Bu politika neden var ve nerede geçerli?
Bu politika, biri Genel Veri Koruma Yönetmeliği (GDPR) ve diğeri eGizlilik Yönergesi olmak üzere iki Avrupa gizlilik yasasının ve ayrıca eş değer Birleşik Krallık yasalarının belirli gereksinimlerini yansıtmaktadır. eGizlilik Yönergesi, teklif edilmiş ve görüşmeleri devam eden eGizlilik Yönetmeliği (ePrivacy Regulation) ile karıştırılmamalıdır. Bu yasalar Avrupa Ekonomik Alanı (AEA) ve Birleşik Krallık'taki son kullanıcılar için geçerlidir. AEA; AB Üye Devletleri ile İzlanda, Lihtenştayn ve Norveç'i kapsar.
Bu politikanın orijinal hali 2015'te kullanıma sunulmuş ve 25 Mayıs 2018'de Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdiğinde güncellenmiştir.
AEA veya Birleşik Krallık merkezli bir yayıncı veya reklamverensem tüm kullanıcılar için bu politikayı uygulamalı mıyım?
Google’ın AB Kullanıcı Rızası Politikası sadece AEA veya Birleşik Krallık'taki son kullanıcılar için geçerlidir.
Google bu politikaya uyulmasını nasıl sağlayacak?
Uygunluk konusuna yaklaşımımız doğrultusunda, 2015'te Politika yürürlüğe girdiğinden beri reklamcılık hizmetlerimizi kullanan site ve uygulamaları inceleriz. İnceleme ekibimiz siteleri veya uygulamaları tıpkı bir tüketici gibi ziyaret eder, biz de sağlanan bilgilere ve edinilen izinlere bakarız.
Uygunluğu sağlamak için ilk önceliğimiz her zaman iş ortaklarımızla birlikte çalışmak olacaktır. İş ortaklarımızdan birinin politikamıza uymadığını tespit edersek ilk olarak ilgili iş ortağıyla iletişim kurup kendilerine sorunla ilgili bilgi veririz. Daha sonra da uygunluğu sağlamak için iş ortağıyla birlikte çalışırız.
2015'ten beri olduğu gibi, sitelere veya uygulamalara gerekli değişiklikleri yapmaları için makul bir süre tanırız; ancak iş ortağımız bu makul süre zarfında bizimle iletişime geçmezse veya politikayla uyumlu olmak adına iyi niyetle çaba göstermezse kapsamdaki hesaplarla ilgili olarak, askıya alma da dahil olmak üzere gerekli işlem yapılır.
Site ve uygulamalarda inceleme yapmanın yanı sıra yayıncıların, AEA ve Birleşik Krallık'taki kullanıcılara reklam yayınlarken bu politikaya uymak için 16 Ocak 2024'ten itibaren Sertifikalı CMP kullanmaya başlaması gerekeceğini Mayıs 2023'te duyurmuştuk. Google, Sertifikalı CMP'nin kullanıldığı yayıncı iş ortaklarımızın site ve uygulamalarında denetim yapmaya devam edecektir.
Son kullanıcılara hangi açıklamaları yapmam gerekir?
Politikamız, son kullanıcıların bir Google ürününü kullanması nedeniyle bu kullanıcılara ait kişisel verileri alan tüm tarafların tanımlanmasını gerektirir. Ayrıca son kullanıcıların kişisel verilerinin kullanımıyla ilgili olarak belirgin ve kolayca erişilebilen bilgilerin olmasını da gerektirir. Google'ın bilgi kullanımına ilişkin bilgi yayınlamıştık. Google'ın veri kullanımına dair bilgi açıklama yükümlülüklerini yerine getirmek için yayıncıların ve reklamverenlerin, ilgili sayfaya bağlantı vermesi gerekir. Ayrıca Google'ın ürünlerini entegre olarak kullanan diğer reklam teknolojisi sağlayıcılardan da kişisel veri kullanımlarıyla ilgili bilgi sunmalarını istiyoruz.
Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için yararlanabileceğiniz yapılacaklar listesi
Bunlar yalnızca örnek niteliğindedir. Bu listede olası her durumun ele alınmadığını unutmayın. Yayıncı tarafında Sertifikalı CMP kullanıp bunu doğru şekilde uyguladıysanız bu yapılacaklar listesindeki şartlara zaten uymuşsunuz demektir. Kullanıcı rızasıyla ilgili uygulamalarınızın, Google politikalarının tüm şartlarına uymasına daima özen gösterin.
