Bu rehber kimin için ve neyi çözer?

ABD pazarında faaliyet gösteren (ya da ABD’de kullanıcıları olan) ekipler için veri analizi ve raporlama çoğu zaman iki hedef arasında sıkışır: iş değerini ölçmek ve mahremiyeti korumak. Özellikle ürün analitiği, pazarlama raporlaması, müşteri başarı metrikleri, A/B testleri, BI panoları ve otomatik karar destek sistemleri büyüdükçe; veri akışlarının “uyumlu” olup olmadığı sorusu daha da karmaşık hale gelir.

Yazanın perspektifi: Bu içerik, privacy engineering / analytics ops bakış açısıyla; teknik ekiplerin süreç kurmasına yardımcı olacak şekilde hazırlanmıştır. Hukuki danışmanlık değildir.

Kaliforniya düzenleyicisinin (CPPA) güncel düzenleme çalışmaları ve duyuruları için resmi sayfalar: CPPA – CCPA Updates ve özet duyuru: privacy.ca.gov – Regulations duyurusu. Son kontrol: 7 Mart 2026.

1) ABD’de “tek bir mahremiyet standardı” yok: kapsamı nasıl çizersiniz?

ABD’de mahremiyet rejimi çoğunlukla eyalet bazlı ilerler ve belirli veri türleri için sektörel kurallar bulunur. Bu nedenle veri analizi/raporlama uyumluluğunda ilk adım şudur: “Hangi kullanıcılar hangi eyaletlerde?” ve “Hangi veri türleri işleniyor?”

Kapsam notu (önemli): bu rehberin odağı

Bu yazı Kaliforniya CCPA/CPRA + sağlık verisi varsa HIPAA odağında bir çerçeve sunar. Bununla birlikte ABD’de başka eyalet mahremiyet yasaları da (ör. farklı eyaletlerde farklı kurallar) devreye girebilir. Eyalet farklılıklarını ele almak için önce bu bölümdeki “kapsam” adımını netleştirip, ardından kendi kullanıcı/coğrafya dağılımınıza göre hukuk danışmanlığıyla çerçeveyi genişletin.

Pratik başlangıç: 3 soruluk kapsam testi

  • Hangi veri sınıfları var? (ör. hesap verileri, cihaz/çerez verileri, konum, ödeme, sağlık verisi)
  • Bu veriler hangi amaçla işleniyor? (ürün geliştirme, güvenlik, pazarlama ölçümü, finans raporu vb.)
  • Paylaşım var mı? (bulut sağlayıcı, analitik SDK’sı, reklam/ölçüm ortakları, veri zenginleştirme, danışmanlık)

Bu üç soru, hem CCPA/CPRA kapsamındaki tüketici haklarını süreçlerinize yerleştirmek hem de HIPAA gibi sektörel çerçevelere temas edip etmediğinizi görmek için temel bir harita oluşturur.

2) Kaliforniya (CCPA/CPRA) odağında analitik için kritik beklentiler

Kaliforniya’daki CCPA/CPRA çerçevesi, analitik ve raporlamayı doğrudan etkileyen iki büyük alana temas eder: (1) tüketici hakları ve şeffaflık, (2) yönetişim ve risk temelli kontroller. CPPA’nın resmi “güncellemeler / rulemaking” derlemesi için: CPPA düzenleme güncellemeleri.

2.1 Analitik akışlarında “hak yönetimi”ni unutmayın

Analitik olayları (event), kullanıcı kimlikleri, cihaz tanımlayıcıları ve raporlama çıktılarını ayrı sistemlerde tutmak yaygındır. Ancak pratikte tüketici talepleri (erişim/silme/opt-out benzeri) geldiğinde, bu taleplerin analitik boru hattına da yansıması beklenir. Uygulama ve uyum vurgularını resmi kaynaklardan izlemek için örnek: California DOJ – CCPA uyumu vurgusu.

