Üçüncü Taraflar ve Kaliforniya Tüketici Gizliliği Yasası (CCPA)

Günümüzün sürekli değişen veri ortamında, her yerde işletmeler, iş çabalarını yönlendirmeye yardımcı olmak için üçüncü taraflarla ortaklıklara güveniyor. Veriye dayalı ekonomimiz, kuruluşların müşteri katılımı oluşturmasına, tüketici içgörüsünü artırmasına ve geliri artırmasına olanak tanır, ancak CCPA'nın kuruluşlara getirdiği yeni kısıtlamalarla birlikte üçüncü taraf verilerinin kullanımı geçmişte mi kaldı? Neyse ki, birçok kuruluş için CCPA'daki bu kısıtlamaya uymak, yalnızca üçüncü taraf satıcılarınızı belirlemek, bu ilişkileri sözleşmeler içinde tanımlamak ve yeni satıştan vazgeçme kurallarına uymak için süreçleri uygulamak meselesi olacaktır.

Başlamak için kuruluşların CCPA'nın 3. tarafları nasıl tanımladığını anlamaları gerekecektir. Herhangi aşağıdakilerden olmayan bir kişi Bölüm 1798.140 bir “Üçüncü parti” (w) için demektir göre:

1. Bu başlık altında tüketicilerden kişisel bilgiler toplayan işletme.
2. Yazılı bir sözleşmeye istinaden işletmenin bir tüketicinin kişisel bilgilerini bir ticari amaçla ifşa ettiği, sözleşmenin aşağıdaki koşulları sağlaması koşuluyla kişi:
   1. Kişisel bilgileri aşağıdakilerden alan kişiyi yasaklar:
      1. Kişisel bilgileri satmak.
      2. Kişisel bilgilerin, sözleşmede belirtilen hizmetlerin sağlanması dışında ticari bir amaçla saklanması, kullanılması veya açıklanması dahil olmak üzere, sözleşmede belirtilen hizmetlerin yerine getirilmesinin özel amacı dışında herhangi bir amaçla kişisel bilgilerin saklanması, kullanılması veya ifşa edilmesi .
      3. Bilgileri kişi ve işletme arasındaki doğrudan iş ilişkisi dışında tutmak, kullanmak veya ifşa etmek.
   2. Kişisel bilgileri alan kişi tarafından, kişinin (A) alt paragrafındaki kısıtlamaları anladığına ve bunlara uyacağının tasdikini içerir.

Bu bir “hizmet sağlayıcı” ile karıştırılmamalıdır verilen “Bir işletme adına ve hangi süreçlerin bilgi iş yazılı bir sözleşmeye bağlı bir iş amacı uyarınca için bir tüketicinin kişisel bilgileri ifşa” bir tüzel kişi olarak CCPA tanımlar . Bu, veriyi talimatlara uygun olarak kullanan ticari kuruluşun kendisi ve hizmet sağlayıcılarının 3. taraf olarak kabul edilmediği anlamına gelir. Ancak, bir işletmeyle veri alışverişinde bulunan diğer birçok kuruluş, 3. taraf kategorisine girer.

Kuruluşların bu satıcı ilişkilerini nasıl ele alacaklarını belirlemeleri için, kuruluştan veri alan tüm satıcıların ve üçüncü tarafların bir listesini oluşturarak başlamaları gerekir. CCPA ve GDPR arasındaki önceki blogumuzda belirtildiği gibi , GDPR hazırlıklarından mevcut bir veri haritasına sahip olmak bu süreçte yardımcı olacaktır. Veri haritası, işletmenizin veri paylaştığı tüm kuruluşları ve verilerin paylaşım amacını içermelidir. Mühendislikten İK'ya ve finansa kadar kuruluşunuzun tüm işlevsel alanlarını da göz önünde bulundurmanızı gerektirecektir. Şirketinizin, hesaba katılması gereken günlük işleri yürütmek için yalnızca ürün geliştirme dışında veri paylaşması muhtemeldir.

