İçeriğe atla
Ücretsiz başlayın
CCPA/CPRA • ABD EYALET YASALARI

CCPA/CPRA ve ABD Eyalet Gizlilik Yasaları için Tam Rehber

ABD pazarına açılan şirketler için California CCPA/CPRA ve 20'den fazla eyaletin tüketici gizlilik yasası: kapsam eşikleri, tüketici hakları, Do Not Sell or Share yükümlülüğü ve evrensel opt-out (GPC). Bu içerik hukuki tavsiye niteliği taşımaz; bir uzman hukuk danışmanı ile çalışmanız önerilir.

Güncelleme 17 Haziran 2026
Kapsam ABD'de tüketici verisi işleyen şirketler
Maks. Ceza ihlal başına 7.500 USD'ye kadar

CCPA/CPRA Nedir?

California Tüketici Gizlilik Yasası (California Consumer Privacy Act, CCPA), ABD'nin en kapsamlı eyalet düzeyindeki gizlilik düzenlemesidir ve 1 Ocak 2020'de yürürlüğe girmiştir. Yasa, California sakinlerine kendi kişisel verileri üzerinde haklar tanır ve işletmelere şeffaflık yükümlülükleri getirir.

CCPA, 2020 referandumuyla kabul edilen California Gizlilik Hakları Yasası (California Privacy Rights Act, CPRA) ile önemli ölçüde genişletildi. CPRA hükümleri 1 Ocak 2023'te yürürlüğe girdi, denetim 1 Temmuz 2023'te başladı. CPRA ayrıca bağımsız bir denetim kurumu olan California Privacy Protection Agency'yi (CPPA) kurdu. Bugün CCPA denildiğinde genellikle CPRA ile güncellenmiş hali kastedilir.

ABD'ye açılan şirketler için pratik sonuç: California, ABD'nin en büyük tüketici pazarıdır ve çoğu eyalet yasası California modelini izler. CCPA/CPRA'ya uyum, diğer eyalet yasalarına uyum için sağlam bir temel oluşturur. Bu sayfa GDPR rehberinin tamamlayıcısıdır: AB için GDPR, ABD için CCPA/CPRA çerçevesi geçerlidir.
Kapsam

Kimler CCPA/CPRA Kapsamında?

CCPA/CPRA, California'da iş yapan ve aşağıdaki üç eşikten en az birini karşılayan kâr amaçlı işletmelere uygulanır.

25 Milyon USD Gelir

Yıllık brüt geliri 25 milyon USD'yi aşan işletmeler kapsamdadır. Tek başına bu eşik dahi yeterlidir.

100.000+ Tüketici

Yılda 100.000 veya daha fazla California tüketicisinin ya da hanesinin kişisel verisini alan, satan veya paylaşan işletmeler kapsamdadır.

Gelirin %50'si

Yıllık gelirinin %50 veya daha fazlasını tüketicilerin kişisel verisini satarak veya paylaşarak elde eden işletmeler kapsamdadır.

Önemli: Bu üç eşik veya bağlacıyla bağlıdır; birini karşılamak kapsama girmek için yeterlidir. Eşik değerleri ve yorumları zaman içinde güncellenebilir; güncel durum için CPPA (cppa.ca.gov) ve California Başsavcılığı (oag.ca.gov) resmi kaynaklarını esas alın.
CCPA/CPRA Hakları

Tüketici Hakları

CCPA/CPRA, California tüketicilerine kişisel verileri üzerinde altı temel hak tanır.

Bilme Hakkı

Tüketici, hangi kişisel verilerinin toplandığını, hangi amaçla kullanıldığını ve kimlerle paylaşıldığını öğrenebilir.

Silme Hakkı

Tüketici, işletmenin topladığı kişisel verilerinin silinmesini talep edebilir (belirli istisnalar geçerlidir).

Düzeltme Hakkı

Tüketici, kendisine ait yanlış kişisel verilerin düzeltilmesini isteyebilir (CPRA ile gelen hak).

