GDPR vs. CCPA: İşletmeniz İçin Hangi Veri Koruma Yasası Geçerli?
Yazılım dünyasında, SaaS ürünlerinde veya çevrimiçi veri toplayan herhangi bir işletmede yer alıyorsanız, muhtemelen hem GDPR (Genel Veri Koruma Yönetmeliği) hem de CCPA (California Tüketici Gizliliği Yasası) isimlerini duymuşsunuzdur. Peki, hangisinin sizin için geçerli olduğunu veya her ikisi için de endişelenmeniz gerekip gerekmediğini biliyor musunuz?
Kısa cevap şu: AB müşterileriniz varsa, şirketinizin nerede olduğuna bakılmaksızın GDPR geçerlidir. Kaliforniya’da iş yapan ve belirli eşikleri aşan kâr amacı güden bir şirketseniz, CCPA da geçerlidir. Birçok global şirket her ikisine de uymak zorundadır. İyi haber ise şu; iki ayrı uyum programı inşa etmenize gerek yok. Daha katı olan GDPR etrafında sağlam bir gizlilik çerçevesi oluşturup, üzerine CCPA’ya özgü gereksinimleri ekleyebilirsiniz.
GDPR Neleri Kapsar?
GDPR, küresel erişime sahip bir AB yasasıdır. Kuruluşun genel merkezinin nerede olduğuna bakılmaksızın, AB veya AEA’da (Avrupa Ekonomik Alanı) bulunan kişilerin kişisel verilerini işleyen her kuruluş için geçerlidir.
Şu durumlarda kapsam dahilindesiniz:
- AB’de müşterileriniz, kullanıcılarınız veya çalışanlarınız varsa.
- AB sakinlerinin erişebildiği bir web sitesi işletiyor ve davranışlarını takip ediyorsanız.
- AB sakinlerine ücretsiz de olsa mal veya hizmet sunuyorsanız.
GDPR’da herhangi bir alt sınır (şirket büyüklüğü gibi) yoktur. Tek bir AB bülten aboneniz bile olsa, teknik olarak kapsamdasınızdır.
CCPA Neleri Kapsar?
2023’te yürürlüğe giren CPRA değişiklikleriyle güçlendirilen CCPA, Kaliforniya’da iş yapan ve şu eşiklerden en az birini karşılayan kâr amacı güden işletmeler için geçerlidir:
- Yıllık brüt geliri 25 milyon doların üzerinde olanlar.
- Yılda 100.000 veya daha fazla tüketicinin kişisel bilgilerini satın alan, satan veya paylaşanlar.
- Yıllık gelirinin %50 veya daha fazlasını kişisel bilgilerin satışından veya paylaşımından elde edenler.
Kar amacı gütmeyen kuruluşlar genellikle muaftır. GDPR’ın aksine, burada anlamlı bir büyüklük eşiği vardır; bu da birçok küçük girişimin ölçeklenene kadar sadece GDPR (veya yerel olarak KVKK) hakkında endişelenmesi gerektiği anlamına gelir.
Temel Farklar: Yan Yana Bakış
En önemli yapısal fark şudur: GDPR bir “opt-in” (katılım) çerçevesidir. Her veri işleme faaliyeti için belgelenmiş bir hukuki sebep (rıza, sözleşme, hukuki yükümlülük vb.) gerekir. CCPA ise bir “opt-out” (ayrılma) çerçevesidir. Veri toplama varsayılan olarak serbesttir, ancak tüketiciler verilerinin satılmasından veya paylaşılmasından vazgeçme hakkına sahiptir.
