CCPA/CPRA 2025: Kaliforniya'nın Gizlilik Hakları Yasası'nın AI ve Veri İşleme Tedarikçilerinden Bekledikleri

Kaliforniya'nın Tüketici Gizlilik Hakları Yasası (CPRA, 2023'te yürürlüğe girdi) Kaliforniya Gizlilik Koruma Ajansı (CPPA) olarak ilk özel ABD eyalet gizlilik düzenleyicisini kurdu. CPPA, 2024'te 100 milyon dolardan fazla yaptırım eylemi gerçekleştirdi — bu, Kaliforniya'nın gizlilik yasasının sadece bir düzenleyici çerçeve değil, aktif bir uygulama ortamı olduğunu gösteriyor.

CPRA'nın yurtdışındaki etkisi, küresel işletmeler için en önemli yönüdür: yasa, yıllık 25 milyon dolardan fazla geliri olan veya 100.000'den fazla Kaliforniya tüketicisinin veya hanesinin kişisel verilerini işleyen herhangi bir şirkete uygulanır. 40 milyon Kaliforniya sakini ve Kaliforniya'nın dünyanın 5. en büyük ekonomisi olarak statüsü ile, çoğu küresel işletme CPRA yargı yetkisi altındadır.

CPRA'nın Hassas Kişisel Bilgi Kategorileri

CPRA, artırılmış koruma ve belirli açıklama gereklilikleri gerektiren "hassas kişisel bilgi" için ayrı bir katman oluşturur. 19 kategori, GDPR'nın 9. Maddesi'ndeki özel kategorilere yakın bir şekilde eşleşir, ancak ABD'ye özgü eklemelerle:

1. SSN'ler, sürücü belgesi, eyalet kimliği, pasaport numaraları
2. Finansal hesap, banka/kredi kartı numaraları ve erişim kodları
3. Kesin coğrafi konum (1,852 metre içinde)
4. Irksal/etnik köken
5. Dini veya felsefi inançlar
6. Sendika üyeliği
7. E-posta ve postalama içeriği (genel olarak mevcut değilse)
8. Genetik veriler
9. Kimlik için biyometrik veriler
10. Sağlık/tıbbi veriler
11. Cinsel yönelim veya cinsel yaşam
12. Göçmenlik durumu (2024 düzenlemelerinde eklendi)
13. Zihinsel sağlık verileri (2024 düzenlemelerinde eklendi)
14. Vatandaşlık durumu
15. Finansal hesap numaraları (bağımsız, erişim kodları olmadan)
16. Engellilik durumu
17. İstihdam durumu göstergeleri
18. Sigorta poliçesi bilgileri
19. Ceza kaydı veya tutuklama kaydı verileri

Pratik anlamı: Bu kategorileri işleyen herhangi bir veri işleme hattı, tüketicilere hassas kişisel bilgilerin kullanımını ve açıklanmasını sınırlama hakkı sağlamalıdır, bu hak genel satışdan opt-out hakkından ayrı olarak verilmiştir.

2024 CPPA Uygulaması: Hedef Alınanlar

CPPA, 2024'te aşağıdaki alanlarda yaptırım eylemleri ve uzlaşmalar gerçekleştirdi:

Veri brokeri kayıt ihlalleri: Kaliforniya, veri brokerlerinin CPPA ile kaydolmasını gerektirir. CPPA, gerekli açıklama olmadan kişisel profil verilerini satan yüzlerce kayıtsız veri brokeri buldu.

Onay yönetimi uyumsuzluğu: CPPA, birçok şirketin "onay yönetim platformlarının" aslında işlevsel opt-out mekanizmaları sağlamadığını buldu — ya opt-out düğmesi çalışmıyordu ya da opt-out sadece belirli veri kullanımlarına uygulanıyordu, diğerleri devam ediyordu.

AI otomatik karar verme: CPPA'nın 2025 AI düzenlemeleri, işletmelerin önemli kararlar (istihdam, kredi, konut) için otomatik karar verme kullanıldığında tüketicileri bilgilendirmesini ve anlamlı opt-out mekanizmaları sağlamasını gerektirir. 2024'te birkaç yaptırım eylemi, yeterli bildirim olmadan kullanılan AI araçlarını hedef aldı.