Satış/Paylaşımdan Çıkma Hakkı

Tüketici, kişisel verisinin satılmasına veya paylaşılmasına itiraz edebilir.

Hassas Veri Kullanımını Sınırlama

Tüketici, hassas kişisel verisinin kullanımını ve ifşasını sınırlamasını talep edebilir (CPRA ile gelen hak).

Ayrımcılığa Uğramama

Haklarını kullanan tüketiciye işletme farklı fiyat veya hizmet uygulayarak ayrımcılık yapamaz.

Do Not Sell or Share ve Hassas Veri Sınırlama

CCPA/CPRA'nın en görünür yükümlülüğü, tüketicilere kişisel verilerinin satışına veya paylaşılmasına itiraz etme yolu sunmaktır. Kişisel veri satan veya paylaşan işletmeler, ana sayfalarında açıkça görünür bir link bulundurmalıdır.

Do Not Sell or Share My Personal Information

Bu link, tüketicinin kişisel verisinin satılmasını veya üçüncü taraflarla hedefli reklam amacıyla paylaşılmasını durdurmasını sağlar. Ana sayfada görünür konumda bulunmalı ve tüketiciyi opt-out mekanizmasına yönlendirmelidir.

  • Yasal dayanak: CCPA/CPRA
  • Konum: Ana sayfada görünür
  • İşlev: Satış/paylaşım opt-out'u

Limit the Use of My Sensitive Personal Information

Hassas kişisel veri (örneğin tam coğrafi konum, ırk/etnik köken, sağlık, cinsel yönelim, kesin finansal bilgi) toplayan işletmeler, tüketiciye bu verinin kullanımını sınırlama seçeneği sunan ikinci bir link bulundurmalıdır.

  • Yasal dayanak: CPRA
  • Konum: Ana sayfada görünür
  • İşlev: Hassas veri kullanım sınırı

İki link tek bir Your Privacy Choices bağlantısında birleştirilebilir. Önemli olan, opt-out yolunun tüketici için kolay erişilebilir ve anlaşılır olmasıdır.

Evrensel Opt-Out ve Global Privacy Control (GPC)

California, işletmelerin yalnızca site üzerindeki link ile yetinmesini değil, tarayıcı tabanlı opt-out tercih sinyallerini de tanımasını zorunlu kılar. Bunun en yaygın uygulaması Global Privacy Control (GPC) sinyalidir.

GPC, tüketicinin tarayıcısı veya eklentisi aracılığıyla gönderdiği, kişisel verimi satma veya paylaşma anlamına gelen otomatik bir sinyaldir. California düzenlemesi gereği işletmeler bu sinyali geçerli bir satış/paylaşım opt-out talebi olarak kabul etmek zorundadır. Tüketicinin her sitede ayrı ayrı link tıklamasına gerek kalmaz; sinyal tarayıcı düzeyinde bir kez ayarlanır ve tüm sitelerde geçerli olur.

cerez.io'da GPC zaten çalışır: Platform, ziyaretçinin tarayıcısı GPC sinyali gönderdiğinde bunu otomatik algılar. Domain ayarınızda GPC açıksa ve ziyaretçinin mevcut bir kararı yoksa, banner gösterilmeden gerekli olmayan çerezler reddedilir ve Google Consent Mode sinyalleri denied olarak güncellenir. Bu davranış, evrensel opt-out beklentisini teknik olarak karşılamaya yardımcı olur.
20+ eyalet

ABD Eyalet Gizlilik Yasaları Manzarası

2025-2026 itibarıyla 20'den fazla ABD eyaleti kapsamlı tüketici gizlilik yasası kabul etti. Çoğu, satış/hedefli reklam opt-out'u ve evrensel opt-out (GPC) tanımayı içerir. Aşağıdaki tablo başlıca eyaletleri özetler; güncel ve tam liste için resmi eyalet kaynaklarını esas alın.

