Kaliforniya Tüketici Mahremiyeti/Gizliliği Yasası (California Consumer Privacy Act) ve Getirdiği Temel Düzenlemeler
Dünya üzerindeki bilişim teknolojileri ile ilgili endüstrinin 2020 yılında 5.2 Trilyon Dolar’a ulaşacağı, bunun %32’si olan 1.7 Trilyon Dolar’ının ABD tarafından yapılan yatırımlar, %20’sinin Avrupa Birliği ülkeleri, geriye kalanların ise diğer dünya ülkeleri tarafından yapılan yatırımlardan oluşacağı tahmin edilmektedir.[i]
Kaliforniya ekonomisi ise, ABD'nin en büyük gelire sahip eyaleti olup, 2018’de 3.0 trilyon dolarlık bir Gayri Safi Hasılaya sahiptir. Kaliforniya, Hindistan'ın önünde ve Almanya'nın arkasında dünyanın beşinci büyük ekonomisi olarak yer almıştır. Ayrıca Kaliforniya Silikon Vadisi, Apple, Alphabet Inc. ve Facebook dahil dünyanın en değerli teknoloji şirketlerinden bazılarına ev sahipliği yapmaktadır. Toplamda, Fortune 1000 şirketlerinin% 10'undan fazlası 2018'de Kaliforniya'da yerleşik bulunmaktadır.[ii] Bu veriler birlikte değerlendirildiğinde; Kaliforniya Eyaletlerinin gelirlerinin çok büyük bir kısmının teknoloji firmaları tarafından yapılan yatırımlar olduğu görülmektedir. Her ne kadar kişisel verilerin korunması konusunda Birliği Genel Veri Koruma Yönergesi (GDPR) çok önemli bir yasal düzenleme getirmiş olsa da; Kaliforniya Tüketici Mahremiyeti/Gizliliği Yasası, (CCPA) bu Eyaletin mevcut veri işleme kapasitesi açısından daha fazla etkilere sahip bir yasal düzenleme olarak kalmaya devam edecektir.
Kaliforniya'nın, ABD için, çığır açan, mihenk taşı olarak kabul edilebilecek olan gizlilik yasası 2020 yılı 1 Ocak tarihinde yürürlüğe girmiştir. Henüz bu hususta diğer eyaletlerde yapılmış olan bir yasal düzenleme bulunmamaktadır. ABD'deki 'en kapsamlı' olan temel veri koruma yasası, Kaliforniya’lılara verilerini çevrimiçi korumak için bir önemli bir imkân tanımaktadır. Yasa, Kaliforniya’lılara kendileri hakkında hangi bilgilerin toplandığını ve nasıl kullanıldığını kontrol etmek için benzeri görülmemiş haklar vermektedir. GDPR ise 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
Amerikan Barolar Birliği'ne göre, 2018'de kabul edilen Kaliforniya Tüketici Gizlilik Yasası, bugüne kadar Amerika Birleşik Devletleri'nde çıkarılacak "en kapsamlı" gizlilik yasasıdır.
Bu yasa hangi temel hakları getirmektedir?
CCPA, tüketicilere işletmelere karşı üç yasal hak vermektedir. Birincisi, tüketicilerin bir işletmenin kendileri hakkında hangi kişisel bilgileri topladığını öğrenme hakkı vermektedir. Bu, belirli veri parçalarına erişimi içerir. Genellikle “taşınabilirlik” içerir, yani verileri kullanılabilir bir formatta elde etme yeteneği verecektir. Ayrıca veri kaynakları kategorilerinin, veri hedeflerinin kategorilerinin ve toplama amacının açıklanmasını da içermektedir.
İkincisi, tüketiciler bir şirketin onlardan topladığı kişisel bilgilerin silinmesini talep etme hakkına sahiptirler. Silme işleminin başka bir tüketicinin özgür konuşmasına ne zaman müdahale edeceği de dâhil olmak üzere muafiyetler sağlamaktadır. Bazı hizmet sağlayıcıları Kaliforniya sakinlerine, şirketleri tarafından toplanan kişisel verileri veri sahibine silme hakkı tanımışken bazı şirketler/hizmet sağlayıcıları, tüketicilerin kişisel bilgilerini silmek için yazılı talepte bulunmalarını istemektedir.
