Kaliforniya'nın Gizlilik Çerçevesini Anlamak

Kaliforniya, tüketici gizliliği mevzuatında Amerika Birleşik Devletleri’ne öncülük etmiş olup, yasaları dünya çapındaki web sitelerini etkiler. Ocak 2023 itibarıyla önemli ölçüde değiştirilmiş haliyle California Consumer Privacy Act (CCPA) ve onu güçlendiren California Privacy Rights Act (CPRA), Kaliforniya sakinlerinden kişisel bilgi toplayan her işletme için — bu işletmenin fiziksel olarak nerede bulunduğundan bağımsız olarak — yükümlülükler yaratır.

Web sitesi sahipleri için pratik sonuçlar; çerezler, izleme teknolojileri ve kullanıcı verilerinin üçüncü taraflarla nasıl paylaşıldığı etrafında şekillenir. Kaliforniya modeli Avrupa’daki GDPR’dan temelde farklı olsa da, yine de onay (rıza) mekanizmalarına ve kullanıcı haklarına dikkatli bir şekilde yaklaşmayı gerektirir.

CCPA/CPRA: Kapsam Dahilinde Kimler Var?

Yasa, aşağıdaki eşiklerden herhangi birini karşılayan kâr amaçlı işletmelere uygulanır:

• Yıllık brüt gelirin 25 milyon $’ı aşması.
• Yıllık olarak 100.000 veya daha fazla Kaliforniya sakini, hane veya cihaza ait kişisel bilgiyi satın almak, satmak veya paylaşmak.
• Yıllık gelirinin %50 veya daha fazlasını Kaliforniya sakinlerinin kişisel bilgilerini satma veya paylaşmadan elde etmek.

İkinci eşik, reklam alan web siteleri için özellikle önemlidir. Siteniz hedefli reklamcılık için üçüncü taraf çerezleri kullanıyorsa ve önemli miktarda Kaliforniya trafiği alıyorsa, yalnızca bu çerezler üzerinden yılda 100.000’in çok üzerinde Kaliforniya kullanıcısının verisini işliyor olabilirsiniz.

Opt-Out ve Opt-In: GDPR’dan Temel Fark

Bu, web sitesi işletmecilerinin anlaması gereken en kritik ayrımdır. GDPR kapsamında varsayılan model opt-in’dir: kullanıcı aktif olarak onay vermeden zorunlu olmayan çerezleri ayarlayamazsınız. CCPA/CPRA kapsamında ise varsayılan model opt-out’tur: kullanıcı size durmanızı söyleyene kadar kişisel bilgileri (çerezler aracılığıyla işleme dahil) işleyebilirsiniz.

Bu, Kaliforniya ziyaretçileri için onay deneyiminin temelde farklı göründüğü anlamına gelir:

• GDPR yaklaşımı: Tüm zorunlu olmayan çerezleri engelleyin. Bir banner gösterin. Olumlu onay bekleyin. Yalnızca ondan sonra çerezleri ayarlayın.
• CCPA/CPRA yaklaşımı: Çerezler varsayılan olarak ayarlanabilir. Görünür ve açık bir şekilde "Do Not Sell or Share My Personal Information" bağlantısı sağlayın. Bir kullanıcı bu hakkını kullandığında, verilerini üçüncü taraflarla paylaşmayı durdurun.

Bununla birlikte önemli istisnalar vardır. 16 yaş altındaki reşit olmayanlar için CCPA/CPRA bir opt-in modeline geçer — kişisel bilgilerini satmadan veya paylaşmadan önce olumlu onay almanız gerekir. 13 yaş altındaki çocuklar için bu onayı bir ebeveyn veya yasal vasi vermelidir.

"Do Not Sell or Share" Zorunluluğu

CPRA, orijinal CCPA’deki "Do Not Sell" hakkını "sharing"i de kapsayacak şekilde genişletmiştir — bu da özellikle üçüncü taraf reklam çerezleri üzerinden gerçekleşen veri alışverişini hedefler. Bir kullanıcı sitenizi ziyaret ettiğinde ve çerezleriniz tarama verilerini reklam ağlarına gönderdiğinde, bu durum CPRA kapsamında, doğrudan para el değiştirmese bile, sharing (paylaşım) olarak kabul edilir.