- Kullanıcılarınız sitenizde/uygulamanızda kişisel verilerinin toplanmasına izin verirken kendilerine bu verilerin nasıl kullanılacağını açıkladınız mı? Örneğin, kullanıcılarınız kişisel verilerinin reklam kişiselleştirme için kullanılacağının, çerezlerin ise kişiselleştirilmiş ve kişiselleştirilmemiş reklamlar için kullanılabileceğinin farkında mı?
- Rıza uyarınızın, sitenize/uygulamanıza erişen tüm AEA ülkelerindeki kullanıcılara gösterilip gösterilmediğini kontrol ettiniz mi?
- Kullanıcılara, izin verdiklerini gösteren olumlu bir eylemde bulunma seçeneği sundunuz mu? Örneğin, "Tamam" düğmesini veya "Kabul ediyorum" düğmesini tıklamak.
- Sitenizde/uygulamanızda topladığınız kullanıcı verilerine Google dahil başka hangi üçüncü tarafların erişebileceğini açıkladınız mı?
- Kullanıcıları, sitenizde/uygulamanızda izin verdikleri takdirde kişisel verilerinin Google tarafından nasıl kullanılacağı konusunda bilgilendirdiniz mi (örneğin, Google'ın Business Data Responsibility sitesine bağlantısını ekleyerek)? Peki, kişisel verilerinin diğer üçüncü taraflarca nasıl kullanılacağını açıkladınız mı?
- Yalnızca kişiselleştirilmemiş reklamlar üzerinden para kazanıyorsanız çerezlerin veya yerel olarak depolanan diğer bilgilerin (ör. mobil cihaz tanımlayıcıları) yasal olarak zorunlu tutulduğu durumlarda kullanımı konusunda kullanıcılardan rıza alıp almadığınızı kontrol ettiniz mi? Web sitelerinde yayınladığımız kişiselleştirilmemiş reklamların çalışabilmesi için yine de çerez kullanılması gerektiğini unutmayın.
- Gösterimler üzerinden yalnızca sınırlı reklamlarla para kazanıyorsanız reklamların kişiselleştirilmesi için kişisel verilerin toplanması, paylaşılması ve kullanılması devre dışı bırakılır. Ayrıca Google, sıklık sınırı gibi yerel tanımlayıcı kullanılması gereken özellikleri devre dışı bırakır. Programatik sınırlı reklamlar etkinleştirildiği takdirde yalnızca geçersiz trafik algılama çerezleri ve yerel depolama alanı, sahtekarlık ve kötüye kullanıma karşı koruma sağlamak için kullanılır. Reklam sunma teknolojilerinin (JavaScript etiketlerimiz ve/veya SDK kodumuzun), kullanıcıların tarayıcı ve mobil işletim sistemlerinin normal çalışmasının bir parçası olarak önbelleğe alınmaya veya yüklenmeye devam edeceğini unutmayın. Bulunduğunuz yargı alanındaki yerel yasalarda belirtilen bildirim ve rıza şartları da dahil olmak üzere tüm uygunluk yükümlülüklerinizi yerine getirip getirmediğinizi kendiniz değerlendirmeniz gerekir. Bu özellikle ilgili daha fazla bilgi edinmek için Ad Manager, AdMob ve AdSense Yardım Merkezi sayfalarına bakın.
- IAB sertifikalı CMP kullanıyorsanız "Google Reklamcılık Ürünleri"ni tedarikçi olarak dahil ettiniz mi?
- Rıza alınmadığında Google Ads çerezlerinin ayarlanmadığından ve kişiselleştirilmemiş reklamların varsayılan durumunun değişmediğinden emin oldunuz mu?
Son kullanıcıların kişisel verilerini reklamları kişiselleştirmek için istemiyorsam ne olur?
Reklamları kişiselleştirmek için son kullanıcıların kişisel verilerini kullanmak isteyip istemediğinizi seçebilirsiniz. Web sitelerinde veya uygulamalarda sunduğumuz kişiselleştirilmemiş reklamların çalışabilmesi için yine de çerezlerin veya mobil tanımlayıcıların gerekli olduğunu lütfen unutmayın. Yasal olarak gerektiğinde çerezlerin veya mobil tanımlayıcıların kullanımı için izin alınması zorunludur.
Ad Manager, AdSense ve AdMob gösterimleri için sınırlı reklamlarla para kazanmayı da seçebilirsiniz. Bulunduğunuz yargı alanında sınırlı reklam ve kişiselleştirilmemiş reklam sunmaya ilişkin yerel yasalarda belirtilen bildirim ve rıza şartları da dahil olmak üzere tüm uygunluk yükümlülüklerinizi yerine getirip getirmediğinizi kendiniz değerlendirmeniz gerekir.