Üçüncüsü ise, tüketicilerin kişisel verilerinin veri işleyen şirketler tarafından ticari amaçlarla kullanılmasını engelleme/satışından vazgeçme hakkı bulunmaktadır. Bir işletmenin 16 yaşından küçük olduğunu bildiği tüketiciler için satış izni kabul edilemez. Ayrıca, üçüncü bir taraf verileri yeniden satamaz, tüketiciye bildirimde bulunmaz ve tüketicinin vazgeçmesi için bir fırsat sunamaz. Yeni düzenlemeler uyarınca, Kaliforniya sakinleri şirketlerden kendileri hakkında hangi bilgilerin toplandığını açıklamalarını talep edebilecek ve bu bilgilerin bir kopyasını isteyebilecektir. Bu haliyle Kaliforniya, kişisel verilerin toplanması ve işlenmesini sınırlayan 'ülkenin en güçlü' gizlilik yasasını kabul etmiştir.
Şirketler, talep üzerine tüketicilerin verilerini silmek zorunda kalacaklar ve müşteri, şirketin web sitesinde zorunlu bir "satma" bağlantısı üzerinden talimat vermesi durumunda bilgi satmaları yasaklanacaktır. Bu ise; veri sahipleri tarafından bu hakları kullanılmadığı müddetçe kişisel verilerinin şirketler tarafından ticari amaçla kullanılabileceğini göstermektedir. Yasa bu yönüyle eleştiriye açıktır. Veri sahibinden aktif bir eylem beklenmesi, bu hakkın kullanılmasını zorlaştıran bir süreç olarak durmaktadır. Bu yasal düzenleme ile ayrıca kişisel verilere yasa koyucunun sadece ticari bir emtia olarak değer verdiği, bu durumun ise kişisel verilerin mahremiyeti korumaya yetmeyeceği açıktır. Bu düzenlemeye göre kişilerin açık rızaların alınmaksızın ticari amaçlar dışında kişiler verileri paylaşılabilecektir. Tüketiciler ayrıca “gizlilik haklarını kullansalar da kullanmasalar da eşit hizmet ve fiyat alma” hakkına sahip olacaklar ya da başka bir deyişle şirketler, verilerini talep ettikleri için bir kullanıcıya farklı davranamayacaklardır.
Kaliforniya Başsavcılığı, 1 Temmuz 2020'ye kadar bu Yasa hükümlerine uymayan şirketlere karşı herhangi bir yaptırım uygulamayacaktır. İlk altı aylık dönemde uyum süreçlerinin tamamlanması beklenecektir.
Bu Yasa hangi işletmeleri etkileyecektir?
İşletmelerin yıllık brüt geliri 25 milyon doları aşan, yıllık gelirlerinin% 50'sini tüketicilerin kişisel bilgilerini satarak elde ettikleri veya yıllık olarak satın aldıkları, sattıkları veya paylaştıkları takdirde yeni düzenlemelere uymaları istenecektir. Ticari amaçlar için 50.000'den fazla tüketicinin, hane halkının veya cihazdan kişisel bilgiler toplayan şirketleri kapsayacaktır. Uluslararası Gizlilik Derneği'ne göre kar amacı gütmeyen en az 500.000 işletmenin yeni yasaya uyması gerekeceği anlamına gelmektedir.
Kaliforniya'daki tüketiciler yeni yasadan nasıl etkileneceklerdir?
Bu Yasa kapsamında tüketiciler bir işletmeye “doğrulanabilir tüketici talebi” göndererek verilerinin bir kopyasını alabileceklerdir. Şirket bu yasal düzenlemeden sonra kendisine talep ulaştığı andan itibaren 10 gün içinde bu talebi onaylamak ve 45 gün içinde talebe uymak/cevap vermek zorundadır. Yasada belirtilen zorunlu durumlarda şirketler bu süreyi en fazla 90 gün uzatabileceklerdir. Tüketiciler yalnızca yılda iki kez ve yalnızca 12 aylık bir yeniden inceleme dönemi için bilgi talebinde bulunabilecekleridir.
Şirketler Yasal talepleri karşılamak zorundadırlar. Şirketler talepleri karışılmayarak kasten yasayı ihlal ederlerse 2.500 $ ila 7.500 $ arasında para cezasına çarptırılabileceklerdir. Bununla birlikte, CCPA, işletmelere, bir tüketicinin talebini aldıktan sonra bir ihlali ele almak için 30 günlük bir cevap verme süresi verilmektedir.
