- Kaliforniya eyaletinde, web tarayıcısı üzerinden verilerin üçüncü taraflara sağlanmasını tamamen reddetmeyi mümkün kılan yeni bir yasa çıkarıldı
- 2018’de yürürlüğe giren California Consumer Privacy Act, opt-out hakkı tanımıştı ancak fiilen kullanımı zordu
- Bu yasa, tek tuşla kolayca genel opt-out yapılabilmesini sağlayarak başlıca tarayıcılar için açık uygulama gereklilikleri doğuruyor
- Aynı gün imzalanan diğer yasalar, sosyal medya hesabı silindiğinde verilerin tamamen silinmesi ve veri brokerlarının bilgi açıklama yükümlülüklerini güçlendiriyor
- Bu adım, gizlilik koruması ve tüketicilerin veri yönetimi yetkilerinin büyük ölçüde genişletildiği bir dönüm noktası niteliğinde
Kaliforniya veri paylaşımını reddetme yasasına genel bakış
- Kaliforniya Valisi Gavin Newsom, web tarayıcılarında veri satışı için opt-out özelliğini basitleştiren yasayı resmen imzaladı
- 2018’de çıkarılan California Consumer Privacy Act ile Kaliforniya sakinleri veri satışını reddetme sinyali gönderme hakkını elde etmişti, ancak web tarayıcıları buna yeterince kolay erişim sağlamıyordu
- Yeni kabul edilen yasa, web tarayıcılarının kolay erişilebilir bir opt-out mekanizmasını zorunlu olarak uygulamasını şart koşuyor
- Temel amaç, kullanıcıların her site için tek tek manuel olarak reddetmesi yerine, tek bir tıklamayla tüm sitelere opt-out talep sinyali gönderebildiği bir ortam oluşturmak
Yasanın toplumsal önemi
- Söz konusu yasa, ABD’de ilk kez yürürlüğe giren evrensel veri reddetme yasası olma özelliğini taşıyor
- Daha önce evrensel opt-out için üçüncü taraf tarayıcı eklentileri ya da gizlilik odaklı tarayıcılar kullanmak gerekiyordu
- Artık milyonlarca kullanıcı veri satışını çok daha kolay şekilde reddedebilecek
Ek olarak kabul edilen veri koruma yasaları
- Aynı gün valinin imzaladığı başka bir yasa, sosyal medya şirketlerini kolay hesap silme ve verilerin tamamen silinmesi özellikleri sunmakla yükümlü kılıyor
- Bir diğer yasa ise Data Broker Registration Law kapsamını güçlendirerek, veri brokerlarının hangi kişisel bilgileri topladığı ve bunlara kimlerin erişebileceğine dair bilgi açıklamasını genişletiyor
Beklentiler
- Bu yeni yasa paketi, gizliliğin korunması ve tüketicilerin verileri üzerindeki kontrol yetkisinin kayda değer biçimde artması için önemli bir adım
- Tarayıcılar, sosyal medya ve veri brokerlarına yönelik daha sıkı düzenleme ve daha fazla şeffaflık eğiliminin sürmesi bekleniyor
1 yorum
Hacker News görüşleri
Bunun etkili olabilmesi için, şirketler bu talepleri görmezden geldiğinde toplu dava açılabilmesi gerektiği belirtiliyor; doğrudan web sitelerindeki opt-out işlevlerini düzenli olarak test eden bir script yazdığını ve bunların neredeyse %50’sinin hatalı uygulandığını gördüğünü söylüyor; buna yakın zamanda halka açılmış önde gelen BT şirketleri de dahil. Kaliforniya’nın CCPA/CPRA yasalarına göre yaptırım yetkisinin büyük kısmı kurumlarda (CPPA, Attorney General) ve bireyler doğrudan dava açamadığı için şirketler toplu dava tehdidiyle karşılaşmıyor ve bu da üzerlerindeki baskıyı azaltıyor
Geniş kapsamlı ön uyuşmazlık tahkim anlaşmaları, toplu dava feragatleri ve toplu tahkim yasağı maddeleri nedeniyle toplu davalar zorlaştı; federal Yüksek Mahkeme de bunu tanıdığı için Kaliforniya’nın bunu kolayca tersine çevirmesi mümkün değil. Bunun yerine, CPPA ya da Attorney General’ın bir sorun ortaya çıktığında hukuken mutlaka yaptırım uygulaması, Kaliforniya sakinlerinin bunu bildirmesini engelleyen her türlü NDA’nın geçersiz sayılması ve yaptırım eksikliği durumunda zorlayıcı dava (
writ of mandamus) ile uygulamanın talep edilebilmesi öneriliyor. Bu tür davaların mali olarak mümkün olabilmesi için avukatlık ücretlerinin de ödenmesi gerektiği söyleniyor. Temel olarak bunun zorunlu olması, istisnaların ise şeffaf biçimde tartışılabilmesi gerektiği ifade ediliyor. Kaliforniya eyalet meclisi ya da valisinin bu tür sorunlarda gerçek çözümlerden çok göstermelik adımlarla ilgilendiği hissi dile getiriliyorKullandığı scripti paylaşabilir mi diye soruluyor
