Son günlerin en sıcak konusu kişisel veri ve GDPR. Sözün başında Webtrekk’in 2015 yılında Türkiye pazarı için gerçekleştirdiği ‘Web Analytics Survey Study’ çalışmasına değinmek gerek. Zira hem çalışma sonuçları, hem de SEM olarak yıllardır sektörde gördüğümüz tablo, ülkemizdeki online veri toplama ve ölçümleme ihtiyacının ağırlıklı olarak Google Analytics üzerinden giderildiğini gösteriyor. Haliyle bu yazı da biraz daha Google ve Google Analytics çevresinde gelişiyor olacak.

image source: videoblocks.com

 

Kişisel Veri?

Olayın kahramanı ‘kişisel veri’. Öncelikle neden bahsettiğimizi netleştirelim. Kişisel veri, farklı jargonlar ve Google Analytics evreninde ‘Personally Identifiable Information’ (PII) olarak terimleştirilir ve bireylerin kimliklerini herhangi bir şekilde işaret edebilecek potansiyelde olan tüm veri çeşitlerini kapsar; e-mail adresi, telefon numarası, kimlik numarası, IMEI numarası, MAC adresi vb. Google kendi sunucularında bu tarz hassas verileri barındırmak istemediği için, PII konusunda oldukça sıkı bir politika yürütür ve ihlal durumunda hesabınızın kapanmasına kadar giden bir yaptırım sistemi uygular.

Yakın tarihlerde bu konudaki kısıtı by-pass etmek isteyen Türk şirketleri, on-premise (yerinde) servis sunan ve verinizi kendi sunucularınızda tutmanıza olanak sağlayan çözümlere ilgi göstermiş olsalar da, çeşitli nedenlerden ötürü bu ilgilerini kısa sürede kaybettiler ve tekrar Google odaklı bir ölçümleme stratejisine dönüş yaptılar.

Peki Google Analytics’te PII kısmında belirttiğimiz tekilleştirici unsurları kullanmadan, kullanıcı bazlı bir ölçümlemeyi nasıl yapıyoruz? Kullanıcıları farklı platformlarda tanıyabilmek için Google Analytics ile kişiye özel, rastgele -ancak her platformda sabit- bir değer atayabiliriz, ki bunun teknik karşılığı User-ID bazlı bir ölçümleme demektir. Google Adwords, Doubleclick gibi Google evreni içerisinde yapılması gereken tekilleştirmeleri ise küçük ayarlar ile tarayıcı cookie’leri üzerinden gerçekleştirebiliriz.

image source: jasoncarrwrites.com

Olayın GDPR boyutuna dönersek, Avrupa Birliği (EU)’nde hali hazırda yürürlükte olan veri koruma yönergesi yaklaşık 25 yaşında. Teknolojinin gelişme hızını da göz önüne aldığımız zaman, esasen bir hayli yaşlı ve hantal bir konumda olduğunu rahatlıkla söyleyebiliriz. Demografik kapsam açısından ise tüm EU vatandaşlarına ait veri korunumu amaçlandığı için, sadece EU’da konuşlanmış işletmeleri değil, EU dışında yerleşik ancak EU ile herhangi bir şekilde iş bağı bulunan bütün işletmeleri de kapsar durumda.

 

Pseudonymous Veri

Aylardır süre gelen GDPR tartışmalarının asıl nedeni ise, bahsini gerçirdiğimiz hassas veri kategorisi (PII) içeriğine ek olarak, “pseudonymous veri” adlı yeni bir kategori oluşturulması. Pseudonymous veri yasağı, en genel tanımı ile, kullanıcının iznini almadan asla tekilleştiremeyeceğiniz anlamına geliyor. Buna lokasyon bilgisi ve diğer her türlü benzersiz tanımlayıcı (unique identifier) -örn. User-ID- da dahil durumda. 

İzinli kullanıcının verisini toplayamayacak mıyız? Pek tabii ki toplayabilirsiniz. Ancak GDPR burada da kanıtlama zorunluluğunu şirketlere yüklüyor. Ki bu da, kullanıcının rızasını göstermek için mutlaka olumlu bir aksiyon alması gerekliliğine işaret ediyor. Örneğin, gizlilik ayarları içerisinden yapılacak bir değişiklik ya da kullanıcının onay vereceği bir tıklama ile kabul edebildiği bir sözleşme ekranı, bu kanıtlama zorunluluğunu karşılayan örnekler olarak nitelendirilebilir. Ancak, footer’da yapılacak genel bir duyuru ya da halihazırda onaylı durumdaki bir sözleşme gösterimi kanıtlama zorunluluğunu ihlal eden durumlar olarak göz önüne alınabilir.