Uygulanabilir kontrol listesi: analitik için “hak talebi” tasarımı

  • Kimlik eşleme stratejisi: Silme talebini event depolarına ve yedekleme/arşiv katmanlarına nasıl yayacaksınız?
  • Downstream etkisi: Silinen verinin raporlara etkisi nasıl açıklanacak? (ör. geçmiş dönem raporlarının yeniden hesaplanmaması gibi durumlarda politika netliği)
  • Paydaşlar: Üçüncü taraf analitik/ölçüm sağlayıcılarına talep iletimi ve doğrulaması nasıl yapılacak?
  • Kanıt: Talep işleme logları ve süreç dokümantasyonu nerede tutulacak?

Somut örnek: DSAR silme talebinin analitiğe yayılması (örnek akış)

  1. Kimlik çözümleme: DSAR kimliğini (e-posta/hesap/cihaz) bir identity graph veya eşleme tablosu ile event-store’daki anahtarlarla ilişkilendirin.
  2. Silme kuyruğu: Event-store için “deletion queue” üretin (kayıt anahtarı, veri kaynağı, kapsam, tarih, talep ID).
  3. Uygulama: Ham event tablosunda ilgili kayıtları silin veya seçtiğiniz modele göre erişilemez hale getirin (ör. ayrı bir “tombstone” tablosu + sorguda filtreleme).
  4. Downstream politika: Türetilmiş tablolarda/feature store’da yeniden hesaplama yapacak mısınız, yoksa raporların geçmiş değerleri korunacak mı? Bu kararı yazılı politika haline getirin.
  5. Üçüncü taraf iletim: Varsa analitik/ölçüm tedarikçilerine talebi iletin ve kapanış kanıtını saklayın.
  6. Denetim izi: “Kim, ne zaman, hangi sistemde, hangi kapsamda” işlendiğini gösteren log + sonuç kaydı üretin.

Not: Bu akış bir “uygulama örneğidir”; işletmenizin mimarisi ve hukuki değerlendirmesine göre uyarlanmalıdır.

2.2 CPPA düzenleme güncellemeleri (rulemaking): risk değerlendirmeleri, siber güvenlik denetimleri ve ADMT

CPPA’nın “CCPA Updates” sayfasında; risk değerlendirmeleri, siber güvenlik denetimleri ve otomatik karar verme teknolojileri (ADMT) gibi başlıklar, düzenleme güncellemeleri kapsamında ele alınır. Bu başlıklar; segmentasyon, skorlamaya dayalı hedefleme, dolandırıcılık önleme, dinamik fiyatlama, otomatik erişim kararları veya benzeri otomasyonlar kullanan analitik ekipler için özellikle önemli olabilir. Resmi başlıklar ve durum için: CPPA – Updates ve duyuru özeti: privacy.ca.gov.

Dil hassasiyeti: Bu bölüm, CPPA’nın düzenleme güncellemelerinde ele aldığı alanları işaret eder. Hangi gerekliliklerin işletmenize uygulanacağı; rolünüze (işleyen/sağlayıcı vb.), veri türlerine, kullanım durumuna ve nihai düzenleyici metinlere bağlıdır.

Ne zaman hukuk danışmanlığı gerekir? ADMT/otomasyon çıktıları bireyler için anlamlı sonuçlar doğuruyorsa (örn. erişim, fiyat, uygunluk, risk skorlaması gibi), ayrıca “yüksek risk” olarak sınıflandırılabilecek veri/amaçlar kullanılıyorsa; hem düzenleyici metinlerin güncelliği hem de kapsam analizi için hukuk/uyum ekibiyle birlikte ilerleyin.

Pratik yaklaşım: “Mini DPIA” ile başlayın

Kurumsal ölçekte bir risk değerlendirmesi tasarlamadan önce, analitik projeler için hafif ama disiplinli bir değerlendirme şablonu kullanabilirsiniz:

  • Amaç: Hangi iş sorusu yanıtlanıyor? Aynı sonucu daha az veriyle elde edebilir misiniz?
  • Veri minimizasyonu: Hangi alanlar zorunlu, hangileri “güzel olur” seviyesinde?
  • Hassasiyet: Sağlık, finans, çocuklara ilişkin veya konum gibi kategoriler var mı?
  • Paylaşım: Veri kimlerle paylaşılıyor, hangi sözleşme ve teknik kontrollerle?
  • Otomasyon etkisi: Çıktılar kişi bazında karar/sonuç doğuruyor mu? İtiraz/inceleme mekanizması var mı?
  • Güvenlik: Erişim kontrolü, şifreleme, loglama, ayrıcalık minimizasyonu, anahtar yönetimi.

