California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Bora İkiler

Bora İkiler

Bora İkiler rekabet hukuku, şirketler hukuku, ticaret hukuku, veri koruma hukuku ve sözleşme hukuku alanlarında engin bir deneyime sahiptir. Bora, yerli ve yabancı şirketlere, günlük faaliyetlerinde, hukuka uyum süreçlerinde ve birleşme ve satın alma işlemlerinde danışmanlık sağlamaktadır. Bora, rekabeti sınırlayıcı anlaşma ve uygulamalar için Rekabet Kurumu’na yapılan bildirim ve muafiyet başvurularının hazırlanması, inceleme sürecinin yürütülmesi ve sonuçlandırılması konularında müvekkillerine destek olmaktadır. Kendisi birleşme ve devralmaların kontrolü, pişmanlık süreçleri ve Rekabet Kurumu tarafından yürütülen ön araştırma ve soruşturma süreçlerinde çok sayıda müvekkili temsil etmiştir. Sağlık, otomotiv, perakende gibi dikey ilişkilerin yoğun olduğu ve rekabet hukuku açısından hassas sektörlerde yoğun bir tecrübeye sahiptir. Bunun yanında, bankacılık, içecek, çimento, biletleme ve televizyon yayıncılığı sektörlerinde de projelerde yer almıştır.

Tam biyografi

Sercan Sağmanlıgil

Sercan Sağmanlıgil

Sercan Sağmanlıgil enerji, altyapı ve kamu özel ortaklıkları ve teknoloji sektörlerinde faaliyet gösteren yerli ve yabancı şirketlere rekabet hukuku, enerji hukuku, teknoloji hukuku ve kişisel verilerin korunması alanlarında hukuki danışmanlık sağlamaktadır. Sercan Bilkent Üniversitesi Hukuk Fakültesi’den (LLB 2013) ve Queen Mary University of London’dan (LLM 2017) mezun olmuştur. Ankara Barosu’na kayıtlıdır ve akıcı olarak İngilizce konuşmaktadır.

Tam biyografi