Bölgeler Arasında Veri Gizliliği: CCPA, PDPA, LGPD ve PIPEDA Karşılaştırması

Artık 140'tan fazla ülkede veri gizliliği mevzuatı mevcut ve yeni düzenlemelerin hızı artıyor. Sınırların ötesinde faaliyet gösteren herhangi bir işletme için (ki bu, e-ticarette hemen hemen her işletme anlamına gelir), bu gizlilik yasalarının karmaşık yapısında gezinmek, 2026'daki en karmaşık uyumluluk zorluklarından biridir.

Temel soru, birden fazla gizlilik yasasına uymanız gerekip gerekmediği değildir. Birden fazla ülkeden erişilebilen bir web siteniz varsa, neredeyse kesinlikle vardır. Soru, her bir yetki alanı için ayrı uyumluluk yolları bulundurmadan, hepsini karşılayan birleşik bir gizlilik programının nasıl oluşturulacağıdır.

Önemli Çıkarımlar

• GDPR küresel referans olmaya devam ediyor ve GDPR ile uyumluluk, diğer gizlilik yasalarının çoğu için %70-80 oranında kapsam sağlıyor
• CCPA/CPRA, ABD'nin en katı gizlilik yasasıdır ancak GDPR'den temel olarak farklı bir yaklaşım benimser ve katılmaktan ziyade vazgeçmeye odaklanır
• Sınır ötesi veri aktarımları, çoğu gizlilik yasası kapsamında belirli yasal mekanizmalar (SCC'ler, BCR'ler, yeterlilik kararları) gerektirir
• "En yüksek ortak payda" yaklaşımı — en katı gereklilikler için tasarım yapmak — yargı yetkisine göre uyumdan daha etkilidir

---

Beş Temel Gizlilik Yasası

Gizlilik Hukuku Karşılaştırma Matrisi

| Boyut | GDPR (AB) | CCPA/CPRA (Kaliforniya) | LGPD (Brezilya) | PDPA (Tayland) | PIPEDA (Kanada) | |-----------|----------|-----------|-------------|----------------|----------------| | Geçerlilik tarihi | Mayıs 2018 | Ocak 2020 (CPRA: Ocak 2023) | Eylül 2020 | Haziran 2022 | Nisan 2000 (2024'te güncellendi) | | Kapsam | AB'de yerleşik veriler | CA yerleşik verileri, işletmeler > 25 milyon ABD doları gelir veya 100 bin tüketici | Brezilya'da ikamet eden verileri | Tayland'da ikamet eden verileri | Kanada ticari faaliyeti | | Bölge dışı | Evet | Evet (CA'yı hedefleyen işletmeler) | Evet | Evet | Evet (sınırlı) | | Yasal dayanak gereklidir | Evet (6 baz) | Hayır (devre dışı bırakma modeli) | Evet (10 baz) | Evet (rıza + diğerleri) | Evet (bilgi ve onay) | | Onay modeli | Kaydol | Devre dışı bırakma | Kaydol (çoğunlukla) | Kaydol | Katılma (izin verildiği ima edildi) | | Erişim hakkı | Evet | Evet | Evet | Evet | Evet | | Silme hakkı | Evet | Evet | Evet | Evet | Evet (sınırlı) | | Taşınabilirlik hakkı | Evet | Evet (sınırlı) | Evet | Evet | Hayır | | Satıştan vazgeçme hakkı | Yok (farklı çerçeve) | Evet (sağ çekirdek) | Yok | Yok | Yok | | DPO gerekli | Koşullu | Hayır | Evet | Koşullu | Evet (Gizlilik Görevlisi) | | İhlal bildirimi | 72 saat | "Makul olmayan gecikme olmadan" | "Makul süre" | 72 saat | "Mümkün olan en kısa sürede" | | Maksimum ceza | 20 milyon Avro / %4 gelir | Kasıtlı ihlal başına 7.500$ | Gelirin %2'si (sınır 50 milyon BRL) | 5 milyon baht (~140 bin dolar) | İhlal başına 100 bin CAD | | Yaptırım organı | Ulusal DPA'lar | CA Gizlilik Koruma Ajansı | ANPD | PDPC | OPC |