Bilgi güveliği stratejisi üst düzey yöneticisi Debra Farber; “Tasarı bir araya getirilip sadece bir hafta içinde geçtiği için, muhtemelen bazı değişiklikler görecek” şeklinde görüş bildirmiştir.[iii] Her bir kayıt başında bu miktarın ödenmesi şirketleri altından kalkılamaz bir yük altına sokacaktır.[iv] 6698 Sayılı KVKK’ndaki düzenleme ile CCPA karşılaştırıldığında; KVKK’nda takdir edilecek para cezasından alt ve üst limitler arası çok açılarak ihlal edilen veri ve kişi sayısında KVK Kuruluna ceza limitlerinin tayini konusunda takdir yetkisi tanınmıştır. Mevcut uygulamada da Kurul her bir veri ihlali için değil, her bir olay için sınırlar arasında ceza takdirini yapmaktadır.
Kişisel Verileri Koruma Kurulu, Facebook’a 11.04.2019 tarih ve 2019/104 sayılı Kararı ile; “6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” Hükmü ve Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL, Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13.09.2018 - 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL olmak üzere toplam 1.650.00 TL para cezası vermiştir.[v] Her bir veri ihlali için değil, bu ihlalden kaç kişinin etkilenmiş olacağı tespit edilmeksizin tek bir vaka için para cezası verilmiştir. Ayrıca bu ihlalden etkilenen kişilerin tek tek tespiti de mümkün değildir.
Yasanın üslüne uygun olarak uygulanıp uygulanmadığı konusunda Kaliforniya Başsavcılığı icrai bir yetkiye sahip olacaktır. Veri sahiplerinin ayrıca veri ihlallerine karşı dava açma hakları bulunmaktadır.
CCPA kapsamında haklarını kullanan tüketicilere karşı şirketler, bu haklarını kullanmayanlara göre daha yüksek fiyatlarla hizmet veremeyecekleri gibi daha düşük hizmet seviyeleri hizmet vererek bu tüketicileri cezalandırmayacaklarının garantisini vereceklerdir.
Kişisel veri işleyen işletmeler, veri uygulamalarına ilişkin genelleştirilmiş bildirimler yayınlamaları gerekmektedir. Tüketicilerin, veri sahiplerinin istekte bulunmaları için birden fazla alternatif geliştirimleri/yol sunmaları ve web sitelerinde tüketicilerin tercih haklarını kullanabilmeleri için “do not sell”, (satma), kişisel verimi ticari amaçlar için kullanma şeklinde link/bağlantı göstermelidirler. Tüketicilerin bu linki tıklamaları durumunda veri işleyen şirketler ticari amaçlı olarak bu verileri kullanmayacağı gibi, reklam amaçlı olarak da üçüncü bir kişi/şirketle paylaşamayacaktır.
Kaliforniya kanunları ilk kez işverenlerden çalışanlara şirketin kendileri hakkında topladığı kişisel bilgi kategorilerini ve hangi amaçlarla kullanılacağını belirtmelerini zorunlu tutmaktadır. Çalışanlara ait bilgi kategorileri, çevrimiçi etkinlik verilerini ve cep telefonu konum izleme bilgilerini içerebilmektedir.
Veri Sorumluları Açısından CCPA, GDPR ve 6698 Sayılı KVKK Karşılaştırması
GDPR’nin kapsamı daha geniştir ve kullanıcı verilerini işleyen tüm işletmeleri etkilerken, (GDPR için bir Avrupa Birliği ülkesi içerisinde var olma, Avrupa Birliği içerisinde bulunulmasa da Avrupa’ da yaşayan (European Resident) kişilerin kişisel verilerini işleme, 250′ den fazla çalışanı olma, 250′ den az çalışanı olmakla birlikte veri sahiplerinin hak ve özgürlüklerine etki eden veri işleme süreçlerinin bulunması ya da belli özel nitelikteki kişisel verileri içerme şartları aranmaktadır), CCPA yalnızca brüt geliri 25 milyon ABD Doları'nın üzerinde, 50.000'den fazla müşterisi olan veya gelirinin % 50 veya daha fazlasını kişisel verilerin pazarlanması ile kazanmış işletmeler için geçerli olacaktır. Hükümetçe kanunlardan kaynaklanan yetkiye dayalı olarak veri toplanması halinde ise bu Yasa uygulanmayacaktır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre ise; Yıllık çalışan sayısı 50’den çok olan veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan kişisel veri işleyen özel ve tüzel kişiler bu Kanun kapsamında “VERİ SORUMLUSU” olarak kabul edilmektedirler.