Rıza iptaliyle ilgili olarak son kullanıcılara hangi talimatları vereceğim?
Politika, reklam kişiselleştirme rızasının nasıl iptal edileceğinin son kullanıcılara açıklanmasını gerektirir. Kullanıcı, rızasını başlangıçta verdiği kadar kolay bir şekilde iptal edebilmelidir. En azından son kullanıcılar, rıza tercihlerinde değişiklik yapmak için siteniz veya uygulamanızdaki reklam kontrollerine kolayca nasıl erişebileceklerine dair yeterli bilgiye sahip olmalıdır.
Bu politika kapsamına giren diğer Google ürünleri nelerdir?
Reklamlar ve ölçüm ürünlerine ek olarak Google Haritalar Platformu Hizmet Şartları, YouTube API Hizmetleri Hizmet Şartları, reCAPTCHA Hizmet Şartları ve Blogger gibi diğer Google ürünlerinde de bu politika referans alınmaktadır.
Bu politikanın amacı gereği ne tür reklamlar "kişiselleştirilmiş" olarak değerlendirilir?
Kişiselleştirilmiş reklamcılık (eski adıyla "ilgi alanına dayalı reklamcılık"), kullanıcılar için reklam alaka düzeyini iyileştiren ve reklamverenlerin yatırım getirisini (YG) artıran güçlü bir araçtır. Nasıl kullanıldıklarına bağlı olarak yayıncı ürünlerimiz, kullanıcıların ziyaret ettikleri sitelere veya kullandıkları uygulamalara dayanarak ilgi alanlarıyla ilgili çıkarımlarda bulunabilir. Böylece reklamverenler kampanyalarını bu ilgi alanlarına göre hedefleyebilir. Bu hem kullanıcılar hem de reklamverenler için daha iyi bir deneyim sağlar. Daha fazla bilgi edinmek isterseniz kişiselleştirilmiş reklamlar için reklamveren politikalarımıza bakabilirsiniz.
Reklam seçimini belirlemek veya etkilemek için geçmiş ya da daha önce toplanmış verilere (kullanıcının sitelere veya uygulamalara yaptığı ziyaretler, önceki arama sorguları, etkinlikleri, demografik bilgileri veya konumu dahil) dayalı reklamlar, Google tarafından kişiselleştirilmiş reklamlar olarak sınıflandırılır. Burada özellikle şunlar yer alır: demografik hedefleme, ilgi alanı kategorisi hedefleme, yeniden pazarlama, Müşteri Eşleştirme listelerini hedefleme ve Google Marketing Platform'a yüklenen kitle listelerini hedefleme.
İzin banner'ım, denetim kapsamında uyumsuz olarak işaretlendi. Bu sorunu en iyi şekilde nasıl çözebilirim?
Bu politikaya uyulmadığını tespit edersek önceliğimiz, iş ortaklarımızın politikaya tekrar uymasını sağlamak olacaktır. Denetim ekibimiz, hatayla ilgili ayrıntılar ve sitenizi/uygulamanızı politikaya uygun hale getirmek için uygulamanız gereken adımlar hakkında size bilgi verecektir.
Reklamverenlerin, banner'ın kullanıcı tercihlerine uygun şekilde yapılandırıldığından emin olmak için kendi üçüncü taraf CMP'si ile birlikte çalışmasını ya da uygun izin ayarları yönetimi dokümanlarını inceleyip bunları, izin moduyla uygun şekilde entegre etmesini öneririz.
Reklam ölçümleri gibi kişiselleştirme dışındaki amaçlarla kullanılsa bile politika neden çerezlere izin verilmesini gerektiriyor?
Çerezler veya mobil tanımlayıcılar; Google tarafından yayınlanan kişiselleştirilmiş ve kişiselleştirilmemiş reklamları desteklemek, sahtekarlık ve kötüye kullanımla mücadele etmek, sıklık sınırı belirlemek ve toplu reklam raporlaması için kullanılır. Politikamız gereği, çerezlere veya mobil tanımlayıcılara izin verilmesinin yasal olarak zorunlu olduğu ülkelerdeki kullanıcılar, çerezlerin veya mobil tanımlayıcıların kullanılmasına izin vermelidir.
Sitemde Google'ın ürünlerini kullanan bir reklamverensem ne olur?
