ABD'de Bir Veri Gizliliği Yasası Var mı? Eyalet Eyalet Değişen Karmaşaya Bakış

Tek bir ABD federal veri gizliliği yasası yok. HIPAA, CCPA ve VCDPA gibi sektör ve eyalet yasalarının yamalı bohçasını ve izlenecek federal tasarıları anlayın.

17 Haziran 2026

ABD'de Bir Veri Gizliliği Yasası Var mı? Eyalet Eyalet Değişen Karmaşaya Bakış

Şirketlerin kişisel verileri nasıl toplayıp kullandığını düzenleyen tek bir Amerikan yasasını bulmaya çalıştıysanız, muhtemelen eli boş dönmüşsünüzdür. Çünkü böyle bir yasa yok. Avrupa Birliği'nin GDPR'ı gibi kapsamlı bir federal veri gizliliği yasası ABD'de bulunmuyor. Onun yerine sektöre özgü federal kurallar ile hızla büyüyen bir eyalet yasaları yamalı bohçası var — ve bu yamalı bohça, her pazarlamacının, analistin ve ürün ekibinin veriyi nasıl ele aldığını şekillendiriyor.

Bu makale, ABD veri gizliliği serimizin ilki. Burada manzarayı haritalıyoruz: federal düzeyde ne var, eyaletler ne yapıyor, bu parçalı yapı neden bu kadar zorlu ve hangi federal tasarıları izlemek gerekir.

ABD'de federal bir veri gizliliği yasası var mı?

Kısa yanıt: hayır. Her kuruluşa kişisel veriyi nasıl toplayıp kullanacağını söyleyen tek ve kapsayıcı bir federal yasa yok. Bunun yerine, belirli bilgi türlerini düzenleyen sektöre özgü yasalar var.

Sektöre özgü federal yasalar

Yükün büyük kısmını birkaç federal yasa taşıyor:

Sağlık verisi — HIPAA. Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası, kapsamdaki kuruluşların korunan sağlık bilgilerini nasıl ele aldığına dair katı kurallar koyar. Kampanyalarınız hastaneler, sigortacılar veya kliniklerle temas ediyorsa, HIPAA neyin izlenebileceğini, saklanabileceğini ve paylaşılabileceğini şekillendirir.
Çocuk verisi — COPPA. Çocukların Çevrimiçi Gizliliğini Koruma Yasası, web sitelerinin ve çevrimiçi hizmetlerin 13 yaş altı çocuklardan veri toplamasını düzenler; bu da onay akışlarını, izlemeyi ve genç kitlelerin profillemesini etkiler.
Finansal veri — GLBA. Gramm-Leach-Bliley Yasası, finans kuruluşlarının tüketici finansal bilgilerini nasıl koruyacağını düzenler; veri güvenliği, erişim kontrolleri ve finans temelli pazarlama üzerinde doğrudan etkisi vardır.

Bunlar, federal ve eyalet düzeyindeki ayrı veri ihlali bildirimi ve veri güvenliği yasalarıyla yan yana durur. Sonuç: benzer analiz araçlarını kullanan iki şirket, ele aldıkları veri türüne göre çok farklı yükümlülüklerle karşılaşabilir.

Eyalet düzeyindeki gizlilik yasaları

Federal hükümetin harekete geçmediği yerde eyaletler devreye girdi. Birçoğu artık kendi çerçevelerini işletiyor; bunlar sakinlerine belirli tüketici hakları verir ve bilgilerini ele alan her veri sorumlusuna görevler yükler.

Bilinmesi gereken birkaç yasa:

California — CCPA/CPRA. California Tüketici Gizliliği Yasası, California Gizlilik Hakları Yasası ile değiştirilerek; erişim, silme ve kişisel verinin satışına ya da paylaşımına itiraz hakkı dahil geniş haklar verir ve görünür bir "Kişisel Bilgilerimi Satma veya Paylaşma" bağlantısı zorunlu kılar.
Virginia — VCDPA. Virginia Tüketici Veri Koruma Yasası; profilleme, hedefli reklamcılık ve biyometrik ya da hassas konum verisi gibi hassas kategorileri kapsayan tüketici hakları ve ayrıntılı sorumlu yükümlülükleri belirler ve genellikle yüksek riskli işlemler için değerlendirme gerektirir.
Colorado — CPA. Colorado Gizlilik Yasası, işletmelerin hedefli reklam ve veri satışları için evrensel bir vazgeçme (opt-out) mekanizmasına uymasını ister; yani yalnızca kendi banner'larını değil, tarayıcı düzeyindeki bir sinyali de saygıyla karşılamaları gerekir.

