Giriş
Kapsamlı bir federal gizlilik mevzuatının olmamasına rağmen, Amerikan işletmeleri birden fazla yönden artan düzenleyici baskıyla karşı karşıyadır. Bu yazıda, Federal Ticaret Komisyonu [Federal Trade Commission] gibi federal kurumların veri komisyoncularına ve platformlarına karşı harekete geçtiği, Kaliforniya’dan Teksas’a kadar eyaletlerin kendi agresif uygulama gündemlerini sürdürdüğü gelişen gizlilik uygulama manzarası haritalanıyor.
Kapsamlı bir federal veri gizliliği yasasının bulunmaması nedeniyle, Amerika Birleşik Devletleri’ndeki (ABD) gizlilik düzenleyici ortamı parça parça gelişmiş; Federal Ticaret Komisyonu gibi kurumlar veri gizliliği yükümlülüklerini uygulamaya koymuş ve yaklaşık iki düzine eyalet kendi gizlilik çerçevelerini oluşturmuştur.
ABD’de faaliyet gösteren şirketler için bu, bütünsel, dikkatlice oluşturulmuş bir gizlilik programı yerine doğal olarak parçalı uyum çabalarına veya hatta “bekle ve gör” yaklaşımına [wait-and-see approach] yol açabilir. Ancak yeni eyalet yasaları için yasal uyum muafiyet süreleri sona ererken ve eyalet ve federal düzenleyici otoriteler uygulama çabalarını artırırken, sağlam yasal uyum daha fazla bekleyemez.
İşte işletmelerin 2025 yılında dikkat etmesi gereken önemli gelişmeler ve önümüzdeki uyum testlerine en iyi şekilde nasıl hazırlanılacağı.
- Düzenleyici otoriteler veri gizliliği uygulama çabalarını artırıyor
Federal düzenleyici otoriteler geçen yıl gizlilik uygulamaları konusunda iddialı bir tempo belirlediler ve çocukların gizliliğini korumaya ve biyometrik, konum ve tarama verileri gibi hassas bilgileri korumaya odaklandılar.
Örneğin Federal Ticaret Komisyonu, beş veri aracısına karşı, kişileri tanımlamak ve din, sağlık ve siyasi yönelim gibi hassas kategorilere göre etiketlemek için kullanılabilecek konum verilerini yasadışı olarak topladıklarını, kullandıklarını ve sattıklarını iddia ederek yaptırım eylemi başlatmıştır. Ayrıca, özellikle ‘TikTok’a Çocukların Çevrimiçi Gizliliğini Koruma Yasası’nı [Children’s Online Privacy Protection Act] “açıkça ihlal ettiği” [flagrantly violating] gerekçesiyle işlem yaparak çocukların çevrimiçi etkinlikleriyle ilgili sorunlara öncelik vermiştir[1].
Eyaletler de bu yolu izlemiştir: Colorado ve Connecticut gibi birden fazla eyalet otoritesi, gizlilik koruma programlarını uygulamak ve yeni yasalara uymak için muafiyet sürelerini sonlandırmıştır[2]. Özellikle, eyalet düzeyindeki en önemli düzenleyici otoritelerden biri olan Kaliforniya Gizlilik Koruma Kurumu [California Privacy Protection Agency], 2024 yılının sonlarında eyaletin Silme/Kazıma Yasası [Delete Act] kapsamında veri aracısı kayıt yükümlülüklerini uygulamaya başlamıştır[3].
Teksas başsavcılığı geçen yıl da özellikle aktifti, Meta’ya eyalet yasasını ihlal ederek biyometrik veri topladığı[4] ve ‘TikTok’a çocukların verilerini üçüncü taraflara ifşa ettiği gerekçesiyle dava açmıştır[5]. Ayrıca yüzden fazla şirket, 2023 yılında yürürlüğe giren bir eyalet yasasının öngördüğü şekilde veri komisyoncusu olarak kayıt yaptırmadıkları için “Lone Star” (yalnız yıldız) Eyaletinin[6] başsavcılığından bir bildirim[7] almıştır.