Ek olarak yine EU’da geçerli unutulabilme hakkı, profillenme karşıtı hak ve veri taşınabilirliği haklarının bir yansıması olarak, şirketler kullanıcılarına istedikleri zaman ‘opt-out’ (sistemden çıkma) hakkı tanımak zorundalar. Kullanıcı opt-out hakkına baş vurduğu zaman ise, kendisine ait tüm verinin silinmesi yükümlüğü mevcut.

GDPR kapsamında göze çarpan diğer ana başlıklar ise;

• Neden veri topladığınızı ve nasıl kullandığınızı olabildiğince basit ve sade bir dil ile anlatmak zorundasınız. (Paypal örnek olarak alınabilir; https://www.paypal.com/us/webapps/mpp/ua/cookie-full) 
• Büyük çapta hassas veriye sahip firmalar ‘Data Protection Officer’ olarak anılacak, yeni insanlar istihdam etmek zorundalar.
• Herhangi bir veri sızıntısı olduğu zaman, en geç 72 saat içerisinde, şirketler ilgili kullanıcılara bilgilendirme yapmak zorundalar.
• Ailesinin rızası alınmadan 16 yaşından küçük çocuklara ait veri toplanamaz. (Önceden bu sınır 13 yaş idi.)
• Bulut servis sağlayıcıları da tüm bu kurallara uyum göstermek zorunda.
• Kullanıcılar kendilerine ait tutulan verinin bir kopyasını talep edebilirler. Şirketler bu talebi 30 gün içerisinde, ücretsiz bir şekilde ve yaygın kullanıma sahip bir format kullanarak karşılama yükümlülüğündeler.

Türkiye’de GDPR

image source: hlhr.gr

Bahsi geçen ve geçmeyen çok daha fazla isterleri ile beraber, GDPR 26 Mayıs’ta yürülüğe giriyor ve uyum sağlamayan firmaları yıllık global cirolarının %4’ü büyüklüğündeki potansiyelde cezalar bekliyor. (Gartner’ın Aralık 2017’de yayınladığı ‘100 Data and Analytics Predictions for 2021’ çalışmasındaki tahminine göre, 26 Mayıs 2018’e kadar global firmaların ancak %50’si GDPR’a tam uyumlu bir geçişi tamamlayabilecek.)

Yurda dönersek; Türkiye’de bulunan ve Google Analytics kullanan bir şirket olarak sizin neler yapmanız gerekiyor? Öncelikle aşağıdaki iki soruyu cevaplamamız lazım;

• EU vatandaşlarına herhangi bir ürün ya da hizmet sağlıyor musunuz ?
• Herhangi bir şekilde EU vatandaşlarına özel bir profilleme yapıyor musunuz -tekilleştiriyor musunuz- ? 

En az bir cevabınız ’Evet’ ise, öncelikle yukarıda anlatılan tüm isterleri gözden geçirerek, eksik olduğunuzu düşündüğünüz noktalar için kollarınızı sıvayın. Biz Google Analytics özelindeki gelişmeler ve GDPR uyumlu bir ölçümleme için yapılması gerekenler neler, devam edelim.

Google Ekosistemi ve Google Analytics 

Google’ın GDPR konusundaki genel duruşunu ve açıklamalarını incelemek isterseniz, başlıkları da, içeriği de birbirinden iç karartıcı olan bu bağlantıyı takip edebilirsiniz; https://privacy.google.com/businesses/compliance/

Google Analytics özelinde bahsedilmesi gereken ilk konu ise, veri işleme ya da veri depolamaya ait genel süreçler konusunda herhangi bir değişiklik olmaması. Yapılan ve yapılacak olan tüm geliştirmeler sadece size ekstra kontrol sağlayan kapsamda yer alacak. Ek olarak, bahsi geçen tüm geliştirmeler, lokasyon farketmeksizin, standart ve 360 statüsündeki tüm Google Analytics hesaplarında geçerli olacak.