3) HIPAA varsa oyun değişir: “de-identification” iki yolla olur

Sağlık verisi ile temas eden analitik ve raporlama projelerinde HIPAA kapsamı gündeme gelebilir. HIPAA altında “de-identification” için HHS/OCR iki temel yaklaşımı tanımlar: Safe Harbor ve Expert Determination. Resmi rehber: HHS/OCR – Guidance on De-identification of PHI (PDF).

Ne zaman uzman/hukuk desteği gerekir? PHI içerebilecek verilerle çalışıyorsanız, “de-identified” iddiasını sözleşme, dış paylaşım veya ürün vaadi haline getiriyorsanız ya da yeniden tanımlama riski yüksek (yüksek boyutlu, az örneklemli, konum/zaman hassas) veri setleri kullanıyorsanız; HIPAA kapsam analizi ve (gerekiyorsa) Expert Determination için nitelikli uzman ve hukuk danışmanlığıyla ilerleyin.

3.1 Safe Harbor: 18 tanımlayıcı öğenin kaldırılması

Safe Harbor yaklaşımı, belirli doğrudan tanımlayıcıların kaldırılmasını ve kalan veride kişinin makul biçimde tanımlanamayacağının hedeflenmesini esas alır. Hangi öğelerin kapsamda olduğuna ve nasıl ele alınacağına dair en doğru referans, HHS/OCR belgesidir.

3.2 Expert Determination: istatistiksel/uzman temelli düşük risk gösterimi

Expert Determination yaklaşımında, nitelikli bir uzman/uzmanlık yöntemi ile yeniden tanımlama riskinin “çok düşük” olduğuna ilişkin değerlendirme yapılır ve yöntem dokümante edilir. Bu yaklaşım, özellikle yüksek boyutlu veri setlerinde veya coğrafi/zaman bilgisi gibi alanların analitik değeri yüksek olduğunda gündeme gelir. Ayrıntı için: HHS/OCR de-identification rehberi.

Analitik ekipler için uyarı

De-identification “tek seferlik” bir işlem olarak düşünülmemelidir. Veri birleştirme, yeni harici veri kaynakları, farklı sorgu arayüzleri veya farklı kullanıcı rollerinin erişimi, yeniden tanımlama riskini değiştirebilir. Bu nedenle teknik önlem kadar yönetişim ve yaşam döngüsü yönetimi de kritiktir.

4) De-identification ve anonimlikte NIST bakışı: teknik + yönetişim birlikte

NIST, de-identification sürecine teknik yöntemlerin yanında yönetişim, disclosure review ve yaşam döngüsü yaklaşımıyla bakar. Özellikle kamu veri setlerinin paylaşımı bağlamında hazırlanan NIST SP 800-188, organizasyonların risk yönetimi, gözden geçirme yapıları ve süreç tasarımına dair pratik çerçeveler sunar: NIST SP 800-188 (PDF).

4.1 Neden “sadece maskeleme” yeterli bir strateji olmayabilir?

Analitik veri setleri çoğu zaman yüksek boyutludur: zaman damgaları, yaklaşık konum, cihaz özellikleri, davranış kalıpları gibi alanlar bir araya geldiğinde kişi bazında eşsiz desenler oluşabilir. NIST’in yaklaşımı, bu riskleri tek bir teknikle “kapatmak” yerine şu üçlüyle yönetmeye uygundur:

  • Veri dönüşümü teknikleri (genelleştirme, baskılama, örnekleme vb.)
  • Erişim ve kullanım kontrolleri (rol bazlı erişim, sorgu kısıtları, sözleşmesel kullanım sınırları)
  • Gözden geçirme ve hesap verebilirlik (disclosure review süreçleri, periyodik yeniden değerlendirme)

4.2 Analitik raporlar için “risk bazlı yayın” yaklaşımı

Bir dashboard’u şirket içinde paylaşmakla, müşterilere rapor sunmak veya harici araştırmacılara veri açmak aynı risk seviyesinde değildir. Aşağıdaki basit matris ekiplerin kararını hızlandırır:

Yayın senaryosu Tipik risk Önerilen kontroller
İç raporlama (dar ekip) Orta Rol bazlı erişim, amaç sınırlaması, denetim logu
Müşteriye/iş ortağına rapor Orta–yüksek Sözleşmesel kısıtlar, agregasyon eşikleri, yeniden tanımlama risk değerlendirmesi
Ham/veri seti paylaşımı Yüksek De-identification planı, disclosure review, erişim modeli (ör. güvenli ortam), periyodik yeniden değerlendirme

5) PETs: Differential privacy ve sentetik veri ne zaman gündeme gelir?

Privacy-enhancing technologies (PETs) ailesinde sık tartışılan iki yaklaşım: differential privacy ve sentetik veri. Bunlar, doğru tasarlanırsa analitik faydayı korurken mahremiyet risklerini azaltmaya yardımcı olabilir; ancak her ikisi için de parametre seçimi, doğrulama ve fayda kaybı gibi pratik zorluklar vardır. Genel çerçeve ve sınırlamalar üzerine sektör perspektifi için: Deloitte – Differential Privacy and Synthetic Data (PDF); literatür derlemesi için: arXiv – Synthetic Data with Formal Privacy Guarantees (survey).

5.1 Differential privacy: raporlama çıktılarında mahremiyet bütçesi fikri

Differential privacy yaklaşımı çoğunlukla çıktı düzeyinde koruma sağlar: rapor sonuçlarına kontrollü gürültü ekleme veya sorgu mekanizmasını mahremiyet garantisiyle tasarlama gibi. Uygulamada iki pratik soru öne çıkar:

  • “Ne yayınlıyoruz?” KPI’lar mı, kohort tabloları mı, segment bazlı dönüşümler mi?
  • “Hata toleransımız ne?” Pazarlama optimizasyonu ile finans raporlamasının toleransı aynı değildir.

Bu nedenle differential privacy çoğu ekipte “hemen her yerde” değil, belirli rapor türlerinde (ör. dışa açık istatistikler, düşük örneklemli kesitler) daha anlamlı bir seçenek olabilir.

5.2 Sentetik veri: test, geliştirme ve paylaşım senaryolarında

Sentetik veri, gerçek verinin istatistiksel özelliklerini yansıtan ancak gerçek kişilere doğrudan bağlı olmayan bir veri seti üretmeyi hedefler. Bunun analitik ekiplere faydası çoğu zaman şuralarda görülür:

  • Geliştirme/test: Üretim verisine erişmeden pipeline ve dashboard doğrulama.
  • Eğitim ve demo: Müşteriye veya iç ekibe gerçek kişileri göstermeden ürün anlatımı.
  • Paylaşım kısıtları: Ham verinin paylaşılamadığı iş ortaklığı senaryoları.

Ancak sentetik verinin “otomatik olarak risksiz” olduğunu varsaymak doğru değildir; üretim yöntemi, saldırı modeli ve doğrulama yaklaşımı belirleyicidir. Ayrıntı ve sınırlamalar için: arXiv survey.

6) Veri yönetişimi: analitiği yavaşlatmadan uyumlu hale getirme

Uyum çoğu zaman “tek seferlik bir proje” gibi görülür; oysa analitik dünyasında veri şemaları, event isimleri, SDK’lar ve rapor gereksinimleri sürekli değişir. Bu yüzden sürdürülebilir yaklaşım, veri yönetişimini analitik yaşam döngüsüne entegre etmektir.

