anonym.legal
Bloga DönGDPR & Uyumluluk

Tek Araçla Küresel Gizlilik Uyumu: Uzaktan Çalışan Şirketler GDPR, CCPA ve PDPA'yı Nasıl Yönetiyor

GDPR kapsamında AB çalışanları, CCPA verilerini yöneten ABD çalışanları, PDPA kapsamında APAC çalışanları. Üç yargı, bir dağıtılmış ekip. İşte tek bir araçla çoklu yargı kapsamının neden önemli olduğu.

March 7, 20268 dk okuma
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

Çoklu Yargı Uyumu Zorluğu

Küresel olarak dağıtılmış ekipleri olan uzaktan çalışan organizasyonlar, göz ardı edilmesi kolay bir gizlilik uyumu zorluğuyla karşı karşıya: farklı yargılardaki çalışanlar, farklı gizlilik yasalarına tabidir, ancak aynı verileri işlerler.

Almanya (GDPR), Kaliforniya (CCPA/CPRA) ve Singapur (PDPA) genelinde dağıtılmış bir müşteri destek ekibi, aynı müşteri veritabanına erişebilir. İşledikleri veriler — müşteri adları, e-posta adresleri, hesap detayları — üç farklı düzenleyici çerçeveye tabi olan aynı veridir ve her birinin kendine özgü gereksinimleri vardır.

GDPR (AB/AEA):

  • Her işlem amacı için açık bir yasal temel gerektirir
  • Veri sahibi hakları: erişim, silme, düzeltme, taşınabilirlik, kısıtlama, itiraz
  • Sınır ötesi transfer kısıtlamaları (AB/AEA dışındaki veriler için standart sözleşme maddeleri gereklidir)
  • Ölçekli işlem yapan organizasyonlar için DPO gerekliliği
  • Veri ihlali bildirim süresi 72 saat

CCPA/CPRA (Kaliforniya):

  • Tüketicilerin bilme, silme, satıştan vazgeçme ve ayrımcılık yapmama hakkı vardır
  • Ek korumalarla birlikte belirli hassas kişisel bilgi kategorileri
  • Kişisel verileri satan veya paylaşan işletmeler için yıllık açıklama gereklilikleri
  • GDPR ile karşılaştırıldığında sınırlı kapsam (sadece Kaliforniya sakinlerine uygulanır, gelir/veri eşiklerine göre)

PDPA (Tayland) / PIPL (Çin) / PDPB (Hindistan):

  • Ülkeye özgü veri yerelleştirme gereklilikleri (PIPL bazı verilerin Çin'de kalmasını gerektirir)
  • Yargıya göre değişen onay çerçeveleri
  • Yargıya özgü mekanizmalarla sınır ötesi transfer kısıtlamaları
  • Yürütme yapıları ve ceza çerçeveleri önemli ölçüde değişir

Çoklu yargı zorluğu: tek bir çalışan eylemi — müşteri verilerini bir AI aracıyla paylaşmak, analiz için müşteri kayıtlarını dışa aktarmak — hangi müşterinin verisinin söz konusu olduğuna ve hangi düzenleyici çerçevenin uygulandığına bağlı olarak farklı uyum sonuçları doğurabilir.

Neden Bölgesel Araçlar Ölçeklenemez

Naif yaklaşım: ABD ekip üyeleri için ABD uyumlu bir araç, AB ekip üyeleri için AB uyumlu bir araç ve APAC ekip üyeleri için APAC aracı kullanmak.

Bu yaklaşım operasyonel olarak başarısızdır çünkü:

Veri araç coğrafyasını dikkate almaz: Kaliforniya merkezli bir destek temsilcisi, bir Alman müşterisinin şikayetini işlerken, tüm GDPR gereksinimlerini karşılamayan ABD merkezli bir araçla GDPR düzenlemelerine tabi verileri işlemektedir. AB müşterisinin silme hakkı, Kaliforniya temsilcisinin hangi aracı kullandığına bakılmaksızın geçerlidir.

Yapılandırma parçalanması: Üç bölgesel araç, sürdürülmesi gereken üç yapılandırma, küresel uyum raporlaması için birleştirilmesi gereken üç denetim izi ve uyum sağlamayan üç varlık kapsamı anlamına gelir.

Sınır ötesi veri akışı: ABD merkezli bir veri analisti, AB müşteri verilerini içeren bir veritabanı dışa aktarımı aldığında, hangi araç geçerlidir? ABD aracı (çünkü analist ABD'de) mi yoksa AB aracı (çünkü veri GDPR'ye tabidir) mi? GDPR altında cevap nettir: GDPR, veriye uygulanır, işlemcinin nerede bulunduğuna bakılmaksızın.

Denetim karmaşıklığı: Tüm yargıları kapsayan bir küresel DPA sorgusu veya ISO 27001 sertifikası, birleşik bir uyum anlatısı gerektirir. Üç farklı bölgesel araç, birleşik bir anlatı üretemez.

