Bloga geri dön
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

CCPA ve Proxy: 2024'te ABD'den Ceza Almadan Yasal Olarak Veri Toplama Yöntemleri

CCPA gerekliliklerine uygun olarak veri toplama ve tarama işlemlerinde proxy kullanımı: yasal gereklilikler, güvenli çalışma yöntemleri ve bilgilerin yasal olarak toplanması için proxy ayarları.

📅2 Mart 2026
```html

Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya sakinleri hakkında bilgi toplama ve işleme konusunda sıkı kısıtlamalar getirmektedir. Eğer pazar yerlerini tarıyor, rakip fiyatlarını izliyor veya proxy aracılığıyla kamu verilerini topluyorsanız, yasanın gerekliliklerini ve bunlara uyma yöntemlerini anlamak önemlidir.

Bu kılavuzda, CCPA bağlamında proxy kullanımıyla ilgili pratik yönleri ele alacağız: hangi verilerin toplanabileceği, yasalara uygun süreçlerin nasıl ayarlanacağı ve ihlal durumunda $7,500'a kadar cezalardan nasıl kaçınılacağı.

CCPA nedir ve yasa kime uygulanır

California Consumer Privacy Act (CCPA) — Kaliforniya'daki kişisel verilerin korunmasına yönelik bir yasadır ve 1 Ocak 2020'de yürürlüğe girmiştir. Bu, ABD'deki en sıkı gizlilik yasalarından biridir ve genellikle Avrupa'nın GDPR'si ile karşılaştırılmaktadır. 2023 yılında yasa, CPRA (California Privacy Rights Act) ile güçlendirilmiştir.

CCPA, Kaliforniya sakinlerinin kişisel verilerini toplayan ticari kuruluşlara uygulanır ve en az bir kriteri karşılamaları gerekmektedir:

  • Yıllık gelir $25 milyonun üzerinde
  • Şirket, yılda 100,000'den fazla tüketici, hanehalkı veya cihazın kişisel verilerini işliyor
  • Gelirinin %50'sinden fazlası tüketicilerin kişisel verilerinin satışından elde ediliyor

Önemli bir nokta: yasa, şirketlerin konumuna bakılmaksızın geçerlidir. Eğer Rusya, Kazakistan veya Ukrayna'dan çalışıyorsanız ancak Kaliforniya sakinlerinin verilerini topluyorsanız — CCPA sizin faaliyetlerinize uygulanır.

Pratik örnek: Eğer Amerikan pazar yerlerinden (Amazon, eBay, Walmart) veri topluyorsanız veya ABD'deki rakiplerin fiyatları hakkında bilgi topluyorsanız, bu veriler arasında Kaliforniya sakinlerine ait bilgiler olma olasılığı yüksektir.

CCPA'ya göre hangi veriler kişisel verilerdir

CCPA, kişisel bilgileri çok geniş bir şekilde tanımlar — bu, belirli bir tüketici veya hanehalkıyla ilişkilendirilebilen, tanımlayan veya açıklayan herhangi bir veridir. Liste, 10'dan fazla veri kategorisini içermektedir.

Veri Kategorisi Örnekler Tarama Sırasında Risk
Tanımlayıcılar İsim, e-posta, telefon, IP adresi, çerez ID'si Yüksek
Ticari Bilgiler Alışveriş geçmişi, ürün tercihleri Orta
İnternet Aktivite Verileri Tarayıcı geçmişi, arama sorguları, siteyle etkileşim Yüksek
Coğrafi Konum Verileri Fiziksel konum, GPS koordinatları Orta
Biyometrik Veriler Parmak izleri, yüz tanıma Düşük
Mesleki Bilgiler Pozisyon, işveren, istihdam geçmişi Orta

Anahtar nokta: Eğer doğrudan isim ve e-posta toplamıyorsanız bile, proxy kullanımı sırasında iletilen IP adresleri ve çerezler, CCPA'ya göre kişisel tanımlayıcılar olarak kabul edilmektedir.

