Yasal uyarı: Bu rehber bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez. CCPA uyumu için mutlaka veri gizliliği alanında uzman bir hukuki danışmana başvurunuz.
Dijital pazarlama, son birkaç yılda köklü bir dönüşüm yaşıyor — ama bu dönüşümün itici gücü yalnızca platform algoritmaları değil. Veri gizliliği yasaları, tüketici beklentileri ve üçüncü taraf çerezlerin sonu, pazarlama araçlarını ve stratejilerini derinden etkiliyor. Bu değişimin merkezinde iki yasa var: Avrupa’nın GDPR’si ve Kaliforniya’nın CCPA’sı.
Türkiye’deki dijital pazarlama profesyonelleri için CCPA neden önemli? Google, Meta, Salesforce ve HubSpot gibi kullandığınız araçların büyük bölümü Kaliforniya merkezli. Bu şirketlerin CCPA’ya uyum süreçleri, platformların veri toplama ve reklam hedefleme özelliklerini doğrudan değiştirdi. CCPA’yı anlamak, bu değişimlerin nedenini ve dijital stratejinizi nasıl etkiler olduğunu anlamak demek.
CCPA Nedir? Temel Tanım ve Kapsam
CCPA (California Consumer Privacy Act), 1 Ocak 2020’de yürürlüğe giren ve Kaliforniya’da yaşayan tüketicilere kişisel verileri üzerinde kapsamlı haklar tanıyan Amerikan eyalet yasası. Yasanın ardından kurulan bağımsız denetim kurumu olan California Privacy Protection Agency (CPPA), uygulamanın aktif gücü.
Hangi Şirketler CCPA Kapsamında?
CCPA tüm şirketlere uygulanmıyor — aşağıdaki eşiklerden en az birini karşılayan kâr amaçlı işletmeler kapsama giriyor:
- Yıllık brüt geliri 25 milyon dolar ve üzeri
- Yılda 100.000 veya daha fazla Kaliforniya tüketicisi ya da hane halkı verisini alan, satın alan, satan veya paylaşan şirketler
- Yıllık gelirinin %50 veya daha fazlasını Kaliforniya tüketicilerinin kişisel verilerini satarak elde eden şirketler
Türkiye merkezli bir şirket bu eşikleri aşmıyorsa doğrudan CCPA yükümlülüğü taşımıyor. Ancak kullandığı pazarlama araçları ve platformlar bu kapsamdaysa — ve bu araçlar Türk kullanıcıların verilerini de işliyorsa — dolaylı etki kaçınılmaz.
CPRA: 2023’te CCPA’nın Yerini Alan Güçlendirilmiş Versiyon
2020 referandumuyla kabul edilen CPRA (California Privacy Rights Act), 1 Ocak 2023’te yürürlüğe girdi ve CCPA’nın yerini büyük ölçüde aldı. CPRA önemli eklemeler getirdi:
- Yeni veri kategorisi — “Hassas kişisel veri”: Sosyal güvenlik numarası, finansal bilgiler, sağlık verileri, kesin konum, etnik köken, din, biyometrik veriler — bunlar artık çok daha sıkı koruma altında
- Verileri düzeltme hakkı: Kullanıcılar yanlış kişisel verilerinin düzeltilmesini talep edebiliyor
- Veri minimizasyonu ilkesi: Şirketler artık yalnızca belirtilen amaç için gerekli olan veriyi toplayabiliyor
- Saklama süresi sınırlandırması: Veriler belirlenen amaç için gerekenden uzun süre saklanamıyor
- Bağımsız denetim kurumu: CPPA’nın kurulmasıyla uygulamanın dişleri çok daha güçlendi
- Eşik yükseltildi: 50.000 yerine artık 100.000 tüketici eşiği uygulanıyor
CCPA ile CPRA’yı birbirinden ayırt etmek önemli — çünkü 2023 öncesi içeriklerde aktarılan birçok bilgi artık eski. Bu rehber CPRA gerçeğini yansıtıyor.
