CCPA/CPRA Uyumluluğu: İşletmeler için Kaliforniya Gizlilik Kılavuzu

Kaliforniya'nın gizlilik yasaları, Amerika Birleşik Devletleri'ndeki en kapsamlı yasalardır ve dünya çapında belirli eşikleri karşılayan işletmeler için geçerlidir. Kaliforniya Tüketici Gizliliği Yasası (CCPA, 1 Ocak 2020'den itibaren geçerli), özel bir yaptırım kurumu oluşturan, yeni tüketici hakları getiren ve "hassas kişisel bilgileri" işleyen işletmeler için uyumluluk yükümlülüklerini artıran Kaliforniya Gizlilik Hakları Yasası (CPRA, 1 Ocak 2023'ten itibaren geçerli) ile önemli ölçüde genişletildi. Kaliforniya Gizlilik Koruma Ajansı'nın (CPPA) artık çalışır durumda olması ve ihlalleri aktif olarak soruşturmasıyla, yaptırım riski gerçektir ve giderek artmaktadır.

Bu kılavuz, işletmelerin CCPA/CPRA uyumluluğunu sağlamak ve sürdürmek için bilmesi gereken her şeyi kapsar: kapsam eşikleri, tüketici hakları, gerekli açıklamalar, kapsam dışında kalma mekanizmaları, veri minimizasyonu yükümlülükleri ve CPPA'nın uygulama yaklaşımı.

Önemli Çıkarımlar

• CCPA/CPRA, gelir, veri hacmi veya veri paylaşımından elde edilen gelir olmak üzere üç eşikten HERHANGİ BİRİNİ karşılayan kâr amacı güden işletmeler için geçerlidir
• Tüketiciler, hassas kişisel bilgilerin kullanımını sınırlama hakkı ve düzeltme hakkı da dahil olmak üzere CPRA kapsamında 11 farklı hakka sahiptir.
• "Satmayın veya Paylaşmayın" seçeneği ana sayfanızda tek ve açıkça görülebilen bir bağlantı olmalıdır
• Hassas kişisel bilgiler (SPI), işlemeyi sınırlama hakkı da dahil olmak üzere ek yükümlülükleri tetikler
• CPPA yaptırımı, kasıtlı ihlal başına 7.500 dolara kadar para cezalarıyla 2023'te aktif hale geldi
• İşletmeler, yüksek riskli işleme faaliyetleri için yıllık veri koruma değerlendirmeleri yapmalıdır
• Hizmet sağlayıcı sözleşmeleri, kişisel bilgilerin alt yönde kullanımını kısıtlamalıdır
• Saklama süreleri açıklanmalı ve veriler belirtilen amaçlar için artık ihtiyaç duyulmadığında silinmelidir

---

CCPA/CPRA Uygulanabilirlik Eşikleri

CCPA/CPRA, Kaliforniya'daki tüketicilerin kişisel bilgilerini toplayan ve aşağıdaki eşiklerden HERHANGİ BİRİNİ karşılayan, kâr amacı güden işletmeler için geçerlidir:

1. 25 milyon doları aşan yıllık brüt gelir (önceki takvim yılında)
2. Yılda 100.000'den fazla tüketicinin veya hanenin kişisel bilgilerini satın alır, satar, alır veya paylaşır (CPRA, orijinal CCPA eşiğini 50.000'den düşürdü)
3. Yıllık gelirin %50 veya daha fazlasını tüketicilerin kişisel bilgilerinin satılmasından veya paylaşılmasından elde ediyor

Coğrafi kapsam: Yasa, işletmenizin kurulduğu yere göre değil, tüketicilerin ikamet ettiği yere göre geçerlidir. Kaliforniya'daki müşterileriyle yıllık 30 milyon dolar gelir elde eden Pakistanlı bir yazılım şirketinin bu yasaya uyması gerekiyor.

Muafiyetler: İstihdam verileri (B2B çalışan verileri), CPRA kapsamında 1 Ocak 2023'te sona eren geçici CCPA muafiyetlerine tabidir. B2B iletişim bilgileri muafiyetlerinin de süresi doldu. Pek çok finans kurumu Gramm-Leach-Bliley Yasası uyarınca kısmen muaftır; HIPAA kapsamındaki sağlık verileri ayrı bir işleme tabi tutulur.

