Veri gizliliği son yıllarda daha da önemli bir hale gelmiştir. Bunun sebebi, tüketicilerin ve kullanıcıların kişisel verilerinin korunması konusundaki endişeleri ve devletlerin çeşitli yasalarla bu verileri koruma çabalarıdır. Bu yazımızda Google Analytics 4'ün (GA4) veri gizliliği özelliklerine odaklanacağız ve bu özelliklerin General Data Protection Regulation (GDPR) kapsamında uyumlu olup olmadığını inceleyeceğiz.
GDPR Nedir?
GDPR (Genel Veri Koruma Yönetmeliği) 2018 yılında yürürlüğe giren bir veri gizliliği yönetmeliğidir ve Avrupa Birliği'nde tüm kurumların, kuruluşların ve işletmelerin kişisel verileri nasıl topladıklarını, işlediklerini ve sakladıklarını düzenleyen bir yasal düzenlemedir. Bu düzenleme, kullanıcıların kişisel verilerinin korunmasına ve gizliliğine önem veren bir yaklaşımı benimser. GDPR bir kullanıcının verilerinin ne amaçla kullanıldığını, nasıl kullanıldığını ve kimlerle paylaşıldığını açıklama zorunluluğu getirmektedir.
GDPR Kimleri Kapsar?
GDPR, Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı'nda (EEA) kişisel verilerin işlenmesiyle ilgili standartları belirleyen bir yasal düzenlemedir. Bu doğrultuda kişisel verilerin işlenmesine ilişkin şeffaflık, adil işleme, sınırlama, doğruluk, bütünlük ve gizlilik ilkelerini belirler.
GDPR, AB'de faaliyet gösteren tüm şirketlerin, European Economic Area (EEA)'da bulunan kişisel verileri işlediklerinde uymaları gereken standartları belirler. Bununla birlikte, AB ve EEA dışındaki tüm şirketler de AB'de faaliyet gösteren kişisel verileri işlediklerinde GDPR hükümlerine uymak zorundadırlar.
Örneklendirecek olursak; bir AB vatandaşı Türkiye'ye turist olarak geldiğinde, GDPR kapsamı dışında kalmaktadır. GDPR kapsamında bu örnekten yola çıkarak diyebiliriz ki, GDPR yalnızca AB üyesi ülkelerdeki veri toplama ve işleme faaliyetlerini kapsamaktadır. Ancak, örneğin, tam tersi durumunda ise durum bu kez AB vatandaşı olmayan bir kişi AB üyesi bir ülkedeyse, o kişinin GDPR kapsamı içinde bulunduğunu söyleyebilmekteyiz.
Bir başka örnekte ise bir ABD vatandaşının Almanya'ya turist olarak gittiğini düşünelim. Bu kişinin GDPR kapsamında Almanya'daki kurumlar tarafından toplanan kişisel verileri korunacaktır. Bu nedenle, Almanya'daki kurumlar, ABD vatandaşının kişisel verilerini toplarken GDPR'ın gerekliliklerine uymak zorundadır. Sonuç olarak, GDPR yalnızca AB üyesi ülkelerdeki veri toplama ve işleme faaliyetlerini kapsamaktadır. AB vatandaşı olmayan bir kişi AB üyesi bir ülkede iken GDPR kapsamı içinde bulunmakta ve kişisel verileri GDPR'ın gerekliliklerine uygun şekilde korunmaktadır.
GDPR Birleşik Krallık’ta Geçerli Mi?
GDPR, AB üyesi ülkelerde 2018 yılında yürürlüğe girmiş ve aynı yılın Mayıs ayında Birleşik Krallık'ta da uygulanmaya başlanmıştır. Ancak Brexit sonrası Birleşik Krallık, GDPR'ın uygulanmasına kendi iç mevzuatıyla devam etmiştir.