CCPA/CPRA ile GDPR Arasındaki Kritik Farklar
| Kriter | GDPR (AB) | CCPA/CPRA (Kaliforniya) |
|---|---|---|
| Kapsam | AB vatandaşlarının verilerini işleyen tüm dünya şirketleri | Eşikleri aşan kâr amaçlı şirketler |
| Onay modeli | Opt-in (varsayılan: izin yok) | Opt-out (varsayılan: izin var) |
| Veri satışı | Açık onay olmadan yasak | Kullanıcı itiraz edene kadar serbet |
| Silme hakkı | Var (geniş kapsam) | Var (bazı istisnalar) |
| Hassas veri | Açık onay zorunlu | Opt-out hakkı (CPRA ile) |
| Ceza | Global gelirin %4’üne kadar | İhlal başına $100-$750 bireysel, kasıtlı ihlalde $7.500 |
| Bağımsız denetim | Her AB ülkesinde DPA | CPPA (2023 itibarıyla) |
Türkiye’nin KVKK’sı GDPR ile yapısal olarak daha yakın — opt-in modeli, açık rıza zorunluluğu ve kişisel verinin işlenmesi için önceden alınan rıza KVKK’nın temelini oluşturuyor. CCPA’nın opt-out yaklaşımı KVKK’dan ayrışıyor, ancak hassas veri koruması konusunda CPRA ile KVKK arasında önemli örtüşmeler var.
Gerçek Ceza Örnekleri: CCPA Uyumsuzluğunun Maliyeti
CCPA’yı “teorik bir yasa” olarak görmek, gerçek dünyadan gelen ceza örnekleriyle çürüyor:
- Sephora (2022): Kaliforniya Başsavcısı, Sephora’yı kullanıcıların opt-out taleplerini işlememek ve “veri satışı” bildirimi yapmamakla suçladı. Sonuç: 1,2 milyon dolar uzlaşma. Bu dava, aynı zamanda üçüncü taraf reklam takipçilerinin “veri satışı” kapsamında değerlendirilebileceğini netleştirdi
- Tilting Point Media (2024): Çocuklara yönelik oyun uygulamasında CCPA + COPPA ihlali. 500.000 dolar ceza
- DoorDash (2024): Kullanıcı verilerini bir pazarlama kooperatifiyle paylaşmadan önce gerekli bildirimleri yapmadı. 375.000 dolar uzlaşma
Bu örneklerin ortak paydası: uyumsuzluğun maliyeti yalnızca para cezasıyla sınırlı değil. Dava süreçleri, itibar kaybı ve müşteri güveninin sarsılması, para cezasının çok ötesinde kurumsal zarar yaratıyor.
CCPA/CPRA Dijital Pazarlamayı Nasıl Etkiliyor?
Bu bölüm, Türkiye’deki dijital pazarlamacılar için en doğrudan etkinin görüldüğü alan. CCPA ve benzeri düzenlemelerin tetiklediği değişimler, kullandığınız araçları ve stratejileri şimdiden dönüştürdü.
1. Üçüncü Taraf Çerezlerin Sonu ve Reklam Hedefleme
CCPA, üçüncü taraf çerezlerin “veri satışı” kapsamında değerlendirilebileceğini netleştirdi. Bu gelişme, Google’ı 2024-2025 döneminde Chrome’dan üçüncü taraf çerezleri kaldırma planına itmişti (sonradan ertelendi, ancak süreç devam ediyor). Tüm büyük tarayıcılar (Safari, Firefox) zaten üçüncü taraf çerezleri bloke ediyor.
Pratik etki:
- Üçüncü taraf verisine dayalı retargeting ve lookalike audience oluşturma giderek daha az güvenilir hale geldi
- Facebook Pixel ve Google Tag gibi araçların veri toplama kapasitesi azaldı
- Reklam attribution modelleri daha az doğru — “last-click” ve “data-driven” modeller sınırlanıyor
2. Google Consent Mode v2 ve AB/Gizlilik Uyumu
Google Consent Mode v2, 2024’te Avrupa için zorunlu hale geldi. Türkiye’deki site sahiplerinin de dikkat etmesi gereken bu yapı, kullanıcının çerez onayı vermediği durumlarda Google Analytics ve Google Ads’in nasıl davranacağını modelliyor.
analytics_storagevead_storageparametreleri onay durumuna göre etkinleşiyor- Onay vermeyenlerin verisi modellenerek (behavioral modeling) aggregate raporlamada kullanılıyor
- Consent Mode v2 olmadan Google Ads dönüşüm takibi ve remarketing listeleri ciddi ölçüde kısıtlanıyor
3. GA4 ve Veri Toplama Değişiklikleri
Google Analytics 4’ün mimarisi, kısmen gizlilik düzenlemelerinin baskısıyla yeniden tasarlandı. GA4’ün IP anonimizasyonu varsayılan olarak aktif, veri saklama süresi kısaltıldı ve kullanıcı kimliği yerine olay (event) odaklı bir model benimsendi. Veri analizi perspektifinden bakıldığında, bu değişimler attribution modellerinizi ve karar alma veri kalitenizi doğrudan etkiliyor.
