Avrupa'da Google Analytics: GDPR uyumluluğu nasıl sağlanır?

Veri gizliliği oyununun kuralları, Avrupa işletmelerinin performanslarını doğru bir şekilde değerlendirme ve pazarlama çabalarını yeterince değerlendirme yeteneklerini etkileyen bir kuruşa dönüştü. Ortaya çıkan yasaklarla, olağan çalışma biçimleri artık mümkün değil ve asla değiştirilemeyecek değerli verilerin kaybına yol açıyor.

Dijital analitikteki muazzam değişiklik, bazı Avrupa ülkelerinde Google Analytics kullanımının yasaklanmasıyla başladı ve AB ile ABD arasında yeni bir veri gizliliği çerçevesiyle sona erdi. Avrupa veri koruma yetkililerinin son kararlarına göre, Google Analytics'in birçok ülkede web sitesi operatörleri için kullanımı yasa dışı hale geldi. Google Analytics'in uygulanması artık GDPR'nin V. Bölümünün ihlali olarak görüldüğünden, Avrupalı ​​işletmeler bir krizle karşı karşıya.

Ancak, Mart 2022'de durum değişti, bu yüzden nihayet veri gizliliğiyle ilgili hangi sorunların ortaya çıktığını ve Avrupa işletmelerinin pazarlama analizlerini güvence altına almak için neler yapabileceğini belirlemeye çalışalım.

Son birkaç yılda, veri gizliliği ve Google Analytics alanında pek çok olay gerçekleşti. Avrupalı ​​işletmeler için, veri toplama ve uygulamadaki bu değişiklikler, ayarlanmış, gelişmiş pazarlama analitiğinin altın çağının sonu anlamına geliyordu. Veri kullanımındaki sınırlamalar ve yasaklar, yerleşik iş akışlarının uygulanmasını imkansız hale getirir. Tüm bu değişikliklerin nasıl başladığını ve şu anda nerede olduğumuzu görmek için gereken tüm bilgileri topladık ve haritasını çıkardık.

2020'de kar amacı gütmeyen kuruluş NOYB, Google Analytics veya Facebook Connect uygulayan Avrupa Ekonomik Alanı (AEA) web sitelerine karşı 101 şikayette bulundu. Bunun ardından, AÇA veri koruma yetkilileri, AÇA web sitesi operatörlerini Genel Veri Koruma Yönetmeliği'ne (GDPR) uymadıkları gerekçesiyle bu hizmetleri kullanmayı bırakmaya zorlayan kararlar vermeye başladı.

Sorun, AB sakinleri hakkında toplanan verileri (kullanıcı davranışı verileri) ABD tabanlı bir bulut hizmetinde depoladığı için Google Analytics'in Avrupa'da uygulanma yöntemindeydi. Buradaki kilit nokta, Google tarafından alınan önlemlerin ABD istihbarat servislerinin AB'de ikamet edenlerin kişisel verilerine erişmesini önlemede yetersiz kalmasıydı - ve hâlâ da öyle. Avrupa veri koruma yetkililerine göre, bu denizaşırı veri aktarımları GDPR'yi ihlal ediyor.

Şu ana kadar iki dava görüldü. Birincisi Avusturya davasıydı (Aralık 2021), ardından iki aydan kısa bir süre sonra (Şubat 2022) bir Fransız davası geldi. Bu vakaların özeti, AB'de ikamet edenlerin kişisel verilerinin ABD merkezli hizmetlere yasa dışı aktarımının yanı sıra yeterli düzeyde korunmadığıdır. Örneğin, benzersiz kullanıcı kimlik numaraları, IP adresleri ve tarayıcı parametreleri, Google'ın sunduğu standart koruma maddeleri tarafından yeterince korunmaz.

Diğer Avrupa ülkelerindeki benzer vakalar, Google Analytics'in (ve benzer hizmetlerin) kullanımını bastırmada domino etkisi yaratabilir. Veri gizliliğinin ihlaline ilişkin bu şikayetlere halihazırda modellenmiş yanıtlar ve tepkiler olduğu için, yakında daha fazla Avrupalı ​​yetkilinin davayı takip etmesi ve bunun Avrupa'da Google Analytics'in (ve diğer araçların) tamamen yasaklanmasıyla sonuçlanması olasıdır.

Ardından, 25 Mart 2022'de, bir yıldan fazla süren müzakerelerin ardından, ABD ve AB, kişisel verilerin AB'den Amerika Birleşik Devletleri'ne GDPR uyumlu transferleri için yeni bir yasal çerçeve üzerinde bir "prensip anlaşması" duyurdu. Trans-Atlantik Veri Gizliliği Çerçevesi, Avrupa Birliği Adalet Divanı tarafından Temmuz 2020 tarihli Schrems II kararında dile getirilen endişeleri ele alır ve en yüksek gizlilik ve veri koruma standartlarını garanti eder. Google, süreçlerini ilk fırsatta Trans-Atlantik Veri Gizliliği Çerçevesi kapsamında belgelendirmeyi sabırsızlıkla bekliyor. Yine de, ayrıntıları ve zamanlaması henüz onaylanmamış olan bir “prensipte anlaşma” olmaya devam ediyor.

