WordPress web sitenizi CCPA uyumlu hale getirme

GDPR'nin 2018'de piyasaya sürülmesinden sonra, WordPress web yöneticilerini yerel veri gizliliği düzenlemeleriyle uyumlu kalma tekliflerinde daha fazla etkileyecek başka bir yasa daha var.

Onun adı? California Tüketici Koruma Yasası (veya kısaca CCPA).

Bu yeni mevzuat parçası, Kaliforniyalılara kişisel bilgilerinin kullanımı konusunda gelişmiş koruma sağlamak için tasarlanmıştır. 2020 yılının başında yürürlüğe girdi.

Bu kılavuz, CCPA web sitesi uyumluluk gereksinimlerinin neler olduğu konusunda size yol gösterecektir. Ayrıca pratikte web siteniz için ne anlama geldiğini ve gerekli değişikliklerin nasıl uygulanacağını açıklar. Daha fazla uzatmadan, CCPA'nın ana temalarını tartışarak başlayalım.

Kaliforniya Tüketici Gizliliği Yasası (CCPA) nedir?

CCPA 2018'de geri alındı. Başlangıçta gönüllü bir girişim olarak tanıtılan yasanın Kaliforniya Eyalet Yasama Meclisi'nin ilgili organlarından geçirilmesi yalnızca yedi gün sürdü.

Politikacılar, Kaliforniya yasalarının müşterilerin işletmelerle farkında olmadan paylaştığı kişisel veri miktarına ayak uyduramadığını düşünen seçmenlerden gelen endişeler korosunu dikkate aldıktan sonra yasa, yasama organlarında dramatik bir şekilde aceleye getirildi.

İkincisi, Facebook'u saran Cambridge Analytica skandalı ve AB'de Genel Veri Koruma Yönetmeliği (GDPR) yasalarının getirilmesi, bu mevzuatın öne çıkarılmasının önemini artırdı.

Haziran 2018'deki bu olaylardan bu yana, yasa iki kez daha değiştirilmiştir. California Başsavcısı, şirketlerin operasyonlarında gerekli ayarlamaları nasıl yapacaklarını daha iyi anlamalarına yardımcı olmak için bir kılavuz yayınladı. Yasa resmen 1 Ocak 2020'de yürürlüğe girdi.

CCPA'nın ayrıntılarıyla ilgili olarak, yasa çoğunlukla GDPR öncülü tarafından sağlanan liderliği takip eder. Kaliforniya vatandaşlarına şu hakları verir:

• Onlar hakkında hangi kişisel bilgilerin toplandığını bilin
• Kişisel bilgilerinin satılıp satılmadığını veya kime ifşa edildiğini bilmek
• Kişisel bilgilerinin satışına hayır deyin
• Kişisel bilgilerinin silinmesini talep etme
• Kişisel bilgilerine erişin
• Gizlilik haklarını kullansalar bile eşit hizmet ve fiyat

Yasa anlaşıldığında, muhtemelen bu yasaların sizin için geçerli olup olmadığını, özellikle de web siteniz veya işletmenizin Kaliforniya eyaleti dışında kayıtlı olup olmadığını merak ediyorsunuzdur.

CCPA işiniz için geçerli mi?

Herhangi bir gizlilik yasasının sonuçlarını çözmek, muhtemelen en zor kısımdır. Ama artık tozun yatışması için yeterli zaman oldu. Bu yasanın nasıl ve ne zaman uygulanması gerektiğine dair bazı açık yönergeler vardır.

Unutulmaması gereken ilk husus, bu yasanın California vatandaşları ve sakinlerinin kişisel bilgilerinin korunmasıyla ilgili olmasıdır. Bu, yukarıda belirtilen vatandaşlarla iş yapan şirket veya kuruluşların, bulundukları yer ne olursa olsun, kanunun kendilerine uygulanacağı anlamına gelir.

California Başsavcısı tarafından yayınlanan kılavuzun bir parçası olarak yasa, aşağıdaki kriterleri karşılayan kar amacı gütmeyen kuruluşlar için geçerlidir:

1. 25.000.000 $'dan fazla yıllık brüt geliri var
2. Yıllık olarak 50.000 veya daha fazla Kaliforniyalı tüketicinin kişisel bilgilerini ticari veya ticari amaçlarla satın alır veya alır, satar veya paylaşır
3. Yıllık gelirinin %50 veya daha fazlasını Kaliforniyalı tüketicilerin kişisel bilgilerinin satışından elde eder.

Oturup “Harika, işim bu kriterlerden hiçbirine uymuyor, herhangi bir değişiklik yapmama gerek yok” diye düşünüyorsanız, sadece kısmen haklısınız. Bu yeni yasa, uzatma yoluyla sizin için hala geçerli olabilir. CCPA'ya uymak zorunda olan şirketlerle işlem yapıyorsanız, yine de uymak için gerekli değişiklikleri yapmanız gerekebilir.