Çocuk verileri: Kaliforniya Yaşa Uygun Tasarım Kodu (AADC) altında, reşit olmayanların erişmesi muhtemel işletmelerin Veri Koruma Etki Değerlendirmeleri yapması gerekir. CPPA, gerekli DPIA'ları tamamlayamayan birçok teknoloji şirketi buldu.

CPRA ve GDPR: Küresel Organizasyonlar için Temel Farklılıklar

Hem GDPR hem de CPRA altında faaliyet gösteren organizasyonlar, ilke olarak benzer ancak ayrıntılarda farklı uyum gereklilikleri ile karşılaşır:

Opt-out vs. opt-in: GDPR, çoğu hassas veri işleme için opt-in onayı gerektirir. CPRA, bir opt-out modeli kullanır — işleme, tüketici opt-out yapana kadar yasaldır. Bu, GDPR uyumlu onay mekanizmalarının genellikle CPRA'nın gerektirdiğinden daha kısıtlayıcı olduğu anlamına gelir, ancak CPRA uyumlu uygulamalar GDPR'yi tatmin etmeyebilir.

Veri sahibi hakları: Her ikisi de erişim, silme ve düzeltme haklarını gerektirir. CPRA, otomatik karar vermeden opt-out hakkını ekler — bu, GDPR 22. Maddesi'nin daha dar otomatik karar verme hükmünden daha geniştir.

Çalışan verileri: CPRA, çalışan kişisel verilerine tamamen uygulanır. GDPR benzer bir kapsamda ancak üye devletlerin farklı istihdam spesifik hükümleri vardır. Kaliforniya çalışan gizliliği genellikle AB çalışan GDPR'sından ayrı bir uyum yolu olarak kabul edilir.

Hassas veri kapsamı: CPRA'nın 19 kategorisi, GDPR 9. Maddesi ile kısmen örtüşmektedir ancak GDPR'nin farklı bir şekilde ele aldığı kategorileri (göçmenlik durumu, finansal hesap numaraları, ceza kayıtları) içermektedir.

AI Tedarikçi Uyumunun Sonucu

CPRA'nın 2025 AI düzenlemeleri, Kaliforniya tüketici verilerini işleyen AI araçlarını kullanan organizasyonlar için belirli gereklilikler oluşturur:

Tedarikçi sözleşme gereklilikleri: Hizmet sağlayıcıları (işletme adına veri işleyen tedarikçiler), verileri yalnızca açıklanan amaç için kullanma, hizmet sona erdiğinde verileri silme, tüketici hakları taleplerinin akışına izin verme ve yeterli güvenlik önlemleri uygulama konularında sözleşmesel olarak taahhüt etmelidir.

Otomatik karar verme açıklaması: Eğer AI aracınız Kaliforniya tüketicileri hakkında kararlar alıyorsa veya önemli ölçüde katkıda bulunuyorsa — kredi puanlama, dolandırıcılık işaretleme, içerik denetimi, istihdam taraması — tüketicilere bildirilmelidir ve anlamlı bir opt-out sağlanmalıdır.

Eğitim verisi kökeni: Eğer Kaliforniya tüketici verileri bir AI modelini eğitmek için kullanıldıysa, CPRA'nın amaç sınırlama gereklilikleri, AI modelinin çıktılarının orijinal toplama amacına aykırı amaçlar için kullanılamayacağı anlamına gelir.

Kaliforniya tüketici verilerini AI sistemlerinde yöneten organizasyonlar için: AI işleme öncesinde veri minimizasyonu — PII'yi AI eğitim hatlarına veya AI analiz araçlarına veri girmeden önce kaldırmak — CPPA'nın otomatik karar verme gerekliliklerini karşılarken hassas kişisel bilgi maruziyetini azaltmanın en basit yoludur.

Kaynaklar:

• CPPA: Kaliforniya Gizlilik Koruma Ajansı
• CPRA: Kaliforniya Gizlilik Hakları Yasası tam metni
• CPPA: AI Otomatik Karar Verme Düzenlemeleri 2025