Kaliforniya, dijital ortamda giderek büyüyen kişisel veri ticaretine karşı kapsamlı bir düzenlemeyi hayata geçirdi. Eyalet yönetimi, 1 Ocak itibarıyla kullanıma sunduğu Delete Request and Opt-out Platform (DROP) ile Kaliforniya sakinlerine, çevrim içi ortamda toplanan ve üçüncü taraflarla paylaşılan kişisel bilgilerinin silinmesini talep edebilecekleri merkezi bir sistem sunuyor. Ücretsiz olarak erişilebilen bu platform, özellikle veri broker’ları tarafından bireylerin doğrudan paylaşmadığı bilgilerin toplanması ve satılması sorununa odaklanıyor. Bunun yanında, kullanıcıların her bir şirketle ayrı ayrı iletişime geçme zorunluluğunu ortadan kaldırmayı amaçlıyor.
Kaliforniya Gizlilik Koruma Ajansı (CalPrivacy) tarafından geliştirilen DROP, kurumun tanımına göre bu kapsamda ülkede bir ilk olma niteliği taşıyor. Platform, kullanıcıların Kaliforniya’da ikamet ettiklerini doğruladıktan sonra, eyalette kayıtlı tüm veri broker’larına tek bir silme talebi göndermesine imkân veriyor. Her ne kadar süreç merkezi bir yapı sunsa da, kimlik ve ikamet doğrulaması aşamalarının dikkatle tasarlandığı ifade ediliyor. Bu yaklaşım, sistemin kötüye kullanımını önlemeyi hedefliyor.
Kaliforniya DROP platformu veri broker’larına hangi sorumlulukları yüklüyor?
Veri broker’ları açısından bakıldığında, DROP önemli ve bağlayıcı yükümlülükler getiriyor. CalPrivacy, bu şirketlerin her yıl düzenli olarak kayıt yaptırmasını zorunlu kılıyor. Buna ek olarak, platform üzerinden iletilen tüm silme taleplerinin belirlenen süreler içinde işleme alınması gerekiyor. Kurum, veri broker’larından topladıkları kişisel veri türlerini ve bu verilerin hangi taraflarla paylaşıldığını ayrıntılı şekilde raporlamalarını da talep ediyor. Bunlara ek olarak, düzenli denetimlerle şirketlerin kurallara uyup uymadığı kontrol edilecek; yükümlülükleri ihlal edenler ise idari yaptırımlar ve para cezalarıyla karşı karşıya kalabilecek.
DROP’un getirdiği düzenlemeler, yalnızca bireylerin haklarını güçlendirmekle sınırlı kalmıyor. Aynı zamanda veri broker’larının faaliyetlerini daha şeffaf hâle getirmeyi hedefliyor. CalPrivacy, kayıtlı şirketlerin denetimlere açık olacağını ve silme taleplerinin gerçekten yerine getirilip getirilmediğinin düzenli olarak izleneceğini belirtiyor. Buna rağmen, özellikle büyük veri havuzlarıyla çalışan şirketlerin teknik uyum sürecinde zorluklar yaşayabileceği de dile getiriliyor. Yine de eyalet yönetimi, bu düzenlemenin tüketici gizliliği açısından daha dengeli bir yapı oluşturacağını savunuyor.
Öte yandan Kaliforniya, veri broker’larının kayıt altına alınmasını zorunlu kılan sınırlı sayıdaki eyalet arasında yer alıyor. Oregon, Texas ve Vermont da benzer yükümlülükler getiren düzenlemelere sahip. Fakat DROP, kullanıcıların tek bir başvuruyla kapsamlı bir silme talebi oluşturabilmesini sağlaması bakımından bu örneklerden ayrılıyor. Bununla birlikte platform, veri broker’larının topladığı bilgilerin kapsamını kamuoyuna daha görünür kılmayı amaçlıyor.
CalPrivacy’nin paylaştığı takvime göre, DROP üzerinden yapılan ilk silme talepleri veri broker’ları tarafından 1 Ağustos 2026 tarihinden itibaren işleme alınmaya başlanacak. Bu süre, şirketlere altyapılarını ve iç süreçlerini yeni sisteme uyarlamaları için zaman tanıyor. Buna rağmen uzmanlar, uygulamanın tam anlamıyla devreye girmesiyle birlikte veri gizliliği ve tüketici hakları konusunda yeni hukuki tartışmaların gündeme gelebileceğine dikkat çekiyor.
Kaliforniya’nın bu düzenlemesi, dijital çağda kişisel verilerin korunmasına yönelik eyalet düzeyindeki yaklaşımların ne kadar etkili olabileceğini göstermesi açısından yakından izleniyor. Bireylerin kendi verileri üzerindeki denetimini artırmayı hedefleyen DROP, her şeye rağmen uygulamadaki etkinliği ve şirketlerin uyum düzeyi bakımından önümüzdeki dönemde değerlendirilmesi gereken bir örnek olarak öne çıkıyor.