- Yeni gizlilik yasaları düzenleyici ortamı daha da karmaşık hale getiriyor
Bu uygulama ortamının 2025 yılında yeni yasalar yürürlüğe girdikçe daha da karmaşık hale gelmesi muhtemeldir ve kapsamlı gizlilik yasalarına sahip eyaletlerin toplam sayısı 20’ye ulaşacaktır. Delaware, New Hampshire, Nebraska, Iowa ve New Jersey eyaletlerinin yasaları Ocak ayında yürürlüğe girerken; Tennessee ve Minnesota eyaletlerinin yasaları Temmuz ayında ve Maryland eyaletinin yasası Ekim ayında yürürlüğe girecektir. Bu yeni yasalar yalnızca daha sıkı veri koruma koşulları getirmekle kalmıyor, aynı zamanda tüketici haklarını da geliştiriyor ve kişisel verileri işleyen işletmeler için daha fazla şeffaflık yükümlülüğü getiriyor.
Yeni yönetim gizlilik korumalarını düzenleme ve uygulama konusunda farklı bir yaklaşım benimseyebilirken, şirketler Federal Ticaret Komisyonu’ndan daha gevşek bir yaklaşım beklememelidir. Sonuçta, yeni başkan Andrew Ferguson, kurumun 2024 yılında aldığı gizlilik uygulama eylemlerinin çoğunu desteklemiştir. Onun liderliğinde, kurumun hassas verileri ve çocukların gizliliğini korumaya odaklanmaya devam etmesi muhtemeldir.
Ayrıca, ABD ile diğer ülkeler arasındaki jeopolitik gerginlikler yoğunlaştıkça, sınır ötesi veri transferleri yapan şirketler, bu yıl yürürlüğe giren Rusya ve Çin dâhil olmak üzere veri transferlerini “endişe duyulan ülkelerle” [countries of concern] sınırlayan yeni ABD Adalet Bakanlığı kuralıyla[8] hesaplaşmak zorundadır. Bu çerçeve altında, şirketler önemli güvenlik ve uyum önlemleriyle karşı karşıya kalacak ve bazı işlem türleri tamamen yasaklanacaktır.
- Gizlilik uyumu için 2025 yılındaki en iyi uygulamalar
Son derece karmaşık ve sürekli olarak gelişen bir eyalet ve federal gizlilik yasaları karmaşasıyla karşı karşıya kalındığında, mevzuata uyum çabalarını başlatmak veya güçlendirmek göz korkutucu görünebilir. Ancak bu yerleşik en iyi uygulamaları takip etmek, kuruluşların riskleri belirlemesine, yükümlülükleri en aza indirmesine ve gelecekteki değişikliklere uyum sağlamak için sorunsuz süreçler oluşturmasına yardımcı olabilir.
3.1. Mevcut veri toplama uygulamalarını anlamak
Yasal uyum ekiplerinin öncelikle şirketin ne tür verileri topladığını ve bunları nasıl topladığını, bu verilerin nerede saklandığını ve nasıl kullanıldığını anlamak için kapsamlı bir denetim gerçekleştirmesi gerekir. Ayrıca şirketin üçüncü taraflara herhangi bir veri satıp satmadığını da not etmek önemlidir, çünkü bu işlemler kendi katı yasal koşullarıyla birlikte gelir ve Federal Ticaret Komisyonu gibi düzenleyici otoriteler için bir uygulama önceliğidir.
Pazarlama ve satış departmanları bu denetimlere başlamak için iyi bir yer olabilir, çünkü bu işlevler genellikle alıcı tercihlerini çözümlemeye ve potansiyel müşterilere ulaşmaya yardımcı olmak için veri toplama ve kullanımını yönlendirme eğilimindedir.
Bir tür denetim genellikle yasa gereği zorunludur. Çoğu eyalet gizlilik yasası, şirketlerin hedefli reklamcılık yapmaları, hassas veriler (örneğin konum, ırk veya sağlık) toplamaları veya bu bilgileri satmaları durumunda bir veri koruma etki değerlendirmesi yapmalarını zorunlu kılar. Bu değerlendirmeler genellikle veri işlemenin arkasındaki amacı ve prosedürleri, işletme için yükümlülüğün değerlendirilmesini ve tüketiciler için riskleri ve tüketici haklarını korumak için olası çözümleri içerir.