Birleşik Krallık hükümeti, GDPR'ı kendi yasaları içinde uygulamak için GDPR'ın ana hatlarını içeren bir Veri Koruma Yasası (Data Protection Act) çıkarmıştır. Bu yasa, GDPR'ın uygulanmasını Birleşik Krallık'ta devam ettirmek ve GDPR ile uyumlu olmak için gereken düzenlemeleri yapmak için kullanılmaktadır.
Google Analytics’in Gizlilik ve Veri İşleme Konusunda Geçmişi ve Aldığı Cezalar
General Data Protection Regulation (GDPR) Avrupa Birliği gizlilik yasasıdır. Bu yasa 25 Mayıs 2018'de yürürlüğe girmiştir. GDPR veri sahiplerine kişisel verileri ve bunların kullanımı üzerinde daha fazla hak ve kontrol sağlamaktadır. Bu gizlilik yasası sonrasında Google ciddi para cezalarıyla karşılaşmıştır.
Özellikle Mart 2020'de İsveç, Google aramalarını silmediği için GDPR'nin 17.1(a) maddesini ihlal ettiği gerekçesiyle Google LLC'ye 7 milyon Euro para cezası vermiştir. Ancak Google’ın almış olduğu cezalar bununla kalmamış ve sonrasında 31 Aralık 2021'de Fransız veri düzenleyicisi CNIL, google.fr ve youtube.com kullanıcıları çerezleri kabul etmek kadar kolay reddedemedikleri için Google, toplam 150 milyon Euro para cezası almıştır. Google Ireland ise aynı konu kapsamında 60 milyon Euro para cezasına çarptırılırken, Google LLC ise, 90 milyon Euro para cezasına çarptırılmıştır.
Fransa, Avrupa'dan ABD'ye veri aktarımlarını korumak için yeterli bir önlem olarak Google Analytics 4 IP adresi anonimleştirme işlevini de bu cezalardan örnekle reddetmiştir. İsveç, Mart 2020'de Google'ı GDPR'nin 17.1(a) maddesi ihlali nedeniyle 7 milyon Euro para cezasına çarptırılmıştır. Bu ceza, Google'ın arama sonuçlarında eski ve kişisel bilgileri silmeyi reddetmesinden kaynaklanmaktadır.
Avusturya, Hollanda ve Norveç veri koruma yetkilileri de Google Analytics'in GDPR uyumlu olmadığını ve GDPR'yi ihlal ettiğini belirtmiş ve bu nedenle Google'a para cezası vermeye veya Google Analytics kullanımını sınırlamak için adımlar atmaya karar vermişlerdir. AB Adalet Divanı da Temmuz 2020'de, AB-ABD ve İsviçre-ABD kişisel veri alışverişini düzenleyen Gizlilik Kalkanı çerçevesini reddetmiştir. Bu nedenle, Google gibi şirketler, AB'deki veri merkezlerinde tutulan kullanıcı verilerini ABD'ye daha fazla gönderememekte ve veri merkezi ile ilgili olan durum sunucu merkezlerinin büyük kısmı ABD’de bulunan Google için oldukça büyük bir problem teşkil etmektedir.
Personally Identifiable Information (PII) Nedir?
Kişisel veriler günümüzde birçok alanda toplanmakta ve işlenmektedir. Bu verilerin toplanması ve işlenmesi sırasında gizliliği korunması gereken bilgiler de mevcuttur. Bu bilgiler, kişilerin kimliğinin tespit edilmesine olanak sağlayan verilerdir ve "kimliği tanımlayabilecek bilgiler" olarak adlandırılmaktadır.
Kimliği tanımlayabilecek bilgiler (PII), isim, adres, doğum tarihi, telefon numarası, e-posta adresi, kimlik numarası, pasaport numarası ve diğer kişisel bilgileri içerir. Bu bilgiler, kişinin kimliğinin tespit edilmesine ve kişisel bilgilerinin ifşa edilmesine neden olabilir. Bu nedenle, PI'nin gizliliğinin korunması son derece önemlidir.