---

GDPR: Küresel Standart

AB'nin Genel Veri Koruma Yönetmeliği, dünyadaki en kapsamlı ve sıkı bir şekilde uygulanan gizlilik yasası olmayı sürdürüyor. Etkisi Avrupa'nın çok ötesine uzanıyor; sonraki gizlilik yasalarının çoğu, GDPR ilkelerine göre modellenmiştir.

Temel GDPR Özellikleri

Kişisel verilerin geniş tanımı. IP adresleri, cihaz tanımlayıcıları ve çerez verileri dahil olmak üzere, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.

İşleme için altı yasal dayanak. Rıza, sözleşme, yasal yükümlülük, hayati menfaatler, kamu görevi veya meşru menfaat. Her işleme faaliyetinin belgelenmiş bir yasal dayanağı olmalıdır.

Güçlü veri sahibi hakları. Erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz ve otomatik karar almayla ilgili haklar.

Katı onay gereklilikleri. Onay serbestçe verilmeli, spesifik, bilgilendirilmiş ve net olmalıdır. Önceden işaretlenmiş kutular ve toplu izinler geçersizdir.

Veri Koruma Etki Değerlendirmeleri. Yüksek riskli işleme faaliyetleri (profil oluşturma, büyük ölçekli izleme, hassas veri işleme) için gereklidir.

Ayrıntılı bir uygulama kılavuzu için e-Ticaret ve ERP için GDPR uygulama kılavuzumuza bakın.

---

CCPA/CPRA: Amerikan Yaklaşımı

Kaliforniya Gizlilik Hakları Yasası (CPRA) ile değiştirilen Kaliforniya Tüketici Gizliliği Yasası (CCPA), Amerika Birleşik Devletleri'ndeki en önemli gizlilik yasasıdır. GDPR'den temelde farklı bir yaklaşım benimsiyor.

GDPR'dan Temel Farklılıklar

Devre dışı kalma ve katılma. CCPA, kişisel bilgilerin toplanması ve işlenmesi için izin gerektirmez. Bunun yerine tüketicilere, verilerinin satışı veya paylaşımından vazgeçme hakkı verir. Bu, GDPR'nin felsefi bir tersine çevrilmesidir.

"Satış" geniş bir şekilde tanımlanır. CCPA kapsamında "satış", kişisel bilgilerin parasal veya diğer değerli bedeller karşılığında üçüncü taraflarla paylaşılmasını içerir. Bu, şirketlerin "satış" olarak düşünmediği birçok reklam ve analiz düzenlemesini kapsar.

Eşik uygulanabilirliği. CCPA, şu üç eşikten herhangi birini karşılayan kâr amacı güden işletmeler için geçerlidir: yıllık brüt gelir 25 milyon doların üzerinde, 100.000'den fazla tüketicinin kişisel bilgilerini satın alıyor/satıyor/paylaşıyor veya kişisel bilgilerin satışından %50'den fazla gelir elde ediyor.

Özel dava hakkı. GDPR'den farklı olarak CCPA, tüketicilerin şifrelenmemiş kişisel bilgileri içeren veri ihlalleri için doğrudan dava açmasına olanak tanır (olay başına tüketici başına 100-750 ABD Doları).