Yargılar Arasında Varlık Türü Kapsamı

PII varlık türleri yargıya göre değişir:

AB'ye özgü varlıklar (GDPR):

  • Alman: Personalausweis (ulusal kimlik), Steuernummer (vergi kimliği), IBAN (AB bankacılığı)
  • Fransız: Numéro de Sécurité Sociale, carte vitale
  • İspanyol: DNI, NIE (yabancı ulusal kimlik), NIF

ABD'ye özgü varlıklar (CCPA/HIPAA):

  • Sosyal Güvenlik Numarası (SSN)
  • Eyaletlere özgü kimlik formatları (sürücü belgesi formatları eyaletlere göre değişir)
  • Medicare/Medicaid yararlanıcı numaraları

APAC varlıkları:

  • Singapur: NRIC, FIN (yabancı kimlik numarası)
  • Tayland: Tay ulusal kimliği (13 haneli)
  • Çin: İkamet Kimlik Kartı numarası (18 haneli), Çin mobil numaraları
  • Hindistan: Aadhaar numarası, PAN kart numarası

ABD merkezli bir araç, SSN'leri güvenilir bir şekilde kapsar ancak Avrupa ulusal kimlik formatlarını atlayabilir. AB odaklı bir araç, IBAN ve AB ulusal kimliklerini kapsar ancak APAC müşteri verilerini işleyen Hintli çalışanlar için Aadhaar numaralarını kapsamayabilir.

Gerçek çoklu yargı kapsamı, tüm ilgili yargılar için varlık türlerini gerektirir — sadece aracın ana pazarını değil.

Çoklu Yargı Ekipleri için Ön Ayar Çerçevesi

Küresel olarak dağıtılmış bir ekip için pratik uygulama: aynı temel tespit motoruna uygulanan yargı spesifik ön ayarlar.

GDPR Standart ön ayar (AB ekip üyeleri için):

  • GDPR tarafından belirtilen 18 kişisel veri kategorisi
  • AB ekip üyeleri olan ülkeler için AB ulusal kimlik formatları (Alman, Fransız, İspanyol vb.)
  • AB bankacılığı (IBAN, BIC)
  • GDPR'nın geniş kişisel veri tanımına göre kalibre edilmiş güven düzeyleri

CCPA/HIPAA ön ayarı (düzenlenmiş verileri işleyen ABD ekip üyeleri için):

  • SSN, EIN, Medicare/Medicaid numaraları
  • Eyalet kimliği ve sürücü belgesi formatları
  • ABD finansal hesap numaraları
  • HIPAA'nın 18 PHI tanımlayıcısı (sağlık verilerini işleyen ekipler için)

APAC Gizlilik ön ayarı (APAC ekip üyeleri için):

  • Singapur NRIC, FIN
  • Tayland ulusal kimliği
  • Çin kimliği (18 haneli), Çin mobil numaraları
  • Hint Aadhaar, PAN
  • İlgili yerel e-posta alanı bayrakları

Her ön ayar bir kez, merkezi olarak yapılandırılır ve tüm ekip üyelerine sunulur — ekip üyesinin yargısına veya verinin yargısına (hangisi daha kısıtlayıcıysa) göre uygulanır.

Kullanım Durumu: Uzaktan Çalışan SaaS Şirketi Çoklu Yargı Denetimi

Almanya (18 çalışan, GDPR), Kaliforniya (22 çalışan, CCPA) ve Singapur (10 çalışan, PDPA) genelinde 50 çalışanı olan bir uzaktan çalışan SaaS şirketi, üç yargıyı kapsayan yıllık gizlilik denetimini gerçekleştirdi.

Birleşik araçtan önce:

  • Alman ekip: AB odaklı anonimleştirme aracı
  • Kaliforniya ekibi: sınırlı AB varlık kapsamına sahip ABD odaklı araç
  • Singapur ekibi: özel bir anonimleştirme aracı yok
  • Denetim bulgusu: yargılar arasında tutarsız anonimleştirme standartları; Singapur ekibi teknik kontroller olmadan çalışıyor

Birleşik araçtan sonra (üç yargı için):

  • Tüm 50 çalışan için aynı tespit motoru
  • Alman ekip için GDPR ön ayarı (48 dil desteği, AB varlık türleri)
  • Kaliforniya ekibi için CCPA ön ayarı (ABD varlık türleri, CCPA'ya özgü kategoriler)
  • Singapur ekibi için PDPA ön ayarı (APAC varlık türleri)
  • Üç yargıyı kapsayan tek merkezi denetim izi
  • Araç aracılığıyla işlenen tüm veriler için AB veri ikameti (aracın kendisi içinde sınır ötesi transferler için GDPR Madde 46'yı karşılamak)

2025 gizlilik denetimi sonuçları: Yargılar arasında anonimleştirme tutarsızlığı ile ilgili sıfır bulgu. Önceki denetimden Singapur ekibi bulgusu kapatıldı.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle