GDPR Nedir, GA4 GDPR Uyumlu Mudur?

Veri gizliliği son yıllarda giderek daha önemli hale geldi. Bunun nedeni, tüketicilerin ve kullanıcıların kişisel verilerini koruma konusundaki endişeleri ve hükümetlerin bu verileri korumak için çeşitli yasalar çıkarmasıdır. Bu yazıda Google Analytics 4’ün (GA4) veri gizliliği özelliklerine odaklanacak ve bu özelliklerin Genel Veri Koruma Tüzüğü’ne (GDPR) uyup uymadığını inceleyeceğiz.

GDPR Nedir?

GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü), 2018’de yürürlüğe giren bir veri gizliliği düzenlemesidir. Avrupa Birliği’ndeki kuruluşların kişisel verileri nasıl topladığını, işlediğini ve sakladığını düzenler. GDPR, kullanıcı merkezli bir gizlilik yaklaşımı benimseyerek kuruluşların hangi verileri topladıklarını, bunları nasıl kullandıklarını ve kimlerle paylaştıklarını açıklamalarını zorunlu kılar.

GDPR Kimleri Kapsar?

GDPR, AB ve Avrupa Ekonomik Alanı’nda (EEA) kişisel verilerin işlenmesine yönelik standartlar belirler ve şeffaflık, adillik, amaç sınırlaması, doğruluk, bütünlük ve gizlilik ilkelerini tesis eder.

AB veya EEA içinde faaliyet gösteren tüm şirketler, kişisel verileri işlerken GDPR’ye uymak zorundadır. Ayrıca, AB/EEA dışında olup AB/EEA sakinlerinin kişisel verilerini işleyen herhangi bir şirket de GDPR kurallarına uymak zorundadır.

Örneğin, AB vatandaşı bir turist olarak Türkiye’yi ziyaret ettiğinde GDPR kapsamı dışında kalır. Ancak AB vatandaşı olmayan bir kişi AB ülkesinde bulunduğunda GDPR tarafından korunur. Eğer bir ABD vatandaşı Almanya’yı ziyaret ederse, Alman kuruluşlarının bu kişinin verilerini GDPR’ye uygun şekilde işlemesi gerekir, birey AB vatandaşı olmasa bile.

GDPR Birleşik Krallık’ta Geçerli mi?

GDPR, Mayıs 2018’de Birleşik Krallık’ta yürürlüğe girdi. Brexit’ten sonra Birleşik Krallık, GDPR’yi kendi Veri Koruma Yasası’na dahil ederek kişisel veriler için eşdeğer korumaları sürdürdü.

Google Analytics’e Karşı Gizlilik Cezalarının Geçmişi

GDPR, veri sahiplerine kişisel bilgileri üzerinde daha fazla kontrol sağladı. 25 Mayıs 2018’de yürürlüğe girmesinden bu yana Google, GDPR kapsamında önemli cezalarla karşı karşıya kaldı. Mart 2020’de İsveç, Google LLC’ye, talep üzerine arama sonuçlarını kaldırmadığı için 17(1)(a) maddesini ihlal etmekten 7 milyon € ceza verdi. Ardından Aralık 2021’de Fransa’nın CNIL kurumu, kullanıcıların izleme çerezlerini kabul etmek kadar kolay reddedememesi nedeniyle Google’a 150 milyon € ceza kesti. Google Ireland’a 60 milyon €, Google LLC’ye ise aynı gerekçeyle 90 milyon € ceza verildi.

Fransız düzenleyiciler ayrıca GA4’ün IP anonimleştirmesini, verilerin ABD’ye aktarımını korumak için yetersiz buldu. AB Adalet Divanı, Temmuz 2020’de AB-ABD veri transferlerini yöneten Privacy Shield çerçevesini geçersiz kıldı ve bu durum Google’ın AB verilerini ABD sunucularına taşımasını daha da zorlaştırdı.