Verilerinizin kuruluş dışında nereye gönderildiğini öğrendikten sonra, iş ortağının/satıcının veriler üzerindeki haklarını değerlendirmek ve ek Gizlilik Etki Değerlendirmelerinin gerekip gerekmediğini belirlemek için bu kuruluşlarla yapılan sözleşmeleri gözden geçirmek isteyeceksiniz. Üçüncü taraf, verileri yalnızca kuruluşunuza belirlenmiş hizmetleri sağlamak amacıyla kullanabilir mi veya bir denetleyici olarak hareket edip verilerle neler yapılabileceğini belirleyebilir mi (CCPA'nın denetleyici/işlemci dili (GDPR'den farklı olarak), kuruluşlar arasında paylaşılan veriler söz konusu olduğunda karar vericinin kim olduğunu bilmeniz için sözleşmelerdeki denetleyicileri ve işlemcileri belirlemeye yardımcı olabilir)? İkincisi ise, kuruluşunuzun büyük olasılıkla bu ilişkiyi tüketicilerinize açıklaması ve onlara verilerinin satışını "devre dışı bırakma" seçeneği sunması gerekecektir.

İşte işlerin zorlaşabileceği ve birçok veriye dayalı iş ilişkisini bozabileceği yer burasıdır. CCPA kapsamında verilerin "satılmasının" geniş tanımı nedeniyle, kuruluşların kime "satıcı" olabileceklerini ve "Devre Dışı Bırakma" özelliğini eklemeleri gerekip gerekmediğini belirlemek için satıcı/ortak ilişkilerini gerçekten gözden geçirmeleri gerekecektir. onların web sitesi. Bir hatırlatma olarak, Bölüm 1798.140 (t) uyarınca “Sat”, “satış”, “satış” veya “satıldı” şu anlama gelir:

1. Bir tüketicinin kişisel bilgilerini işletme tarafından başka bir işletmeye veya üçüncü bir tarafa parasal veya diğer değerli bedeller karşılığında sözlü, yazılı veya elektronik veya başka yollarla satmak, kiralamak, serbest bırakmak, ifşa etmek, yaymak, kullanılabilir hale getirmek, aktarmak veya başka bir şekilde iletmek .
2. Bu unvanın amaçları doğrultusunda, bir işletme aşağıdaki durumlarda kişisel bilgileri satmaz:
   1. Bir tüketici, kişisel bilgileri kasıtlı olarak ifşa etmek için işletmeyi kullanır veya yönlendirir veya bu ifşanın bu başlığın hükümleriyle tutarlı olmadığı sürece, üçüncü tarafın kişisel bilgileri de satmaması koşuluyla, işletmeyi üçüncü bir tarafla kasıtlı olarak etkileşim kurmak için kullanır. Tüketici, bir veya daha fazla kasıtlı etkileşim yoluyla üçüncü tarafla etkileşime girme niyetinde olduğunda kasıtlı bir etkileşim oluşur. Belirli bir içeriğin üzerine gelmek, sesini kapatmak, duraklatmak veya kapatmak, tüketicinin üçüncü bir tarafla etkileşim kurma niyetini teşkil etmez.
   2. İşletme, tüketicinin kişisel bilgilerinin satışından vazgeçtiği konusunda üçüncü şahısları uyarmak amacıyla, tüketicinin kişisel bilgilerinin satışını devre dışı bırakan bir tüketici için bir tanımlayıcı kullanır veya paylaşır.
   3. İşletme, aşağıdaki koşulların her ikisi de karşılanıyorsa, bir tüketicinin ticari amaçlarını gerçekleştirmek için gerekli olan kişisel bilgilerini kullanır veya bir hizmet sağlayıcıyla paylaşır: Hizmet sağlayıcının da yapması koşuluyla, hizmet sağlayıcının işletme adına gerçekleştirdiği hizmetler. kişisel bilgileri satmayın.
      1. İşletme, bilgilerin Bölüm 1798.135 ile tutarlı olarak kendi hüküm ve koşullarında kullanıldığına veya paylaşıldığına dair bildirimde bulunmuştur.
      2. Hizmet sağlayıcı, iş amacını gerçekleştirmek için gerekli olmadıkça, tüketicinin kişisel bilgilerini daha fazla toplamaz, satmaz veya kullanmaz.
   4. İşletme, bir birleşme, devralma, iflas veya üçüncü tarafın işletmenin tamamının veya bir kısmının kontrolünü üstlendiği başka bir işlemin parçası olan bir varlık olarak bir tüketicinin kişisel bilgilerini üçüncü bir tarafa aktarır; Bölüm 1798.110 ve 1798.115 ile tutarlı bir şekilde paylaşılmıştır. Bir üçüncü taraf, bir tüketicinin kişisel bilgilerini, toplama sırasında verilen vaatlerle maddi olarak tutarsız bir şekilde kullanma şeklini önemli ölçüde değiştirirse veya paylaşırsa, tüketiciye yeni veya değiştirilmiş uygulama hakkında önceden bildirimde bulunacaktır. Bildirim, mevcut tüketicilerin Bölüm 1798.120 ile tutarlı bir şekilde seçimlerini kolayca yapabilmelerini sağlamak için yeterince belirgin ve sağlam olacaktır. Bu alt paragraf, bir işletmeye, Bölüm 7 Kısım 2, Haksız ve Aldatıcı Uygulamalar Yasası'nı (Bölüm 5 (Bölüm 17200 ile başlayan) ihlal edecek şekilde önemli, geriye dönük gizlilik politikası değişiklikleri veya gizlilik politikalarında başka değişiklikler yapma yetkisi vermez. İş ve Meslekler Kanunu).

