ABD Dijital Gizlilik Yasaları

Amerika hapşırınca dünya nezle oluyor. Bu ifade özellikle dijital teknoloji dünyasında geçerlidir. Ne de olsa Amerika, dünyanın önde gelen ve en başarılı çevrimiçi şirketlerinin çoğuna ev sahipliği yapıyor (her ne kadar bazıları Çin'in peşinden koştuğunu iddia etse de). Ancak, Avrupalı ​​kuzenlerimizin başı çektiği alanlardan biri de dijital gizliliktir.

GDPR, dünyanın gizliliğe bakışını değiştirdi

2018 yılına dönüp baktığınızda, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) ile tüm dünyayı nasıl sarstığını hatırlayacaksınız.

O zamanlar GDPR benzersizdi çünkü verilerini kiminle veya nerede paylaştıklarına bakılmaksızın Avrupa vatandaşlarının mahremiyetini korumak için tasarlanmış her şeyi kapsayan bir düzenlemeydi. Bu düzenleme, ABD kuruluşlarının bulundukları yere bakılmaksızın Avrupa'da veya Avrupa vatandaşlarıyla faaliyet göstermeye devam etmek istemeleri durumunda GDPR'ye uymaları gerektiği anlamına geliyordu.

Önceki gizlilik düzenlemelerinden farklı olarak, GDPR'nin dişleri ve Avrupa Komisyonu'nun ağırlığı, ihlaller için büyük para cezaları koymasını sağladı.

Uyumluluğu sağlamak için dünya çapında milyonlarca dolar ve sayısız personel saati harcandı. Birçok yönden bu yatırım, olgunlaşan ancak hâlâ büyük ölçüde düzenlenmemiş dijital iş sektöründe benimsenen "Vahşi Batı" iş uygulamalarının son kalıntılarının temizlenmesine yardımcı oldu. Ancak buna rağmen, sayısız ABD firması GDPR ile ters düştü.

Hala GDPR'nin sizin için geçerli olduğunu düşünmüyor musunuz? Uyumsuzluk nedeniyle alınan en büyük para cezalarının yer aldığı bu listeye bir göz atın - "Kim Kimdir?" Amazon, Meta (Facebook) ve Alphabet'in (Google) en önemli on cezaya hakim olduğu büyük Amerikan şirketlerinin sayısı.

ABD gizlilik yasalarının değişen yüzü

GDPR'den önce, ABD'nin esasen mahremiyet açısından kutuyu (CAN-SPAM) yolda tekmelediği iddia edilebilir.

Birçok yönden GDPR, ABD işletmelerini ABD düzenlemelerine ihtiyaç duymadan eylemlerini temizlemeye zorladı. Ancak bu, ABD'nin gizliliği ciddiye almadığı anlamına gelmez. Şu anda yürürlükte olan birden fazla gizlilik yasası vardır ve ABD'de uygulamaya konulan başka pek çok yasa vardır. Ancak, bireysel eyaletlerin mevzuat oluşturma biçimleri nedeniyle, bu yasalar GDPR'ye göre daha az bağlantılı veya her şeyi kapsayıcıdır. Eyalet sınırında faaliyet gösteren işletmeler için bu kafa karıştırıcı olabilir.

CCPA/CPRA

1 Temmuz 2023'te yürürlüğe girecek olan Kaliforniya Tüketici Gizliliği Yasası (CCPA) ve müteakip Kaliforniya Gizlilik Hakları Yasası (CPRA), GDPR'ye en yakın şey olarak tanımlanmıştır.

CPRA, CCPA'da yer almayan çeşitli kuralların temelini oluşturan GDPR tarafından belirlenen temel üzerine kuruludur. Bu kurallar şunları içerir:

• Veri minimizasyonu: Belirli bir amacı yerine getirmek için veri toplamanın gerekli olduğundan emin olun.
• Amaç sınırlaması: Toplanan verilerin yeni ve uyumsuz amaçlar için kullanılmamasını sağlamak.
• Depolama sınırlaması: Verilerin gerekenden daha uzun süre saklanmamasını sağlamak.

GDPR, CPRA'nın ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, cinsel yönelim, genetik ve sağlıkla ilgili veriler gibi hassas kişisel bilgileri (SPI) nasıl ele aldığını da etkiledi.

Benzerliklere rağmen, GDPR ve CPRA arasında bazı temel farklılıklar vardır.

GDPR, şirket büyüklüğü, konumu veya amacı ne olursa olsun AB vatandaşlarından veri toplayan ve işleyen tüm kuruluşlar için geçerlidir. GDPR ayrıca kişisel ve iş verileri arasında ayrım yapmaz.

Bu arada, Kaliforniya Gizlilik Hakları Yasası (CPRA) yalnızca Kaliforniya'da ikamet edenlerin kişisel bilgilerini toplayan ve işleyen ve aşağıdaki kriterlerden bir veya daha fazlasını karşılayan işletmeler için geçerlidir:

• Yıllık 25 milyon doların üzerinde brüt gelire sahip olmak;
• Yılda 100.000 veya daha fazla tüketicinin veya hane halkının kişisel bilgilerini satın alın, satın veya paylaşın; veya
• Yıllık gelirlerinin %50'sini veya daha fazlasını tüketicilerin kişisel bilgilerini satarak elde edin.

GDPR ile karşılaştırıldığında, işletmelerin CCPA/CCPR'nin radarından kaçabileceği çok yer var. Bu, belki de ABD'deki kuruluşların kişisel bilgilere erişmesi ve bu bilgileri saklaması konusunda Avrupa'ya kıyasla daha rahat bir tutumu yansıtıyor. Bununla birlikte, binlerce ABD vatandaşını rahatsız eden birkaç yüksek profilli veri ihlalinin ardından, bu tutumlar daha az gevşek hale geliyor ve daha fazla ABD Eyaleti gizlilik kervanına atlıyor.