| Özellik | GDPR (AB) | CCPA (Kaliforniya) |
| Hukuki Dayanak | İşleme için 6 sebepten biri şart. | Dayanak şart değil, bildirim şart. |
| Veri Transferi | AB dışına çıkışta katı kurallar var. | Eşdeğer bir kısıtlama yok. |
| Pazarlama | Açık “opt-in” rızası gerekir. | Veri satışı için “opt-out” hakkı yeterli. |
| Yanıt Süresi | 30 gün (3 aya kadar uzatılabilir). | 45 gün (45 gün daha uzatılabilir). |
“Oyun Değiştirici” Perspektifi: Stratejik Uyum
25 yıllık bilişim hukuku tecrübem ve küresel girişim sermayesi (Crowdfunding) danışmanlığım çerçevesinde şunu söyleyebilirim: Veri gizliliğini bir “yük” olarak değil, bir “altyapı disiplini” olarak görmelisiniz. ODTÜ felsefe vizyonuyla baktığımızda, mahremiyet sadece bir yasal zorunluluk değil, dijital dünyada bireyin otonomisini koruyan etik bir duruştur.
Eğer AB müşterileriniz varsa, programınızı GDPR’a göre inşa edin. GDPR; veri transfer kuralları, veri işleme sözleşmeleri (DPA) ve ihlal bildirim süreleri açısından neredeyse her boyutta daha katıdır. GDPR uyumlu bir program, CCPA gereksinimlerinin %90’ını zaten karşılar. Geriye sadece CCPA’ya özgü bildirimleri eklemek ve web sitenize “Kişisel Bilgilerimi Satma veya Paylaşma” bağlantısını koymak kalır.
Soru – Cevap (SSS)
Soru: Türkiye’deki şirketim için hem GDPR hem CCPA geçerli olabilir mi?
CEVAP: Evet. Eğer AB sakinlerine hizmet veriyorsanız GDPR; Kaliforniya sakinlerine hizmet veriyor ve yukarıdaki gelir/veri eşiklerini aşıyorsanız CCPA geçerlidir. Aynı zamanda 6698 sayılı KVKK’ya da uymanız gerekir.
Soru: GDPR cezaları ne kadar yüksektir?
CEVAP: GDPR cezaları 20 milyon Euro’ya veya küresel yıllık cironun %4’üne kadar çıkabilir. Meta ve Amazon gibi devlere kesilen milyar Euro’luk cezalar bunun en somut kanıtıdır.
Soru: “Veri Sorumlusu” (Data Controller) ve “Veri İşleyen” (Data Processor) farkı nedir?
CEVAP: Verinin neden ve nasıl işleneceğine karar veren “sorumlu”dur. Bu veriyi sorumlu adına işleyen (örneğin bir bulut depolama servisi) “işleyen”dir. Çoğu SaaS şirketi her iki şapkaya da sahiptir.
Soru: CCPA’da hapis cezası var mıdır?
CEVAP: Hayır, ancak sivil para cezaları ve veri ihlallerinde tüketicilerin toplu dava açma (class action) hakkı vardır. Bu davalar, şirketleri iflasa sürükleyebilecek tazminat tutarlarına ulaşabilir.
Soru: Her iki yasaya aynı anda nasıl uyum sağlarım?
CEVAP: Veri envanteri oluşturarak başlayın. Hangi veriyi, neden topladığınızı bildiğinizde, her iki yasanın gerektirdiği hak taleplerine (silme, erişim, düzeltme) yanıt verme kapasitesine sahip olursunuz.
Kaynaklar
- Ross – GDPR vs. CCPA: Which Privacy Law Applies to Your Business?
- Official GDPR Portal – AB Veri Koruma Kuralları
- California Attorney General – CCPA/CPRA Overview
- Özgür Eralp – Kişisel Verilerin Korunması ve Uluslararası Veri Transferi Analizleri
- IAPP – Westin Research Center Data Privacy Comparisons
Etiketler
GDPR, CCPA, Veri Gizliliği, Bilişim Hukuku, KVKK, Veri Koruma, Dijital Dönüşüm, Global Uyum, Özgür Eralp, SaaS Hukuku, Veri Transferi, CPRA
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),