CPRA Geliştirmeleri (2023)

CPRA, CCPA'yı önemli ölçüde güçlendirdi:

• Özel bir yaptırım organı olarak Kaliforniya Gizliliğini Koruma Ajansı'nı (CPPA) oluşturdu
• Yanlış kişisel bilgileri düzeltme hakkı eklendi
• Hassas kişisel bilgilerin kullanımını sınırlama hakkı eklendi
• Genişletilmiş veri minimizasyonu ve amaç sınırlama gereksinimleri
• Hizmet sağlayıcılarla veri işleme anlaşmalarına ilişkin gereksinimler eklendi

Uyumluluk Gereksinimleri

| Gereksinim | Ayrıntılar | |---------------|-----------| | Gizlilik politikası | Toplanan kişisel bilgilerin kategorileri, amaçları, üçüncü taraf paylaşımları ve tüketici hakları açıklanmalıdır | | "Satmayın" bağlantısı | Vazgeçmek için ana sayfadaki belirgin bağlantı | | Yetkili acente talepleri | Tüketiciler adına yetkili acentelerden gelen talepleri kabul etmelidir | | Doğrulama süreci | Talepleri yerine getirmeden önce tüketici kimliğini doğrulamanız gerekir | | Ayrımcılık yasağı | Haklarını kullanan tüketicilere ayrımcılık yapılamaz | | Hizmet sağlayıcı anlaşmaları | PI alan tüm hizmet sağlayıcılarla yazılı anlaşmalar | | 12 aylık inceleme | Erişim talepleri önceki 12 aylık verileri kapsar |

---

LGPD: Brezilya'nın GDPR'den Esinlenen Çerçevesi

Brezilya'nın Lei Geral de Protecao de Dados'u (LGPD), büyük ölçüde GDPR'yi örnek almaktadır ancak Brezilya'nın hukuk ve iş ortamına uyarlanmış benzersiz unsurlar içermektedir.

Temel LGPD Özellikleri

On yasal dayanak. LGPD, kredi koruması, sağlığın korunması ve yaşamın korunması da dahil olmak üzere işleme için on yasal dayanak sağlar (GDPR'nin altı yasal dayanağıyla karşılaştırıldığında). Bu, işletmelere veri işlemeyi gerekçelendirme konusunda daha fazla esneklik sağlar.

DPO zorunludur. GDPR'den (yalnızca belirli durumlarda DPO gerektirir) farklı olarak LGPD, tüm veri denetleyicilerinin bir Veri Koruma Görevlisi ("Encarregado" olarak adlandırılır) atamasını gerektirir.

Uluslararası veri aktarımları. LGPD, alıcı ülkenin standart sözleşme maddeleri kapsamında veya veri sahibinin özel izniyle yeterli koruma sağlaması durumunda sınır ötesi aktarımlara izin verir.

ANPD'nin yaptırımı. Brezilya'nın Autoridade Nacional de Protecao de Dados'u (ANPD) aktif olarak kılavuzlar yayınlıyor ve uygulamaları artırıyor. Brezilya'da cezalar gelirin %2'sine ulaşabilir (ihlal başına 50 milyon BRL ile sınırlıdır).

LGPD ve GDPR Farkları

| Görünüş | LGPD | GDPR | |----------|----------|------| | Yasal dayanaklar | 10 | 6 | | DPO gerekli | Her zaman | Koşullu | | Penaltı sınırı | %2 gelir / 50 milyon BRL | %4 küresel gelir / 20 milyon Avro | | İhlal bildirimi | "Makul süre" | 72 saat | | Otomatik karar hakları | Evet (GDPR'ye benzer) | Evet (Mad. 22) | | Veri taşınabilirliği | Evet | Evet | | Meşru menfaat | Evet (LIA gerektirir) | Evet (LIA gerektirir) |

---

PDPA: Tayland'ın Yükselen Çerçevesi

Haziran 2022'den bu yana tamamen yürürlükte olan Tayland Kişisel Verileri Koruma Yasası (PDPA), Tayland'da kişisel verilerin toplanmasını, kullanılmasını ve ifşa edilmesini düzenler. Güneydoğu Asya'daki en önemli gizlilik yasalarından biridir.