Bu liste hiç de tam değil. ABD eyaletlerinin neredeyse yarısının benzer yasaları var — Texas Veri Gizliliği ve Güvenliği Yasası ve daha pek çoğu dahil — ve sayı sürekli artıyor. 2026 başı itibarıyla yaklaşık yirmi eyalette kapsamlı gizlilik yasası yürürlükte; daha fazlası da yürürlüğe girmek üzere.

İşletmeler için veri gizliliği riskleri ve zorlukları

ABD'deki en büyük zorluk tek bir katı yasa değil. Çok sayıda farklı yasa. Eyaletler arası faaliyet gösteren bir işletme için uyum, şunları sürekli takip etmek demektir:

Her eyaletin kişisel veriyi nasıl tanımladığı
Hangi tüketici haklarının geçerli olduğu
Hedefli reklam ya da veri satışlarından vazgeçmeye nasıl uyulacağı

Bir sakin evrensel bir vazgeçme bağlantısı görürken, bir diğeri yalnızca temel bir çerez banner'ı görebilir. Gizlilik bildirimleri ve onay akışları konuma göre değişir: bazı eyaletler net "Kişisel Bilgilerimi Satma" bağlantıları ister, bazıları sağlık ya da konum gibi hassas kategorilere odaklanır. Ayak uydurabilmek için kuruluşların verinin nerede saklandığını, kimin erişebildiğini ve bir ihlale nasıl yanıt verileceğini bilmesi gerekir. Bunlar olmadan silme taleplerini yerine getirmek ya da bilginin sorumlulukla ele alındığını kanıtlamak zorlaşır.

Risk yalnızca düzenleyici değil. İhlallerde en sık hedef alınan kategori kişisel olarak tanımlanabilir bilgi olduğunda, güven rekabetçi bir faktöre dönüşür. Tutarlı gizlilik korumalarını yalnızca gerektiğinde değil, tüm eyaletlerde uygulayan şirketler, uzun vadeli güvenilirlik ve gelecekte ne gelirse gelsin için daha iyi konumlanır.

Bekleyen federal tasarıları izlemek

Tek bir ulusal çerçeve oluşturmak için birkaç girişim oldu. Başarısız olan American Data Privacy and Protection Act, American Privacy Rights Act ve önerilen DATA Privacy Act (H.R. 5807) bunlara örnektir. Hiçbiri geçmedi — ama gelecekte bir tasarı geçebilir. Bu tür öneriler genellikle tüketici hakları, ne kadar veri toplanabileceğine dair sınırlar ve FTC ya da eyalet başsavcıları için daha güçlü uygulama yetkileri içerir.

Gelecekteki herhangi bir federal yasanın muhtemelen şunları yapacaktır:

Bireylere daha güçlü gizlilik korumaları vermek
Hassas bilgilerin ele alınmasına dair temel kurallar koymak
İşletmelerin düzenli veri koruma değerlendirmeleri yapmasını ve sağlam güvenlik göstermesini beklemek

Bu tasarıların önerdiklerini gözden geçirerek ve eyalet ile sektör düzeyinde halihazırda geçmiş yasalarla tartarak, kuruluşlar sistemlerini şimdiden geleceğe hazır hale getirebilir — ve avantaj elde edebilir.

Buradan nereye?

Pratik çıkarım basit: federal netliği beklemeyi bırakın ve tutarlı, gizlilik öncelikli veri ele alışını varsayılanınız haline getirin. Serinin bir sonraki yazısı, veri ekiplerinin en sık karşılaştığı iki etkili çerçeveyi karşılaştırıyor — bkz. CCPA ve GDPR: ABD ve AB Gizlilik Yasaları Analitik İçin Nasıl Karşılaştırılır. İlkeyi uygulamaya dökmek için ise Tasarımdan Gizlilik: Veri Minimizasyonu ve Analitiğinizi Geleceğe Hazırlamak yazısını okuyun.

