KVKK ve GDPR Hakkında Önemli Notlar

Muhammed Taha Ayan

Dijital Pazarlama

KVKK ve GDPR Hakkında Önemli Notlar

Kişisel verilerin korunması ile ilgili Avrupa ve Türkiye’de yürürlüğe giren düzenlemeler tüm websitesi sahiplerini ve tüm kullanıcıları yakından ilgilendiriyor. Bu kapsamda birçok kaynak, haber, etkinlik ve video izlemiş birisi olarak çıkardığım tüm notları bu yazı ile sizlerle paylaşmak istedim.

KVKK ve GDPR İle İlgili Öne Çıkan Notlar

  • Kişiyi veya belirli bir segmentteki topluluğu hedeflemeye yarayan her türlü veri, kişisel veri kapsamında,
  • Çerezin kullanım amacı ve türüne göre kişisel veri koruma yükümlülükleri değişiyor,
  • GDPR’a göre kişisel verilerin toplanıp işlenebilmesi için veri sahibi kişinin açık onayı şart, artık zımni onay yeterli olmuyor,
  • Veri paylaşımı ve işlemesi için şirket envanterinin halka açık olarak paylaşılması şeffaflık şartı için öneriliyor,
  • Google Analytics gibi birçok izleme aracı, gerekli tedbirlerin alınabilmesi için önemli güncellemeler yapıyor,
  • KVKK ve GDPR’da belirsiz hükümlerin olması ve bunlara örnek karar teşkil edecek mahkeme kararlarının olmaması sebebiyle hukukçuların bile kafası karışık ve net değil,
  • Başta pazarlama uzmanları olmak üzere herkes oldukça pesimist davranıyor.

GDPR Hakkında

Hukuki Notlar

KVKK ile veri işleyicilerin hukuki yükümlülükleri Türkiye Cumhuriyeti sınırları içerisinde geçerliyken yalnızca AB sınırları içerisinde geçerli olan GDPR ile bazı farklı hükümleri bulunuyor. GDPR, daha korumacı ve kişisel verinin güvenliğini çok sert sağlarken KVKK, hem kullanıcıyı hem de veri işleyeni korkutmayan hükümlere sahip.

AB sınırlarından herhangi bir kişisel veri, GDPR kapsamında değerlendirilmekteyken rızalı kabul edilen eski veriler için tekrar rızaya gerek bulunmuyor. Bu veriler manuel olarak (örneğin kağıt üzerinden) toplanıyorsa açık rızanın kayıt altına alınması gerekiyor.

Bir verinin işlenmesi için açık bir rıza olsa da Gizlilik Politikası gibi sayfalarda kullanıcıyı aydınlatma yükümlülüğü bulunuyor. Benzer sayfalar üzerinden aydınlatma bilgileri ise biraz ayrıntı istiyor. Örneğin Google Analytics gibi üçüncü taraflarla veri toplanıyorsa GDPR’a göre tüm üçüncü taraf envanterin bu sayfalarda listelenmesi öneriliyor. Ayrıca kişisel verilerin kullanmak, kaydetmek, paylaşmak gibi hangi şekillerde işleneceği hakkında açık bir bilgilendirme de yapılmalı.

Hizmet için zorunlu olmayan verileri kullanıcının paylaşmasını zorlamak için hizmeti onay alana kadar engellemek de mümkün değil. Örneğin Facebook Pixel kullanmak için kullanıcıdan izin isteyip kullanıcı izin verene kadar web sitesinde gezinmesi engellenemez.

KVKK’ya göre bunlara ek olarak, yurt dışına veri aktarımı için verinin aktarıldığı ülkenin güvenli ülke olarak nitelendirilmiş olması şarttır. Web sitesinin sunucusu yurt dışında ise toplanan verilerin yurt dışına aktarıldığı anlamına gelir.

Her iki metin için de kişisel verileri üç ana başlıkta toplayabiliriz:

  • IP adresleri
  • Çerezler
  • Hedefleme verileri

IP Adresleri

Statik ve dinamik IP adresleri, kişisel veri kapsamında ayrı ayrı değerlendiriliyor. Statik IP adresleri koşulsuz şartsız kişisel veri statüsünde iken dinamik IP adresleri hakkında Avrupa’da ihtilaf bulunuyor. Türkiye’de ise Anayasa Mahkemesinin örnek bir kararına göre servis sağlayıcılarının dinamik IP adreslerinin hangi zaman diliminde kime ait olduğunu bilmeleri sebebiyle IP adresleri dinamik de olsa kişisel veri statüsünde. Yine Avrupa’da dinamik IP adresi ile birlikte bir kişisel veri de toplanıyorsa bu adres de kişisel veri statüsünde tutuluyor.