CCPA, kişisel verilerinin satılmasını istemeyen kullanıcılar için daha açık "devre dışı bırakma" seçenekleri sunar. CCPA kapsamında şirketler, kişisel verileri işlemekte ve bu verileri satmak suretiyle para kazanmakta olduklarını, veri toplama ve işleme politikalarını kullanıcılara bildirmek ve web sitelerinde açık ve göze çarpan bir yere bir "Kişisel Bilgilerimi Satma" bağlantısı eklemelidirler.
California yasası, hassas verileri neyin oluşturduğuna GDPR’dan daha geniş bir yaklaşım getirmektedir. Örneğin, koku alma bilgisinin yanı sıra ziyaretçinin bir web sitesi veya uygulama ile etkileşimlerinin geçmişine ve kayıtlarına da yer verilir. Yasa’nın “kişisel bilgi” olarak değerlendirdiği veriler; Gerçek ad, takma ad, posta adresi, benzersiz kişisel tanımlayıcı, çevrimiçi tanımlayıcı IP adresi, e-posta adresi, hesap adı, Sosyal Güvenlik numarası, ehliyet numarası, pasaport numarası veya diğer benzer tanımlayıcılar, Kaliforniya veya federal yasa uyarınca korunan sınıflandırmaların özellikleri olarak; kişisel mülkiyet, satın alınan, elde edilen veya değerlendirilen ürün veya hizmetlerin veya diğer satın alma veya tüketme geçmişlerini veya eğilimlerini içeren ticari bilgiler, biyometrik bilgiler, tarama geçmişi, arama geçmişi ve tüketicinin bir web sitesi, uygulama veya reklamla etkileşimi ile ilgili bilgiler dahil ancak bunlarla sınırlı olmamak kaydıyla İnternet veya diğer elektronik ağ etkinliği bilgileri, Coğrafi konum verileri, İşitsel, elektronik, görsel, termal, koku veya benzeri bilgiler, Mesleki veya istihdamla ilgili bilgiler, Aile Eğitim Hakları ve Gizlilik Yasası'nda (20 ABD bölüm 1232g, 34 C.F.R. Bölüm 99) tanımlandığı şekliyle, herkesin erişebileceği, kişisel olarak tanımlanabilir bilgiler, tüketicinin tercihlerini, özelliklerini, psikolojik eğilimlerini, tercihlerini, yatkınlıklarını, davranışlarını, tutumlarını, istihbaratını, yeteneklerini ve yeteneklerini yansıtan bir profil oluşturmak için bu altbölümde tanımlanan bilgilerden çıkarılan çıkarımlar ve benzerleridir.[vi]
GDPR ile bir diğer önemli fark, Kaliforniya yasalarının müşterilere kayıtlarına çok daha fazla erişim sağlamasıdır. Kaliforniya tüketicisi, bir şirketin kendileri hakkında hangi bilgileri topladığını bulma hakkına sahiptir. Çoğu şirket bu bilgileri bir araya getirmekte güçlük çekecektir. Birincisi, topladıkları veri miktarı zaten çok büyük ve genellikle yüzlerce ila binlerce terabayt arasında ve petabaytlarca veri işleyen kurumsal düzeydeki kuruluşlarla büyümeye devam ediyor. Bu veriler, farklı dosya statülerinde birden çok depolama platformunda bulunur. Cloudtenna CEO'su Aaron Ganek, "Çoğu dosya arama aracı, günümüzde çok yaygın olan modern dosya deposu ekosistemlerinde arama yapma yeteneğinden yoksundur." şeklinde değerlendirme yapmaktadır. Ayrıca zaman sınırı bulunmaktadır. "Erişim talebinden sonra, bir şirketin kendilerine ne tür bilgilere sahip oldukları, satıldıkları ve kimlere satıldığı ve son 12 ay içinde üçüncü taraflara satıldığı takdirde kapsamlı bir rapor sunması için 45 günleri olacaktır. Verilerin satıldığı üçüncü tarafların adları ve adreslerinin de verilmesi gerekmektedir.[vii]