Temel PDPA Özellikleri

Rıza merkezli. PDPA, belirli bir muafiyet geçerli olmadığı sürece (sözleşmeden doğan gereklilik, meşru menfaat, yasal yükümlülük, hayati menfaat, kamu menfaati veya araştırma) kişisel verilerin toplanması, kullanılması ve ifşa edilmesi için açık rıza gerektirir.

Hassas veri kategorileri. PDPA, hassas kişisel verileri GDPR'ye benzer şekilde tanımlar: ırk/etnik köken, siyasi görüşler, dini inançlar, sabıka kayıtları, sağlık verileri, engellilik, sendika üyeliği, genetik veriler, biyometrik veriler ve cinsel yönelim.

Sınır ötesi aktarım kısıtlamaları. Yabancı ülkelere veri aktarımlarına yalnızca hedef ülkenin yeterli veri koruma standartlarına sahip olması, aktarımın uygun güvenlik önlemleri altında olması veya veri sahibinin açık rıza vermesi durumunda izin verilir.

Cezalar. 5 milyon THB'ye (~140.000$) kadar idari para cezaları ve ayrıca belirli ihlaller için bir yıla kadar hapis cezası. Para cezaları GDPR'den düşük olsa da cezai hükümler dikkat çekicidir.

---

PIPEDA: Kanada'nın Dengeli Yaklaşımı

Kanada'nın Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA), küresel olarak gizlilik mevzuatını etkileyen ilkelere dayalı bir yaklaşım benimser.

Temel PIPEDA Özellikleri

10 adil bilgi ilkesi. PIPEDA on ilke üzerine kurulmuştur: sorumluluk, tanımlama amaçları, rıza, toplamanın sınırlandırılması, kullanımın/açıklamanın/saklamanın sınırlandırılması, doğruluk, korumalar, açıklık, bireysel erişim ve uyumluluğun zorlanması.

Zımni izne izin verilir. GDPR'den farklı olarak PIPEDA, belirli bağlamlarda hassas olmayan bilgiler için zımni izne izin verir. Bu, bireyleri korumaya devam ederken daha fazla operasyonel esneklik sağlar.

Ticari faaliyet odağı. PIPEDA, ticari faaliyet sırasında toplanan, kullanılan veya açıklanan kişisel bilgiler için geçerlidir. Ticari olmayan kuruluşlar, federal hükümet kurumları (Gizlilik Yasası kapsamındadır) veya büyük ölçüde benzer mevzuata sahip eyaletlerde (Alberta, BC, Quebec) eyalet düzeyinde düzenlenen faaliyetler için geçerli değildir.

Yeterlilik durumu. AB, Kanada'ya GDPR kapsamında kısmi bir yeterlilik kararı vermiştir; bu, kişisel verilerin, PIPEDA kapsamındaki ticari faaliyetler kapsamında ek güvenlik önlemleri olmaksızın AB'den Kanada'ya aktarılabileceği anlamına gelir.

Kanun C-27 ve Tüketici Gizliliğinin Korunması Kanunu

Kanada, PIPEDA'nın özel sektör hükümlerini Tüketici Gizliliğini Koruma Yasası (CPPA) ile değiştirecek olan C-27 Tasarısı aracılığıyla gizlilik çerçevesini modernleştiriyor. Önerilen temel değişiklikler şunları içerir:

• Küresel gelirin %5'ine veya 25 milyon CAD'ye (hangisi daha büyükse) kadar para cezası
• Gizlilik ihlallerinde özel dava hakkı
• Güçlendirilmiş onay gereksinimleri
• Algoritmik şeffaflık gereksinimleri
• Reşit olmayanların verilerine ilişkin yeni hükümler

---

Birleşik bir Gizlilik Programı Oluşturmak

Her yetki alanı için ayrı uyumluluk programları oluşturmak yerine en etkili yaklaşım, en yüksek ortak paydaya göre tasarlanmış birleşik bir gizlilik programıdır.