Diğer ABD eyalet yasalarına ilişkin not: Bu kılavuz CCPA/CPRA'ya odaklansa da, 2025 itibarıyla on dokuz ABD eyaleti, değişen eşiklere ve gereksinimlere sahip kapsamlı gizlilik yasalarını yürürlüğe koymuştur. Çok eyaletli uyumluluk yürüten şirketler, Kaliforniya'nın yanı sıra Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA) ve diğerlerini de değerlendirmelidir.

---

Kişisel Bilgiler ve Hassas Kişisel Bilgiler

**CCPA/CPRA kapsamındaki kişisel bilgiler (KB), belirli bir tüketiciyi veya hane halkını tanımlayan, bunlarla ilgili olan, tanımlayan, makul ölçüde ilişkilendirilebilecek veya makul şekilde ilişkilendirilebilecek bilgiler anlamına gelir. Bu, eski ABD yasaları kapsamındaki "kişisel olarak tanımlanabilir bilgilerden" (PII) oldukça geniş kapsamlıdır.

Açıkça kapsanan kategoriler şunları içerir:

• Tanımlayıcılar (isimler, e-posta, telefon, IP adresi, hesap adları, SSN, ehliyet numarası)
• Ticari bilgiler (satın alınan ürün/hizmetlerin kayıtları, gezinme/satın alma geçmişi)
• Biyometrik bilgiler
• İnternet veya diğer elektronik ağ etkinlikleri (göz atma geçmişi, arama geçmişi, web siteleriyle etkileşim)
• Coğrafi konum verileri
• Mesleki veya istihdamla ilgili bilgiler
• Eğitim bilgileri
• Tüketici profilleri oluşturmak için yukarıdakilerin herhangi birinden elde edilen çıkarımlar

Hassas Kişisel Bilgiler (SPI) - bir CPRA eki - daha yüksek koruma gerektiren bir PI alt kümesini içerir:

• Sosyal Güvenlik, sürücü belgesi, resmi kimlik veya pasaport numaraları
• Hesap oturum açma kimlik bilgileri (kullanıcı adı/e-posta + şifre veya güvenlik sorusu)
• Finansal hesap bilgileri + erişim kodları
• Hassas coğrafi konum (bir milin 1/8'i dahilinde)
• Irk veya etnik köken
• Dini veya felsefi inançlar
• Sendika üyeliği
• Posta, e-posta veya kısa mesaj içerikleri (işletmenin amaçlanan alıcısı olmadığı sürece)
• Genetik veriler
• Sağlık veya tıbbi durum verileri
• Cinsel yönelim veya cinsel yaşam
• Benzersiz tanımlama için biyometrik bilgiler

SPI için tüketiciler ek olarak kullanımı sınırlama hakkına sahiptir; tüketiciler daha geniş bir kullanımı tercih etmediği sürece işletmeler SPI'yi talep edilen ürün veya hizmeti (artı sınırlı ek amaçlar) sağlamak için gerekenin ötesinde kullanamaz.

---

CPRA Kapsamında Tüketici Hakları

CPRA, CCPA'nın beş tüketici hakkını on bire çıkardı. İşletmeler aşağıdakilerin her birini yerine getirmek için belgelenmiş süreçlere sahip olmalıdır:

Doğrulama gereksinimleri: Tüketici isteklerine yanıt vermeden önce, istekte bulunanın kimliğini "makul derecede güvenli" bir yöntem kullanarak doğrulamanız gerekir. Çevrimiçi istekler için eşleşen e-posta adresi + başka bir tanımlayıcı genellikle yeterlidir. Tüketicilerin yalnızca talep göndermek için hesap oluşturmasını zorunlu kılamazsınız. Belirli PI parçalarına yönelik doğrulanamayan talepler, yalnızca kategorilere yönelik talepler olarak değerlendirilmelidir.

Yetkili temsilciler: Tüketiciler, kendileri adına talepte bulunmaları için yetkili temsilciler atayabilir. Temsilciden, tüketicinin imzalı yetkilendirmesinin kanıtını sağlamasını isteyebilirsiniz.