Örneğin, milyonlarca kayıt tutan Kaliforniyalı bir sağlayıcıdan pazarlama amacıyla bir e-posta listesi satın alırsanız, CCPA'nın uzatma yoluyla şart koştuğu ayarlamaları yapmanız gerekecektir. Benzer şekilde, büyük ölçekli şirketlere WordPress web tasarım hizmetleri sağlıyorsanız, uyumlu bir web sitesi sunduğunuzdan emin olmak için dikkat etmeniz gerekir.

CCPA ve GDPR

CCPA ve GDPR mevzuatı çok benzer olmakla birlikte bazı önemli farklılıklara sahiptir. İlk olarak, GDPR, CCPA'dan çok daha geniş kapsamlıdır.

GDPR, Veri Koruma Görevlilerinin atanmasına, işleme faaliyetlerinin kaydının tutulmasına ve belirli durumlarda Veri Koruma Etki Değerlendirmelerine duyulan ihtiyaca ilişkin yükümlülükleri içerir. Benzer hükümler yürürlükte olmasına rağmen, CCPA'ya bağlı böyle bir yasal yükümlülük yoktur.

Daha sonra GDPR, kişisel verilerin herhangi bir yönünün işlenmesi için yasal bir temel olması gerektiği temel ilkesi üzerinde çalışır. Ancak CCPA, bazı kişisel veri grupları için geçerli bile değildir. Örneğin, kredi raporlaması amacıyla kaydedilen tıbbi kayıtlar ve kişisel bilgiler, mevcut ayrı bir mevzuat tarafından kapsandığı görüldüğünden CCPA kapsamında değildir.

Son olarak, farklı yasalar, önceden rıza meselesi olan nihai bir yasal ilkede farklılık gösterir. CCPA, şirketlerin GDPR'nin temel aldığı temel yasal dayanak olan kişisel bilgileri işlemek için önceden izin istemesini gerektirmez.

Aslında, CCPA'ya göre, bir işletmenin verilerini işlemeden önce bir kullanıcıdan önceden izin almasına veya bir web sitesinin verilerini üçüncü taraflara satmadan önce bir kullanıcıdan önceden izin almasına ihtiyacı yoktur. Bununla birlikte, bir Kaliforniya vatandaşı, bu işlemeyi 'devre dışı bırakma' ve verilerinin hem görüntülenmesini hem de kaldırılmasını talep etme hakkına sahiptir.

Başka bir deyişle, CCPA, veri şeffaflığı ve olay sonrasında koruma sağlamayı amaçlamaktadır. Buna karşılık, GDPR, AB vatandaşlarına kişisel veri işleme için önceden izin alma yetkisi sağlamaya odaklanır.

Web sitenizi CCPA uyumlu hale getirme

WordPress sitenizin CCPA web sitesi uyumluluk gereksinimlerini karşılayacak şekilde güncellenmesi gerekiyorsa, aşağıdaki adımlar yeni gizlilik yasasını ihlal etmediğinizden emin olmanıza yardımcı olacaktır.

Gizlilik politikanızı güncelleyin

Web sitenizi GDPR ile uyumlu hale getirmek için büyük olasılıkla zaten bir gizlilik politikası belirlediniz, ancak CCPA'nın gerektirdiği değişiklikleri yansıtacak şekilde güncellemeniz gerekecek. İlk olarak, CCPA'da belirtildiği gibi web sitesi ziyaretçilerinin yeni haklarını eklemeniz gerekir.

Ardından, tüketicilerin mevzuattan doğan haklarını kullanma taleplerini iletebilmeleri için birkaç iletişim yöntemi eklemeniz gerekecektir. Ayrıca hangi verileri topladığınızı, bunları nasıl elde ettiğinizi ve bu bilgilerden herhangi biri GDPR'nin yürürlüğe girmesinden bu yana değiştiyse hangi amaçlarla kullanıldığını güncellemek de iyi bir fikirdir.

Müşterilerin verilerine nasıl erişebilecekleri ve verilerinin kaldırılmasını nasıl talep edebilecekleri konusunda adım adım şeffaf bir süreç belirtmeyi unutmayın. Son olarak, bu güncellemelerin yeni yasanın yürürlüğe girmesinden sonra gerçekleştiğini göstermek için gizlilik politikanızın tarihini değiştirin.

(Not: Yılda 4.000.000 veya daha fazla Kaliforniyalı tüketicinin kişisel bilgilerini satıyorsanız, ek açıklamalar eklemeniz gerekebilir)

Müşterilerinize Gizlilik Politikanız ve CCPA'nız hakkında nereden daha fazla bilgi edinebileceklerini söyleyin

Müşterilere gizlilik politikası ve CCPA kapsamındaki hakları hakkında bilgi vermek, verilerini toplama sürecinde bir gerekliliktir. İzne ihtiyacınız olmadığını unutmayın (GDPR'ye göre); bunun yerine, onları ne topladığınız ve neden topladığınız hakkında daha fazla bilgi edinebilecekleri konusunda bilgilendirmeniz gerekir.

Müşterilerinize bunu söylemenin mükemmel bir yolu, zaten GDPR amaçları için yaptığınız gibi bir gizlilik bildirimi veya çerez çubuğu kullanmaktır.