En Yüksek Ortak Payda Stratejisi

| Gereksinim | En Katı Standart | Dünya Çapında Başvurun | |---------------|-----------|---------------| | Onay | GDPR (açık katılım) | Tüm kullanıcılar için katılım iznini uygulayın | | Silme hakkı | GDPR (geniş sağ) | Yargı yetkisine bakılmaksızın silme taleplerini yerine getirin | | İhlal bildirimi | GDPR (72 saat) | Dünya çapında 72 saatlik bildirimi hedefleyin | | Veri minimizasyonu | GDPR/CPRA (amaç sınırlaması) | Yalnızca her yerde ihtiyaç duyulan şeyleri toplayın | | DPO randevusu | LGPD (her zaman gereklidir) | Tüm operasyonlar için DPO'yu atayın | | Gizlilik politikası | CCPA (en ayrıntılı gereksinimler) | Tüm kullanıcılar için CCPA'nın gerektirdiği tüm açıklamaları ekleyin | | Veri aktarımları | GDPR (SCC'ler/yeterlilik) | Tüm sınır ötesi transferler için SCC'leri kullanın |

Uygulama Mimarisi

1. Gereksinimlerin farklılık gösterdiği yargı bölgelerine özgü bölümler içeren tek gizlilik politikası (ör. CCPA "Satmayın" hakları)
2. Yetki alanı etiketlemesi ile ayrıntılı rızayı yakalayan Birleşik rıza yönetimi platformu
3. Herhangi bir yetki alanından erişim, silme, düzeltme ve taşınabilirlik taleplerini işleyen merkezi DSAR iş akışı
4. İşleme faaliyetlerini, yasal dayanakları, saklama sürelerini ve sınır ötesi aktarımları belgeleyen tek veri haritası
5. Uygulanabilir olduğu durumlarda veri yerleşimi gerekliliklerine uygun Bölgeye duyarlı veri depolama

Gizlilik yasalarının daha geniş bir uyumluluk çerçevesine nasıl uyacağı konusunda rehberlik için kurumsal uyumluluk el kitabımıza bakın.

---

Sınır Ötesi Veri Aktarımı

Çok yargı yetkisine sahip gizlilik uyumluluğunun en karmaşık yönlerinden biri, kişisel verilerin sınırların ötesine taşınmasıdır.

Düzenlemeye Göre Transfer Mekanizmaları

| Mekanizma | GDPR | CCPA | LGPD | PDPA | BORU | |-----------|------|------|------|------|--------| | Yeterlilik kararı | Evet | Yok | Evet | Evet | Kısmi (AB→CA) | | Standart sözleşme maddeleri | Evet | Yok | Evet | Evet | Yok | | Bağlayıcı kurumsal kurallar | Evet | Yok | Evet | Hayır | Yok | | Açık rıza | Evet (sınırlı) | Yok | Evet | Evet | Evet | | Sözleşme gerekliliği | Evet | Yok | Evet | Evet | Evet |

Pratik Öneriler

• AB veri aktarımları için varsayılan mekanizmanız olarak Standart Sözleşme Maddelerini (SCC'ler) kullanın
• Yeterlilik kararlarını izleyin --- AB-ABD Veri Gizliliği Çerçevesi, sertifikalı ABD şirketlerine aktarımlar için bir mekanizma sağlar
• Sınır ötesi aktarım karmaşıklığını en aza indirmek için birincil müşteri tabanınızla uyumlu bulut bölgelerini seçin
• Güvenilen spesifik mekanizma da dahil olmak üzere tüm sınır ötesi transferleri ROPA'nızda belgeleyin

---

Sıkça Sorulan Sorular

İşletmem Kaliforniya'da değilse CCPA'ya uymam gerekir mi?

