anonym.legal

By · Last updated 2026-06-05

Bloga DönGDPR & Uyumluluk

CCPA/CPRA 2025: Kaliforniya Yapay Zeka Gizliliği

CPPA, 2024'te 100 milyon dolardan fazla ceza verdi. CPRA, 40 milyon Kaliforniyalıyı kapsıyor ve çoğu işletmeye küresel olarak uygulanıyor. 19 hassas veri kategorisi, otomatik karar bildirimi zorunluluğu.

June 5, 202610 dk okuma
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Kaliforniya Gizlilik Yasası Rehberi

2026 için güncellendi.

Kaliforniya Tüketici Gizlilik Hakları Yasası (CPRA) 2023'te yürürlüğe girdi. Kalifornia Gizlilik Koruma Ajansı'nı (CPPA) kurdu. CPPA, ABD'nin ilk eyalet gizlilik düzenleyicisi. 2024 yılında CPPA, 100 milyon doların üzerinde ceza verdi. Bu aktif bir uygulama — kâğıt üzerinde kalan bir kural değil.

Kimler Uymak Zorunda

Yasanın geçerliliğini belirleyen üç test var. Bir işletmenin bu testlerden herhangi birini karşılaması yeterli.

  • Yıllık gelir 25 milyon dolar veya üzeri.
  • 100.000 veya daha fazla eyalet tüketicisinden kişisel veri.
  • Gelirin %50'den fazlasının kişisel bilgi satışından gelmesi.

Eyaletin 40 milyon sakini var. Dünyanın beşinci büyük ekonomisi. Küresel şirketlerin büyük çoğunluğu en az bir testi karşılıyor.

19 Hassas Veri Kategorisi

Yasa, hassas kişisel bilgiler için özel bir katman oluşturuyor. Şirketler, tüketicilere ek bildirim ve kullanımı sınırlama hakkı tanımak zorunda. 19 tür şunlar:

  1. Sosyal Güvenlik, ehliyet, eyalet kimliği, pasaport numaraları
  2. Erişim kodlu finansal hesap veya kart numaraları
  3. Hassas konum bilgisi (1.852 metre içinde)
  4. Irk veya etnik köken
  5. Dinî veya felsefi inançlar
  6. Sendika üyeliği
  7. Özel e-posta veya posta içeriği
  8. Genetik bilgi
  9. Kimlik tespiti için biyometrik kayıtlar
  10. Sağlık veya tıbbi kayıtlar
  11. Cinsel yönelim veya cinsel yaşam
  12. Göçmenlik durumu (2024'te eklendi)
  13. Ruh sağlığı kayıtları (2024'te eklendi)
  14. Vatandaşlık durumu
  15. Erişim kodsuz finansal hesap numaraları
  16. Engellilik durumu
  17. İstihdam durumu göstergeleri
  18. Sigorta poliçe bilgisi
  19. Suç veya tutuklama kayıtları

Her kategori için tüketiciler, bir işletmenin bu verileri nasıl kullandığını ve paylaştığını sınırlayabilir. Bu hak, satışı reddetme genel hakkından ayrıdır.

CPPA'nın 2024'te Hedef Aldıkları

CPPA'nın 2024 eylemleri dört alanda yoğunlaştı.

Veri aracısı kaydı. Eyalet, veri aracılarının CPPA'ya kaydolmasını şart koşuyor. Kurum, tüketici profillerini satan yüzlerce kayıtsız aracı tespit etti.

Bozuk çıkış araçları. Pek çok onay platformu gerçek anlamda çıkış imkânı sunmuyordu. Düğme çalışmıyor ya da yalnızca bazı kullanımları kapsıyordu.

Bildirimsiz yapay zeka kararları. 2025 yapay zeka kuralları, otomatik araçların önemli kararlar aldığında bildirim yapılmasını zorunlu kılıyor. İşe alım, kredi ve konut bunlar arasında. 2024'teki çeşitli davalar, bu bildirim yapılmadan kullanılan yapay zeka araçlarını hedef aldı.