Çerez çubuğu veya alt bilgi yoluyla gönderilen uyumluluk/gizlilik bildirimi

Bu bildirim, GDPR'ye uymak için halihazırda sağladığınız bildirime çok benzer olacaktır. Bu uyumluluk/gizlilik bildirimleri, temel olarak gizlilik politikanızın son derece yoğunlaştırılmış versiyonlarıdır.

Tüketicilerden topladığınız kişisel bilgilerin kategorilerinin bir listesini eklediğinizden emin olun ve her bir kategori için kullanılacağı ticari amaç(lar)ı listeleyin.

Altbilgi veya çerez çubuğu aracılığıyla görüntülüyorsanız sınırlı alanınız olacaktır, bu nedenle Gizlilik Politikanıza ve “Kişisel Bilgilerimi Satma” sayfanıza bağlantılar eklemeden önce mümkün olduğunca doğrudan ve konuya odaklanın.

Kabul/devre dışı bırakmanın mevcut olduğundan emin olun

Belirtildiği gibi, CCPA amaçları için onay almanız gerekmez. Ancak, tüketicilere kişisel veri toplamayı devre dışı bırakma seçeneği sunmanız gerekecektir. Bunu göz önünde bulundurarak, zaten bu parametrelere sahipseniz, bu izni GDPR için gereken ön izinle birlikte bir araya getirmek mantıklıdır.

CCPA için şirket büyüklüğü kriterleri göz önüne alındığında, benzer web sitesi mimarisini zaten yerleştirmiş olmanız muhtemeldir, bu nedenle CCPA gereksinimlerini de karşılamak için gerekli ince ayarları yapmak mantıklıdır.

Bir 'Bilgilerimi Satma' sayfası ekleyin ve ana sayfanıza bir bağlantı yerleştirin

Kaliforniya'da ikamet edenlerin kişisel bilgilerini satarsanız, yeni yasaya göre 'Kişisel Bilgilerimi Satmayın' veya 'Bilgilerimi Satmayın' başlıklı bir web sayfanızın olması gerekir.

Bu yeni oluşturulan web sayfasında aşağıdaki bilgileri eklemeniz gerekir:

• Tüketicinin kişisel verilerinin satışından vazgeçme hakkına ilişkin ayrıntılar
• Söz konusu devre dışı bırakma talebinde bulunmak için bir iletişim formu
• Devre dışı bırakmak için diğer iletişim yöntemlerine ilişkin bilgiler
• Gizlilik Politikanıza bir bağlantı
• Bir tüketicinin kendi adına bir vazgeçme talebi göndermek için yetkili bir acenteye sahip olmayı seçtiği zaman için gerekli olan ispat yükü

Web sitenizin altbilgisine bu sayfaya bir bağlantı yerleştirmelisiniz, böylece hiçbir zaman bir tıklamadan daha uzak olmaz.

Verileri satmadan önce 13 ila 16 yaş arasındaki reşit olmayanlardan önceden izin alın

Bir kez daha, California sakinlerinin kişisel verilerini satma işindeyseniz, önceden izin almadan 13 ila 16 yaşları arasındakiler için bunu yapmanıza izin verilmeyecektir. Bu etkiyle ilgili bir mesaj eklemek için çerez çubuğunuzu, beraberindeki bir onay kutusuyla birlikte kullanmayı seçebilirsiniz.

Veya bu yaştaki bireyler hakkında veri toplamakla ilgilenmiyorsanız, Gizlilik Politikanızda detaylandırılması gereken, bu kritere uyanlarla ilgili tüm verileri yok etme politikası oluşturabilirsiniz.

Özet

CCPA'nın GDPR kadar kapsamlı olmadığı kuşkusuz doğru olsa da, yine de ciddiye alınmalıdır. 2020 boyunca Amerika'da yürürlüğe girecek olan eyalet düzeyindeki birkaç gizlilik yasasından yalnızca birini temsil etmesi muhtemeldir.

Birçoğu CCPA'yı kendi eyaletleriyle ilgili yasalar için kes ve yapıştır şablonu olarak kullanacak. Bu nedenle, hem AB (GDPR) hem de Kuzey Amerika pazarlarında uyumlu kalmaya devam edebilmeniz için WordPress sitenizi CCPA web sitesi uyumluluk gereksinimlerine uyacak şekilde değiştirmek mantıklıdır (CCPA ve diğerleri). CCPA hakkında daha ayrıntılı bilgi için Kaliforniya Eyaleti Adalet Bakanlığı web sitesine bakın.

Burada WP White Security'de uyumluluğu ve güvenliği ciddiye alıyoruz. Yöneticilerin WordPress web sitelerini daha iyi yönetmesine ve güvenliğini sağlamasına yardımcı olan yüksek kaliteli niş güvenlik ve yönetici yardımcı programı eklentileri geliştiriyoruz. Web sitenizi daha iyi korumanıza ve kullanıcılarını yönetmenize nasıl yardımcı olabileceğimizi görmek için neden eklenti portföyümüze bir göz atmıyorsunuz?