Google Analytics 4’de Kullanıcı Gizliliği Özellikleri
Google Analytics 4, kullanıcı gizliliği konusunda çeşitli özellikler sunmaktadır. Bu özellikler sayesinde web siteleri sahipleri, kullanıcı verilerinin gizliliğini koruyarak veri analizlerini gerçekleştirebilirler. Bu özellikler, kullanıcılar için daha iyi bir deneyim sağlarken aynı zamanda web siteleri sahiplerine de fayda sağlamayı hedeflemektedir.
Bu bağlamda GA4 Data Settings altında bulunan Data Collection ve Data Retention ayarlarını düzenlemek oldukça önemlidir. Gelin GA4 Data Settings altında bulunan Data Collection ve Data Retention ayarlarına birlikte bir göz atalım.
Data Collection Özellikleri
Data collection'a aşağıdaki panel görselinden ulaşabilirsiniz.
Google Signals
Google Signals’i aktif ederseniz web sitenizde oturum açmış kulllanıcılarınızın sitenizden ve/veya uygulamalarınızdan toplanan bilgileri Google hesapları ile eşleştirmesine izin vermiş olursunuz. Eğer kullanıcı reklamların kişiselleştirilmesi için hesabından onay vermişse Google kullanıcının konum, arama geçmişi, Youtube geçmişi, Google iş ortağı sitelerinden alınan verileri anlamlandırabilmektedir. Bu bilgiler bütünü kullanıcın davranışlarıyla ilgili anonim analizler sunmak amacıyla kullanılabilir. Konu hakkında detaylı bilgi için https://support.google.com/analytics/answer/2700409?hl=tr ayrıca kullanıcılar bilgilerini paylaşıp paylaşmadığını https://myactivity.google.com/myactivity?pli=1 linkleri üzerinden kontrol edebilir ve isterlerseniz Google Signals’e onay verip ya da onayı kaldırabilirsiniz.
Konum ve Cihaz Verileri
Konum ve cihaz verilerini etkinleştirmeyi tercih ederseniz Analytics sitenizi ve uygulamanızı ziyaret eden kullanıcılar ile ilgili bilgileri toplamaya başlayacaktır. Burada ülke bazlı olarak nerelerde toplanıp toplanılmayacağını da belirtebilirsiniz.
Kullanıcı Verileri Toplama Onayı
Bu maddede Google kullanıcılara verisini topladığınıza dair kendi sitenizde/uygulamanızda bir bilgi verdiğinizi ve bunu Google Analytics ile de paylaştığınızı kullanıcıya bildirdiğinize dair sizden bir onay istemektedir.
Data Retention
Data Retention (Veri Saklama) bu kısımda 2 veya 14 aylık sürelerle veriyi ne kadar saklayabileceğinizi seçmektesiniz. Ayrıca altta bulunan butonda kullanıcının her etkinliği sonrasında hareketlerini resetlemek yani sıfırlama seçeneğini gibi bir opsiyonunuz bulunmaktadır.. Burada hizmet verdiğiniz alan ve tuttuğunuz kullanıcı bilgilerinin hassaslığı bu seçimleri yaparken belirleyici olacaktır.
IP Anonimleştirme
Google Analytics 4 ile gelen en temel özelliklerden biri de IP Anonimleştirmedir. Google Analytics’in önceki sürümlerinde de IP Anonimleştirmek biraz çetrefilli yolları olsa da bulunmaktaydı. Burada ki değişim IP Anonimleştirmenin varsayılan bir şekilde GA4 ile hayatımıza tamamen yerleşmesi oldu.
IP Anonimleştirme bize tam olarak ne sağlıyor neden önemli diye soracak olursak: IP Anonimleştirme temel kullanıcının anonim olma hakkını koruuması ile önemli ve farklıdır. GA4 IP adresi anonimleştirme özelliği, kullanıcıların IP adreslerinin son 8 bitini anonimleştirerek, IP adreslerinin tam olarak görünmesini engellemektedir. Bu durum kullanıcıların gizliliğini korurken, GA4'ün GDPR gibi veri koruma yönetmeliklerine uyumlu olmasına yardımcı olmaktadır. Bu özellik, kullanıcıların gizliliğini korumak ve aynı zamanda web sitenizdeki ziyaretçi verilerini analiz etmek için önemlidir.