GDPR uyumlu bir Google Analytics ekosistemi için yapmanız gerekenler ve Google’ın bu konuda bizlere sağladığı yenilikler kabaca şu şekilde;

1 – Veri İşleme Değişikliği (Data Processing Amendment)

Her ne kadar az önce genel veri işleme mekanizmalarında herhangi bir değişiklik olmayacağından bahsettiysek de, ek kontroller ve GDPR uyumlu metin değişiklikleri nedeniyle, her Google Analytics hesabında, yeni veri işleme sözleşmesi kabul edilmeli. Kabul ekranına ve metin detaylarına Google Analytics hesabınıza giriş yapmanızın ardından “Hesap Ayarları (Account Settings)”na tıklayarak ulaşabilirsiniz.

Data Processing Amendment Kabulü;

2 – Veri Saklama Ayarları (Data Retention)

Veri saklama ayarları Google Analytics tarafından depolanan kullanıcı (user) ve etkinlik (event) düzeyindeki verilerin Google sunucularından otomatik olarak silinmesi için gereken süreyi ayarlamanıza olanak tanır. Çerezler, kullanıcı bazlı veriler (ör. User id ) ve reklam tanımlayıcıları (ör., DoubleClick çerezleri, Android Reklam Kimliği, Apple Reklamveren Tanımlayıcısı) ile ilişkili kullanıcı seviyesi ve etkinlik seviyesi veriler “veri saklama denetimleri” kapsamındadır.

Toplu (aggregated) veriler bu ayarlamadan etkilenmez. 

Google Analytics’in verilerinizi otomatik olarak silmeden önce ne kadar süre koruyacağını seçebilirsiniz. Veriler saklama süresinin sonuna ulaştığında, aylık periyotlar ile otomatik olarak silinirler;

• 14 ay
• 26 ay
• 38 ay
• 50 ay
• Otomatik olarak silinmesin.

Veri saklama süresinin kullanıcılar tarafından gerçekleştirilen her interaksiyon ile baştan başlamasını isterseniz, kullanıcı tanımlayıcısında yer alan “yeni aktivitede baştan başlat” seçeneğini AÇIK konumuna getirmelisiniz. 

Örneğin, veri saklama süresini 14 ay olarak belirlerseniz ve kullanıcı mülkünüzde her ay yeni bir oturum başlatırsa, veri saklama süresi her ay yenilenecek ve 14 aylık limitten etkilenmeyecektir. Benzer bir kullanıcı, 14 ay boyunca yeni bir oturum başlatmazsa, bu kullanıcıya ait veriler silinir.  Eğer “yeni aktivitede baştan başlat” seçeneği kapalı konuma alınırsa, kullanıcının yeni aktivitelerinin olup olmadığına bakılmaksızın, bahsi geçen veriler saklama süresinden sonra otomatik olarak silinecektir.

Seçtiğiniz saklama süresini değiştirirseniz sonraki aylık süreçte etkilenen veriler silinir. Örneğin, veri saklama sürenizi 26 aydan 14 aya düşürürseniz, sonraki aylık süreçte 14 aydan daha eski verileriniz silinecektir. Saklama süresini her değiştirdiğinizde, Google Analytics değişikliği uygulamadan önce 24 saat bekler. Bu 24 saatlik dönemde, yapılan değişiklikleri geri alabilirsiniz ve verileriniz etkilenmez.

Veri saklama süresinin varsayılan değerleri Google Analytics Standart hesapları için “26 ay”, Google Analytics 360 hesapları için “Otomatik Olarak Silinmesin” şeklindedir.

İlgili tercihlerin 25 Mayıs 2018 itibariyle fonksiyonellik kazanacağını da belirtelim.

Veri saklama ayarlarını değiştirmek için izlemeniz gereken adımlar sırasıyla şu şekilde;

1. Google Analytics hesabınızdan yönetim (admin) sayfanızı seçin.
2. Mülk (propety) sütununda, İzleme Bilgisi (Tracking Info) > Veri Saklama (Data Retention)’yı tıklayın.
3. Kullanıcı verileri tutma (User and event data retention) : İstediğiniz saklama süresini seçin.
4. Yeni aktivitede baştan başlat (Reset on new activity) : Tercihinize göre Açık veya Kapalı duruma getirin.