Proxy kullanımı CCPA gereklilikleriyle nasıl ilişkilidir

Proxy sunucuları kendileri CCPA'yı ihlal etmez — bu, trafiği yönlendirmek için bir teknik araçtır. Sorunlar, proxy kullanımıyla topladığınız veriler ve bu verileri nasıl işlediğinizden kaynaklanır.

CCPA uyumu ile ilgili sorunların ortaya çıkabileceği tipik proxy kullanım senaryoları:

1. Pazar yerleri ve e-ticaret sitelerinin taranması

Amazon, Walmart, eBay gibi sitelerden rezidans proxyleri aracılığıyla ürün verileri toplarken, istemci isimleri, kullanıcı puanları, müşteri soruları gibi kişisel bilgileri istemeden toplayabilirsiniz. Eğer bu kullanıcılar Kaliforniya sakinleriyse, CCPA uygulanır.

2. Rakip fiyatlarının izlenmesi

Proxy aracılığıyla fiyatları izlerken, coğrafi konum ve kullanıcı geçmişine dayalı kişiselleştirilmiş fiyatlar görebilirsiniz. Bu tür verilerin toplanması, tüketicilerin ticari bilgilerini işleme tanımına girebilir.

3. Sosyal medya verilerinin toplanması

Instagram, Facebook, LinkedIn gibi sosyal medya platformlarından pazarlama araştırmaları için kamu profillerini proxy aracılığıyla taramak, doğrudan kişisel verilerin toplanmasıdır. Profiller kamuya açık olsa bile, CCPA belirli kurallara uyulmasını gerektirir.

Proxy kullanımı, gerçek kimliğinizi ve konumunuzu gizlediğiniz için durumu karmaşıklaştırır. CCPA açısından bu, kendiliğinden bir ihlal değildir, ancak kişisel verileri gizlice topluyorsanız ve tüketicilere veri toplama konusunda bir geri çekilme imkanı sunmuyorsanız — bu bir sorun haline gelir.

CCPA, veri toplamayı tamamen yasaklamaz — yasa, veri toplama konusunda şeffaflık, tüketicilerin kendi verileri üzerindeki kontrolü ve bilgilerin kullanım amaçlarını düzenler. İşte proxy ile çalışırken yasal sınırlar içinde kalmanıza yardımcı olacak yöntemler.

Yöntem 1: Sadece kamuya açık, kişisel olmayan verileri toplayın

Belirli kişileri tanımlamayan verilere odaklanın:

  • Kullanıcılarla ilişkilendirilmemiş ürün fiyatları
  • Toplu istatistikler (ortalama ürün puanı, yorum sayısı)
  • Ürün teknik özellikleri
  • Stokta bulunan ürünler
  • Şirketler hakkında kamuya açık veriler (kişiler hakkında değil)

Pazar yerlerini proxy aracılığıyla tararken, kullanıcı içeriği bloklarını göz ardı edecek şekilde scriptlerinizi ayarlayın: isimli yorumlar, müşteri soruları, kullanıcı profilleri.

Yöntem 2: Verilerin anonimleştirilmesi ve toplanması

Kişisel bilgi içerebilecek verileri toplamanız gerekiyorsa, hemen anonimleştirin:

  • Toplanan verilerden isimleri, e-postaları, telefonları otomatik olarak kaldırın
  • Kesin IP adreslerini aralıklar veya bölgelerle değiştirin
  • Verileri toplayın: "Kullanıcı John, ürün X'i satın aldı" yerine "Ürün X, 150 kez satın alındı" şeklinde
  • Analiz için gerekli ise tanımlayıcılar için hashleme kullanın

Önemli: Anonimleştirme geri döndürülemez olmalıdır. Eğer anonimleştirilmiş bir setten kişisel verileri geri kazanabiliyorsanız — CCPA hala geçerlidir.

