Yaşıyor! CPRA Yönetmelikleri ve Yeni Veri Gizliliği Mevzuatı için hazırlanın

Veri gizliliği mevzuatı ivme kazanıyor: daha önce hiç olmadığı kadar eyalet düzeyinde teklif edilen ve kabul edilen daha kapsamlı gizlilik faturaları. Ancak hiçbiri California eyaletinde gelenler kadar geniş kapsamlı değil.

California Gizlilik Hakları Yasası (CPRA) 1 Ocak 2023'te yürürlüğe girdi ve uygulama 1 Temmuz 2023'te başlayacak. CPRA, orijinal California Tüketici Gizliliği Yasası'nın (CCPA) hem bir açıklamasını hem de genişlemesini temsil ediyor; birlikte, ülkedeki en katı gizlilik yasalarını oluşturacaklar.

Peki bu işletmeniz için ne anlama geliyor? Birincisi, pazarlama stratejiniz uyumsuzluk tehlikesiyle karşı karşıyaysa ve Kaliforniya eyaletinde herhangi bir iş yapıyorsanız (çevrimiçi satışlar dahil), gizliliği öncelik listenizin en üstüne taşımanız gerekir.

Genel Bakış: CPRA ve CCPA karşılaştırması ve 2023'te yürürlüğe girecek diğer veri gizliliği yasaları

Muhtemelen 2022'nin sonunda duyurulan CPRA çevresinde değişen son teslim tarihlerinin ve ayarlanan programların telaşının farkındasınızdır, ancak bunlar uygulama için önceden belirlenmiş takvimi değiştirmiyor. Öyleyse işe başlayalım.

CPRA, orijinal CCPA'da, özellikle kişisel olarak tanımlanabilir bilgileri (PII) ve farklı veri toplama türlerini tanımlamaya ilişkin birçok soruyu yanıtsız bırakan gri alanlar olduğu için ortaya çıkan bir oy pusulasıydı.

Tel çark

2023'te yürürlüğe girecek olan Kaliforniya dışındaki diğer eyalet mahremiyet yasaları şunlardır:

• Colorado Gizlilik Yasası (EBM): 1 Temmuz 2023'ten itibaren geçerlidir
• Kişisel Veri Gizliliği ve Çevrimiçi İzlemeye İlişkin Connecticut Yasası (CTDPA): 1 Temmuz 2023'ten itibaren geçerlidir
• Utah Tüketici Gizliliği Yasası (UCPA): 31 Aralık 2023'ten itibaren geçerlidir
• Virginia Tüketici Verilerini Koruma Yasası (CDPA): 1 Ocak 2023'ten itibaren geçerlidir

CPRA gibi, bu eyalet yasalarının tümü, tüketici haklarına ilişkin hükümlerin yanı sıra neyin hassas kişisel bilgi oluşturduğuna ilişkin kendi yorumlarına sahiptir. Ancak hepsinin farklı olduğunu bilmek çok önemlidir. Eyaletler arasında gizlilik uyumluluğu için herkese uyan tek bir çözüm yoktur.

İşte burada hukuk departmanınız devreye giriyor. Bu yıl ve gelecekte işinizi etkileyebilecek yeni kural ve düzenlemelerden haberdar olmak için hukuk ekibinizle düzenli iletişim kurmanız gerekiyor.

Değişiklikler: CPRA, PII ve veri paylaşımına ilişkin düzenlemeleri değiştirdi

CPRA halihazırda yürürlükte olsa da, değiştirilmiş düzenlemelere dayalı nihai kurallar, California Gizlilik Koruma Ajansı'nın (CPPA) kısa bir gecikmesini takiben Nisan 2023'e kadar yayınlanmayacak.

CPRA kapsamındaki değişikliklerden bazıları, veri paylaşımına ilişkin sınırların güçlendirilmesini ve pazarlamacıların yasanın "potansiyel olarak hassas" olarak tanımladığı kişisel bilgileri nasıl kullanabileceklerine ilişkin daha net rehberlik sağlamayı içeriyor:

• Sosyal güvenlik veya ehliyet numarası
• Devlet kimlik kartı veya pasaport numarası
• Tüketicinin oturum açma ayrıntıları
• Coğrafi konum
• Hesaba bağlı herhangi bir doğrulama veya parola ile birlikte banka/kredi kartı numaraları da dahil olmak üzere finansal hesaplar
• Irk
• Etnik köken
• Din
• genetik veri
• Biyometrik veri
• özel iletişim
• Cinsel yönelim
• Sağlık Bilgisi

CPRA'ya yol açan en büyük tartışmalardan biri, CCPA'nın “Satmayın” gerekliliğinin muğlak diliydi. Yeni yasaya göre, işletmeler artık web sitelerinde zorunlu bir “Bilgilerimi Satma veya Paylaşma” seçeneğiyle tüketicilerin bilgilerini hem satma hem de paylaşma seçeneğini devre dışı bırakmalarına izin vermek zorunda.