Yükümlülükleriniz şunları içerir:

• Ana sayfanızda ve gizlilik politikanızda "Do Not Sell or Share My Personal Information" başlıklı net bir bağlantı.
• Kullanıcıların bu hakkı kolayca kullanabilmesi için, hesap oluşturmayı zorunlu kılmayan bir mekanizma.
• Talebi 15 iş günü içinde yerine getirmek.
• Bu hakkı kullanan kullanıcılara karşı ayrımcılık yapmamak (örneğin deneyimlerini kötüleştirerek).

Global Privacy Control (GPC)

Global Privacy Control, kullanıcıların ziyaret ettikleri her web sitesine otomatik olarak vazgeçme (opt-out) tercihlerini iletebilmelerini sağlayan tarayıcı düzeyinde bir sinyaldir. Firefox ve Brave gibi büyük tarayıcılar GPC’yi yerel olarak destekler; tarayıcı uzantıları ise Chrome ve diğerlerine destek ekler.

CPRA düzenlemeleri uyarınca işletmeler, GPC sinyallerini geçerli bir opt-out talebi olarak kabul etmek zorundadır. Bunun önemli pratik sonuçları vardır:

• Web siteniz Sec-GPC: 1 HTTP başlığını veya navigator.globalPrivacyControl JavaScript özelliğini tespit edebilmelidir.
• Tespit edildiğinde, bunu kullanıcının "Do Not Sell or Share"e tıklamasıyla eşdeğer şekilde ele almalısınız.
• Reklam amaçlı kullanılan üçüncü taraf çerezleri bu kullanıcılar için bastırılmalıdır.

GPC benimsenmesi istikrarlı biçimde artıyor. Tahminler, web trafiğinin %5 ila %10’unun artık bir GPC sinyali taşıdığını ve bu oranın Kaliforniya’daki gizlilik bilinci yüksek kullanıcılar arasında daha da yüksek olduğunu gösteriyor.

Kaliforniya İçin Gerçekte Ne Zaman Çerez Banner’ına İhtiyaç Duyarsınız?

Birçok işletmenin kafasının karıştığı nokta burasıdır. Teknik olarak, opt-out modeli nedeniyle CCPA/CPRA, Avrupa tarzı bir çerez onay banner’ını zorunlu kılmaz. Ancak, şu gereklilikler vardır:

• Kolayca erişilebilen bir "Do Not Sell or Share" bağlantısı.
• Bir kullanıcı opt-out yaptığında veya GPC sinyali gönderdiğinde üçüncü taraf veri paylaşımını bastıracak bir mekanizma.
• Toplanan kişisel bilgi kategorilerini, amaçlarını ve verilerin paylaşıldığı üçüncü tarafları açıklayan bir gizlilik politikası.
• Avrupalı ziyaretçilere de hizmet veren siteler için, CCPA opt-out mekanizmasıyla birlikte var olabilen GDPR uyumlu bir onay banner’ı.

Pratikte, hem Avrupa hem de Kaliforniya kitlelerine hizmet veren ��oğu web sitesi, ziyaretçinin konumuna göre davranışını uyarlayan birleşik bir onay arayüzü uygular. Bu, tamamen ayrı iki onay sistemi yürütme zorunluluğunu ortadan kaldırır.