Data Retention Ayarları;

 

3 – Kullanıcı Silme Aracı (User Deletion Tool)

Yazının ortalarında bahsi geçen “unutulabilme hakkı” kapsamında, opt-out hakkını kullanan her kullanıcıya ait veri, Google Analytics’ten de silinmek zorunda. Google bu amaca hizmet eden bir “user deletion” aracı üzerinde çalışıyor ve 25 Mayıs öncesinde aktif hale getireceğini açıklamış durumda. Şu an için detaylarını bilemesek de, öncelikli olarak silme işlemini API üzerinden mümkün kılan bir çözüm göreceğiz. Ardından Google Analytics arayüzünde de ilgili bir modül hayata geçirilecek. 

Bağlı olarak, eğer Google Analytics API hizmetinin çalışma yapısına aşina değilseniz, şimdiden üzerinde çalışmaya başlamanız ya da danışmanlık almanız yararınıza olacaktır.

image source: google.com

4 – IP Anonimleştirme (Anonymize IP)

Google Analytics, IP adreslerini kullanıcılarınızın sitenize hangi lokasyonlardan girdiğini tespit edebilmek amacıyla kullanır ve lokasyon raporlarına yansıtır, IP bazlı bir rapor sunmaz. 2010 yılından beri ise IP anonimleştirme özelliğini opsiyonel olarak sunmaktadır.

IP anonimleştirme, teknik olarak var olan IP adresine ait son değerin ‘0’ olarak atanması demektir. Yani, 12.121.12.121 gibi bir IP adresi 12.121.12.0 olarak kaydedilir. Bu işlem lokasyon bilgisi tutarlılığını az da olsa etkileyecektir ancak, Google Analytics’in lokasyon raporlarında hali hazırda direkt bir veri sunmaması sebebiyle, iç görülerinizi saptıracak seviyede bir değişiklik olmayacağını söyleyebiliriz.

image source: google.com

Sonuç olarak -halen tartışmalı olsa da ve en garanti çözüm olarak-  IP anonimleştirme özelliğini kullanmayı masaya yatırabilirsiniz. Google developer sayfasındaki yönergeleri izleyerek ya da Google Tag Manager üzerinden bu özelliği kolaylıkla hayata geçirebilirsiniz; https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

 

5 – Entegrasyon ve Kontroller

5.1 – Ziyaretçi Takibi

Google Analytics, ziyaretçileri tarayıcı düzeyinde tekilleştirebilmek için Cookie’leri kullanır ve bunu ClientID olarak adlandırılan bir değişken üzerinden gerçekleştirir. ClientID’nin GDPR metinlerinde bahsi geçen “benzersiz tanımlayıcı” kategorisinde olup olmadığı halen bir tartışma konusu. 

Bizim yorumumuz ise ClientID’nin GDPR uyumlu bir tanımlayıcı olduğu yönünde. Orjinal GDPR metni, sayfa 17:

Yine de, eğer User-ID kullanıyorsanız, yazılım biriminizle ya da analytics danışmanlığı aldığınız firma ile iletişime geçin ve Google Analytics kodunuzun -veya sadece User-ID modülünüzün- ziyaretçiler gerekli sözleşme onayını verdikten sonra çalışacak şekilde kurgulandığına emin olun.

Rızasını göstermeyen kullanıcıların davranışlarını anonim olarak (ClientID üzerinden tekilleştirme yapmadan) toplamak isterseniz, çözüm olarak ziyaret bazlı cookie yöntemini kullanabilirsiniz. Bu yöntem, kullanıcı tarayıcısını kapattığı zaman kendisine atanan cookie’nin silinmesi ve yeni bir oturum açtığı zaman yeni bir kullanıcı gibi ölçümlenmesi anlamına gelir. -Ki bu da Google Analytics raporlarınızdaki kullanıcı (user) bazlı metriklerin büyük ihtimalle sapmasına sebebiyet verecektir.-

5.2 – PII Denetimi

PII kapsamında yer alan herhangi bir veri toplama aktiviteniz varsa sonlandırın. 

Kasıtlı olarak PII kapsamındaki veriyi toplamıyor olsanız bile, Google Analytics entegrasyonunuza bağlı olarak, çeşitli yazılımsal geliştirmeler neticesinde hassas bilgiler topladığınızın farkında olamayabilirsiniz. SEM olarak bizim de çokça karşılaştığımız bu durum genellikle e-mail adresi, ad/soyad gibi PII verilerinin URL bilgisi ya da event (etkinlik) değişkenleri ile birlikte dinamik olarak Google Analytics’e akması şeklinde gerçekleşmekte. 