---

Gizlilik Bildirimi Gereksinimleri

Toplama sırasında veya öncesinde: İşletmeler, tüketicileri hangi KB'lerin hangi amaçlarla toplandığı konusunda toplama öncesinde veya toplama sırasında bilgilendirmelidir. Bu, tüm toplama noktaları için geçerlidir: web sitesi formları, mobil uygulamalar, satış noktaları, sohbet robotları ve veri komisyoncusu satın alımları.

Gizlilik politikası gereksinimleri (en az 12 ayda bir güncellenir):

• Son 12 ayda toplanan PI kategorileri
• PI'nin kullanıldığı amaçlar
• Son 12 ayda satılan veya paylaşılan PI kategorileri
• Kişisel Bilgilerin açıklandığı üçüncü tarafların kategorileri
• PI'nin toplandığı kaynak kategorileri
• Tüketici hakları ve bunların nasıl kullanılacağı
• İstekleri göndermek için iletişim bilgileri
• PI'nin satılıp satılmadığı veya paylaşılıp paylaşılmadığı ve nasıl devre dışı bırakılacağı
• SPI'nin ürün/hizmeti sağlamak dışındaki amaçlarla işlenip işlenmediği
• Her bir PI kategorisi için saklama süreleri (veya saklamayı belirlemek için kullanılan kriterler)

"Kişisel Bilgilerimi Satmayın veya Paylaşmayın" bağlantısı: Ana sayfanızda ve gizlilik politikanızda açık ve dikkat çekici bir bağlantı olmalıdır. Bağlantı, sitenizde paylaşılan bir alt bilgi veya gezinme alanında bulunuyorsa, bu yeterliliğe sahiptir. Bağlantı, tüketicilerin tek bir adımla (çok adımlı formlara gömülmeden) vazgeçebilecekleri bir sayfaya yönlendirmelidir.

"Hassas Kişisel Bilgilerimin Kullanımını Sınırla" bağlantısı: SPI'yi talep edilen ürün veya hizmeti sağlamak için gerekli olanın ötesinde işlerseniz gereklidir. Ayrı bir bağlantı olabilir veya Satmayın/Paylaşmayın bağlantısıyla birleştirilebilir.

Devre dışı kalma tercihi sinyalleri (GPC): İşletmeler, tüketicilerin satış ve paylaşımdan vazgeçme sinyali vermek için tarayıcı düzeyinde etkinleştirebilecekleri bir ayar olan Küresel Gizlilik Denetimi (GPC) sinyalini dikkate almalıdır. Gizlilik odaklı tarayıcıların çoğu GPC'yi yerel olarak destekler. Web siteniz GPC sinyallerini algılamalı ve dikkate almalıdır. CPPA, şirketleri özellikle GPC'ye uymadıkları için örnek gösterdi.

---

Kişisel Bilgilerin Satışı ve Paylaşımı

CCPA/CPRA uyarınca "Satış", kişisel bilgilerin parasal veya başka değerli bir bedel karşılığında başka bir işletmeye veya üçüncü tarafa ifşa edilmesi veya sunulması anlamına gelir. Bu, "veri satma" şeklindeki yaygın anlayıştan daha geniştir.

CPRA kapsamındaki "Paylaşım", parasal bir bedel olmaksızın bile bağlamlar arası davranışsal reklamcılık ekler; özellikle tüketicinin farklı web siteleri veya hizmetlerde gezinmesine dayalı reklamları hedefler.

