluşları etkilememektedir.

CCPA, tüketicilere işletmelere emanet ettikleri kişisel bilgiler üzerinde kontrol sahibi olmaları için belirli haklar verir.

İlk olarak, işletmeler tarafından toplanan kişisel bilgiler hakkında bilgi edinme hakkı . Tüketiciler, bir işletmenin topladığı ve sattığı tüm kişisel bilgilere erişme hakkına sahiptir. Hangi verilerin toplandığı ve neden toplandığı, kullanıldığı, paylaşıldığı veya satıldığı hakkında raporlar talep edebilirler. İşletmeler, son 12 ayda topladıkları bilgileri, kullanıcı talebi üzerine ücretsiz olarak verme hakkına sahiptir.

İkinci olarak, tüketiciler kendilerinden toplanan kişisel bilgileri silme hakkına sahiptir . İşletmelerden kişisel bilgilerini silmelerini talep edebilirler. İşletmeler, tüketicilerden kişisel bilgilerinin silinmesi taleplerini almak için uygun belirlenmiş yöntemlere sahip olmalıdır.

Üçüncüsü, kişisel bilgilerinin satışından vazgeçme hakkı . İşletmeler, tüketicilerin bir vazgeçme talebi göndermesine izin vermek için web sitelerinde açık ve belirgin bir "Kişisel Bilgilerimi Satmayın" bağlantısı sağlamalıdır. İşletmeler, abonelikten çıkmak için tüketicilerin kimliklerini doğrulamalarını gerektirmez.

Son olarak, tüketiciler CCPA haklarını kullanırken ayrımcılık yapmama hakkına sahiptir. CCPA, işletmelerin mal veya hizmetleri reddetmelerini, farklı fiyatlar talep etmelerini veya haklarını kullanmaları için tüketicilere daha düşük düzeyde veya kalitede mal ve hizmet sağlamasını yasaklar.

Kaliforniya'da faaliyet gösteren kâr amacı gütmeyen kuruluşlar, fiziksel olarak nerede bulunduklarına bakılmaksızın CCPA'ya tabidir. Ancak, CCPA kapsamında tanımlanan tüketici haklarına ilişkin bazı nüanslı istisnalar olduğunu belirtmek önemlidir.

İşletmeler, topladıkları kişisel bilgilerin aşağıdaki amaçlarla kullanıldığını kanıtlayabilirlerse tüketicilerin CCPA kapsamındaki haklarını reddedebilir:

İşletmeler, topladıkları veriler, tüketici tarafından talep edilen mal veya hizmetlerin sağlanması için işlemin tamamlanması açısından önemli ise tüketici haklarını reddedebilir.

İşletmeler yasal zorunluluklara uymak için tüketiciler hakkında bilgi toplayabilir. Örneğin, lastik üreticilerinin tüketicilerin satın alma kayıtlarını üç yıl boyunca tutmaları yasal olarak gerekliydi. İşletmeler, yasal zorunluluklar gereği müşterilerinin kişisel bilgilerini toplamaları, saklamaları veya muhafaza etmeleri durumunda muaf tutulacaktır.

İşletmeler, bilgilerin güvenlik olaylarını tespit etmek, kötü niyetli, aldatıcı, dolandırıcılık veya yasa dışı faaliyetleri önlemek ve bunlara müdahale etmek ve sorumluları kovuşturmak için saklanması durumunda tüketicilerin silme taleplerini reddedebilir.

CCPA'nın konuşma özgürlüğü söz konusu olduğunda tüketici haklarında istisnaları vardır. İşletmeler, ifade özgürlüğünü kullanırken veya başka bir tüketicinin ifade özgürlüğünü güvence altına alırken CCPA'dan muaf tutulacaktır. Kanunla sağlanan diğer bir hakkın kullanılması için de muafiyete izin verilmektedir.

Dahili amaçlar ve yasal kullanımlar için kişisel bilgilerin toplanması için istisnalara izin verilecektir. Bu sadece tüketici ve işletme arasındaki ilişkiye dayanmaktadır. Örneğin, klinik araştırmaların kayıtları, yasal kullanımlara izin verildiğinden CCPA tarafından istisna edilecektir.

GDPR ve CCPA arasında bazı net ayrımlar vardır. Hem CCPA hem de GDPR, bazı örtüşmeler ve farklılıklar olsa da, dünyadaki en katı siber güvenlik yasaları arasındadır.

GDPR'ye uymak, size CCPA'ya tam uyum sağlamaz. Bu düzenlemelerin her ikisi de kişisel bilgiler için farklı tanımlara sahiptir.

CCPA'da kişisel bilgiler, belirli bir tüketici veya haneyi tanımlamak için kullanılabilecek veya doğrudan veya dolaylı olarak ilişkilendirilebilecek veya ilişkilendirilebilecek bilgiler olarak tanımlanır. GDPR, kişisel bilgileri belirli bir kişiyi tanımlamak için kullanılabilecek herhangi bir bilgi olarak tanımlar.

Bu düzenlemelerin her ikisi için de veri sahibi hakları, istisnalar, kapsamlar ve gizlilik bildirimleri açısından farklılıklar bulunmaktadır. GDPR'den farklı olarak CCPA, geniş bir hane ve cihaz kapsamına sahiptir ve burada cihazların veya herhangi bir çevrimiçi etkinliğin, bir kişi veya haneye bağlanabilmeleri durumunda kişisel bilgi olarak da değerlendirilebileceği.