4. Programatik Reklam ve Data Management Platform’ları
DMP’ler (Data Management Platforms) ve programatik reklamcılık, büyük ölçüde üçüncü taraf çerezlere dayandı. CCPA ve benzer düzenlemeler, bu modeli doğrudan hedef aldı. IAB (Interactive Advertising Bureau), sektörün uyum için kullanabileceği U.S. Privacy (CCPA) Teknik Çerçevesini yayımladı — ancak uygulama hâlâ parçalı.
5. Email Pazarlama ve Birinci Taraf Veri Önemi
Üçüncü taraf verinin güvenilirliği azaldıkça, birinci taraf veri (kullanıcıdan doğrudan toplanan) stratejik önem kazandı. Email pazarlama, birinci taraf verinin en değerli uygulaması — kullanıcı açık rıza göstererek listenize katılıyor, veri sahipliliği sizde.
CCPA kapsamındaki şirketler için email listelerinin “çift onay” (double opt-in) yöntemiyle büyütülmesi hem uyum açısından daha sağlam hem de liste kalitesini artırıyor. Düşük kaliteli büyük listeler yerine yüksek etkileşimli küçük listeler, hem deliverability hem de CCPA uyumu açısından daha avantajlı.
6. SEO’ya Etkisi: Güven Sinyali Olarak Gizlilik
Google’ın Search Essentials rehberi ve E-E-A-T çerçevesi, site güvenilirliğini güçlü bir sıralama faktörü olarak değerlendiriyor. Gizlilik politikası, çerez yönetimi şeffaflığı ve HTTPS zorunluluğu, teknik güven sinyalleri arasında sayılıyor. Arama motoru reklamcılığı için ise CCPA uyumlu veri toplama, reklam hesabı politika ihlali riskini azaltıyor.
Tüketicilere Tanınan Temel Haklar
CPRA ile genişletilen haklar şöyle özetlenebilir:
- Bilme hakkı: Şirketten, hangi kişisel verinin toplandığını, hangi amaçla kullanıldığını, üçüncü taraflarla paylaşılıp paylaşılmadığını öğrenme
- Silme hakkı: Toplanan kişisel verinin silinmesini talep etme (bazı meşru istisnalar mevcut)
- Düzeltme hakkı (CPRA ile): Yanlış veya eksik kişisel verinin düzeltilmesini talep etme
- Veri satışını reddetme hakkı: “Do Not Sell or Share My Personal Information” bağlantısı aracılığıyla opt-out
- Hassas veri kullanımını kısıtlama hakkı (CPRA ile): Hassas kişisel verinin belirli amaçlarla kullanımını sınırlama
- Ayrımcılık yapılmaması hakkı: Kullanıcı haklarını kullanan tüketicilere karşı ayrımcı muamele yasak
- Veri taşınabilirliği hakkı: Verinin makine okunabilir formatta teslimini talep etme
CCPA Uyumu için Pratik Adım Adım Yol Haritası
Adım 1: Veri Envanteri Çıkarın
Hangi kişisel veriyi topladığınızı bilmeden uyum mümkün değil. Şu soruları cevaplayın: Hangi veri kaynakları mevcut (web sitesi, CRM, e-ticaret, mobil uygulama)? Hangi veri kategorileri toplanıyor? Üçüncü taraf araçlar ne veri işliyor? Veri nerede saklanıyor ve ne kadar süre?
Adım 2: Gizlilik Politikasını Güncelleyin
CCPA/CPRA uyumlu gizlilik politikası şunları içermeli: toplanan veri kategorileri, toplama amacı, üçüncü taraf paylaşım bilgisi, saklama süresi, kullanıcı haklarını kullanma yöntemi (talep formu veya email), son güncelleme tarihi. Sade, anlaşılır dil — hukuki jargon değil.