Veriler bulut sağlayıcılarıyla depolanırsa, sorun daha da büyümektedir. Örneğin, çalışanlar pazarlama veya satış kişilerini takip etmek için bir dosya paylaşım hesabı oluşturabilir. Venafi güvenlik stratejisi ve tehdit istihbaratı başkan yardımcısı Kevin Bocek; "Google ve Facebook gibi büyük teknoloji şirketlerinin tasarıyı reddetmesi şaşırtıcı değil, Makineler arasında akan gizlilik ve kişisel bilgileri kontrol etmek inanılmaz derecede zor ve tüm işletmeler için büyük bir zorluk oluşturacaktır. Tasarı sadece yedi gün içinde bir araya getirildi çünkü yasa koyucular birçok teknoloji şirketinin karşı çıktığı daha da katı bir yasayı geçirmek için bir oylama girişiminden kaçınmak istediler. Şu anda, hükümlerin ve tanımların çoğu birbiriyle çatışıyor," şeklinde yorum yapmıştır. SessionM Acquired by Mastercard Küresel Gizliliğin Genel Danışmanı ve Başkan Yardımcısı Andy Dale ise; "Yasa 2020'de yürürlüğe girdi, bu yüzden şimdi ve uygulama arasında değişiklikler olmasını bekliyoruz - ancak temel ilkeler ve haklar kalmaya devam edecek."[viii] Şeklinde yorum yapmıştır.
CCPA Düzenlemesi Bir Kısım Firmalar İçinde Kazanç Kapısı Olacaktır
Silikon Vadisi her türlü gelişmeyi karlı şirkete evirme becerisini göstermektedir. CCPA düzenlemesi de Silikon vadisi açısından yeni fikirler ve yazılımlar için fırsat oluşturmuştur. Cookiebot, web sitenizi otomatik olarak tarayan, tüm çerezleri ve benzer izleme teknolojilerini bulan ve hem CCPA'ya hem de AB'nin GDPR'sine uyumu sağlayan bir araçtır. Çerezler (özellikle eklentilere yerleştirilmiş üçüncü taraflardan olanlar), adlar, fiziksel adresler, IP adresleri, konum verileri gibi kişisel bilgileri ve aynı zamanda dini inançlar, siyasi görüşler ve/veya cinsel yönelim gibi hassas kişisel verileri toplayabilir. CCPA, işletmelerin Kaliforniya sakinlerinin kişisel bilgilerini üçüncü taraflara satmasını ve tüketicilerin talep etmesi halinde hangi verilerin toplandığını açıklamayı ve silmeyi devre dışı bırakmalarını gerektirmektedir. Cookiebot, bir kullanıcının Kaliforniya'dan olup olmadığını tespit eden belirli bir yapılandırmayla CCPA ile uyumluluğu etkinleştirir ve ardından web sitesinin çerez bildiriminde (aşağıda görüldüğü gibi) gerekli Kişisel Bilgilerimi Satma bağlantısını görüntüler.[ix]
Kişisel veri konusundaki düzenlemeler çocuk verilerinin toplanması konusundaki yaklaşımlarında da farklılık göstermektedirler. GDPR uyarınca, ebeveynler 16 yaşın altındaki çocukların verilerinin işlenmesi için onay vermelidir. CCPA, işletmelerin 13 yaşın altındaki çocukların ebeveynlerinden onay almasını gerektirirken, 13 yaşından büyük çocuklar kendi rızaları ile verilerinin işlenmesine onay verebileceklerdir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda ise; çocuklarla ilgili ayrıca bir düzenleme getirilmemiştir. BU durumda da Türk Medeni Kanunu’nda düzenlenen hükümler devreye girecektir.
