AB Genel Veri Koruma Tüzüğü (GDRP) Mayıs 2018’te yürürlüğe girecek ve AB’de veri güvenliği sisteminin çatısını belirlenecek olan yasa. GDRP ile aynı anda yürürlüğe girmesi beklenen Elektronik Mahremiyet Tüzüğü (E-Privacy Regulation – ePR) ise bu tüzüğün tamamlayıcısı niteliğinde olan, elektronik iletişim ve iletişimin yapıldığı cihazların kişisel verilere ulaşma ve işlemesi konularını düzenleyen eki. Bu yazıda, ePR yani AB’den gelecek yeni veri kullanım kuralları sonucu online reklamcılık sektörünün karılaşacağı potansiyel sorunlara bir göz atalım.
İlk konu kullanıcının kişisel verilerinin kullanılması ile ilgili onay süreci Yasadan sonra yayıncılar online davranışsal hedefleme yapabilmek için kullanıcının kişisel verilerinin kullanılmasına dair site üzerinde ek onayına ihtiyaç duyacaklar. Bu süreç bir internette kullanıcı deneyiminin değişeceği anlamına geliyor. Burada yayıncının alması gereken onay, tıkla ve ilerlenin ötesinde siteyi kullanarak sağlanan kişisel veriyle ilgili detaylı bilgi verilmesi zorunluluğunu kapsıyor. Örneğin; veriyi kim topluyor ve bu kurumlara nasıl ulaşılabilir, veri işleme sürecinde hangi kişisel veri hangi yasal temellerde kullanılıyor, bu veri kiminle paylaşılacak, veri yurt dışına çıkacaksa söz konusu ülkenin veri güvenlik politikası AB’ninkilerle uyumluluk gösteriyor mu, verinin saklanma süresi ve bu sürenin belirlenmesindeki kriterler ne, yayıncı ile ilgili şikâyette bulunmak istediğinde ilgili otoritelere nasıl ulaşılacak, onay verilmediği durumda o sitedeki kullanıcı deneyimi nasıl değişecek…
Bu bilgilerin kullanıcıya sunulması konusunda yayıncının dikkat etmesi gereken iki önemli nokta var. İlki söz konusu akışın olabildiğince kısa ve anlaşılır olması ve kullanıcı deneyimini aksatıcı olmaması ki, bunun için süreci hızlandıracak kurgu ve tasarımların üretilmesi gerekiyor. İkincisi de, kullanıcı izinlerinin yönetimi ve doğru kullanımının denetlenmesi. Yasadan sonra kullanıcının kendisi ile ilgili veri paneline erişme, sağladığı veriyi düzeltme, silme, başka bir servise taşıma ve bu veri ile algoritmaların ürettiği sonuçlara itiraz etme gibi hakları olacak. Bu akışın da yayıncı tarafından dikkate alınması gerekiyor.
Yasa söz konusu onay kurgusu ile birlikte sağlanan verinin online reklam süreçlerinde sızdırılmasının da engellenmesini istiyor. İkinci konumuz da online davranışsal hedeflemeyi tümüyle riske sokan bu durum. Burada iki farklı sızıntıdan bahsediliyor. İlki çoğunlukla programatik reklamların ödeme yöntemi olan reklam yeri için gerçek zamanlı fiyat toplama süreci. Nedir bu süreç ? Kullanıcı bir siteyi ziyaret ettiği anda reklam sunucusu bağlanacağı SSP’yi (arz yönlü platform) SSP de reklam alanları ile ilgili reklam alım satım platformlarını (Ad Exchange) seçer. Ad Exchange ziyaretçinin kişisel verisini temsil ettiği reklamverenin hedef kitlesine uygunluğunu kontrol etmek üzere kendisi ile bağlantı kuran yüzlerce ortağı ile paylaşır ve söz konusu reklam alanı için fiyat taleplerini alır. DSP (talep yönlü platform) ve DMP’lerden (veri yönetim platform) oluşan bu partnerlerin teklif verenlerine Ad Exchange tarafından kullanıcı verisi saklayan çerezlere erişim sağlanır. Kazanan teklifin sahibi ajans sunucusundan kreatifi servis eder, reklam yerleştikten sonra da ajansın anlaştığı ölçüm ve doğrulama servisi devreye girer. Tamamı birkaç milisaniyede gerçekleşen bu süreçte kullanıcı ait kişisel veri yüzlerce oyuncuya dağıtılmış olur. Birden fazla Ad Exchange kullanıldığı düşünülürse yasada önerildiği şekilde mümkün olamayan bir akış ile karşı karşıya kalıyoruz.