Kimse geleceği tahmin edemez ve dijital ortam hızla değiştiği için işletmeler veri işleme iş akışlarını korumaya hazır olmalıdır.

NOYB'nin şikayetleri nedeniyle, birçok Avrupa Ekonomik Alanı (AEA) veri koruma yetkilisi, AEA web sitesi operatörlerini Google Analytics'i tamamen kullanmayı bırakmaya zorlamak istiyor. Bu tür kararlardan muzdarip olanlar, iş gelirlerini artırmak ve genel performanslarını iyileştirmek için çevrimiçi teknolojileri uygulamak isteyen Avrupalı ​​işletmelerdir.

Şu anda bu işletmeler, politik olarak sıcak uluslararası veri aktarımları konusunun bazı mantıklı çözümlerle çözülmesini bekledikleri için zayıf bir konumdalar. Veri aktarımı sorunlarına rağmen, küresel olarak siber saldırılar ve fidye yazılımları gibi veri gizliliğine yönelik diğer tehlikeli risklerin bulunduğunu unutmayalım.

Şu anda, Google Analytics kullanımı ile ortaya çıkan sorunlar aşağıdaki gibidir:

• GDPR'ye uymayan web siteleri, hassas kullanıcı verilerini ABD merkezli hizmetlere aktarmaya devam etmeleri halinde ağır para cezaları ödeyecek.
• Google Analytics'i uygulamadan pazarlamacılar, pazarlama performanslarını değerlendiremeyeceklerinden korkarlar.
• İşletmeler, pazarlama analizi çözümlerini değiştirmek için yeni bir ürünü öğrenmeye ve uygulamaya çok para harcayacaklar.

Bu sorunları çözmek için neler yapılabileceğini ve şirketlerin gelecekte daha büyük sorunlardan nasıl kaçınabileceğini görelim.

Not: NOYB projesi şirketler için yönergeler sağlar. Özellikle ABD gözetim yasalarından emin olmayan veya ABD'li ortağı bu yasalara tabi olan daha küçük AB şirketleri için noyb.eu web sitesinde ücretsiz kılavuzlar ve model talepleri bulunmaktadır .

Tabii ki, bu durum birçok işletme için tatsız ve uzun süredir inşa edilmiş iş süreçlerini ihlal ediyor. Ancak, umutsuzluk için bir neden yok, çünkü bu kesinlikle dünyanın sonu değil ve çıkış yolları var.

Öncelikle Google Analytics'in iki şekilde uygulanabileceğini belirterek başlamalıyız. Buna göre, uygulanma şekli GDPR ile uyumluluğunu etkiler. İki yöntem şunlardır:

Web siteleri genellikle istemci tarafı modunu uygular; bu, web sitesinin sayfalarında JavaScript kodunun kullanılması, çerezlerin ayarlanması, müşteri kimliklerinin oluşturulması ve web sitesinin istatistiklerinin üretilmesi için elde edilen verilerin Google Analytics'e aktarılması anlamına gelir.

Google Analytics'i istemci tarafı modunda kullanırken hangi adımların atılması gerektiğine bakalım. GDPR ile uyumluluğu sağlamak için kontrol edilmesi gereken hem teknik hem de yasal şeyler vardır.

1. Uygun kullanıcı izniyle başlayın. Kullanıcıları, verilerinin (cihaz bilgileri, izleme kimlikleri, IP adresleri vb.) yalnızca toplanmayacağını, aynı zamanda ABD merkezli hizmetlere aktarılacağını bildirmelisiniz. Ayrıca, kullanıcıların onaylarını istedikleri zaman geri çekebilecekleri de belirtilmelidir.
2. IP anonimleştirmeyi uygulayın. (Google Analytics 4 mülkleri için IP anonimleştirme varsayılan olarak etkindir.)
3. Google Analytics'teki hem veri paylaşımı seçeneğinin hem de sinyal seçeneğinin devre dışı bırakıldığını kontrol edin.
4. Tescilli Kullanıcı Kimlikleri kullanıyorsanız, kullanıcı tanımlama izni olmadığından emin olun.

Önemli! Yasal durumu kontrol etmeyi unutmayın. EMEA bölgesindeki şirketler tarafından imzalanan tüm sözleşmelerin Google LLC ile değil Google Ireland Limited ile yapılması gerektiğinden, imzaladığınız tüm sözleşmeleri kontrol edin. Ardından, Google Ireland Limited ile Google LLC arasındaki veri aktarımını kapsayan TIA'yı kontrol edin.