Virginia Tüketici Verilerini Koruma Yasası (VCPDA)

Virginia Tüketici Verilerini Koruma Yasası (VCDPA), CCPA/CPRA ve GDPR'ye benzer bir gizlilik yasasıdır ve 1 Ocak 2023'te yürürlüğe girmiştir.

VCDPA, Virginia'da iş yapan veya Virginia'da ikamet eden ve belirli eşik gereksinimlerini karşılayan işletmeler için geçerlidir. Bu gereksinimler, yılda en az 100.000 Virginia tüketicisinin kişisel verilerinin işlenmesini veya kişisel verilerin satışından elde edilen brüt gelirin %50'sinden fazlasının elde edilmesini ve yılda en az 25.000 Virginia tüketicisinin kişisel verilerinin işlenmesini içerir.

VCDPA kapsamında, Virginia tüketicileri, haklarında hangi kişisel verilerin toplandığını bilme, verilerine erişme, bu verilerdeki yanlışlıkları düzeltme, belirli durumlarda verilerini silme ve bunları kullanma hakkına sahiptir. verilerinin satışını devre dışı bırakın.

Colorado Gizlilik Yasası (CPA)

EBM, 1 Temmuz 2023'te yürürlüğe girecek.

CCPA/CPRA ve GDPR'ye benzer şekilde EBM, Colorado'da iş yapan veya Colorado'da ikamet edenleri hedefleyen ve belirli eşik gereksinimlerini karşılayan işletmeler için geçerlidir. Bu gereksinimler, yılda en az 100.000 Colorado tüketicisinin kişisel verilerinin işlenmesini veya kişisel verilerin satışından elde edilen brüt gelirin %50'sinden fazlasının elde edilmesini ve yılda en az 25.000 Colorado tüketicisinin kişisel verilerinin işlenmesini içerir.

Bir kez daha CPA kapsamında Colorado tüketicileri, kendileri hakkında hangi kişisel verilerin toplandığını bilme, kişisel verilerine erişme, kişisel verilerindeki yanlışlıkları düzeltme ve belirli durumlarda kişisel verilerini silme hakkına sahiptir. ve kişisel verilerinin satışından vazgeçme hakkı.

ABD genelinde daha fazla gizlilik için büyüyen bir hareket

CCPA/CCPR, VCDPA ve CPA'nın tümü yerel düzenlemeler olsa da, giderek artan sayıda eyaletin gizlilik düzenlemeleri getirmesine yol açan, giderek artan bir hareket var, bu da noktaları birleştirmenin ve gizliliği korumaya yönelik "ulusal" bir taahhüt oluşturmanın bir yolunu bulacaktır.

Connecticut, Iowa ve Utah'ın hepsinin önümüzdeki iki yıl içinde yürürlüğe girmesi gereken düzenlemeleri var. Uluslararası Gizlilik Profesyonelleri Birliği (IAPP) takipçisine göre, diğer birçok eyalet düzenlemeleri getirme sürecindedir.

Bununla birlikte, eyalet sınırlarını aşan ve bireyleri federal düzeyde koruyan bazı eski ABD gizlilik yasaları vardır.

HIPAA – Federal Yasa

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), 1996 yılında yürürlüğe giren ve GDPR'den ve hatta yaygın internet kullanımından önce gelen bir federal yasadır.

HIPAA, hastanın kişisel sağlık bilgilerini korumak için gizlilik ve güvenlik standartları sağlamak üzere tasarlanmıştır. Yasa, korunan sağlık bilgilerinin (PHI) gizliliği ve güvenliği için ulusal standartları belirler ve belirli elektronik işlemleri yürüten sağlık planları, sağlık hizmeti sağlayıcıları ve sağlık takas odaları için geçerlidir.

HIPAA kapsamında, kapsam dahilindeki kuruluşlar, PHI'nin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için önlemler almalıdır. Bu korumalar, PHI'nin gizliliğini ve güvenliğini sağlamak için idari, fiziksel ve teknik önlemleri içerir.

HIPAA ayrıca bireylere, PHI'larına erişme hakkı, PHI'larında düzeltme talep etme hakkı ve gizlilik haklarının ihlal edildiğine inanıyorlarsa şikayette bulunma hakkı dahil olmak üzere PHI'larıyla ilgili belirli haklar verir.

İşletmeler nasıl tepki veriyor?

Genel olarak, işletmeler artan gizlilik düzenlemeleri dalgasına olumlu tepki veriyor. Bu eğilimin ortadan kalkmayacağını bilen birçok şirket, hizmetlerini gizliliği iş modellerine dahil edecek şekilde uyarlıyor. Apple'ın Posta Gizliliği Koruması güncellemelerini zaten görmüştük ve Google, Google Analytics'in en son yinelemesi olan GA4'te kullanıcı katılımını izleme yöntemini yeniden keşfediyor .

Ancak bu, gizlilik düzenlemelerinin taleplerini takip edecek ve bunlara ayak uyduracak kaynaklara sahip olmayan küçük ve orta ölçekli işletmeler için kafa karıştırıcı bir zaman olabilir. Bu, özellikle veriler birden fazla teknoloji platformunda toplanıp işlendiğinde geçerlidir. Bu işletmeler için, uyumlu kalmalarına yardımcı olabilecek bir uzmanla konuşarak müşterilerinin gizliliğini ve kuruluşlarının geleceğini korumak mantıklıdır.

Daha fazla bilgi edin

emfluence'daki pazarlama uzmanlarının, işletmenizin mevcut ve gelecek gizlilik düzenlemelerinin doğru tarafında kalmasına nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için, bugün [email protected] adresinden bize ulaşın.