Dolayısıyla, sayfa (page) ve event raporlarınızın da PII verisi içermediğinden emin olun. bilgi@xyz.com ya da info@abc.com gibi kişisel kullanıma işaret etmeyen e-mail adreslerini görmezden gelebilirsiniz.

Google’ın ilgili yardım sayfası için bağlantıyı takip edebilirsiniz; https://support.google.com/analytics/answer/6366371?hl=en

5.3 – Yeniden Pazarlama ve Reklamcılık Raporlama Özellikleri (Remarketing and Advertising Reporting Features)

Google Analytics’te yer alan “Reklam Özellikleri” özelliğini aktif hale getirerek demografi ve ilgi alanları gibi yeni raporlara erişebilir ve bağlı Adwords ve Doubleclick hesaplarınızın avantajlarından faydalanabilirsiniz. Remarketing listeleri oluşturma ve bu listeleri bağlı hesaplarla paylaşabilme, bu avantajların en yoğun kullanılanlarından bir tanesi.

Ancak unutmamanız gerekir ki, bu özelliğin aktif durumda olması, Google Analytics cookie’niz ile birlikte Doubleclick cookie’nizin de tarayıcınıza yerleştirilmesi demektir. Doubleclick cookie’sinin yerleştirilmesi ile birlikte, ziyaretçilerinize ait gezinme verisini de Google üzerinden paylaşıyor olursunuz.

Bu durumda, Doubleclick de dahil olmak üzere tüm 3. parti pazarlama kodlarınızın (marketing pixels), dinamik şekilde, sadece rızasını gösteren kullanıcılar için çalışacağı bir sisteme geçiş yapmanız gerekebilir. İlgili yapıyı yine Google Tag Manager üzerinden kurabilir ya da reklam özelliklerini kapalı konumda tutmayı tercih edebilirsiniz.

5.4 – EU Trafiği

EU pazarını hedeflemeyen ve hizmet vermeyen, ancak EU üzerinden gelen ziyaretçilere de içeriğini açan bir işletme iseniz, GDPR kuralları sizi de  kapsıyor demektir. Zira büyük ihtimalle farkında olmadan EU vatandaşlarını da tekilleştiriyor ya da profilliyorsunuz.

Peki, yazı boyunca belirtilen tüm bu regülasyonlar ve yaptırımlardan EU kaynaklı trafiği engelleyerek kurtulabilir misiniz? Evet.

Her ne kadar uç noktada gözüken ve büyük ihtimalle pek çok metriğinizde düşüşe sebebiyet verecek bir karar olsa da, iş hedeflerinizi ve GDPR uyumluluk çalışmalarınızın gerektireceği kaynakları da hesaba katarak -ve bizim önerimiz son çare olarak- bu tarz bir yola başvurabilirsiniz.

Bir diğer yol ise, gerekli altyapı çalışmalarını sadece EU üzerinden gelen trafik için geçerli olacak şekilde yapılandırabilirsiniz.

Sonuç

GDPR içeriği tahmin edebileceğiniz üzere, salt hukuksal bir dile sahip ve pek çok konuda olabildiğince esnek, yoruma açık noktaları mevcut. Bu sebeple, konu üzerine yazılmış ne kadar ‘sağduyulu’ makale varsa hepsinin içerisinde “yorumdan ibarettir” açıklamasını görebilirsiniz. Biz de bu yazıda güvenilir bulduğumuz kaynaklarda yer alan bilgileri toparlayıp, SEM olarak yorumumuzu kattık. 

Sergio Maldonado’dan alıntılarsak, “GDPR, KOBİ’lerin temel analytics ve implementasyonlarını gerçekleştirmek için ne anlama geldiğini çözmeleri tamamen imkansız, büyük bir sorun. İnsanlar işlerini yürütmek zorundalar ve bir gecede avukat olamazlar. Daha iyi ve basit yönergelere ihtiyacımız olduğuna inanıyorum.”

Biz de son söz olarak, bu yazının sadece bilgilendirme amaçlı hazırlandığını hatırlatıyor ve GDPR ile alakalı alacağınız her türlü karar öncesinde mutlaka hukuk biriminize başvurmanızı ya da hukuksal danışmanlık almanızı tavsiye ediyoruz.