Bireylerin doğrudan uygulayamadığı yasaların var olmasının garip olduğu söyleniyor; hukuk uygulamasını kolaylaştırmak için anayasa değişikliği gerekebileceği, bunun ayrıntılarını ise hukuk uzmanlarının düşünmesi gerektiği görüşü paylaşılıyor
Do Not Trackadlı tarayıcı başlığı özelliği varken yaşanan deneyim paylaşılıyor; kullanıcı ve mühendis olarak bunu sevdiğini ancak sektörün tepkisi nedeniyle ortadan kalktığını söylüyor. Herkes iyi niyetle davransaydı bunun harika olacağı belirtiliyor. Bu tür araçların tarayıcı tarafından uygulanmasının doğru olduğu, aynı yaklaşım çerezlere de uygulansaydı bugün yaşanan çerez popup karmaşasının olmayacağı düşünülüyor. Bu haberde tarayıcı üreticilerinindo not sellkuralını da uygulaması gerektiği söylenirken, bununDo Not Tracke benzer bir şey olup olmadığı soruluyorAslında veri satışının, kullanıcının açık onay vermesi gereken bir opt-in modeli olması gerektiği düşünülüyor; onay verilirse verilerimizin satılması, kullanılması ve yeniden satılması sırasında fiyatı bizim belirlememiz ve karşılığında ödeme almamız gerektiği savunuluyor. Şirketlerin kullanıcı onayı olmadan ve hiçbir bedel ödemeden verileri almasının anormal olduğu vurgulanıyor
Durumun bugün daha da kötü olduğu belirtiliyor; gizlilik sektöründe
Do Not Trackbaşlığını etkinleştirmemenin daha iyi olduğu tavsiye ediliyor, çünkü bu başlık neredeyse hiç dikkate alınmıyor ve hatta tarayıcı parmak izi toplama için ek bir veri noktası olarak kullanılıp daha fazla izlenmeye yol açabiliyorKaliforniya’daki yasa yapıcılara teşekkür ediliyor; yasanın amaçlandığı gibi işlemesi umuluyor ve açıklar bulunursa hemen düzeltilmesi bekleniyor
Bu tür haberlerin memnuniyet verici olduğu ama bunun gerçek para cezaları ve kesin yaptırımla desteklenmesi gerektiği söyleniyor; etkisiz hukuki hükümler anlamsız olur ve gerçekten sorunlu şirketleri piyasadan silecek kadar güçlü yaptırımlar gerektiği düşünülüyor
Yine tüm web sitelerinde kapatılması gereken yeni bir popup çıkacağını tahmin ettiğini söylüyor
ABD’deki karmaşık gizlilik mevzuatının, ABD pazarının tek bir pazar olmasının avantajını zayıflatacağı yönünde endişe dile getiriliyor; büyük şirketlerin aslında veri satmak yerine veriyi kendileri kullandığı, bu yasanın fiilen daha çok küçük ve orta ölçekli şirketleri vuracağı söyleniyor
universal opt-outyasa tasarısının kendi başına yaptırım gücünün çok zayıf olduğu, asıl potansiyelinin mevcut CCPA ile birleştiğinde ortaya çıktığı belirtiliyor. CCPA yalnızca bağlamlar arası davranışsal reklamcılık amacıyla bilgi paylaşımına sınırlama getiriyor. Bu yeni yasa ise sadece tarayıcılar ve mobil işletim sistemlerinde opt-out iradesini kolayca ifade etmeye yarayan bir ayar bulunmasını gerektiriyor; sinyalin biçimi ya da buna uyulmasının zorunlu tutulması açıkça istenmiyor. Tüm yasa tasarısının tek bir tweet uzunluğunda özetlenebileceği söyleniyor. Öte yandançerez bannersorununun ayrı bir yasa olan CCPA kapsamında 12 aylık bir bekleme süresiyle düzenlendiği ekleniyor. Başlıca yasa maddeleri ve sinyal tanımı da paylaşılıyor https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpauniversal opt-outişe yaramadığında kullanılabilecek alternatif araç olarak https://simpleoptout.com/ paylaşılıyorVarsayılanın opt-out olması ve kullanıcının açıkça yeniden opt-in yapması gerektiği düşünülüyor; asıl meselenin bu olduğu söyleniyor
Veriler satıldığında kullanıcıların da gelirden pay alacağı bir yapı kurulması öneriliyor
Resmî duyuru bağlantısı paylaşılıyor https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/
Böyle bir özellik sayesinde şu anda kurulu olan çeşitli güvenlik uzantılarını azaltmak istediğini, ancak opt-out sinyaline gerçekten uyulup uyulmayacağından emin olmadığı için savunma amaçlı uzantıları yine de tutmak zorunda kalacağını söylüyor; buna rağmen yasanın niyetini çok olumlu buluyor