New Zealand Privacy Act 2020 Çerez Onayı Uyum Rehberi: 2026'da Yayıncılar İçin
New Zealand, gizlilik düzenlemesi alanında ağırlığının çok üzerinde etki yaratan küçük pazarlardan biridir. Privacy Act 2020, 1993 tarihli yasanın yerini alarak ülkeyi Avrupa standartlarıyla çok daha uyumlu hale getiren modernize edilmiş bir çerçeve oluşturmuş; Office of the Privacy Commissioner (OPC), yeni Kanun yürürlüğe girdiğinden bu yana aktif ve alışılmadık derecede iletişime açık bir düzenleyici kurum olmuştur. New Zealand trafiğine hizmet veren yayıncılar ve SaaS operatörleri için pratik uyum sorusu, OPC'nin 2025 yılında yayımladığı çevrimiçi izleme rehberiyle önemli ölçüde değişti; bu rehber, Kanun'un rıza ve bilgilendirme ilkelerini açıkça çerezlere, piksellere ve davranışsal reklamcılığa uyguladı. Kanun, GDPR değildir — anlamlı farklılıklar mevcuttur — ancak operasyonel standart artık Avrupa normlarına göre inşa eden ekiplerin büyük çoğunluğunun küçük yapılandırma değişiklikleriyle New Zealand denetimine dayanabileceği kadar yakınlaşmıştır. Bu rehber, Kanun'un neler gerektirdiğini, 2025 OPC rehberinin neyi değiştirdiğini ve pratik uyum çalışmalarının nereye odaklanması gerektiğini ele almaktadır.
Privacy Act 2020'ye Genel Bakış
Privacy Act 2020, kişisel bilgilerin kurumlarca nasıl toplanacağını, kullanılacağını, saklanacağını ve ifşa edileceğini düzenleyen on üç Bilgi Gizliliği İlkesi (IPP) üzerine inşa edilmiştir. IPP'ler kavram olarak Kanun'dan önce de mevcuttu — kökleri 1993 tarihli yasaya dayanır — ancak yorumları ve uygulamaları 2020'de köklü biçimde modernize edildi. Kanun, New Zealand'da ikamet edenlere ait kişisel bilgileri toplayan veya elinde bulunduran her kuruma uygulanır ve ülke dışına taşınan bir etki alanına sahiptir: New Zealand ziyaretçi verilerini işleyen yurt dışındaki bir yayıncı, bir AB kurumunun GDPR kapsamında değerlendirileceği gibi kapsam dahilindedir.
2020 modernizasyonundaki en önemli değişiklik, zorunlu gizlilik ihlali bildirim rejiminin getirilmesiydi: ciddi zarara yol açma ihtimali bulunan her ihlal, OPC'ye ve etkilenen kişilere bildirilmek zorundadır. Çevrimiçi yayıncılar açısından pratik sonuç şudur: çerezle ilgili olaylar — rızadan önce tetiklenen ve üçüncü taraflara tanımlayıcı sızdıran bir izleme pikseli, rıza kararlarını açığa çıkaran yanlış yapılandırılmış bir CMP, çerez denetim günlüklerini etkileyen bir güvenlik olayı — eski rejim altında mevcut olmayan bildirim yükümlülüklerini tetikleyebilir.
Kanun'un Çerezlere ve Çevrimiçi İzlemeye Yaklaşımı
Kanun, çerezlere özgü bir hüküm içermemektedir; bu durum tarihsel olarak bazı operatörlerin çerezlerin kapsam dışında kaldığını varsaymasına yol açmıştır. OPC'nin 2025 rehberi bu yorumsal boşluğu açıkça kapattı. Kişisel bilgi toplayan çerezler ve pikseller — OPC ise kişisel bilgiyi, cihaz tanımlayıcılarını, davranışsal verilerle birleştirilen IP adreslerini ve olasılıksal cihaz parmak izlerini kapsayacak kadar geniş tanımlamaktadır — başka herhangi bir kimlik yüzeyinde olduğu gibi Kanun'un toplama ve ifşa ilkelerine tabidir.
Çevrimiçi izleme açısından en önemli IPP'ler şunlardır:
- IPP 1 (toplama amacı) — kişisel bilgiler yalnızca kurumun işleviyle bağlantılı yasal bir amaç için ve yalnızca söz konusu amaç için toplanmanın zorunlu olduğu durumlarda toplanabilir.