Başlangıçta yetkilendirilmemiş bir üçüncü tarafla veri paylaşıyorsanız, yasa gereği kullanıcıların devre dışı bırakmasına izin vermeniz gerekir. Dikkate alınması gereken iki kısım vardır:

• Gerçek kimlik: bir kullanıcının yerinde yakalanan kişisel olarak tanımlanabilir bilgileri (PII)
• Pasif kimlik: tanımlama bilgileri ve tarayıcı tanımlayıcıları veya kullanıcıları otomatik olarak izleyen herhangi bir şey

Mevcut düzenlemeler sonuçlandırılırken, gelecekte ek düzenlemeler bekleyebilirsiniz. CPRA'nın 1798.185. Bölümü, CPPA'ya "geniş halk katılımını talep etme ve bu başlığın (CPRA) amaçlarını ilerletmek için düzenlemeler kabul etme" yetkisi vermektedir. Bu, veri gizliliğiyle ilgili yeni kişisel bilgi kategorileri eklemekten, kişisel bilgilerin paylaşılmasıyla ilgili yeni prosedürler oluşturmaya ve kişisel verilerin satışını devre dışı bırakmaya kadar değişen ek kurallar ve kısıtlamalar için geniş bir hareket alanı sunar.

Diğer dört eyalette yürürlüğe giren yasalarla karşılaştırıldığında Kaliforniya, tüketici verilerinin gizliliği için açık ara en yasal korumayı sunuyor. Ancak unutmayın: Kaliforniya'daki uyumluluk, otomatik olarak başka bir yerde uyumluluk anlamına gelmez.

OneTrust

Etkiler: CPRA uygulamasından ne beklenebilir?

CCPA kapsamında, uygulama büyük bir soru işareti olarak kaldı, ancak California'nın CPRA ile harareti artırmasını bekliyoruz. 2022'de CCPA'yı ihlal ettiği için Sephora'ya verilen 1,2 milyon dolarlık para cezası, kayarak geçebileceklerini düşünen markalar için bir uyarı atışı görevi görmeli.

California'nın ciddi olup olmadığından emin değilseniz, CPPA'nın kurulması açık bir işaret olmalıdır; Uyumu, gelecekteki kuralları ve yasa ihlallerine ilişkin cezaları denetlemek için California Başsavcısından (AG) görevi devralacaklar. CPRA ayrıca bir ihlal nedeniyle para cezasına çarptırılmadan önce 30 günlük “tedavi” süresini ortadan kaldırır, bunun yerine bunu kuruluşun yasayı çiğneme niyetine (veya eksikliğine) dayalı olarak AG'nin ve/veya CPPA'nın takdirine bırakır.

OneTrust

Mevzuatın ilk kez yürürlüğe girdiği dört eyalette uygulamanın nasıl sonuçlanacağı daha az kesin; Bildiğimiz şey, hem uygulama hem de cezaların her eyalette farklı olacağıdır. Kaliforniya'da veya başka bir yerde, ihlallerin mali açıdan işinize zarar verebilecek ve müşterileriniz nezdindeki itibarınızı riske atabilecek sonuçları olacaktır.

CPRA uyumluluğu: Hukuk ekibinizle nasıl çalışılır?

Markaların şimdi yapabileceği şey, nihai düzenlemeler ve yaptırımlar zaten yürürlükteymiş gibi davranmaktır. Bunun ne anlama geldiğinden emin değilseniz hukuk ekibinizle iletişime geçin ve işletmenizin yasalara uygun olduğundan emin olmak için birlikte çalışmanın yollarını arayın.