Bu, bir kuruluşun kişisel bilgiler karşılığında ödeme almayabileceğini söylemenin gerçekten uzun bir yolu, ancak yine de bir veri "satışı" olarak kabul edilebilir. E-posta bağlamında bir örnek olarak, bir gönderici, ayrıntılı demografik içgörü sağlamak için aboneleri hakkında toplanan bilgileri (izleme veya çevrimiçi toplama yoluyla) bir üçüncü taraf analitik kuruluşunun kullanımına sunabilir. Üçüncü taraf, e-posta gönderen tarafından sağlanan verileri daha büyük veritabanlarına eklediğinden para alışverişi yapılmaz. Üçüncü taraf artık verileri kendi kullanımı veya diğer müşterilerin kullanımı için elde ettiğinden, para alışverişi olmamasına rağmen CCPA tarafından tanımlanan üçüncü taraf şemsiyesi altına girecektir. Bu, e-posta gönderenin, abonelerine verilerinin bu üçüncü tarafa iletilmesini devre dışı bırakmaları için kolay bir yol sağlaması gerektiği anlamına gelir. Başka bir karmaşıklık katmanı ekleyen kuruluşlar, bir tüketici haklarını kullandığında tüm üçüncü taraflarıyla iletişim kurmak zorunda kalacak ve genellikle kuruluşların sorunsuz bir süreç sağlamak için teknik önlemler uygulamasını zorunlu kılacaktır.

Peki bu, kuruluşunuzu nerede bırakıyor? Gerçekten sıkıcı bir süreç gibi görünse de, CCPA yürürlüğe girdikten sonra kuruluşunuzun ve birlikte çalıştığınız şirketlerin uyumlu olmasını sağlamak için bahsedilen her şey zorunludur. Para cezaları, kasıtlı ihlal başına 7500 ABD Dolarına kadar çıkabilir ve bu da, potansiyel olarak, uyumsuz olarak yakalanan kuruluşlar için milyonlarca para cezasına neden olabilir. Kimse, üçüncü şahıslarla olan ilişkilerinin iyi olmasını sağlamayı ihmal ettiği için milyonlarca dolarlık bir para cezasıyla karşı karşıya kalmak istemez.

CCPA gelişmeye devam ediyor, ancak yürürlüğe girdiğinde hazırlıklı olmak için kuruluşunuzun satıcı yönetim sürecinizi organize etmeye başlaması önemlidir. Bu, CCPA serimizde planlanan son gönderi olmasına rağmen , yasa kesinleştikçe geçici gönderiler yayınlamaya devam edeceğiz, bu yüzden bizi izlemeye devam edin!