Pratik Uygulama Hususları

CCPA/CPRA uyumluluğunu GDPR uyumluluğu ile birlikte uygulamak, çift modlu bir zorluk yaratır. Onay yönetim platformunuzun şunları yapabilmesi gerekir:

1. Ziyaretçinin konumunu IP tabanlı coğrafi konum tespitiyle doğru biçimde belirlemek.
2. Doğru hukuki çerçeveyi uygulamak — AEA/Birleşik Krallık ziyaretçileri için opt-in, Kaliforniya ziyaretçileri için opt-out ve diğer bölgelerden gelen ziyaretçiler için muhtemelen hiçbir gereklilik olmaması.
3. Kaliforniya ziyaretçileri için "Do Not Sell or Share" bağlantısını yönetmek; bunu banner içinde veya bağımsız bir sayfa öğesi olarak sunmak.
4. Herhangi bir üçüncü taraf çerezi ayarlanmadan önce GPC sinyallerini tespit etmek ve bunlara uymak.
5. Çerez davranışını buna göre kontrol etmek — opt-out yapan kullanıcılar için üçüncü taraf reklam çerezlerini engellerken, bir iş amacı kapsamında değerlendirilen birinci taraf analitiklerini sürdürmek.

Teknik uygulama ayrıca birinci taraf analitik çerezleri (genellikle CCPA/CPRA kapsamında bir iş amacı olarak kabul edilir) ile üçüncü taraf reklam çerezleri (paylaşım teşkil eder ve opt-out’a tabidir) arasındaki ayrımı da hesaba katmalıdır.

Kaliforniya Ziyaretçileri İçin FlexyConsent Geo-Targeting

FlexyConsent, otomatik geo-targeting yoluyla çift modlu zorluğu yönetir. Bir Kaliforniya ziyaretçisi sitenize geldiğinde, FlexyConsent davranışını CCPA/CPRA gereklilikleriyle uyumlu olacak şekilde ayarlar:

• Opt-out modu aktivasyonu: Tüm çerezleri baştan engellemek yerine, FlexyConsent gerekli "Do Not Sell or Share My Personal Information" seçeneğini belirgin biçimde gösterir.
• GPC sinyal tespiti: FlexyConsent, Global Privacy Control sinyalini otomatik olarak kontrol eder ve sinyal mevcut olduğunda, herhangi bir kullanıcı etkileşimi gerektirmeden üçüncü taraf veri paylaşımını bastırır.
• Kategoriye duyarlı engelleme: Bir Kaliforniya kullanıcısı opt-out yaptığında, FlexyConsent reklam ve siteler arası izleme çerezlerini seçici biçimde engellerken, iş amacı istisnası kapsamına giren birinci taraf analitik işlevselliğini korur.
• Kesintisiz GDPR birlikte varlığı: Aynı FlexyConsent kurulumu her iki çerçeveyi de yönetir. Avrupalı ziyaretçiler, ayrıntılı kategori kontrollerine sahip GDPR uyumlu bir opt-in banner’ı görür. Kaliforniya ziyaretçileri ise uygun opt-out mekanizmasını görür. Düzenlemeye tabi olmayan bölgelerden gelen ziyaretçiler, yapılandırmanıza bağlı olarak minimum düzeyde bir bildirim veya hiç banner görmez.

Google-certified CMP olarak IAB TCF 2.3 ve Consent Mode V2 desteği sunan FlexyConsent, hangi hukuki çerçeve geçerli olursa olsun onay sinyallerinin Google hizmetlerine doğru şekilde iletilmesini sağlar. Bu, Google Analytics ve Google Ads yapılandırmalarınızın hem opt-in yapmış Avrupalı kullanıcılar hem de opt-out yapmamış Kaliforniya kullanıcıları için doğru biçimde çalışacağı anlamına gelir.

Önemli çıkarım: Kaliforniya’nın opt-out modeli, GDPR’ın opt-in yaklaşımına göre daha az kısıtlayıcı görünebilir; ancak özellikle GPC sinyalleri ve "sharing" kavramının geniş tanımı etrafındaki pratik gereklilikler, reklamla desteklenen çoğu web sitesinin gelişmiş bir onay yönetim çözümüne ihtiyaç duyduğu anlamına gelir. Her iki çerçeveye de uyum sağlayacak şekilde geo-targeted onay uygulamak, tek bir yaklaşımı küresel ölçekte uygulamaya çalışmaktan çok daha güvenilirdir.