6.1 Minimum uygulanabilir yönetişim (MVG) çerçevesi

  • Veri envanteri: Event sözlüğü, alan tanımları, veri kaynakları, hedef sistemler.
  • Sınıflandırma: Kişisel veri / hassas veri / de-identified veri / agregat rapor gibi etiketler.
  • Saklama politikası: Ham event verisi ne kadar tutulur? Agregatlar ne kadar tutulur?
  • Erişim modeli: Kim hangi seviyede görebilir? (ham, pseudonymous, agregat)
  • Değişiklik yönetimi: Yeni bir event alanı eklendiğinde kim onaylar, hangi şablonla risk kontrolü yapılır?

6.2 Üçüncü taraflar: sözleşme + teknik kontrol birlikte

Analitik ve raporlama genellikle üçüncü taraflarla yürür: bulut veri ambarı, etiket yönetimi, ürün analitiği, müşteri veri platformları, danışmanlık vb. Kaliforniya çerçevesinde “paylaşım/satış” gibi kavramlar ve tüketici haklarının taşınması bağlamında sözleşme dili kritik olabilir. Bu nedenle, tedarikçi incelemesini hem sözleşmesel hem de teknik açıdan ele almak gerekir. Genel düzenleme bağlamı için CPPA duyurusu: privacy.ca.gov.

Tedarikçi değerlendirme soruları (kısa liste)

  • Veri işleyen/sağlayıcı rolü nedir ve bunu sözleşmede açıkça tanımlıyor mu?
  • Alt işleyiciler ve veri konumları (bölge/ülke) şeffaf mı?
  • Hak taleplerini (silme/erişim/opt-out) destekleyen teknik süreçleri var mı?
  • Güvenlik kontrolleri ve denetim raporları nasıl paylaşılır?
  • De-identification iddiası varsa: yöntem, varsayımlar ve yeniden tanımlama riskine yaklaşım dokümante mi?

7) Uygulama planı: 30 günde “daha uyumlu” analitik nasıl kurulur?

Aşağıdaki plan, büyük yeniden mimari gerektirmeden iyileştirme yapmaya yöneliktir. Kurum ölçeğine göre süreler değişebilir.

Hafta 1: Envanter ve akış haritası

  • En kritik 10 raporu ve beslendiği veri kaynaklarını listeleyin.
  • Bu raporların çıktısı kimlerle paylaşılıyor (iç/dış)?
  • Her rapor için veri sınıflandırması etiketi verin (kişisel/hassas/agregat).

Hafta 2: Veri minimizasyonu ve saklama

  • Event şemasında “gereksiz” alanları işaretleyin; kaldırma ya da daha düşük hassasiyetle tutma seçeneklerini belirleyin.
  • Ham veri saklama süresini ve agregat saklama süresini yazılı hale getirin.

Hafta 3: Hak talepleri ve tedarikçiler

  • Hak taleplerinin analitik depolara yansımasını test edin (ör. örnek bir silme talebi).
  • En çok veri alan 3 tedarikçi için sözleşme ve teknik süreç kontrolünü başlatın.

Hafta 4: Risk değerlendirmesi ve yayın kontrolleri

  • Yüksek riskli görünen 2 analitik kullanım durumu için mini risk değerlendirmesi dokümantasyonu oluşturun.
  • Küçük örneklemli segment raporları için agregasyon eşiği ve erişim kısıtları belirleyin.
  • Sağlık verisi varsa, HIPAA de-identification yolunu (Safe Harbor vs Expert Determination) netleştirin. Referans: HHS/OCR.

Son not: belirsizlikleri görünür kılın

Mahremiyet uyumu, “tamamlandı” diyerek bitirilen bir görev olmaktan çok, sürekli iyileştirilen bir kontrol sistemidir. Özellikle de-identification/anonimlik iddialarında ve otomatik karar süreçlerinde, teknik gerçeklik ile yasal beklentiler arasında gri alanlar oluşabilir. Bu gri alanları azaltmanın en güvenli yolu: (1) dokümantasyon, (2) risk bazlı karar, (3) gerektiğinde uzman ve hukuk danışmanlığı ile ilerlemektir.

Kaliforniya düzenleme gündeminin en güncel özetleri için CPPA’nın resmi sayfasını düzenli kontrol edin: CPPA – Updates.