KVKK süreci ile sıklaşan veri güvenliği politikalarına binaen birçok prosedür ve uygulama beraberinde gelmektedir. Bunlardan biriside Dijital Pazarlama alanına giren söz konusu birçok verinin toplanması ve işlenmesine dair uygulamalardır.
Yazılım ve Dijital Pazarlama devi olan Google, sektörde belirleyici rol oynamakla beraber Dünya’nın yarısından fazlasının verisini bulunduran küresel bir işletmedir. Bu verileri Google Analytics ve benzeri araçlar kullandığımız sürece bizlerinde verilere katkı yaptığımızı belirtmek gerekir. Bu sebeple, gerekli mevzuatlarla beraber Google’a verdiğimiz verilere dikkat etme sorumluluğu bize de düşmektedir. Google kendi web sitesinde belirttiği üzere Kişisel Tanımlanabilir Bilgi (PII) verilerinin gönderilmemesini tavsiye etmektedir.* Bu durumda iş başa düşerek gerekli tedbirleri almamız gerekmektedir.
Peki nedir bu PII derseniz, kişi veya kuruma ait telefon numaraları, internet protokol adresleri, elektronik posta adresleri, ev veya iş adresleri gibi kişiyi tanımlayabilecek her şeyi kapsamaktadır.
Google Analytics ve GDPR
Avrupa’da yürürlüğü giren Genel Veri Koruma Yönetmeliği ile güncel mevzuatlara ek olarak bilgi ve verinin korunması adına büyük ölçüde bir adım atılmıştır. Bu yasa ile Avrupa pazarında yer alan herkes için bir sorumluluk arzı doğmaktadır.
Dijital Pazarlama alanında gerek bankacılık gerek e-ticaret olmak üzere herkesin arandığı bir ortamda yapılacak olan analizlere ihtiyacı olduğu bir dönemdeyiz. Bu da Google arama motoru ve araçlarından geçiyor. Bu araçlar arasında veri toplayan ve analiz üreten Google Analytics, web sitesi ziyaretçilerinin faaliyetlerini izler ve işletmeleri müşterileri hakkında bilgilendirir. Google Analytics kullanan herkes, müşterilerinin ve ziyaretçilerinin IP adreslerini paylaşıyor demektir. Bu yüzden Google Analytics kullanıyor iseniz, veri topluyor ve işlenmesine de yardımcı olduğunuz anlamına gelmektedir.
Avrupa’da son kullanıcılar, GDPR ile beraber veri gizliliği hakkına sahip olmuşlardır. Aynı şekilde ülkemide KVKK ile bu süreç daha çok şekillenmiştir. GDPR kapsamında, bir IP adresi kişisel veri olarak kabul edilir. Web sitesi ziyaretçilerinin verilerini toplama çözümü, bir IP adresi anonimleştirme işlevi aracılığıyla uygulanabilmektedir. IP anonimleştirme, kullanıcıların IP adreslerinin son hanelerini sıfıra ayarlar, böylece web sitesi ziyaretçisinin IP adresi anonim hale getirilir.
IP Adreslerinin Anonimleştirilmesi ( IP Adresi Maskeleme )
PII, yani Kişisel Tanımlanabilir Bilgi Sistemi içerisinde yer alan verilerden biriside IP adresleridir. Kullanıcılar, GPDR ve KVKK gibi mevzuatlar kapsamında dijital pazarlamacılara ve reklam verenlere hangi kişisel bilgileri vermek istediklerine karar verme hakkına sahiptir. GDPR’ye göre bir IP adresi, kişisel veri olarak kabul edilen “Kişisel Olarak Tanımlanabilir Bilgi”dir. Bu nedenle, işletmeler IP adresini toplayan herhangi bir çerez türünü çalıştırmadan önce web sitesi ziyaretçilerinin onayını almalıdır. GDPR’ye göre en son gizlilik düzenlemelerine uymak için en kolay seçenek Google Onay Modunu kullanmaktır. Ancak bu, Google Analytics’te hatalı veri toplanmasına neden olabilmektedir.
Bu sebeple en sağlıklı yöntem IP adreslerinin anonimleştirme veya maskeleme işlevi aracılığıyla uygulanmasıdır. Google Analytics, ziyaretçilerin IP adreslerini Google Analytics’e göndermeden önce anonimleştirmeyi veya maskelemeyi sağlayan IP Anonimleştirme adlı bir işlev başlatarak, GDPR uyumluluğunun sağlanmasına ve aynı zamanda Google Analytics’te doğru verilerin toplanmasına ve korunmasına olanak tanımıştır.
Bazı durumlarda Google Analytics, IP anonimleştirme işlemini kullanıcının müdahelesi olmadan otomatize edilmiş bir şekilde yapmaktadır. Bu sebeple kullanıcıların IP anonimleştirme işlemlerinin manuel mi ya da otomatik mi yapılıp yapılmadığını, otomatik olarak yapılıyor ise etkin çalışıp çalışmadığını sorgulaması ve kontrol etmesi gerekmektedir.
Google Analytics’teki IP anonimleştirme mantığını kısaca anlatmak gerekirse, gelen veriler Analytics Toplama Ağına (ACN) gönderildikten kısa bir süre sonra IPv4 kullanıcı IP adreslerinin son 8 biti ve IPv6 adreslerinin son 80 bitini bellekte sıfırlar. Örnek olarak, 5.245.22.110 olan bir IP adresi 5.245.22.0 olarak değiştirir. Bu durumda web sitesi ziyaretçisinin IP adresi anonim hale getirilmiş olur ve bu anonim haliyle diske kaydedilir. Eğer IP adresi bir IPv6 adresi ise, aynı mantıkla 128 bitin son 80’i sıfıra ayarlanır. Detaylı teknik inceleme için IP Anonimleştirme Nasıl Yapılır sayfasına göz atabilirsiniz.
*https://support.google.com/analytics/answer/6366371?hl=en#zippy=%2Cin-this-article