Sızıntı konusunda ikinci ihtimal de site ziyaretçilerine ait verinin yetkisiz erişimle elde edilmesi. Şu anda online reklamcılık izinsiz paylaşılan kişisel veri üzerinde dönüyor. Yeni dönemde kişisel verinin izine tabi olacağı ve çoğunluğun da kendisine ait verinin paylaşılmasında bonkör olmayacağı düşünüldüğünde ekosisteme sağlanacak verinin doğru hedefleme için yetersiz kalacağı aşikâr.
ePR neleri zorunlu hale getiriyor?
Bugüne kadar yapılan çalışmalar kullanıcıların, kolaylığı mahremiyete karşı tercih ettiğini gösterse de yeni dönem bu durumu da değiştireceğe benziyor. ePR, cihaz ve tarayıcıların, kullanıcıya veri paylaşım seviyesi seçimini zorunlu tutma gerekliliği getiriyor. Böylece kullanıcıların servislere erişim esnasında maruz kalacağı onay süreçlerini minimize ederek mahremiyet tercihinin de kolaylığa dönüşmesine destek olunacak. Yasanın onaylanan halinde bu özelliğin kalması durumunda AB’deki çoğu kullanıcının mahremiyet ayarlarını “takip edilmeme” üzerine belirleyeceğini varsaymak yanlış bir beklenti olmaz. Bunun için diğer bir sebep de kullanıcıların veriyi paylaşmayı seçtiğinde aslında neyi onayladıklarını pek de bilmemeleri. Yasayla birlikte kişilerin ayırt edilmesini sağlayan verinin internette nasıl paylaşılacağının detaylı ve anlaşılır olarak verilmesi zorunluluğu var. Buna ek olarak verinin yetkisiz kişilerin eline geçmesi durumunda kullanıcının bilgilendirilmesi zorunluluğu da onay konusunu çok ciddiye almayan kişilerin dahi bu konuda rahatsız olmasına ve yasanın kendisine tanıdığı hakla onayları geri çekmesine sebep olacak. Bu arada yasada belirtildiği şekliyle onayı geri çekmek de onay vermek kadar basit olmak zorunda.
Özetle kullanıcı, davranışlarının internette nasıl takip edildiğini, bu verinin ne amaçla kullanıldığını ve ne sıklıkla çalındığını bilecek. Yaratılan bu paranoya sonucunda çoğunluğu tanınmayan bir kullanıcı profili yeni dönemin gerçekleri arasına yerleşecek. Verilerin kullanılmasına izin verenler ise güvenilir yayıncılarda Premium hedef kitle olarak yüksek fiyatlarla pazarlanacak.
Tüm bu şartlarda yayıncıların yapması gerekenler öncelikle onay alma için başarılı bir akış tasarlama ve bunu sürekli geliştirme, veri kaybını sıfıra indirmek için altyapılarını ve işleyişinin tamamını kontrol altında tutmak olacak. Ancak yayıncının karşı karşıya kaldığı bunlardan çok daha karmaşık bir durum var. Veri toplamadan nasıl hedefleme yapacağı ? Bunun için yayıncıların ve adtech şirketlerinin çok kafa yorması gerekecek. Yeni dönemde içeriği üretenin ve içeriğin önemi daha da artacak gibi görünüyor.
Hazırlanan yasanın temelinde benim düşünceme göre AB’nin GAFA’ya (Google, Apple, Facebook, Amazon) karşı endişesinin rolü büyük. AB ülkeleri sınırları içerisinde Google, Apple, Facebook ve Amazon gibi adtech devlerinin güçlerini kısıtlamak için aksiyonlarını devam ettirecek gibi görünüyor. 2016 toplam cirosu 500 milyar dolara yaklaşan bu dört şirketin Avrupa gibi büyük bir pazardaki pozisyonuna gelen müdahale Brüksel ve Washington arasındaki siyasî ilişkiye de ister istemez yansıyacaktır.
Sonuç olarak GDPR ve ePR’ye uyum sürecinin reklam ekosisteminde oluşturacağı değişiklik yasanın diğer sektörlere getireceği ihtiyaçlarla karşılaştırılamayacak kadar kapsamlı. Yani, online reklamcılığın online olarak kalabilmesi, sunulan servislerin altyapısından kullanıcı deneyimine kadar her şeyi değiştirecek olan yasanın alacağı son şekle bağlı.
Murat Arslanoğlu
UNC Digital Ajans Başkanı
Yorumlar