Kaliforniya Tüketici Gizlilik Yasası (California Consumer Protection Act) ve İlave Düzenlemeler
I. Genel Bilgilendirme ve Kapsam
Kaliforniya Tüketici Koruma Yasası (California Consumer Protection Act, (“CCPA”)) 1 Ocak 2020’de yasalaşan ve 1 Temmuz 2020’de yürürlüğe giren, tüketicilerin kişisel verilerinin korunmasına ilişkin bir yasal düzenlemedir.
Kişi bakımından Kaliforniya’da mukim tüketicileri kapsayan bu düzenleme, Kaliforniya’da mukim tüketicilerle iş ilişkisine giren işletmeleri kapsamaktadır. Bu işletmeler aşağıda belirtilen kıstaslardan herhangi birini sağlamaları halinde düzenlemeye tabi sayılmaktadır.
Bunun yanı sıra, 4 milyondan fazla tüketiciye temas eden işletmeler için ise ilave yükümlülükler öngörülmektedir.
Avrupa’daki Genel Veri Koruma Tüzüğü (“GDPR”) düzenlemesi ve ülkemizde yürürlükte olan Kişisel Verilerin Korunması Kanunu (“KVVK”) düzenlemelerinin aksine, CCPA’de veri işleme konusunda hukuki sebepler veya benzer sınırlamalar getirilmemiştir. Bu nedenle CCPA’in bu düzenlemelere kıyasla oldukça “hafif” bir düzenleme olduğu ifade edilmektedir.
II. Kişisel Veri tanımı ve kişisel verilerin işlenmesi
Kişisel veri tanımının “belirlenebilen bir gerçek kişiye ait herhangi bir bilgi” olarak belirtilmiş olup ülkemizdeki düzenlemeye benzer bir tanımlama getirildiği anlaşılmaktadır. Bunun yanı sıra, benzer düzenlemelerden farklı olarak, karakteristik, psikolojik eğilimler, tercihler, davranışlar ve zekâ gibi, tüketiciler hakkında yapılan ve hedef pazarlama alanında kullanılabilen çeşitli çıkarımların da kişisel veri olarak değerlendirileceği CCPA’de açıkça belirtilmiştir.
Kıta Avrupası düzenlemeleri uyarınca aleni veriler, veri konusu kişilerin söz konusu verilerin alenileştirme amacı ile bağlantılı şekilde ve yine veri konusu kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla ölçülü şekilde işlenebilmekte, aksi halde işleme faaliyetlerinin hukuka aykırı olduğu değerlendirilmektedir.
Bu yaklaşımın aksine, aleni veriler CCPA kapsamında korumaya tabi tutulmadığı görülmektedir. Ayrıca, özel nitelikli kişisel veri kategorileri öngörülmemiş, bütün kişisel veriler eşit düzeyde korumaya tabi tutulmuştur. CCPA kapsamında tüketicilere sağlanan haklar aşağıdaki gibidir:
III. Veri konusu kişilerin hakları
1. Hangi verilerin toplandığını bilme hakkı
Bu hak kapsamında tüketiciler veri sorumlusu tarafından hangi verilerinin işlendiğini öğrenebilmektedir. Verilerin toplandığı kaynaklar ve işleme amaçları (toplama için ticari amaçlar) hakkında bilgi almak, verilerin üçüncü taraflara satılıp satılmadığını, satılıyorsa hangi amaçla satıldığını öğrenmek, verilerin hangi üçüncü taraflarla paylaşıldığını öğrenmek bu hak kapsamında tüketicilerin sahip olduğu haklardır. Bu hak aynı zamanda “Right to Transparency” ismiyle şeffaflık hakkı veya şeffaflık prensibi olarak değerlendirilmektedir.
2. Veriye erişim hakkı
Bu hak şeffaflık ilkesi ile birlikte değerlendirilmekte olup, veri konusu kişilerin veri sorumlusu nezdinde bulunan haklarını, veri sorumlusunun sisteminde yer aldığı haliyle görüntüleme hakkını ifade etmektedir.
3. Satışa rıza vermeme hakkı
Kaliforniyalı tüketicilerin verilerinin satılmasını reddedebilme hakkını ifade etmektedir. CCPA kapsamında işleme sebebine veya çeşitli işleme koşullarına tabi olmaksızın yürütülebilen kişisel veri işleme faaliyetlerine getirilen yegâne sınırlama olarak görülebilecek satışı reddetme hakkı sayesinde, tüketiciler verilerinin üçüncü taraflara satışına rıza göstermediklerini belirten irade beyanlarını veri sorumlusuna ulaştırarak bu haklarını kullanabilmektedir. Kıta Avrupası düzenlemesinin aksine, işleme önceden verilen izne bağlı olmayıp (“opt-in”) sonradan yapılacak bir red işlemine tabidir. (“opt-out”)
4. Verilerin silinmesini isteme hakkı
Bu hak kapsamında veri konusu kişiler veri sorumlusu nezdinde bulunan verilerinin silinmesini talep edebilmektedir. Satışa rıza vermeme hakkı bir tarafa, veri konusu kişilerin kişisel verilerinin işlenmesini tamamen sınırlamasına elverişli istisnai bir hak olarak ortaya çıktığı görülmektedir.
5. Hakların kullanılması nedeniyle ayrımcılığa uğramama hakkı
CCPA kapsamında öngörülen hakların kullanılması nedeniyle ilgili tüketicinin veri sorumluları tarafından farklı bir muameleye maruz kalmasının önüne geçmek amacıyla tanınan bir haktır. Örneğin Tüketicinin kişisel verilerinin satışına rıza göstermemesi nedeniyle oluşan kar kaybı öne sürülerek farklı fiyat uygulanması gibi durumlar söz konusu olamayacaktır.