Çerezler

Bir web sitesinin doğru çalışması için gerekli olan çerezler, zorunlu çerezler olarak adlandırılıyor. Bu sebeple bu çerezler için açık izin gerekmiyor. Ancak GDPR’a göre izleme çerezleri gibi hizmeti doğrudan etkilemeyen çerezlerin kullanılması için kullanıcının açık onayı gerekiyor. Örneğin Google Analytics kullanılan bir web sitesinde, “__ga” gibi Google Analytics izleme çerezleri üretilir. Eğer kullanıcıdan açık onay alınmazsa onay alınana kadar Google Analytics aktifleştirilemiyor.

KVKK’ye göre ise bu gibi çerezler için rıza gerekse de bu rızanın açık veya zımni olup olmayacağı ile ilgili kesin bir hüküm bulunmuyor. Bu sebeple AB ülkelerinden herhangi bir şekilde trafik alan web sitelerinin kullanıcıdan açık onay almadan Google Analytics, Yandex Metrica, Hotjar, Facebook Pixel gibi izleme araçlarını aktifleştirmemeleri öneriliyor.

Hedefleme Verileri

Tekil veya segment bazlı hedeflenebilir her veri GDPR’a göre kişisel veridir. Örneğin bisiklet araması yapan kullanıcıya bisiklet reklamı göstermek veya sık seyahat edenler grubuna uçak bileti reklamları göstermek için kullanılan veriler bu gruba girer. Ancak KVKK’de bu konu hakkında kesin bir hüküm bulunmamaktadır. Bu tür verilerin hangi yolla toplandıklarına bakılmaksızın işlenmesi için açık onay gerekmektedir.

Dijital Pazarlama

Pazarlama Notları

Ciddi oranda pesimist olan pazarlama uzmanları, %20-40 arası reklam gelir kaybı beklentisi içinde. Çünkü beklenene göre kullanıcılar verilerini paylaşmayı çoğunlukla reddedecek ve reklam sektörü eskisi gibi etkisiz, rastgele reklam yığınlarıyla dolacak. Bu eskiye dönme korkuları sebebiyle pazarlama uzmanları çoğunlukla kayba odaklanıyor ve çözüm aramıyor. Buna rağmen “bize bir şey olmaz” demeye devam edenler de var.

Pazarlama sektöründe ise creative dönemin başladığını söyleyebiliriz. Artık kullanıcı verileri çok daha nadir ve değerli olduğundan bu verilere ihtiyaç duymayan etkili pazarlama stratejileri geliştiriliyor. Örneğin 2019 yılı içinde geleceği söylenen E-Privacy Regulation adlı bir önerge ile çerez kullanımının yasağa yakın bir kısıtlamaya uğrayacağı tahmin ediliyor. Bu sebeple Alman şirketlerin GDPR’ı çoktan bünyelerine oturtup “çerezsiz nasıl yaşarız, ucuz ama etkili pazarlama dünyasını nasıl inşa ederiz” sorularının cevabını arıyor.

Ayrıca veri paylaşımını oyunlaştırarak bir ödüllü sisteme dönüştürmeyi düşünebiliriz. Böylece hem kişilerin verilerini güvenlik altına alabilir, hem veri yönetimi eğitimi verilerek insanlar bilinçlendirilebilir hem de bu değerli verileri kullanarak ilgili işlemlerin verimini kaybetmesini engelleyebiliriz.

Veri İşleme Notları

Gizlilik Politikalarında her yayıncı, şirket veya tacirin web sitelerinde ciddi düzenlemelere gitmesi gerektiği açıktır. Bu sırada veri sorumlusu kişilerin verileri en baştan gözden geçirmesi, veri toplayıcı araç envanterini belirlemesi ve uyum için gerekli diğer işlemleri yapması en az 20 milyon € olmak üzere %4 yıllık cirodan kurtaracaktır.

Bunu sağlamak için Google gibi üçüncü tarafların yayınladığı API ve geliştirici araçları iyi değerlendirilip kullanılmalıdır. Örneğin Google Analytics API’si ile tekil kullanıcı bazlı Analytics verilerinin silenebilmesi sağlanmalıdır. Kullanıcılar onay vermekte ne kadar rahat ve kolay bir sistem kullanıyorsa benze rahatlıkta da verilerini silebilmelilerdir.

Trajikomik bir not ile bitirelim. Avukat ve pazarlama uzmanlarının bulunduğu panel şakayla karışık bir görüşle sonlandırıldı: “GDPR’ı, KVKK’yı biz çözemediysek, hukukçu çözemediyse kullanıcı da çözemez; bize bir şey olmaz.”

Kullanıcıların, yayıncıların, şirketlerin bu konularda eğitilmesi şarttır. Pazarlama uzmanlarının ise daha optimist olmasını öneriyoruz. Hiçbir sistem değişikliği insanları geriye götürmez, çünkü her sistem değişikliğinde daha ileri giden birileri vardır. Pesimist duygularla kayba odaklanmak yerine çözüm yolları için çalışma ve faydaya odaklanmanız dileğiyle…

İlk Yorumu Sen Yap

E-posta hesabınız yayımlanmayacak.