GA4 IP anonimleştirme özelliği, kullanıcıların IP adreslerinin tamamının anonimleştirilmesine rağmen, sitenize gelen ziyaretçiler hakkında yine de önemli veriler elde etmenizi sağlamaktadır. Özetle bu veriler, bizlere kullanıcıların web sitenizde nasıl gezindiğini, hangi sayfaları ziyaret ettiğini ve hangi cihazları kullandığını göstermektedir.
Consent Mode
Google Analytics'te izin vermeyi reddeden kullanıcılar için veriler eksik olacaktır. İzin modu için davranışsal modelleme, analitik tanımlama bilgilerini kabul eden benzer kullanıcıların davranışlarına dayalı olarak analitik tanımlama bilgilerini reddeden kullanıcıların davranışlarını modellemek için makine öğrenimini kullanır.
Modellenmiş veriler, kullanıcılarınızın gizliliğine saygı gösterirken Analytics raporlarınızdan faydalı iç görüler elde etmenize olanak tanımaktadır. Örneklendirecek olursak davranışsal modelleme, kullanıcılar çerezleri reddettiğinde makine öğrenimi kullanarak ve kullanıcı gizliliğine saygı duyarak bize kullanıcı ve oturum ölçümlerine dayalı verileri tahmin etmektedir.
GA4’da Sunucu Konumu ve Kısıtlı Aktarım Problemi
Google Analytics 4’da, Universal Analytics’de de problemini yaşadığımız sunucu konumu ve kısıtlı aktarım problemine bu başlık altında değineceğiz. GDPR gereği AB ve Birleşik Krallık ülkelerindeki verinin sınırlar dışarısında bir sunucuya aktarılması yasak! Google’ın ise sunucu yatırımlarının büyük bir kısmı ABD’de bulunmaktadır. Google Analytics kullanıcıları bilgilerin “....” lokasyonunda depolanmasını istiyorum gibi bir seçeneğe sahip değillerdir. Bu durum verilerin nerede depolanacağını doğrudan seçemediğiniz anlamına gelmektedir.
GDPR kapsamında da, bir web sitesinden analiz verileri gibi kişisel verilerin AEA veya Birleşik Krallık'tan ABD'ye gönderilmesi, kısıtlı bir aktarım olarak kabul edilmektedir. Kısıtlı veri aktarımı ile ilgili uyulması, uygulanması gereken bir takım yasal durumlar söz konusu olduğundan bu problemler kapsamında bir danışmanlık hizmeti almanız en doğru seçenek olacaktır.
Ürün Analitiği & Veri Kategorisindeki Benzer Bloglarımız
Using GA4 Measurement Protocol on server-side Google Tag Manager
Google Analytics 4 (GA4) Measurement Protocol, çeşitli veri toplama ve analiz ihtiyaçları için güçlü bir araçtır. İşte MesureMeasurementment Protocol'nün bazı kullanım alanları
Devamını oku
E-ticaret Analitiğinde First-Party Veri Kullanımı
İlk taraf veriler, bir şirketin müşterilerinden ve kendi kanallarında topladığı verilerdir. Bu veriler, genellikle müşteri etkileşimleri, web sitesi ziyaretleri, işlemler ve diğer doğrudan etkileşimler yoluyla elde edilir. İşte ilk taraf verilerin neden bu kadar değerli olduğuna dair bazı bilgiler.
Devamını oku
Privacy Sandbox'a Hazırlık: Storage Access API Nedir?
Chrome, çapraz site izlemeyi azaltmak için üçüncü taraf çerezlere destek vermeyi kademeli olarak kaldırıyor. Bu, kimlik doğrulama gibi kullanıcı yolculukları için gömülü bağlamlarda çerezlere güvenen siteler ve hizmetler için bir zorluk oluşturuyor...
Devamını oku