- IPP 3 (bireylerden bilgi) — kişisel bilgiler doğrudan bireyden toplandığında, kurum bu kişiyi amaç, alıcılar ve bilginin sağlanmamasının sonuçları hakkında bilgilendirmek zorundadır.
- IPP 4 (toplama biçimi) — toplama haksız, hukuka aykırı veya makul olmayan ölçüde müdahaleci olmamalıdır. Bildirim yapılmaksızın gizlice toplama genel olarak bir kusur sayılır.
- IPP 10 (kişisel bilginin kullanımı) — bir amaç için toplanan bilgiler, rıza veya başka bir hukuki dayanak olmaksızın başka bir amaçla kullanılamaz.
- IPP 12 (New Zealand dışına ifşa) — kişisel bilgilerin yurt dışına gönderilmesi; alıcının yargı bölgesinin karşılaştırılabilir güvenceler sağlamasını, sözleşmeden doğan güvenceleri veya belirli bir rızayı gerektirir.
Bu kombinasyon, GDPR'ın hukuki dayanak, şeffaflık, amaç sınırlaması ve sınır ötesi aktarım kurallarıyla işlevsel olarak benzerdir; yalnızca terminoloji New Zealand çerçevesine uyarlanmıştır. OPC, hukuki dilin farklılık gösterdiği durumlarda bile standartların uyumlu olduğunu açıkça ifade etmiştir.
2025 Çevrimiçi İzleme Rehberi Neyi Değiştirdi?
OPC, 2025 yılının başında çerez banner'ları, rıza kayıtları ve üçüncü taraf veri paylaşımına ilişkin belirli beklentileri dile getiren kapsamlı bir çevrimiçi izleme rehberi yayımladı. Dört nokta operasyonel açıdan en büyük etkiye sahiptir.
Zorunlu olmayan izleme için açık rıza
Rehber, kaydırma yoluyla rıza, kullanmaya devam etme yoluyla rıza ve zımni rızanın zorunlu olmayan izleme için IPP 1 ve IPP 3'ü karşılamadığı konusunda kesinlikle nettir. Açık bir olumlu eylem gerekmektedir. Bu durum, New Zealand'ı EDPB Çerez Banner Görev Gücü'nün tutumuna uyumlu hale getirmiştir.
Ayrıntılı kategori kontrolleri
OPC, banner'ların kesinlikle gerekli çerezleri analizden ve pazarlamadan ayırmasını, ziyaretçinin kategorileri bağımsız olarak kabul edebilmesini beklemektedir. Ayrıntısız tek bir «tümünü kabul et» seçeneği bir kusur olarak değerlendirilir.
Yurt dışı aktarım dokümantasyonu
IPP 12, eski yoruma kıyasla daha güçlü bir etki taşımaktadır. Verileri ABD'li reklam teknolojisi sağlayıcılarına yönlendiren çerezler için yayıncının, aktarımın hangi güvenceler kapsamında gerçekleştiğini — genellikle sözleşmeden doğan güvenceler veya varsa alıcının yeterliliğe eşdeğer statüsü — kanıtlayabilmesi gerekmektedir. OPC, bir soruşturmada «Google Analytics kullanıyoruz» yanıtının artık yeterli olmadığına işaret etmiştir.
Te Reo Māori erişilebilirliği
2025 rehberi, gizlilik açıklamalarında Te Reo Māori erişilebilirliğine ilişkin özel ifadeler içermektedir. OPC, iki dilli banner'ları katı bir zorunluluk haline getirmemiş; ancak Māori topluluklarına hizmet veren kurumlar için iyi niyet uyumunun anlamlı bir göstergesi olarak Te Reo'nun kullanılabilirliğine dikkat çekmiştir. Rehberin yayımlanmasından bu yana birçok büyük New Zealand yayıncısı iki dilli banner'lara geçmiştir.
Office of the Privacy Commissioner'ın Uygulama Tutumu
OPC, uyum planlaması açısından önem taşıyan üç yapısal bakımdan büyük Avrupa veri koruma otoritelerinden farklı biçimde işlemektedir.