Sayfalarınızda Google Ads veya Google Marketing Platform gibi reklamcılık ürünleri için etiketler kullanıyorsanız Google'ın AB Kullanıcı Rızası Politikası uyarınca AEA'daki ve Birleşik Krallık'taki kullanıcılarınızdan izin almanız gerekir. Politikamız, ölçüm amacıyla kullanılan çerezler için izin verilmesini gerektirir. Ayrıca, kişiselleştirilmiş reklamlar için kişisel veriler kullanılırken de izin verilmesini gerektirir (örneğin, sayfalarınızda yeniden pazarlama etiketleri varsa).
Rıza uyarımda ne demeliyim?
Rıza uyarınızın metni, veri kullanımınıza (ör. verileri kendi amaçlarınız doğrultusunda veya birlikte çalıştığınız diğer hizmetleri desteklemek için kullanıyorsanız) bağlı olacağından Google'ın politikası, kullanıcılara sunulması gereken seçenekleri belirtmez.
Google, uygulamalar için kullanıcı rızası alma mesajının belirli bir biçimde olmasını şart koşuyor mu?
Evet, yayıncıların AEA ve Birleşik Krallık'taki kullanıcılara reklam yayınlarken 16 Ocak 2024'ten itibaren Sertifikalı CMP kullanmaya başlaması gerekeceğini Mayıs 2023'te duyurmuştuk. CMP'niz bu listede yoksa sertifika almak üzere CMP'nizle birlikte çalışmanızı öneririz.
Reklamveren iş ortaklarının izin banner'ları oluşturmasına ve yapılandırmasına yardımcı olmak için de CMP Partner Program geliştirildi. Not: Bu liste mevcut tüm CMP'leri kapsamaz.
İş ortakları hangi Kullanıcı Rızası Yönetim Platformu (CMP) sağlayıcıyı kullanacaklarını nasıl seçmelidir?
Reklamveren iş ortaklarının izin banner'ları oluşturmasına ve yapılandırmasına yardımcı olmak için de CMP Partner Program geliştirildi. Not: Bu liste mevcut tüm CMP'leri kapsamaz. Bu CMP'lerden herhangi birini kullanmanın Google'ın AB Kullanıcı Rızası Politikası'na uygunluğu garanti etmediğini, bunun CMP'nin uygulanmasına ve kullanıcılara sunulan kullanıcı rızası alma mesajına bağlı olduğunu lütfen unutmayın (Bu konuda daha fazla bilgi için lütfen yukarıdaki "Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için iş ortaklarımızın yararlanabileceği yapılacaklar listesi" bölümüne bakın.).
Başka hangi taraflar son kullanıcıların kişisel verilerini toplar ve bu üçüncü tarafları nasıl tanımlayabilirim?
Google'ın reklam sistemlerini kullanan birçok reklamveren ve yayıncı, gerek reklam yayınlamak gerek reklam kampanyalarının web siteleri ile uygulamalardaki etkinliğini ölçmek için üçüncü taraflardan yararlanır. Politika, Google'a ek olarak, Google ürünlerini kullanmanızdan dolayı son kullanıcıların kişisel verilerini toplayabilecek, alabilecek ve/veya kullanabilecek tüm tarafları açıkça belirtmenizi gerektirir. Sitenizde veya uygulamanızda veri toplamasına izin verilen tedarikçileri seçebilmeniz için AdSense, Google Ad Manager ve AdMob'da kontroller bulunmaktadır.
Sitem Avrupa'da kurulmadı. Bu politika benim için geçerli mi?
Evet, bu politika kapsamına giren Google ürünleri kullanıyorsanız ve AEA ya da Birleşik Krallık'taki kullanıcıların hizmetlerinize erişmesini amaçlıyorsanız bu politika sizin için geçerlidir.
Yayıncıyım ve kampanyalarımdan hiçbiri AEA'yı veya Birleşik Krallık'ı hedeflemiyor. Bu rıza şartı benim için yine de geçerli mi?
Google hizmetleri söz konusu ülkelerdeki kullanıcılar için siteden kaldırılırsa izin alınması gerekmez. Ancak Google hizmetleri hâlâ kullanılıyorsa reklam yayınlanmasa bile izin alınması gerekir. Bu da Google AdMob, AdSense ve Google Ad Manager'ın çerez kullanması ve politikamızın, ölçüm amacıyla kullanılan çerezler için de rıza alınmasını zorunlu kılmasından kaynaklanmaktadır. Ayrıca Google Ad Manager, kişiselleştirilmemiş reklam için istenmediği ve bu durum AB Kullanıcı Rızası Ayarları'nda veya talebin kendisinde belirtildiği sürece kişisel verileri toplar.
Yasayla ilgili farklı bir bakış açısına sahip olan kuruluşumuz, bilgi açıklama ve rıza konusunda farklı bir yaklaşım uygulamak istemektedir. Bunu yapabilir miyiz?