Avusturya, Hollanda ve Norveç’teki diğer veri koruma otoriteleri de Google Analytics’i GDPR’ye aykırı buldu ve cezalar ya da kısıtlamalar getirme tehdidinde bulundu.

Kişisel Olarak Tanımlanabilir Bilgi (PII) Nedir?

PII, bir bireyi tanımlayabilen her türlü veriyi ifade eder—isim, adres, doğum tarihi, telefon numarası, e-posta, ulusal kimlik, pasaport numarası vb. PII’nin korunması kritik öneme sahiptir çünkü açığa çıkması bir kişinin kimliğini ve kişisel detaylarını ortaya çıkarabilir.

GA4’ün Kullanıcı Gizliliği Özellikleri

Google Analytics 4, site sahiplerinin kullanıcı onayını dikkate alırken yine de faydalı içgörüler elde etmelerine olanak tanıyan çeşitli gizlilik odaklı ayarlar sunar. Veri Ayarları altında iki ana alan vardır: Veri Toplama ve Veri Saklama. Hadi bunları inceleyelim.

Veri Toplama Ayarları

Veri Toplama’ya şu yoldan erişebilirsiniz: Yönetici > Veri Ayarları > Veri Toplama:

Google Signals

Google Signals’ı etkinleştirmek, GA4’ün oturum açmış kullanıcıların site/uygulama verilerini Google hesaplarıyla ilişkilendirmesine olanak tanır, tabi ki kullanıcılar reklam kişiselleştirmeye onay verdiyse. Signals, konum, arama, YouTube ve iş ortağı sitelerinden alınan verilerin toplu ve anonim raporlarda kullanılmasını sağlar. Kullanıcılar bunu myactivity.google.com üzerinden yönetebilir.

Konum & Cihaz Verileri

Bu seçenekler açıldığında, Analytics coğrafi ve cihaz bilgilerini toplayabilir ve belirli ülkeleri hariç tutma imkânı sunar.

Kullanıcı Verisi Toplama Onayı

Burada, sitenizin/uygulamanızın kullanıcıları verilerinin nasıl toplanacağı ve Analytics ile nasıl paylaşılacağı konusunda bilgilendirdiğini ve buna uygun şekilde onaylarını aldığınızı onaylarsınız.

Veri Saklama Ayarları

Veri Saklama, kullanıcı düzeyinde ve etkinlik düzeyinde verilerin ne kadar süreyle saklanacağını (2 veya 14 ay) seçmenize olanak tanır. Ayrıca her yeni oturumda kullanıcı verilerini sıfırlayabilirsiniz. Seçiminiz sektörünüzün ihtiyaçlarını ve toplanan bilgilerin hassasiyetini yansıtmalıdır.

IP Anonimleştirme

GA4, her kullanıcının IP adresinin son 8 bitini varsayılan olarak anonimleştirir ve anonimleştirmeyi tamamen veri modeline entegre eder. Bu, kullanıcıların gizliliğini korurken analiz için gerekli coğrafi ve cihaz içgörülerini sağlamaya devam eder.

Onay Modu

Kullanıcılar çerez onayını reddettiğinde, Analytics verileriniz eksik olacaktır. Onay Modu, benzer onay vermiş kullanıcılar temelinde bu kullanıcıların davranışlarını modellemek için makine öğrenimini kullanır ve gizliliği korurken raporlarınıza faydalı içgörüler sağlar.

GA4’te Sunucu Konumu & Veri Transferi Kısıtlamaları

GDPR kapsamında, EEA veya Birleşik Krallık’tan yeterli koruma olmayan yargı bölgelerine kişisel veri aktarımı kısıtlanmıştır. GA4 kullanıcıları, verilerinin nerede saklanacağını seçemez—Google’ın altyapısının büyük bölümü ABD’dedir. Eğer GA4’te AB/BK kişisel verilerini işliyorsanız, uyumlu transfer mekanizmalarının mevcut olduğundan emin olmalı ve çoğu zaman hukuki danışmanlık almanız gerekebilir.