EyaletYasaDurumÖne Çıkan Kural
California CCPA/CPRA Yürürlükte En kapsamlı; CPPA denetler, GPC zorunlu
Virginia VCDPA Yürürlükte İlk California sonrası model yasa
Colorado CPA Yürürlükte Evrensel opt-out mekanizması zorunlu
Connecticut CTDPA Yürürlükte Opt-out tercih sinyali tanıma
Utah UCPA Yürürlükte İşletme dostu, daha esnek model
Texas TDPSA Yürürlükte Geniş kapsam, gelir eşiği yok
Oregon OCPA Yürürlükte Talep üzerine üçüncü taraf listesi
Montana MCDPA Yürürlükte Düşük nüfus eşiği
Iowa ICDPA Yürürlükte Daha sınırlı tüketici hakları seti
Delaware DPDPA Yürürlükte Kâr amacı gütmeyenleri de kapsar
New Jersey NJDPA Yürürlükte Evrensel opt-out tanıma
Nebraska NDPA Yürürlükte Küçük işletmeleri de hedefler
New Hampshire NHDPA Yürürlükte Opt-out tercih sinyali
Minnesota MCDPA Yürürlükte Profil oluşturma itiraz hakkı genişletildi
Tennessee TIPA Yürürlükte NIST temelli program savunması
Florida FDBR Yürürlükte Yalnızca çok büyük işletmeler kapsamda
Maryland MODPA Yakında Veri minimizasyonunda daha katı
Indiana INCDPA Yakında Virginia modeline yakın
Kentucky KCDPA Yakında Virginia modeline yakın
Rhode Island RIDTPPA Yakında Şeffaflık odaklı

Liste sürekli genişlemektedir; başka eyaletler de yasa kabul etmiş veya tasarı aşamasındadır. Otorite kaynaklar: California için cppa.ca.gov ve oag.ca.gov; genel takip için resmi eyalet başsavcılığı siteleri.

cerez.io

cerez.io ile ABD Eyalet Uyumu

Platformumuz hangi adımları bugün otomatikleştirir, hangileri yol haritasında veya sizin sorumluluğunuzdadır? cerez.io ABD eyalet uyumunu garanti etmez; uyum sürecini ölçer, yönetir ve belgelemeye yardımcı olur.

GPC Sinyali Onurlandırma

Ziyaretçinin tarayıcısı GPC opt-out sinyali gönderdiğinde platform bunu otomatik algılar ve gerekli olmayan çerezleri banner göstermeden reddeder. California'nın evrensel opt-out beklentisini teknik olarak karşılamaya yardımcı olur.

Mevcut

Zaman Damgalı Consent Logu

Her consent kararı zaman damgası ve ziyaretçi tanımıyla kaydedilir. Eyalet yasalarının ön gördüğü hesap verebilirlik ve belgeleme ihtiyacını destekler.

Mevcut

Çok Dilli Banner ve Otomatik Tarama

Otomatik çerez tarama, kategorize etme ve çok dilli (TR/EN/DE) banner ile sitenizdeki veri işleme şeffaf biçimde gösterilir. Bilme hakkının teknik altyapısını destekler.

Mevcut

CCPA'ya Özel Do Not Sell Modu

California'ya özel Do Not Sell or Share linki ve modu şu an yol haritasındadır. Mevcut durumda GPC sinyali onurlandırma ve genel opt-out altyapısı ile çok yargı bölgeli uyum desteklenir.

Yol haritasında

ABD Eyalet Coğrafi Hedefleme

Ziyaretçinin eyaletine göre banner davranışını otomatik uyarlayan geo-targeting şu an yol haritasındadır. Mevcut durumda banner ve GPC davranışı tüm ziyaretçiler için tutarlı çalışır.