Adım 3: “Do Not Sell or Share My Personal Information” Bağlantısı Ekleyin
CCPA kapsamındaki şirketler, web sitelerinin ana sayfasına bu bağlantıyı koymakla yükümlü. Reklam takipçileri ve analitik araçlarla veri paylaşımı, “veri satışı” kapsamında değerlendirilebilir — Sephora davası bu yorumu netleştirdi.
Adım 4: Tüketici Talep Sürecini Kurun
Kullanıcılar bilme, silme ve düzeltme taleplerini ilettiğinde 45 gün içinde yanıt zorunlu (karmaşık durumlarda 45 gün daha uzatılabilir). Talepleri doğrulama süreci de gizlilik sağlayıcı olmalı — talebi işlemek için gereğinden fazla veri toplanmamalı.
Adım 5: Çerez Yönetimi Platformu (CMP) Kurun
OneTrust, Cookiebot, CookieYes gibi CMP araçları, kullanıcının çerez tercihlerini yönetmesini sağlıyor. Google Consent Mode v2 entegrasyonu için CMP zorunlu. Türkiye’de KVKK uyumu için de çerez banner’ı gereksinimi benzer — tek altyapıyla her iki düzenlemeyi karşılayan çözümler mevcut.
Adım 6: Veri İşleme Sözleşmelerini (DPA) Gözden Geçirin
Kullandığınız tüm SaaS araçları, reklam platformları ve analitik çözümleriyle DPA imzalandı mı? Büyük platformların (Google, Meta, HubSpot) standart DPA’ları genellikle mevcut — küçük araçlarda sorun olabilir.
Adım 7: Birinci Taraf Veri Stratejisi Kurun
Üçüncü taraf veriye olan bağımlılığı azaltmanın en sağlam yolu, birinci taraf veri ekosistemi kurmak:
- Email listesini çift onay (double opt-in) ile büyütmek
- CRM’de müşteri verisi zenginleştirmek
- İlk parti analitik araçları (server-side tracking) kullanmak
- Kullanıcı hesabı oluşturmayı teşvik etmek — logged-in kullanıcı verisi birinci taraf
- Açık rıza ile survey ve tercih merkezi oluşturmak
CCPA, GDPR ve KVKK: Üç Düzenlemenin Karşılaştırmalı Özeti
Türkiye’deki bir dijital pazarlamacının ya da şirketin hangi düzenlemeyle nerede temas ettiğini net görmek için üç düzenlemenin temel farkları:
| Kriter | KVKK (Türkiye) | GDPR (AB) | CCPA/CPRA (ABD) |
|---|---|---|---|
| Yürürlük | 2018 | 2018 | 2020 / 2023 |
| Onay modeli | Opt-in (açık rıza) | Opt-in (açık rıza) | Opt-out |
| Denetim kurumu | KVKK Kurumu | Her AB ülkesinde DPA | CPPA (Kaliforniya) |
| Veri işleme | Açık rıza veya hukuki dayanak | 6 hukuki dayanak | Bildirim + opt-out hakkı |
| Bireysel ceza | İdari para cezaları | Gelirin %4’üne kadar | $100-$7.500/ihlal |
| Veri silme | Var | Var | Var |
Türkiye merkezli şirketler AB veya ABD pazarına hitap ediyorsa, üç düzenlemeyle de aynı anda temas edebilir. Bu durumda en kısıtlayıcı düzenleme (genellikle GDPR veya KVKK) esas alınarak sistem kurmak, en az çabayla üç uyumu birden karşılamanın pratik yolu.
Gizlilik Odaklı Dijital Pazarlama: Avantaj mı, Yük mü?
Pek çok şirket CCPA’yı önce “maliyet” olarak algıladı. Ama veriler farklı bir tablo çiziyor.
Cisco’nun 2023 Veri Gizliliği Kıyaslama çalışmasına göre veri gizliliğine yatırım yapan şirketlerin %94’ü bu yatırımın gizlilik ötesinde operasyonel faydalar sağladığını bildiriyor. Her dolar yatırım için ortalama 1,8 dolar geri dönüş elde edildiği raporlanıyor.