Yükümlülüklerinizi eyaletler arasında haritalamak için yardım mı istiyorsunuz? Ekibimizle konuşun ya da blogumuzdaki diğer rehberlere göz atın.

Bloga dön

ABD'de Bir Veri Gizliliği Yasası Var mı? Eyalet Eyalet Değişen Karmaşaya Bakış

Tek bir ABD federal veri gizliliği yasası yok. HIPAA, CCPA ve VCDPA gibi sektör ve eyalet yasalarının yamalı bohçasını ve izlenecek federal tasarıları anlayın.

17 Haziran 2026

ABD'de federal bir veri gizliliği yasası var mı?

Sektöre özgü federal yasalar

Yükün büyük kısmını birkaç federal yasa taşıyor:

Sağlık verisi — HIPAA. Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası, kapsamdaki kuruluşların korunan sağlık bilgilerini nasıl ele aldığına dair katı kurallar koyar. Kampanyalarınız hastaneler, sigortacılar veya kliniklerle temas ediyorsa, HIPAA neyin izlenebileceğini, saklanabileceğini ve paylaşılabileceğini şekillendirir.
Çocuk verisi — COPPA. Çocukların Çevrimiçi Gizliliğini Koruma Yasası, web sitelerinin ve çevrimiçi hizmetlerin 13 yaş altı çocuklardan veri toplamasını düzenler; bu da onay akışlarını, izlemeyi ve genç kitlelerin profillemesini etkiler.
Finansal veri — GLBA. Gramm-Leach-Bliley Yasası, finans kuruluşlarının tüketici finansal bilgilerini nasıl koruyacağını düzenler; veri güvenliği, erişim kontrolleri ve finans temelli pazarlama üzerinde doğrudan etkisi vardır.

Eyalet düzeyindeki gizlilik yasaları

Bilinmesi gereken birkaç yasa:

California — CCPA/CPRA. California Tüketici Gizliliği Yasası, California Gizlilik Hakları Yasası ile değiştirilerek; erişim, silme ve kişisel verinin satışına ya da paylaşımına itiraz hakkı dahil geniş haklar verir ve görünür bir "Kişisel Bilgilerimi Satma veya Paylaşma" bağlantısı zorunlu kılar.
Virginia — VCDPA. Virginia Tüketici Veri Koruma Yasası; profilleme, hedefli reklamcılık ve biyometrik ya da hassas konum verisi gibi hassas kategorileri kapsayan tüketici hakları ve ayrıntılı sorumlu yükümlülükleri belirler ve genellikle yüksek riskli işlemler için değerlendirme gerektirir.
Colorado — CPA. Colorado Gizlilik Yasası, işletmelerin hedefli reklam ve veri satışları için evrensel bir vazgeçme (opt-out) mekanizmasına uymasını ister; yani yalnızca kendi banner'larını değil, tarayıcı düzeyindeki bir sinyali de saygıyla karşılamaları gerekir.

İşletmeler için veri gizliliği riskleri ve zorlukları

ABD'deki en büyük zorluk tek bir katı yasa değil. Çok sayıda farklı yasa. Eyaletler arası faaliyet gösteren bir işletme için uyum, şunları sürekli takip etmek demektir:

Her eyaletin kişisel veriyi nasıl tanımladığı
Hangi tüketici haklarının geçerli olduğu
Hedefli reklam ya da veri satışlarından vazgeçmeye nasıl uyulacağı

Bekleyen federal tasarıları izlemek

Gelecekteki herhangi bir federal yasanın muhtemelen şunları yapacaktır:

Bireylere daha güçlü gizlilik korumaları vermek
Hassas bilgilerin ele alınmasına dair temel kurallar koymak
İşletmelerin düzenli veri koruma değerlendirmeleri yapmasını ve sağlam güvenlik göstermesini beklemek

Buradan nereye?

Yükümlülüklerinizi eyaletler arasında haritalamak için yardım mı istiyorsunuz? Ekibimizle konuşun ya da blogumuzdaki diğer rehberlere göz atın.