Yöntem 3: robots.txt ve Hizmet Şartlarına uyum

Bu, CCPA'nın doğrudan bir gerekliliği olmasa da, web sitelerinin kurallarına uyum göstermek iyi niyeti gösterir:

  • Tarama yapmadan önce robots.txt dosyasını kontrol edin — birçok site belirli verilerin toplanmasını açıkça yasaklar
  • Hedef web sitelerinin Hizmet Şartlarını okuyun — otomatik veri toplama konusunda sınırlamalar olabilir
  • Proxy üzerinden istekler arasında makul gecikmeler kullanın (rate limiting)
  • Mümkünse botunuzu User-Agent ile tanımlayın

Yöntem 4: Şeffaflık ve hedeflerin belgelenmesi

CCPA, şirketlerin veri toplama konusunda şeffaf olmasını gerektirir:

  • Topladığınız verileri ve bunları hangi amaçlarla kullandığınızı belgeleyin
  • Bir web siteniz varsa — veri toplama uygulamalarınızı açıklayan bir Gizlilik Politikası yayınlayın
  • Verileri yalnızca belirtilen amaçlar için gerekli olduğu kadar saklayın
  • Toplanan verileri açık rıza olmadan üçüncü şahıslara satmayın

Pratik tavsiye: Eğer veri merkezi proxyleri kullanıyorsanız, süreci belgeleyin: neyi tarıyorsunuz, kişisel verileri nasıl filtreliyorsunuz, bilgileri ne kadar süre saklıyorsunuz. Bu, denetim durumunda yardımcı olacaktır.

Kamu verileri vs kişisel bilgiler: sınır nerede

En sık sorulan sorulardan biri: "Eğer veriler internette kamuya açık olarak mevcutsa, bunları serbestçe toplayabilir miyim?" CCPA, kamu verileri için istisna yapmaz — eğer bilgi bir Kaliforniya sakininin kimliğini belirliyorsa, yasa uygulanır.

Veri Türü Kamuya Açık Erişim CCPA Uygulanır Tavsiyeler
Ürün Fiyatları Evet Hayır Güvenli tarama
Kullanıcı İsimleriyle Yorumlar Evet Evet Toplama sırasında isimleri kaldırın
LinkedIn Kamu Profillerinden E-posta Evet Evet Yüksek risk, kaçının
Toplu Satış İstatistikleri Evet Hayır Güvenli tarama
Site Ziyaretçilerinin IP Adresleri Hayır (teknik veriler) Evet Gizlilik Politikası gerektirir
Instagram'daki Kamu Gönderileri Evet İçeriğe bağlı Yazarları anonimleştirin

Temel kural: verilerin kamuya açık olması, onların kişisel bilgi statüsünü ortadan kaldırmaz. Eğer kişileri tanımlayan kamu verilerini topluyorsanız, CCPA uygulanır. Fark, kamu verileri için "meşru menfaat" gerekçesini savunmanın daha kolay olmasıdır.

CCPA'dan İstisnalar

Yasa, verilerin kişisel bilgi olarak kabul edilmediği birkaç istisna öngörmektedir:

  • Hükümet kaynaklarından kamuya açık bilgi (devlet kayıtları, mahkeme belgeleri)
  • Belirli bir tüketici ile ilişkilendirilemeyen dekimleştirilmiş veriler
  • Tüketiciler hakkında toplu bilgiler
  • Etik standartlara uyulması koşuluyla bilimsel araştırmalar kapsamında toplanan veriler

Veri tarama sırasında CCPA uyum kontrol listesi

Kaliforniya ile bağlantılı hedef kitleniz veya veri kaynaklarınız varsa, proxy aracılığıyla veri toplama projelerinizi başlatmadan önce bu kontrol listesini kullanın:

✅ Planlama Aşaması

  • Hangi verilerin gerekli olduğunu ve bunların CCPA'ya göre kişisel veri olup olmadığını belirleyin
  • Şirketinizin CCPA kapsamına girip girmediğini değerlendirin (gelir, veri hacmi kriterleri)
  • Veri toplama için yasal dayanağı belgeleyin (meşru menfaat, sözleşme, rıza)