Yol haritasında

Hukuki Metinler ve Privacy Policy

CCPA/CPRA uyumlu gizlilik politikası ve Your Privacy Choices metinlerinin hukuki onayı sizin ve hukuk danışmanınızın sorumluluğundadır. cerez.io şablon ve teknik altyapı sunar, hukuki yeterliliği garanti etmez.

Kısmen desteklenir
cerez.io, çok yargı bölgeli (GDPR, KVKK ve ABD eyalet yasaları) bir uyum altyapısı sunar ve GPC sinyalini bugün onurlandırır. Bununla birlikte hiçbir yazılım tek başına yasal uyumu garanti edemez. CCPA/CPRA ve diğer eyalet yasalarına tam uyum, hukuki danışmanlık ve süreç tasarımıyla birlikte sağlanır.

Sık Sorulan Sorular

Kısa cevap: Eyaletin sınırları içinde değil, California sakinlerinin verisini işlemeniz halinde kapsama girebilirsiniz. CCPA/CPRA, California'da iş yapan ve üç kapsam eşiğinden (25M USD gelir, 100.000+ tüketici verisi veya gelirin %50'si veri satışından) en az birini karşılayan kâr amaçlı işletmelere uygulanır. ABD pazarına satış yapan bir Türk şirketi bu eşikleri karşılıyorsa kapsam dahilindedir.

Kısa cevap: CCPA temel yasadır (yürürlük 1 Ocak 2020). CPRA, CCPA'yı genişleten ve onu değiştiren düzenlemedir (yürürlük 1 Ocak 2023, denetim 1 Temmuz 2023). CPRA, düzeltme ve hassas veri sınırlama haklarını ekledi ve bağımsız denetim kurumu CPPA'yı kurdu. Bugün CCPA denildiğinde genellikle CPRA ile güncellenmiş hali kastedilir.

Kısa cevap: Kişisel veri satan veya paylaşan işletmeler için evet. Bu link ana sayfada görünür konumda bulunmalıdır. Hassas kişisel veri kullanan işletmeler ayrıca Limit the Use of My Sensitive Personal Information linkini de sunmalıdır. İki link Your Privacy Choices başlığı altında birleştirilebilir.

Kısa cevap: GPC, tüketicinin tarayıcısı aracılığıyla gönderdiği verimi satma veya paylaşma anlamına gelen otomatik bir opt-out sinyalidir. California düzenlemesi gereği işletmeler bu sinyali geçerli bir satış/paylaşım opt-out talebi olarak tanımak zorundadır. cerez.io bu sinyali bugün otomatik onurlandırır.

Kısa cevap: İhlal başına 2.500 USD'ye kadar; kasıtlı ihlallerde veya reşit olmayanların verisini içeren ihlallerde 7.500 USD'ye kadar ceza uygulanabilir. Yaptırım CPPA ve California Başsavcılığı eliyle yürütülür. Tutarlar ve uygulama detayları için resmi kaynakları esas alın.

Kısa cevap: cerez.io CCPA uyumunu garanti etmez; uyum sürecini ölçer, yönetir ve belgelemeye yardımcı olur. Bugün GPC sinyali onurlandırma, zaman damgalı consent logu, çok dilli banner ve otomatik tarama mevcuttur. CCPA'ya özel Do Not Sell modu ve ABD eyalet geo-targeting yol haritasındadır. Hukuki metinlerin yeterliliği hukuk danışmanınızla sağlanır.

ABD + AB + Türkiye = Tek platform

GPC onurlandırma, çok yargı bölgeli consent altyapısı, Google Consent Mode v2 ve otomatik çerez tarama. 5 dakikada kurulum.

Ücretsiz Başla Planları İncele

⚡ YASAL ZORUNLULUK 2025/10 Cumhurbaşkanlığı Genelgesi: Kamu, belediye, banka, üniversite, hastane, okullar için 21 Haziran 2026'ya WCAG 2.2 A zorunlu · Ceza: 5.000–25.000 TL/tespit
Detay →