Çocuk kayıtları. Kaliforniya'nın Yaşa Uygun Tasarım Kodu, küçüklerin kullanmasının olası olduğu her hizmet için geçerli. Bu şirketler Veri Koruma Etki Değerlendirmesi tamamlamak zorunda. CPPA, pek çok şirketin bunu yapmadığını tespit etti.

Eyalet Yasası ile GDPR Karşılaştırması: Temel Farklar

GDPR uyumu, Kaliforniya'da sizi korumaz. Yasalar ortak hedefler paylaşıyor ancak temel noktalarda farklılaşıyor.

Çıkış mı, katılım mı? GDPR, hassas veri kullanımlarının büyük çoğunluğu için katılım onayı gerektiriyor. Eyalet yasası çıkış modelini benimsiyor. Tüketici itiraz edene kadar işleme izin veriliyor.

Tüketici hakları. Her iki yasa da erişim, silme ve düzeltme hakları tanıyor. Eyalet yasası, otomatik kararlara itiraz hakkı ekliyor. GDPR Madde 22 bunu da kapsıyor, ancak daha dar bir kapsamda.

Çalışan kayıtları. Eyalet yasası çalışan kişisel bilgilerini tam olarak kapsıyor. GDPR de kapsıyor, ancak AB üye devletlerinin kendi istihdam kuralları var. Eyaletteki personel gizliliği genellikle ayrı bir uyum çalışması gerektiriyor.

Hassas türler. 19 eyalet türü, GDPR Madde 9 ile kısmen örtüşüyor. Göçmenlik durumu ve bağımsız hesap numaraları eyalete özgü.

Bu yükümlülüklerin nasıl üst üste geldiğini görmek için hukuki uyum kılavuzuna bakın.

Yapay Zeka Tedarikçisi Gereksinimleri

2025 yapay zeka kuralları, tüketici kayıtlarında yapay zeka araçları kullanan şirketler için net yükümlülükler oluşturuyor.

Tedarikçi sözleşmeleri. Hizmet sağlayıcılar yazılı bir anlaşma imzalamak zorunda. Anlaşma dört konuyu kapsamak zorunda. Birincisi, kayıtları yalnızca belirtilen amaçla kullanmak. İkincisi, hizmet sona erdiğinde kayıtları silmek. Üçüncüsü, tüketici hakları taleplerini iletmek. Dördüncüsü, yeterli güvenlik sağlamak.

Otomatik karar bildirimi. Yapay zeka aracı kredi, sahtekârlık veya işe alım kararına yardım ediyorsa tüketiciler bilgilendirilmeli. Ayrıca çıkış hakkı tanınmalı.

Yapay zeka eğitim sınırları. Tüketici kayıtları bir yapay zeka modelini eğittiyse bu modelin sınırları var. Orijinal toplama amacıyla çelişen amaçlar için kullanılamaz.

Çoğu ekip için doğrudan çözüm: kayıtlar herhangi bir yapay zeka sistemine girmeden önce kişisel kimlikleri kaldırmak. Bu hem yapay zeka karar kurallarını karşılıyor hem de hassas tür riskini eş zamanlı azaltıyor.

anonym.legal'in yapay zeka işlenmesinden önce tanımlayıcıları nasıl kaldırdığını öğrenmek için /security-compliance sayfasına bakın.

Özet

Eyalet yasası, eyalette müşterisi olan küresel şirketlerin büyük çoğunluğunu kapsıyor. 19 hassas tür, aktif bir uygulama ajansı ve yapay zeka bildirim kuralları ekliyor. GDPR uyumu, eyalet uyumunun yerini almıyor. En net adım: kayıtlar yapay zeka araçlarına girmeden önce kişisel kimlikleri kaldırmak.

Veri minimizasyonu hakkında bilgi için /docs/faq sayfasına bakın.

Kaynaklar

  • CPPA: California Gizlilik Koruma Ajansı. cppa.ca.gov.
  • California Gizlilik Hakları Yasası (CPRA) tam metin. leginfo.legislature.ca.gov.
  • CPPA: 2025 Otomatik Karar Alma Teknolojisi Yönetmelikleri. cppa.ca.gov.
  • Kaliforniya Yaşa Uygun Tasarım Kodu. leginfo.legislature.ca.gov.

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.