Birçok web sitesi çerezleri pazarlama ve reklam amacıyla kullanır. Web sitesi çerezleri, site ziyaretçilerinin kişisel bilgilerini toplar ve üçüncü taraflara satar. Çerezler ve izleme komut dosyaları, bir kişiyle ilişkilendirilebilecek IP adresleri hakkında bilgi toplarken, CCPA'ya göre kişisel bilgi olarak kabul edilecektir.

GDPR'den farklı olarak CCPA, çerez kullanımı için bir devre dışı bırakma mekanizması izler. Bu, işletmelerin web sitelerinde çerezleri kullanmak için önceden izin almaları gerekmediği anlamına gelir. CCPA, web sitelerinin çerez banner'ları oluşturmasını gerektirmez, bunun yerine web sitesi ziyaretçileri için bir devre dışı bırakma seçeneği sunmalıdır.

Kanun ayrıca işletmelerin çerez kullanımıyla ilgili bilgileri ifşa etmesini ve hangi verilerin toplandığı ve nasıl işlendiği veya saklandığı konusunda tüketicileri bilgilendirmesini zorunlu kılmaktadır.

CCPA'ya uymak için web sitenizde bir çerez politikası sayfasının olması önemlidir. Çerez politikası, tüketicilerinize web sitenizdeki aktif çerezler hakkında verdiğiniz bir açıklama beyanıdır.

CCPA'ya uymak için bir çerez politikası şunları içermelidir:

• Çerezlerin kısa bir açıklaması ve kullanımlarının açıklanması.
• Web sitesinde ne tür çerezlerin etkin olduğunu ve hangi verileri topladıklarını açıklayın.
• Çerezlerin kullanım amacına ilişkin bilgiler
• Çerezleri devre dışı bırakma hakkında bilgi

CCPA, web sitelerinin site ziyaretçilerinden önceden izin almasını veya çerez banner'ları oluşturmasını gerektirmese de, çerez kullanımına ilişkin belirli gereksinimleri içerir.

Kullanıcıların belirli çerez türlerini kullanmaları için değiştirmelerine, iptal etmelerine veya kısmi izin vermelerine izin vermelisiniz. Web sitenizin ziyaretçilerine bir devre dışı bırakma seçeneği sunmak da önemlidir.

Web sitenizdeki çerez banner'larının CCPA'ya uyması için özel bir gereklilik yoktur. Ancak, bir tanımlama bilgisi başlığı kullanarak tanımlama bilgilerinin kullanımını ifşa edebilirsiniz. Çerez başlığı, kullanıcılara çerezleri devre dışı bırakma seçeneği vermek için de kullanılabilir. İdeal bir banner'da "Kişisel bilgilerimi satma" yazan bir düğme veya bağlantı olmalıdır.

Çerez afişleri, çerez politikasını bağlamak ve çerez tercihlerine kolay erişim için de kullanılabilir. WordPress'te CCPA uyumlu çerez başlığı oluşturmayı öğrenmek için bu makaleye bakın.

Tüm CCPA çerez uyumlu gereksinimleri, hepsi bir arada çerez uyumluluğu çözümünü kolaylaştıran basit bir eklentide derledik.

Bu WordPress Çerez Onay eklentisi, dünyadaki tüm büyük çerez yasalarına uymanıza yardımcı olacaktır. Eklenti, AB'nin GDPR'sine, Brezilya'nın LGPD'sine, Fransa'nın CNIL'sine ve Kaliforniya Tüketici Gizliliği Yasası'na (CCPA) uymanıza yardımcı olabilir.

Sıfırdan bir çerez politikası oluşturmakla uğraşmanıza gerek yok, eklentinin sizin için hazır çerez politikası şablonları var. Web sitenizdeki tüm aktif çerezleri listeleyen bir çerez tarayıcı ile birlikte gelir.

Kullanıcılarınızdan açık veya zımni onay alabilir, web sitenizde güzel çerez afişleri oluşturabilir ve daha fazlasını yapabilirsiniz. Eklenti, site ziyaretçilerinden izin alana kadar üçüncü taraf çerezlerini otomatik olarak engeller.

Uyumluluğun kanıtı olarak ziyaretçilerden gelen bir izin günlüğünü saklar. Çerez kategorilerine göre site ziyaretçilerinizden ayrıntılı izin alabilirsiniz.

Özetle, çerez kullanımı için CCPA ve GDPR gibi yasalara uymanız gereken tek eklenti budur.

Bu çerez uyumluluğu eklentisinin ücretsiz sürümünü buradan indirin.

CCPA ve GDPR gibi yasalar, internetteki kullanıcıların ve web sitesi ziyaretçilerinin gizliliğini korumak için getirilmiştir. Gizlilik bakış açısının yanı sıra, bu düzenlemeler dünya çapındaki web siteleri ve işletmeler için bir standart belirlemiştir.

İster Kaliforniya'da ister AB'de iş yapıyor olun, işletmenize müşteri ve yatırımcı çekmek için bu uluslararası düzenlemelere uymak önemlidir. Müşterilerinize gizliliklerine değer verdiğinizi göstererek bir güven duygusu oluşturabilirsiniz.

Bu makalede bahsettiğimiz eklenti, dünyadaki tüm büyük çerez yasalarına uymanıza yardımcı olacaktır.

Feragatname: Bu makale yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Herhangi bir avukat-müvekkil ilişkisi elde etmek gibi bir niyetimiz yoktur. Hukuki tavsiye arıyorsanız, bir profesyonelle görüşmenizi öneririz.