CCPA’in tüketicileri tanıdığı haklar, tüketiciler tarafından veri sorumlularına yöneltilecek talepler aracılığıyla kullanılabilmektedir. Bu aşamada tüketicinin kimliğinin doğrulanabilir olması gerekliliği CCPA tarafından öngörülmüştür.
IV. Düzenlemenin Yürütülmesi ve Yaptırımlar
Düzenlemenin ihlaline ilişkin kovuşturmalar konusunda Başsavcılar yetkili kılınmıştır. Bunun yanı sıra, tüketicilerin haklarının ihlali halinde bireysel olarak dava açma hakkı mevcuttur. Başsavcı tarafından herhangi bir ihlal halinde yaptırıma hükmedilmeden evvel işletmelere ihlali gidermeleri için 30 günlük bir süre tanınmaktadır.
V. 2023’de Yürürlüğe Girmesi Beklenen CPRA ve Meydana Getireceği Değişiklikler
4 Kasın 2020 tarihinde Kaliforniya’da yapılan oylama sonucunda kabul edilen Kaliforniya Gizlilik Hakları ve İcrası Yasası (California Privacy Rights and Enforcement Act, (“CPRA”)) ile CCPA’in 1 Ocak 2023 tarihi itibariyle değişikliğe uğraması ve ilave düzenlemeler öngören CPRA’in yürürlüğe girmesi beklenmektedir.
Söz konusu değişiklik ile CPPA’in kapsamının genişletilmekle birlikte meydana gelecek değişikliklerin başında tüketicilere tanınan ilave haklar gelmektedir. Buna göre, tüketiciler veri sorumlularından kişisel verilerinin düzeltilmesini isteyebilecektir. Bunun yanı sıra, “Sensitive Information” adı altında özel nitelikli kişisel veri kategorisi tanımlanmış olmakla birlikte veri sahibi tüketicilere bu verilerin kullanımının ve üçüncü taraflara aktarılmasının sınırlandırması hakkı tanınmıştır.
CCPA’e tabi olmak için belirlenen 50 bin Kaliforniyalının kişisel verileri ile işlem yapma kıstası 100 bin kişiye çıkarılmıştır. Ayrıca kimliği doğrulanan tüketicilerin taleplerine yanıt verilmesi konusunda tanınan sınırlı istisnaların çeşitlendirildiği ve özellikle “ticari sır” gibi bir istisna hali tanındığı görülmektedir.
Hal böyleyken, tüketicilerin hakları genişletilmiş olmasına rağmen kapsama giren işletme sayısının azalmasına sebebiyet verecek düzenlemeler ile bu hakların kullanılmasına ilişkin istisnaların artırılması sonucu, genel tabloda CPRA’in CCPA’den daha etkin bir veri koruma politikasına hizmet edebileceği konusunda soru işaretleri oluşmaktadır.
CCPA’de farklı olarak, tüketicilere kişisel verilerinin yalnızca satışına değil, çeşitli amaçlarla paylaşılmasına da rıza göstermeme hakkı tanınmıştır. Diğer taraftan, çocuklara, çalışanlara ve taşeron firmalara ait veri kategorilerine ilave koruma öngörülmektedir. Aleni verilerin işlenmesi konusunda ise herhangi bir sınırlama getirilmemiş olup bu konudaki serbesti yaklaşımının devam ettirildiği anlaşılmaktadır.
Tanımlara eklenen ve ülkemizdeki “Veri İşleyen” kavramının karşılığı olabilecek “Contractor” kavramı getirilmiştir. Ayrıca, ilerleyen dönemde meydana gelmesi muhtemel ihlaller için önleyici tedbirler alınmasına imkân tanınmıştır.
Yeni bir icrai kurum olarak,CPRA’in yürütülmesini sağlamak adına California Privacy Protection Agency isimli kurumun (“Kurum”) kurulması öngörülmüş; bu Kuruma
(i) ihlalde bulunan kuruluşlara yaptırımda bulunmak,
(ii) duruşma yapmak
(iii) düzenlemeyle ilgili soruları cevaplamak ve açıklık getirmek
(iv) gizlilik yasalarını koşullar değiştikçe güncellemek gibi yetkiler tanınmıştır.
Uygulanacak yaptırımlarda tanınan 30 günlük giderim süresinin kaldırıldığı görülmektedir. Böylelikle, Kıta Avrupası’ndaki sistemine benzer şekilde ihlalin tespiti halinde işletmelere doğrudan yaptırım uygulanması mümkün olacaktır.
CPRA uyarınca uygulanabilecek potansiyel idari para cezalarının miktarı CCPA ile aynıdır. Para cezalarını değerlendirirken, Kurum iki tür ihlal arasında ayrım yapacaktır: Kasıtsız ihlaller – Bir şirket kazara veya yanlışlıkla uyumsuz olduğunda, ihlal başına 2.500 ABD Doları’na kadar idari para cezasına maruz kalabilir. Kasıtlı ihlaller – Şirketlerin tüketici verilerini kasıtlı olarak yanlış yönettiği durumlarda, ihlal başına 7.500 ABD Doları’na kadar idari para cezası uygulanabilecektir. Bununla birlikte, CPRA kapsamındaki önemli bir fark, 16 yaşın altındaki tüketicilerin kişisel bilgilerini içeren her CPRA ihlali için para cezalarının 7.500 ABD Doları’na yükseltilmiş olmasıdır.
Av. Sude Ganidağlı