Pratik kazanımlar şunlar:
- Veri kalitesi artar: CCPA uyumlu veri toplama süreci, aynı zamanda daha temiz ve güvenilir birinci taraf veri üretir. Daha iyi veri, daha iyi segmentasyon ve daha düşük CAC demek
- Marka güveni güçlenir: Edelman Trust Barometer 2024’e göre tüketicilerin %81’i güven duymadıkları bir markadan satın almıyor. Gizlilik politikası şeffaflığı, güven inşasının ölçülebilir bir bileşeni
- Uzun vadeli müşteri ilişkisi: Veriye saygı gösteren markalar, daha yüksek CLV (müşteri yaşam boyu değeri) elde ediyor — retention maliyeti acquisition maliyetinden çok daha düşük
- Platform riskleri azalır: Reklam hesabı askıya alma ve politika ihlali riskleri, uyumlu veri toplama ile dramatik düşüyor
Sık Sorulan Sorular
CCPA Türkiye’deki şirketleri doğrudan etkiliyor mu?
Kural olarak: CCPA eşiklerini (25M$ gelir, 100K Kaliforniya tüketicisi verisi) karşılamayan Türk şirketleri doğrudan CCPA yükümlülüğü taşımıyor. Ancak Türkiye pazarında kullanılan Google Analytics, Meta Ads, HubSpot gibi araçlar CCPA kapsamındaki şirketler — bu araçların veri toplama politikaları dolaylı olarak etkileniyor ve bu araçların değişen politikaları Türkiye’deki kullanımı da şekillendiriyor.
KVKK uyumlu bir şirket CCPA için ne kadar hazır?
KVKK uyumu CCPA’ya iyi bir başlangıç teşkil ediyor çünkü her ikisi de şeffaf veri bildirimi, kullanıcı hakları ve veri işleme sorumluluğunu kapsıyor. Ancak CCPA’nın “Do Not Sell” mekanizması, reklamcılık platformlarıyla özel entegrasyon gerektiriyor — bu KVKK’da doğrudan karşılığı olmayan bir gereksinim.
Küçük bir e-ticaret sitesi CCPA’ya uyum sağlamalı mı?
Eşikleri (25M$ gelir, 100K tüketici verisi) karşılamayan küçük siteler için CCPA doğrudan zorunluluk taşımıyor. Ama iyi uygulama pratiği açısından şunlar öneriliyor: çerez banner kurulumu, gizlilik politikası hazırlanması, email listesi için çift onay — bunlar hem KVKK hem de gelecekteki düzenlemelere hazırlık için değerli.
CCPA Google Ads ve Meta reklamlarımı nasıl etkiliyor?
İki önemli etki var. Birincisi, Facebook Pixel ve Google Tag Manager’ın üçüncü taraf çerez verisi kapasitesi azaldı — conversion tracking ve remarketing listeleri eskisi kadar kapsamlı değil. İkincisi, Google Consent Mode v2 ve Meta Pixel’in “Advanced Matching” özellikleri, çerez onayı olmayan kullanıcıların verilerini modelleyerek campaign optimizasyonunu sürdürmeye çalışıyor. Bu modelin doğruluğu, first-party verinin zenginliğiyle doğru orantılı.
Veri Gizliliği Düzenlemelerine Hazırlıklı Bir Dijital Strateji
CCPA/CPRA, başlangıcı olan ama sonu olmayan bir sürecin parçası. Colorado, Virginia, Texas ve diğer ABD eyaletleri benzer düzenlemeleri hayata geçirdi. Hindistan, Brezilya (LGPD) ve Japonya’nın güçlenen gizlilik düzenlemeleri küresel tabloyu tamamlıyor. Türkiye’nin KVKK ise AB yeterliliği tartışmalarıyla güncellik kazanıyor.
Bu süreçte kazanan strateji, düzenlemeleri “uyum yükü” değil “güven inşası fırsatı” olarak gören şirketlere ait. Birinci taraf veri altyapısı, şeffaf kullanıcı iletişimi ve gizlilik odaklı pazarlama — bunlar hem uyumu hem de uzun vadeli rekabet avantajını aynı anda sağlıyor.
KVKK ve GDPR kategorimizde Türkiye’ye özgü veri gizliliği gereksinimleri ve uyum stratejileri hakkında daha fazla Türkçe kaynağa ulaşabilirsiniz. Dijital pazarlamanın temellerini güçlendirirken veri gizliliğini stratejinizin ayrılmaz parçası haline getirmek, 2026 ve sonrasında sürdürülebilir büyümenin en sağlam temeli.