3.2. Mevcut şirket gizlilik politikalarını değerlendirmek
Yasal uyum ekipleri şirketin risk profilini daha iyi anladıklarında, kamuya açık gizlilik politikalarının güncel olduğundan emin olmalıdırlar. Şirket verileri düzgün bir şekilde işliyor olsa bile, yeni gizlilik yasalarına aykırı olan eski bir politika, şirketin yapmadığı bir şey yüzünden başını derde sokabilir.
Buna ek olarak, aşırı geniş kapsamlı bir politika, güncel olmayan bir politika kadar çok soruna yol açabilir. Güncellenen politikalar, toplanan kişisel bilgileri ve verileri doğru bir şekilde yansıtmalı ve her şeyi kapsayan bir veri olarak aşırı veri eklemeye çalışmamalıdır.
Şirketler ayrıca tüketicilere verilerinin nereye gittiğine dair tam bir resim sunmak için web sitesinde üçüncü taraf izleme teknolojileri ve çerezlerin kullanımını doğru bir şekilde açıklayan politikalara sahip olmalıdır.
3.3.Gizlilik programının karmaşıklığını geliştirmek
Şirketler, gizlilik risklerini azaltmak için uygulamaya koydukları gizlilik politikalarına uyabilmelidir; çünkü politikalara ve geçerli yasalara uyulmaması durumunda soruşturmalar ve para cezaları söz konusu olabilir.
Bu, tüketici hakları taleplerine etkili bir şekilde yanıt verebilmek ve kişisel verilerin nasıl kullanıldığı ve saklandığı hakkında bilgi sağlamak için arka uçta çalışma yapmayı gerektirir ki; düzenleyici otoritelerden gelen bilgi taleplerine yanıt verme prosedürleri geliştirmek de buna dâhildir. Uygun belgelerin hazırlanması ve belirlenmiş iletişim noktalarının olması, sorunlar ortaya çıkarsa son dakika karmaşasını önlemeye yardımcı olabilir.
Şirketler ek riskleri azaltmak için satıcıları denetlemek, yeni araçları değerlendirmek ve politikaları güncel tutmak için sağlam uyum prosedürleri oluşturmalıdır. Örneğin, satış veya pazarlama ekipleri satıcılardan yeni araçlar veya platformlar satın almak istediğinde, bu süreç genellikle ilgili mevzuata uyum ve siber güvenlik sorunlarını inceleyen bilgi teknolojisi ekipleri tarafından yönlendirilir. Ancak bilgi teknolojisi bölümü, bu yeni araçların getirebileceği gizlilik uyumu sorunlarının farkında olmayabilir, bu nedenle işletmeler denetleme süreçlerinin uyum ekibini en baştan dâhil ettiğinden emin olmalıdır.
Sonuç
Yeni kuralların 2025 yılında yürürlüğe girmesi ve uygulama çabalarının hızlanmasıyla birlikte şirketlerin gizlilik uyumuna öncelik vermesinin zamanı gelmiştir. Güncellenmiş ve uygulanabilir politikalar ve prosedürler, işletmenin risk profili ve topladığı ve işlediği veriler hakkında kapsamlı bilgiyle birleştirildiğinde, gizlilik düzenleme ortamının önümüzdeki yıllarda daha karmaşık hale gelmesiyle birlikte maliyetli yasal sorunların önlenmesine yardımcı olabilir.
[1]<https://www.ftc.gov/news-events/news/press-releases/2024/08/ftc-investigation-leads-lawsuit-against-tiktok-bytedance-flagrantly-violating-childrens-privacy-law>.
[2]<https://btlaw.com/en/insights/alerts/2023/july-brings-enforcement-and-delay-of-new-privacy-laws>.
[3]<https://cppa.ca.gov/announcements/2024/20241030.html>.
[4]<https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-secures-14-billion-settlement-meta-over-its-unauthorized-capture>.
[5]<https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-sues-tiktok-sharing-minors-personal-data-violation-texas-parental>.
[6]Çevirenin Notu: “Lone Star” (yalnız yıldız), Teksas eyaletinin takma adıdır.
[7]<https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-notifies-over-100-companies-their-apparent-failure-comply-texas-data>.
[8]<https://www.justice.gov/archives/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access>.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.