Google, Avrupa’da sunduğumuz tüm hizmetlerde, uygulanabildiği ölçüde Birleşik Krallık yasaları da dahil olmak üzere GDPR'ye uymayı taahhüt eder. AB Kullanıcı Rızası Politikamız, Avrupa veri koruma yetkililerinin taahhüdünü ve yönlendirici bilgilerini yansıtır. Yasayı ve sektörde kabul gören uygulamaları değerlendirmeye devam edecek, önerilerimizi ve şartlarımızı bu bilgiler ışığında güncelleyeceğiz.
Reklam ölçümü için neden rıza almamız gerekiyor? Bu, meşru menfaat kapsamına girmiyor mu?
Google, reklam ölçümünü desteklemek için çerezler ve çeşitli reklam tanımlayıcıları kullanır. Mevcut eGizlilik yasaları, yerel yasalarca rıza alınmasının gerekli olduğu ülkelerdeki kullanıcılar için bu tür kullanımlarda rıza alınmasını zorunlu tutar. Bu nedenle politikamız, reklam kişiselleştirme ve reklam ölçümü için rıza alınmasını gerektirir. Çevrimdışı ölçüm yapılan kullanım alanları (ör. mağaza satışları) da buna dahildir.
Rızayı etiketler etkinleşmeden önce mi almam gerekiyor yoksa daha sonra da alabilir miyim?
Kişiselleştirilmiş reklamlarla ilgili rıza, Google'ın etiketleri sayfalarınızda etkinleştirilmeden önce alınmalıdır.
Tıklama izleyici kullanıldığında ne olacak?
Üçüncü taraf tıklama izleme teknolojileri kullanan reklamverenlerin (ör. bir reklam tıklamasının kullanıcının tarayıcısını reklamverenin açılış sayfasından önce üçüncü taraf ölçüm tedarikçisine yönlendirdiği zaman) bunu geçerli yasaya uygun olarak yapmaları gerekir. Google’ın yayıncılara yönelik tedarikçi kontrolleri, tıklama izleme teknolojilerini kapsayacak şekilde tasarlanmamıştır.
Hangi kayıtları tutmam gerekiyor?
Politikamız gereği müşteriler rıza kayıtlarını saklamalıdır. En azından kullanıcılara rıza mekanizması kapsamında sunulan metin ile seçenekler ve kullanıcının rıza tarihi ile saatini içeren bir kayıt saklanmalıdır.
IAB tarafından da onaylanmış Sertifikalı bir CMP kullandığım halde yayıncı CMP seçimim neden uygunsuz bulundu?
Sertifikalı CMP kullanmanın Google'ın AB Kullanıcı Rızası Politikası'na uygunluğu garanti etmediğini, bunun CMP'nin uygulanmasına ve kullanıcılara sunulan kullanıcı rızası alma mesajına bağlı olduğunu lütfen unutmayın (Bu konuda daha fazla bilgi için lütfen yukarıdaki "Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için iş ortaklarımızın yararlanabileceği yapılacaklar listesi" bölümüne bakın.).
Özel Korumalı Alan API'lerinin kullanıldığı ürünler kullanıyorsam bu politikaya uymam gerekir mi?
Evet. Özel Korumalı Alan API'lerini (Topics, Protected Audience ve Attribution Reporting) kullanırken reklamları kişiselleştirmek ve/veya yerel depolama alanına erişmek için kişisel verileri kullanıyor olabilirsiniz. Günümüzde Avrupa Ekonomik Alanı'nda ve Birleşik Krallık'ta reklam kişiselleştirme ve zaruri olmayan yerel depolama erişimi için kullanıcı rızasını alma zorunluluğu bulunması gibi, AB Kullanıcı Rızası Politikası uyarınca bu işlemler için geçerli kullanıcı rızasının alınması zorunludur. Özel Korumalı Alan hakkında daha fazla bilgi edinin.
Bu politikayla ilgili güncellemeler
Google’ın orijinal AB Kullanıcı Rızası Politikası 25 Mayıs 2018'de güncellenmiştir. Birleşik Krallık'ın Avrupa Birliği ile olan ilişkisindeki değişikliği yansıtmak amacıyla 31 Ekim 2019'da küçük değişiklikler yapılmıştır. Şu an için politika üzerinde başka değişiklik yapılmasını öngörmüyoruz, ancak yukarıda belirtildiği gibi, yasayı ve sektörde kabul gören uygulamaları değerlendirmeye devam edecek, önerilerimizi ve gereksinimlerimizi bu bilgiler ışığında güncelleyeceğiz.