Şikâyet odaklı önceliklendirme
OPC, proaktif denetimlere kıyasla şikâyete dayalı soruşturmaları önceliklendirmektedir. Pratik sonuç şudur: bir OPC soruşturmasına giden en yaygın yol bir kullanıcı şikâyetidir; bu da duyarlı şikâyet yönetimini ve belgelenmiş bir denetim izini özellikle önemli kılmaktadır.
Para cezalarından önce uyum bildirimleri
2020 Kanunu OPC'ye, belirli bir süre içinde belirli bir iyileştirme yapılmasını talep eden uyum bildirimleri yayımlama yetkisi tanımaktadır. Hukuki yaptırımlar mevcut olmakla birlikte genellikle bir bildirimin görmezden gelinmesi veya kasıtlı olarak ihlal edilmesi halinde başvurulan son çaredir. Bir bildirimi takiben iyi niyetle gerçekleştirilen iyileştirme, çoğunlukla meseleyi maddi bir sonuç doğurmadan kapatır.
Yurt dışı düzenleyici kurumlarla koordinasyon
OPC, Global Privacy Assembly'e aktif biçimde katılmakta; EDPB, UK ICO ve Asia Pacific Privacy Authorities forumlarıyla çalışma ilişkileri sürdürmektedir. New Zealand ve Avrupa trafiğini kapsayan sınır ötesi soruşturmalar giderek daha fazla koordineli prosedürlerle yürütülmektedir.
Pratik Uyum Kontrol Listesi
New Zealand trafiğine hizmet veren herhangi bir çerez banner'ı için yanıtlanması gereken altı somut soru.
- İlk katmanda açık bir reddetme seçeneği var mı? Reddetme yolu, kabul ile aynı yüzeyde ve benzer görsel belirginlikte yer almalıdır. Kaydırma yoluyla rıza ve zımni kabul, 2025 rehberini karşılamamaktadır.
- Kategoriler ayrıntılı mı? Zorunlu, analitik ve pazarlama çerezleri ayrı ayrı kontrol edilebilir olmalıdır. Ayrıntısız tek bir «tümünü kabul et» seçeneği bir kusurdur.
- Yurt dışı aktarım belgelenmiş mi? New Zealand dışına veri gönderen her çerez için aktarımı yetkilendiren IPP 12 mekanizmasını belirtin.
- Gizlilik bildirimi IPP 3 ile uyumlu mu? Bildirimin amacı, alıcıları ve sonuçları belirttiğini, çerez banner'ının da bu bildirimi bağladığını doğrulayın.
- Rıza günlüğü denetim düzeyinde mi? Zaman damgası ve banner sürümü içeren rıza kararı kayıtları, bir OPC soruşturmasına yanıt verebilmek için pratikte zorunludur.
- İhlal müdahalesi hazır mı? Çerezle ilgili olayların, OPC'ye ve bireysel bildirime gerek olup olmadığını belirleyen ihlal değerlendirme iş akışını tetiklediğini doğrulayın.
New Zealand'ın Çok Yargı Yetkili Bir Yapıdaki Yeri
Avustralya, Birleşik Krallık, Kanada, ABD ve New Zealand gibi İngilizce konuşulan ülkelerde faaliyet gösteren yayıncılar için Privacy Act 2020, büyük İngilizce konuşan yargı bölgelerinin yakınsadığı GDPR uyumlu çerçeve içinde sağlam biçimde konumlanmaktadır. Avrupa standartlarına göre inşa edilmiş bir CMP mimarisi, küçük yapılandırma değişiklikleriyle New Zealand uyumunu sağlar: Te Reo Māori dil desteği, IPP 12 aktarım dokümantasyonu ve OPC tarzı şikâyet yönetimi yatırım yapılmaya değer özgün eklemelerdir. Stratejik değer şuradan kaynaklanmaktadır: New Zealand, tarihsel olarak uluslararası SaaS operatörleri tarafından ürün lansmanları için «test pazarı» olarak kullanılmıştır; bu nedenle burada benimsenen uyum tutumu, İngilizce konuşan dünyanın geri kalanının göreceği şeyin çoğunlukla bir önizlemesidir. Doğruyu erken yapmak, rutin bir yerelleştirme alıştırmasından ziyade anlamlı bir operasyonel avantaj sunar.