Uygulamada aşağıdaki yaygın uygulamalar muhtemelen satış veya paylaşım teşkil etmektedir:

• PI'nin veri aracılarıyla paylaşılması
• Kullanıcı verilerini hedefleme için platformlara gönderen üçüncü taraf reklam piksellerinin (Meta Pixel, reklam modunda Google Analytics 4) kullanılması
• Benzer hedef kitleler için müşteri listelerinin reklam ağlarıyla paylaşılması
• Gerçek zamanlı teklif verme ekosistemlerine katılım

Reşit olmayanlar için izin gereklilikleri:

• 13-15 yaş arası: KB'lerini satmadan/paylaşmadan önce kaydolmanız gerekir
• 13 yaş altı: ebeveyn/vasi katılımı gereklidir (COPPA da geçerlidir)

Hizmet sağlayıcılar ve üçüncü taraflar: Uyumlu bir hizmet sağlayıcı sözleşmesi kapsamında (kullanımı size hizmet sağlamakla sınırlıdır) bir hizmet sağlayıcıya açıklanan Kişisel Bilgiler bir "satış" **değildir. Kendi amaçları doğrultusunda kullanabilecek bir üçüncü tarafa (reklam platformları, veri komisyoncuları) açıklanan Kişisel Bilgiler bir "satış" veya "paylaşım"dır. Bu ayrım, veri paylaşım mimariniz için kritik öneme sahiptir.

Servis sağlayıcı sözleşmesi gereksinimleri: Servis sağlayıcının şunları yapmasını zorunlu kılmalıdır:

• Alınan PI'yi satmayın veya paylaşmayın
• PI'yi hizmet bağlamı dışında saklamayın, kullanmayın veya ifşa etmeyin
• Geçerli CPRA gerekliliklerine uyun
• İşletmeye denetim hakkı verilmesi

---

Veri Minimizasyonu ve Amaç Sınırlaması (CPRA)

CPRA açık veri minimizasyon gereklilikleri getirmiştir; işletmeler kişisel bilgileri yalnızca belirtilen amaçlara ulaşmak için makul ölçüde gerekli ve orantılı olduğu sürece toplayabilir, kullanabilir, saklayabilir ve paylaşabilir. Bu, CCPA'nın açıklama odaklı yaklaşımından önemli bir değişimi temsil etmektedir.

Uygulama sonuçları:

• Her veri toplama noktasını denetleyin ve açıklanan amaçlar için kullanılmayan KB'lerin toplanmasını ortadan kaldırın
• Toplanan her bir PI kategorisi için iş amacını belgeleyin
• Saklama planlarını yapılandırın: Belirtilen amaçlar için artık gerekli olmadığında PI silinmeli veya kimliği kaldırılmalıdır
• Tüketicinin izni olmadan, orijinal toplama amacı ile bağdaşmayan amaçlar için PI'nin ikincil kullanımından kaçının

Saklama açıklaması: Gizlilik politikaları, her bir KB kategorisi için saklama sürelerini veya saklamanın belirlenmesine yönelik kriterleri açıklamalıdır. CPPA'nın daha spesifik rehberlik içeren düzenlemeler yayınlaması bekleniyor. Şimdilik, her bir Kişisel Bilgiler kategorisi için iş açısından gerekçeli makul bir saklama süresini belgeleyin.

---

Veri Koruma Değerlendirmeleri ve Risk Yönetimi

CPRA, işletmelerin tüketiciler için önemli risk teşkil eden işleme faaliyetlerini uygulamaya koymadan önce risk değerlendirmeleri (veri koruma değerlendirmeleri olarak adlandırılır) yapmalarını gerektirir. CPPA, hangi faaliyetlerin değerlendirme gerekliliklerini tetiklediğini belirten düzenlemeler geliştiriyor ancak yasa halihazırda aşağıdakiler de dahil olmak üzere kategorileri tanımlıyor:

• PI satmak veya paylaşmak
• SPI işleniyor
• Önemli risk oluşturan profil oluşturma
• Küçüklerin PI'larının işlenmesi
• PI'yi ciddi zarar riski oluşturacak şekilde kullanmak

Değerlendirmelerinizi belgeleyin ve kayıtlarını tutun. Değerlendirmeler şunları tanımlamalıdır: işlemenin amacı, ilgili kişisel bilgiler, tüketicilere yönelik potansiyel riskler ve bu riskleri azaltmak için uygulanan önlemler.