Evet, işletmeniz üç CCPA eşiğinden herhangi birini karşılıyorsa ve Kaliforniya sakinlerinden kişisel bilgi topluyorsa. İşletmenizin konumu önemli değildir; önemli olan Kaliforniya tüketicilerine hizmet verip vermediğinizdir. Kaliforniya'nın 39 milyonluk nüfusu ve teknoloji merkezi rolü göz önüne alındığında, ABD'li müşterileri olan çoğu çevrimiçi işletme bu eşiği karşılayacaktır.

Tüm yargı bölgeleri için aynı gizlilik politikasını kullanabilir miyim?

Evet, birleşik bir gizlilik politikası önerilen yaklaşımdır. Bunu, evrensel gizlilik uygulamalarını ve CCPA haklarına ilişkin yetki alanına özgü ekleri, GDPR'ye özgü bilgileri ve diğer bölgesel gereksinimleri kapsayan temel bir bölümle yapılandırın. Bunun bakımı ayrı politikalardan daha kolaydır ve çelişkili ifadeleri önler.

Gizlilik yasaları PCI-DSS gibi ödeme güvenliği düzenlemeleriyle nasıl etkileşime giriyor?

Gizlilik yasaları ve PCI-DSS tamamlayıcı niteliktedir. Ödeme kartı verileri, GDPR, CCPA ve diğer gizlilik yasalarının çoğu kapsamında kişisel verilerdir; dolayısıyla her ikisine de uymanız gerekir. PCI-DSS, kart verileri için teknik güvenlik çerçevesini sağlarken, gizlilik yasaları da izin, amaç sınırlaması, veri sahibi hakları ve ihlal bildirimi ile ilgili gereklilikleri ekler. Ödeme güvenliği hakkında daha fazla bilgi için PCI-DSS uyumluluk kılavuzumuza bakın.

Gizlilik yasaları çelişirse ne olur?

Çoğu gizlilik yasası ortak ilkeleri paylaştığından gerçek çatışmalar nadirdir. Farklılıkların olduğu durumlarda (örneğin, CCPA'nın devre dışı bırakma modeli ile GDPR'nin devre dışı bırakma modeli), daha katı olan standardı uygulayın. GDPR düzeyindeki onayı küresel olarak uygularsanız hem GDPR'yi hem de CCPA'yı karşılamış olursunuz. En yaygın zorluk, birbiriyle çelişen gereksinimler değil, farklı düzeylerdeki spesifiklik ve uygulama vurgusudur.

Küresel bir gizlilik standardı ortaya çıkıyor mu?

Henüz resmi anlamda olmasa da GDPR fiilen küresel standart haline geldi. OECD Gizlilik Yönergeleri ve APEC Sınır Ötesi Gizlilik Kuralları (CBPR) sistemi çok taraflı çerçeveler sağlar ve ortaya çıkan Küresel CBPR Çerçevesi, bölgesel gizlilik sistemleri arasında birlikte çalışabilirlik yaratmayı amaçlamaktadır. Uygulamada, GDPR uyumluluğuna yönelik tasarım, diğer gizlilik yasalarının çoğu için %70-80 oranında kapsam sağlar.

---

Sırada Ne Var

Küresel gizlilik ortamı, yeni yasaların ortaya çıkmasıyla ve mevcut yasaların güçlendirilmesiyle gelişmeye devam edecek. Bireysel düzenlemelerin peşinde koşmak yerine, veri korumasını en başından itibaren sistemlerinize ve süreçlerinize dahil eden tasarım gereği gizlilik yaklaşımına yatırım yapın.

ECOSIRE, işletmelerin farklı yargı bölgelerinde çalışan, gizlilikle uyumlu sistemler oluşturmasına yardımcı olur. Odoo ERP uygulamalarımız yerleşik izin yönetimini, DSAR işlemeyi ve veri saklama otomasyonunu içerir. Yapay zeka destekli gizlilik uyumluluğu izleme için OpenClaw AI platformumuzu keşfedin. Çoklu yargı yetkisine sahip gizlilik stratejinizi görüşmek için bize ulaşın.

---

ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.