Hukuk ekibinizle bu işe başlamanın birkaç yolu vardır:

• Veri silolarınızın haritasını çıkarın: İyileştirilmiş veri yönetimi ve depolama süreçlerine sahip kuruluşlar bile bazı verilerin kendi kuruluşları içinde depolanmış olduğunu görebilir. Hangi verilerin depolandığını, nerede depolandığını ve silonun amacını tanımlayan kapsamlı bir harita geliştirmek çok önemlidir. İdeal olarak, bu siloları yıkmak istersiniz, ancak ilk adım verilerin nerede olduğunu bulmaktır.
• Kapsamlı kullanım durumu bilgileri sağlayın: Hukuk ekipleri, kuruluş için risk oluşturabilecekleri takdirde genellikle veri akışlarını tamamen engellemeye çalışır. Örneğin, bağlamın olmadığı durumlarda hukuk ekipleri, ekiplerine bir Google Ads hesabında Kısıtlanmış Veri İşlemeyi etkinleştirmelerini önerebilir. Bu, yalnızca devre dışı bırakma hakkını kullananlar için değil, bölgesel veri yasalarına tabi olan tüm sakinler için geçerli olacaktır. Bu yaklaşım mutlak yasal koruma sağlayabilecek olsa da, pazarlama etkinliğini de etkileyecektir (ve bu, bu değiş tokuşlar arasındaki doğru dengeyi belirlemek için markaların anlaması gereken bir şeydir). görüş alanı, böylece web sitenizde bu verilerin günümüzde nasıl kullanıldığını yansıtan kapsamlı ve güncel bir gizlilik politikası sürdürebilirler (sadece birkaç ay içinde çok şey değişebilir!)
• Uyumluluk önlemlerinin tahmini etkisini hesaplayın: Belirli bir bölgedeki tüketiciler için tüm izlemeyi engelliyorsanız, tahmini kapsama kapsamını hesaplayın ve çeşitli verimlilik kaybı senaryoları sağlayın. Örneğin, yılda 100.000 müşteriniz varsa ve bunların %12'si Kaliforniya'da bulunuyorsa, medya verimliliğinin %10 veya %20 (veya daha fazla) oranında azalmasının etkisini göstermek için mevcut edinme başına maliyet (EBM) verilerinizi kullanabilirsiniz. ). Bunun nedeni, EBM'lerin artması veya müşteri edinmenin azalması olabilir. Çalışmalarınızı, ekiplerinizin evrensel devre dışı bırakmaları uygularken mali etkinin ölçeğini anlamalarına yardımcı olmak için kullanabilirsiniz. Bu etkiyi önceden gerçekten tahmin etmek zor olduğundan, bu ölçekli örnekler, diğer kuruluş liderlerinin mali riski azaltırken tüketicilerin haklarını kullanabilmelerini sağlayan uygulanabilir bir çözüm bulmak için sizinle ve hukuk ekibinizle ilgilenmesini ve sizinle ve hukuk ekibinizle birlikte çalışmasını sağlayacaktır. markanın alt satırına.
• Rıza Yönetimi Platformunun (CMP) rolünü ve kullanımını tartışın: Tüketicilerin veri paylaşımını devre dışı bırakma veya verilerinin silinmesini sağlama haklarını kullanma biçimleri kritik derecede önemlidir. Tüm CMP çözümleri eşit yaratılmamıştır. CookieBot gibi bazıları yalnızca tanımlama bilgilerini (ve dolayısıyla reklam izlemeyi) engellemek için tasarlanırken, OneTrust gibi diğerleri daha kapsamlıdır. İşletmeniz için sizi uyum içinde tutan ve pazarlama işleyişinizi sürdüren doğru çözümü bulmanız gerekecek.
• Tüketicileri eğitmek için kullandığınız dile uyum sağlayın: Hukuk ekibinizle tüketicileri veri kullanımı konusunda eğitmenin farklı yollarını tartışın. Bağlam olmadan, birçok tüketici en kötü senaryoyu varsayabilir. Ancak, verilerini nasıl kullandığınıza ve hangi sınırları belirlediğinize dair net örnekler verirseniz, tüketicilerin verilerini paylaşmaya daha açık olduğunu görebilirsiniz. Tüketicileri haklarını kullanmaktan alıkoymak için teşvikler sağlamak asla uygun değildir, ancak hukuk ekibiniz, vazgeçmeyi planladıklarında tüketicilere neleri söyleyip neleri söyleyemeyeceğiniz konusunda özel rehberlik sağlayabilir.

Unutmayın: uygunluk isteğe bağlı değildir. Hukuk departmanınızla ekip oluşturarak ve ileriye dönük olası en iyi yolu bularak gelecekteki zorlukların önüne geçin.

State of the Data 2023'ü İndirin: Kârlılığa Giden Yol, işinizi etkileyecek gelecek mevzuat ve uyumluluk gereklilikleri hakkında bilgi edinmek için Gizlilik Uyumluluğu Gerektirir.