---

CPPA Uygulaması ve Cezaları

Kaliforniya Gizliliği Koruma Ajansı (CPPA), Amerika Birleşik Devletleri'ndeki ilk özel gizlilik uygulama organı olarak 2023 yılında tam olarak faaliyete geçti. CPPA'nın soruşturma yapma, idari duruşmalar yapma ve para cezaları verme yetkisi vardır:

CPPA, ihlal başına cezalar uygular; yani hakları ihlal edilen her tüketici ayrı bir ihlali temsil eder. 100.000 tüketiciyi etkileyen bir veri ihlali teorik olarak 750 milyon ABD Doları (100.000 × 7.500 ABD Doları) cezayla sonuçlanabilir. CPPA'nın ilk uygulamaları, sistematik uyumsuzluk yaşayan büyük işletmelere odaklanmıştı.

Özel dava hakkı: CCPA Bölüm 1798.150 kapsamında, tüketicilerin, işletmenin makul güvenlik önlemlerini uygulamamasından kaynaklanan şifrelenmemiş veya düzenlenmemiş kişisel bilgileri içeren veri ihlalleri için sınırlı özel dava hakkı vardır. Yasal hasarlar: Olay başına tüketici başına 100-750 ABD Doları veya daha yüksekse fiili zararlar.

---

CCPA/CPRA Uyumluluk Kontrol Listesi

• Uygulanabilirlik eşiği analizi tamamlandı
• Tüm sistemlerde ve toplama noktalarında PI ve SPI envanteri tamamlandı
• Gizlilik politikası gerekli tüm açıklamalarla güncellendi (12 aylık inceleme)
• Ana sayfadaki "Kişisel Bilgilerimi Satmayın ve Paylaşmayın" bağlantısı
• Varsa "Hassas Kişisel Bilgilerimin Kullanımını Sınırla" bağlantısı
• Küresel Gizlilik Denetimi (GPC) algılama ve onaylama uygulandı
• Tüketici talep alım süreci oluşturuldu (web formu + ücretsiz numara)
• Kimlik doğrulama prosedürü belgelendi
• 11 tüketici hakkının tümü için belgelenen ve test edilen yanıt iş akışları
• Tüm talepler için 45 günlük yanıt çizelgesi izlenir ve belgelenir
• Hizmet sağlayıcı sözleşmeleri gözden geçirildi ve CPRA'nın gerektirdiği hükümlerle güncellendi
• Üçüncü taraf veri paylaşımı denetlendi (her alıcı için satış/paylaşım tespiti)
• Veri minimizasyonu denetimi tamamlandı — gereksiz PI toplanması ortadan kaldırıldı
• Saklama süreleri belgelendi ve otomatik silme yapılandırıldı
• Tüketici haklarına müdahale prosedürlerine ilişkin çalışanların eğitimi tamamlandı
• Yüksek riskli işleme faaliyetleri için yürütülen veri koruma değerlendirmeleri
• Reşit olmayanların kişisel bilgilerinin toplanması durumunda uygulanan reşit olmayan rıza mekanizmaları

---

Sıkça Sorulan Sorular

CCPA/CPRA çalışan verileri için geçerli midir?

Evet, CPRA'nın yürürlüğe girdiği 1 Ocak 2023 itibarıyla. B2B ve çalışan verileri için geçici CCPA muafiyetlerinin süresi doldu. Kaliforniya çalışanları (ve iş başvurusunda bulunanlar, yükleniciler ve yöneticiler) artık CCPA/CPRA kapsamında kişisel bilgileriyle ilgili olarak tüketicilerle aynı haklara sahiptir. Bu, Kaliforniya'daki işverenlerin çalışanlara yönelik gizlilik bildirimlerini güncellemesi, istihdam PI'sı için hakların yerine getirilmesi süreçlerini oluşturması ve İK sistemi veri uygulamalarını gözden geçirmesi gerektiği anlamına gelir.

CPRA kapsamında "satış" ile "paylaşım" arasındaki fark nedir?

"Satış", parasal veya diğer değerli bir bedel karşılığında KB'nin ifşa edilmesini içerir; ödeme, veri alışverişi düzenlemeleri de dahil olmak üzere değerli herhangi bir şey olabilir. "Paylaşım", CPRA tarafından eklenmiştir ve özellikle kişisel bilgilerin parasal bir karşılık olmaksızın reklam amacıyla üçüncü taraflarla paylaşıldığı bağlamlar arası davranışsal reklamcılığı kapsar. Pratik etkisi: Kullanıcı verilerinin hedefleme için reklam platformlarıyla paylaşılması (para ödeseniz bile, tersi değil) CPRA kapsamında "paylaşımdır" ve vazgeçme haklarını tetikler.