  • Hedef web sitelerinin Hizmet Şartlarını tarama kısıtlamaları açısından kontrol edin

✅ Teknik Ayar Aşaması

  • Kişisel tanımlayıcıların (isimler, e-posta, telefonlar) otomatik olarak kaldırılması için filtreler ayarlayın
  • İz bırakmayı en aza indirmek için rezidans proxyleri kullanın
  • robots.txt'ye uyum sağlamak için rate limiting uygulayın
  • IP adresleri ve diğer tanımlayıcıların otomatik anonimleştirilmesini ayarlayın
  • Toplanan verileri şifrelenmiş bir şekilde saklayın

✅ Belgeleme Aşaması

  • Veri toplama uygulamalarını açıklayan bir Gizlilik Politikası oluşturun (web siteniz veya hizmetiniz varsa)
  • Tüketicilerden veri silme taleplerine yanıt verme prosedürlerini belgeleyin
  • Veri işleme günlüğü tutun: ne topladınız, ne zaman, hangi amaçla
  • Verilerin saklama sürelerini ve otomatik silme prosedürlerini belirleyin

✅ İşletme Aşaması

  • Toplanan verileri düzenli olarak kişisel bilgi açısından kontrol edin
  • Açık rıza olmadan verileri üçüncü şahıslara satmayın veya devretmeyin
  • Veri toplama uygulamalarında değişiklik olduğunda Gizlilik Politikasını güncelleyin
  • Ekibinizi CCPA'nın temelleri ve veri işleme prosedürleri konusunda eğitin
  • Tüketicilerin veri erişim/silme taleplerini işleme mekanizmasını ayarlayın

Hukuki riskleri en aza indirmek için proxy ayarları

Proxy ayarlarının doğru yapılması, CCPA'ya uyumu garanti etmez, ancak riskleri en aza indirmeye yardımcı olur ve denetim durumunda iyi niyeti gösterir.

Göreve göre proxy türü seçimi

Proxy Türü En İyi Kullanım Alanı CCPA Riskleri
Rezidans Proxyleri Pazar yerlerinin taranması, sosyal medyadan kamu verilerinin toplanması Orta — sıradan kullanıcılar gibi görünür
Mobil Proxyler Mobil uygulamalardan veri toplama, coğrafi hedefleme kontrolü Orta — yüksek anonimlik
Veri Merkezi Proxyleri Kişisel olmayan verilerin toplu taraması (fiyatlar, stok durumu) Düşük — kişisel veri toplamıyorsanız

Yasalara uygun proxy ayarları

1. IP adreslerinin döngüsü: Yükü dağıtmak ve toplanan verilerin tek bir tanımlayıcıya bağlanmasını önlemek için otomatik IP döngüsü kullanın. Bu, kullanıcı profillerinin oluşturulmasını zorlaştırır.

2. Coğrafi hedefleme: Eğer Kaliforniya sakinlerinin verileriyle çalışmıyorsanız, proxy'leri Kaliforniya IP'lerini hariç tutacak şekilde ayarlayın. Çoğu proxy sağlayıcısı, bölgeleri seçmenize olanak tanır.

3. İsteklerin kaydı: Proxy üzerinden yapılan tüm isteklerin zaman damgalarıyla birlikte günlüklerini tutun. Bu, rate limiting'in uygulanmasını ve kötüye kullanımın olmadığını göstermek için yardımcı olacaktır.

4. User-Agent ve tanımlama: Bazı avukatlar, tarayıcınızı tanımlayan dürüst bir User-Agent kullanmanızı önerir (örneğin, "MyCompanyBot/1.0"). Bu, şeffaflığı gösterir, ancak engellemelerle karşılaşma riskini artırabilir.

Önemli: Engelleri aşmak için mobil proxyler kullanmak, CCPA'yı ihlal etmek anlamına gelmez; ancak eğer rıza olmadan kişisel verileri toplamak için korumaları aşarsanız — bu bir ihlal olarak değerlendirilebilir.

CCPA ihlalleri için cezalar ve gerçek vakalar

CCPA, iki tür ceza öngörmektedir: idari (Kaliforniya Başsavcısı tarafından) ve tüketicilerden gelen medeni davalar.