İkinci değişken, bir sunucu tarafı modu uygulamaktır. Bu mod, etiketleri web sitesinden (hem reklam hem de ölçüm) çıkarmanıza ve bunları güvenli bir sunucu kapsayıcısına aktarmanıza izin verdiği için daha gizlidir. Ayrıca, sunucu tarafı izleme uygulanarak, bilgiler Google'ın raporlama araçlarıyla paylaşılmadan önce kullanıcıların IP adresleri otomatik olarak anonimleştirilir. Kısacası, kullanıcı ile Google arasında doğrudan bir iletişim olmadığı anlamına gelir. Bilgiler, yayıncının sunucusu tarafından toplanır ve ardından analiz için Google'a iletilir.

Pek çok işletme, hiçbir Google Analytics'in hiç analiz olmadığı anlamına geldiği izlenimine kapılmış olsa da, bu doğru değil. Gelişmiş pazarlama analitiğini uygulamanın başka yolları da vardır ve OWOX BI ekibi, verilerin hem toplanması hem de saklanması için güvenli çözümler sunar.

OWOX BI nedir?

OWOX BI, silolanmış kaynaklardan analitik hedefinize veri teslimini otomatikleştiren ve verilerinizin her zaman doğru ve güncel olmasını sağlayan bir pazarlama analizi çözümüdür.

OWOX BI kullanarak verilerle çalışmanın başlıca avantajları arasında şunlar yer alır:

• Tüm veriler, tam GDPR uyumluluğuyla Google BigQuery'de depolanır. OWOX BI'nin sunucu tarafı takibi, kişisel alanınızda güvenli birinci taraf veri toplama sağlar. İzleme süreci, Schrems II ve GDPR ile uyumludur.
• Tanıdık Google Analytics veri şeması. İsabetler ve oturum dönüşümü için iyi bilinen Google Analytics Evrensel veri şemasına sahip olursunuz. Mevcut Google Analytics ayarlarınızı kullanarak izlemeyi kolayca kurmak yalnızca birkaç dakika sürer.
• Yüksek kaliteli veri toplama. Reklam engelleyicilerden etkilenmeyin ve açıklanabilir kalitede eksiksiz ham veriler elde edin. Google BigQuery AB depolama alanınızdaki her isabeti neredeyse gerçek zamanlı olarak ve örnekleme yapmadan toplayın.
• Etkili pazarlama ve veri analizi. 2023'te, üçüncü taraf tanımlama bilgilerinin ortadan kalkması ve tanımlama bilgilerinin kullanım sürelerinin kısalması nedeniyle, reklam kanallarının etkinliğine ilişkin bilgilerin önemli bir kısmı artık kullanılamayacak. OWOX BI sunucu tarafı takibi ile kayıpları en aza indirebilir, birinci taraf verilerini toplayabilir ve depolamanızdaki pazarlama verileriyle birleştirebilirsiniz.

Pazarlama analizlerinizi kaydetmek için OWOX BI ile atabileceğiniz adımlar nelerdir?

Çoğu işletme AB bölgesinde hem veri toplamanın hem de depolamanın gerçekleşmesini sağlamayı tercih ettiğinden, OWOX BI Google Analytics kullanmaktan kaçınır. Ayrıntılı olarak, OWOX BI veri akışı şöyle görünür:

1. Web sitesinden klasik Google Analytics biçiminde veri toplayın. Bu veri biçimi tanıdık olduğundan, mevcut binlerce SQL sorgusunu yeniden kullanmak mümkündür.
2. Ham verileri gerçek zamanlı olarak Google BigQuery depolama alanına toplayın. Elde edilen veriler size aittir ve seçtiğiniz AB bölgesinde saklanır.

Özetlemek gerekirse, OWOX BI her pazarlamacının ve analistin çalışmalarına devam etmesine ve şirketin hukuk departmanını tatmin eden analitik çözümleri uygulamasına izin verir:

• Hassas verilerle çalışırken GDPR ile uyumluluğu sağlayın.
• Verileri yeniden işleme veya yeni bir teknoloji yığınını öğrenme ve benimseme konusunda zaman ve kaynak kaybetmekten kaçının.
• Web sitenizin mevcut işaretlemesini koruyun, çünkü uygulama süresi ve değer dönemlerine kadar geçen süre gerçekten kısadır.

Google Analytics'in yasaklanması ve yaklaşmakta olan Trans-Atlantik Veri Gizliliği Çerçevesi ile ilgili durumun hala açıklığa kavuşturulması gerekiyor. Ancak, sonuçları ne olursa olsun, gelecekte daha iyi bir zamanı beklemeden işinizi şimdi korumak en iyisidir. Riskleri en aza indirmek için yasal hazırlıklar yapmaktan ve kullanıcı onayını sağlamaktan ABD'ye ait hizmet sağlayıcılardan uzaklaşmaya kadar atabileceğiniz açık adımlar vardır.

OWOX BI sunucu tarafı izleme, Schrems II ve GDPR ile uyumlu, güvenli birinci taraf veri toplama sağlar. Ve en üstteki kiraz, üçüncü taraf tanımlama bilgilerinin ortadan kalkmasından ve tanımlama bilgilerinin kısalması ömürlerinden kaynaklanan kayıpları en aza indirme yeteneğidir.