Çerezler ve izleme teknolojileri CCPA/CPRA'ya tabi midir?

Evet, kişisel bilgilerin toplandığı yer (IP adresleri gibi çevrimiçi tanımlayıcılar dahil) ve elde edilen verilerin reklam amacıyla üçüncü taraflarla paylaşıldığı yer. Pek çok yaygın uygulama (reklam özelliklerine sahip Google Analytics, Meta Piksel, programatik reklam etiketleri), KB'nin reklam platformlarıyla "paylaşımını" oluşturarak devre dışı bırakma gerekliliklerini tetikler. Onayı yönetmek ve devre dışı bırakma sinyallerini yerine getirmek için bir çerez izin yönetimi platformu (OneTrust, Osano, Cookiebot) uygulayın.

CPRA'nın "hassas kişisel bilgileri"nin GDPR'nin "özel kategorilerinden" farkı nedir?

Her ikisi de daha yüksek korumayı garanti eden bilgi kategorilerini tanımlar, ancak içerik ve işleniş açısından farklılık gösterirler. GDPR'nin özel kategorileri (Madde 9), açık rıza olmadan veya belirli bir Madde 9 istisnası olmaksızın işlemeyi yasaklar; bu, neredeyse yasağa yakındır. CPRA'nın SPI'si bir sınırlama hakkı yaratır; tüketiciler kullanımı talep edilen ürün/hizmetin sağlanmasıyla sınırlayabilir, ancak işletmeler yine de SPI'yi daha geniş amaçlar için tüketici onayıyla işleyebilir. CPRA'nın SPI listesi, GDPR'nin özel kategorilerinde yer almayan, özellikle oturum açma kimlik bilgilerini ve kesin coğrafi konumu içerir.

CPRA kapsamında "hizmet sağlayıcılar", "yükleniciler" ve "üçüncü taraflar" nelerdir?

CPRA, "müteahhitler"i kategori olarak ekledi. Hizmet sağlayıcılar, PI'yi kendi amaçları doğrultusunda kullanmalarını yasaklayan bir sözleşme kapsamında sizin adınıza bir hizmet sağlamak üzere PI alırlar. Yükleniciler, sözleşme kapsamında iş amaçlı PI alan işletmelerdir; hizmet sağlayıcılara benzer ancak sözleşme gereklilikleri biraz farklıdır. Üçüncü taraflar KB'yi alır ve kendi amaçları için kullanabilir; üçüncü bir tarafa yapılan herhangi bir açıklama, potansiyel olarak devre dışı bırakma yükümlülüklerini tetikleyen bir "satış" veya "paylaşım"dır. Veri paylaşımı ilişkilerinizi hizmet sağlayıcı veya yüklenici ilişkileri olarak (uygun sözleşmelerle) yapılandırmak, "satış" olarak sınıflandırılmayı önler.

---

Sonraki Adımlar

CCPA/CPRA uyumluluğu tek seferlik bir proje değil, devam eden bir programdır. CPPA yeni düzenlemeler yayınladıkça (2025-2026'da otomatik karar alma kuralları bekleniyor) uyumluluk gereklilikleri de gelişecek. Otomatik tüketici haklarının yerine getirilmesi, veri haritalaması ve izin yönetimi ile ölçeklenebilir bir gizlilik operasyonları programı oluşturmak sürdürülebilir yoldur.

ECOSIRE, işletmelerin CCPA/CPRA yükümlülüklerini değerlendirmelerine, dijital platformlarında teknik uyumluluk önlemlerini uygulamalarına ve gizlilik operasyonları iş akışları oluşturmalarına yardımcı olur.

Başlayın: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. CCPA/CPRA gereklilikleri karmaşıktır ve düzenlemeler ve uygulama kılavuzları aracılığıyla sıklıkla güncellenmektedir. Kuruluşunuza özel tavsiyeler için nitelikli hukuk danışmanına başvurun.