Yasa ile ilgili eleştiriler
Üyeleri Amazon, Facebook, Google ve Microsoft olan teknoloji ticaret grubu olan İnternet Birliği, yasanın geçme hızı konusunda endişelerini dile getirerek; “Veri düzenleme politikası karmaşıktır ve internet endüstrisi de dahil olmak üzere ekonominin her kesimini etkilemektedir. Bu, bu geniş kapsamlı tasarıyı çevreleyen kamuoyu tartışması ve sürecinin eksikliğini daha da endişelendiriyor” şeklinde endişelerini dile getirmişlerdir.[x] CCPA, GDPR’de var olan bir şirketin bir ihlali bildirmesi gereken 72 saatlik zorunluluk getirmelerine rağmen bir kısım açılardan, kişi haklarını koruyan daha da ileri düzenlemeler getirmiştir.[xi]
Dr. Servet YETİM
KAYNAKLAR
Axa & Eurasia Group Gelecek Riskleri Raporu Ekim 2019, https://www.axasigorta.com.tr/documents/axa_gelecek_riskleri_raporu_ekim_2019.pdf, (09.01.2020)
Becerra., Xavier, “Background on the CCPA & the Rulemaking Process”, https://oag.ca.gov/privacy/ccpa, (09.01.2020)
Bilsel, Ergün Elvan., “CCPA(Kaliforniya Tüketici Gizliliği Yasası), https://medium.com/@bilselergun/ccpa-kaliforniya-t%C3%BCketici-gizlili%C4%9Fi-yasas%C4%B1-f9c33f68cb77 (09.01.2020)
Brogan, Caroline., “Anonymising personal data ‘not enough to protect privacy’, shows new study,” https://www.imperial.ac.uk/news/192112/anonymising-personal-data-enough-protect-privacy/, (09.01.2020)Havuz, Burhan., “YENİ Araştırmalar Kişisel Verileri Anonim Hale Getirmenin Gizliliği Korumak İçin Yeterli Olmadığını Gösteriyor!”, https://www.sanalhukuk.net/kisisel-verileri-anonim/, (09.01.2020)
Cowan, Jill., Singer, Natasha ., “How California’s New Privacy Law Affects You
Friday: Here are your new rights under the California Consumer Privacy Act.”, https://www.nytimes.com/2020/01/03/us/ccpa-california-privacy-law.html, (09.01.2020)
https://commonsensemedia.org/sites/default/files/uploads/pdfs/blank_parental_request.pdf, (09.01.2020)
https://www.investopedia.com/what-is-the-california-consumer-privacy-act-4780212, (09.01.2020)
Just like the GDPR, it’s not totally clear what it means to be compliant with the CCPA”, https://www.theverge.com/2019/12/31/21039228/california-ccpa-facebook-microsoft-gdpr-privacy-law-consumer-data-regulation, (09.01.2020)
Kolakowski, Mark., “What is the California Consumer Privacy Act?”
Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
Lyons, Kim., “No one is ready for California’s new consumer privacy law, https://www.theverge.com/2019/12/31/21039228/california-ccpa-facebook-microsoft-gdpr-privacy-law-consumer-data-regulation, (09.01.2020)
Schwartz, Adam., Tien, Lee., Tsukayama, Hayley., Cyphers, Bennett., “Consumer Data Privacy in California: 2019 Year in Review”, https://www.eff.org/deeplinks/2019/12/year-review-consumer-data-privacy-california, (09.01.2020)
https://commonsensemedia.org/sites/default/files/uploads/pdfs/blank_parental_request.pdf
California Consumer Privacy Act (CCPA), https://help.shopify.com/pdf/CCPA-whitepaper.pdf, (09.01.2020)
[i] IT INDUSTRY OUTLOOK 2020, https://www.comptia.org/content/research/it-industry-trends-analysis
[ii] https://en.wikipedia.org/wiki/Economy_of_California; https://www.cbsnews.com/news/california-now-has-the-worlds-5th-largest-economy/
[iii] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
[iv] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
[v] https://www.kvkk.gov.tr/Icerik/5450/2019-104, (13.01.2020)
[vi] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
[vii] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
[viii] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)
[ix] With the California Consumer Privacy Act (CCPA), it is now also the frontier of data privacy law in the US.
[x] Solon, Olivia., “California passes 'strongest in nation' privacy bill limiting data harvesting”
https://www.theguardian.com/us-news/2018/jun/28/california-privacy-bill-data-harvesting, (09.01.2020)
[xi][xi] Korolov, Maria., “California Consumer Privacy Act (CCPA): What you need to know to be compliant”, https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html, (09.01.2020)