Ceza miktarları

  • İdari cezalar: her bir kasıtsız ihlal için $2,500'a kadar, her bir kasıtlı ihlal için $7,500'a kadar
  • Medeni davalar: veri sızıntısı başına her bir tüketici için $100-$750 (veya daha fazla ise gerçek zarar)
  • Toplu davalar: binlerce kullanıcının veri sızıntısı durumunda toplam miktar milyonlarca dolara ulaşabilir

Gerçek CCPA ihlali vakaları

Sephora — $1.2 milyon ceza (2022)

Şirket, tüketicilerin kişisel verilerini üçüncü şahıslara satarken geri çekilme imkanı sunmamıştır. Bu, CCPA ihlali nedeniyle verilen ilk büyük cezadır. Ders: Eğer verileri topluyorsanız ve birine aktarıyorsanız — bu, CCPA'ya göre "satış" olarak kabul edilir ve bildirim gerektirir.

DoorDash — toplu dava (2020)

4.9 milyon kullanıcının veri sızıntısı, CCPA'ya dayalı bir toplu davaya yol açmıştır. Dava, mahkeme dışında çözülmüş olsa da, başlangıç aşamasındaki şirketlerin bile ciddi sonuçlarla karşılaşabileceğini göstermiştir.

Clearview AI — devam eden soruşturmalar

Şirket, yüz tanıma veritabanı oluşturmak için sosyal medyadan (kamu verileri) fotoğraflar toplamıştır. Verilerin kamuya açık olmasına rağmen, Clearview'a karşı birçok dava açılmıştır, bunlar arasında CCPA ihlali suçlamaları da bulunmaktadır. Ders: Kamuya açık kişisel verilerin toplanması bile sorunlara yol açabilir.

Küçük ve orta ölçekli işletmeler için, CCPA kriterlerine uyuyorsanız ceza riski gerçektir. Kaliforniya Başsavcısı, tüketici şikayetlerini aktif olarak araştırmakta ve 2023'ten itibaren CCPA'nın uygulanmasını denetlemek için özel bir ajans olan California Privacy Protection Agency (CPPA) kurulmuştur.

Ceza riskini nasıl azaltabilirsiniz

  • Veri denetimi yapın: ne topluyorsunuz, nasıl saklıyorsunuz, kime aktarıyorsunuz
  • Tüketicilerin veri erişim (erişim, silme, veri satışından vazgeçme) taleplerini işleme prosedürlerini uygulayın
  • Veri toplama uygulamalarını açıklayan bir Gizlilik Politikasını web sitenizde yayınlayın
  • Ekibinizi CCPA'nın temelleri ve taleplere yanıt verme prosedürleri konusunda eğitin
  • Gizlilik ihlalleri için ceza risklerini kapsayan siber risk sigortası düşünün
  • Şüphe durumunda — gizlilik yasaları konusunda uzman bir avukatla danışın

Sonuç

CCPA, Kaliforniya sakinlerinin kişisel verilerini toplayan şirketler için ciddi gereklilikler getirmektedir, proxy kullanıp kullanmadığınızdan bağımsız olarak. Yasanın uyum sağlama ilkeleri: veri toplama amaçlarının şeffaflığı, kişisel bilgi miktarının en aza indirilmesi, tüketicilere kendi verileri üzerinde kontrol sağlanması ve güvenli saklama.

Proxy kullanarak veri toplamak yasaldır, eğer kişisel olmayan bilgilere odaklanıyorsanız veya kişisel verileri hemen anonimleştiriyorsanız. Süreçlerinizi belgeleyin, hedef platformların Hizmet Şartlarına uyun ve eylemlerinizin yasal olduğunu savunmaya hazır olun.

Unutmayın: CCPA ihlalleri için cezalar milyonlarca dolara ulaşabilir, ancak doğru veri toplama ve işleme süreçleri ile çoğu sorun önlenebilir. Yasa uyumuna yapılan yatırımlar, hukuki risklerden korunma ve kullanıcı güveni ile geri dönüş sağlar.

Eğer Amerikan kaynaklarından veri toplamayı planlıyorsanız, rezidans proxyleri kullanmanızı öneririz; bu, Kaliforniya IP'lerini döngüden çıkarmanıza veya tam tersine, iş hedeflerinize ve yasal gerekliliklere uygun olarak belirli bölgelerden veri toplamanıza olanak tanır.

```