Bu politika neden var ve nerede geçerli?
Bu politika, biri Genel Veri Koruma Yönetmeliği (GDPR) ve diğeri eGizlilik Yönergesi olmak üzere iki Avrupa gizlilik yasasının yanı sıra eşdeğer Birleşik Krallık yasalarının belirli şartlarını yansıtmaktadır. Bu politika AEA, Birleşik Krallık ve İsviçre'de ikamet eden son kullanıcılar için geçerlidir. AEA; AB Üye Devletleri ile İzlanda, Lihtenştayn ve Norveç'i kapsar.
Bu politikanın orijinal hali 2015'te kullanıma sunulmuş ve 25 Mayıs 2018'de Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdiğinde güncellenmiştir. Politika en son 31 Temmuz 2024'te İsviçre'deki kullanıcılar için geçerli olacak şekilde güncellenmiştir.
AEA, Birleşik Krallık ya da İsviçre merkezli bir yayıncı veya reklamverensem tüm kullanıcılar için bu politikayı uygulamalı mıyım?
Google'ın AB Kullanıcı Rızası Politikası sadece AEA, Birleşik Krallık veya İsviçre'deki son kullanıcılar için geçerlidir.
Google bu politikaya uyulmasını nasıl sağlayacak?
Uygunluk konusuna yaklaşımımız doğrultusunda, 2015'te politika yürürlüğe girdiğinden beri reklamcılık hizmetlerimizi kullanan web siteleri ve uygulamalarda düzenli denetim yaparız. İnceleme uzmanlarımız, web sitesini veya uygulamayı bir kullanıcı gibi ziyaret edip verilen bilgilere ve alınan rızalara bakar.
Uygunluğu sağlamak için ilk önceliğimiz her zaman iş ortaklarımızla birlikte çalışmak olacaktır. İş ortaklarımızdan birinin politikamıza uymadığını tespit edersek ilk olarak ilgili iş ortağıyla iletişim kurup kendilerine sorunla ilgili bilgi veririz. Daha sonra da uygunluğu sağlamak için iş ortağıyla birlikte çalışırız.
2015'ten beri olduğu gibi, gerekli değişikliklerin yapılması için web sitelerine ve uygulamalara makul bir süre tanırız. Yine de iş ortağımız makul bir süre içinde bizimle iletişime geçmezse veya politikayla uyumlu olmaya yönelik iyi niyetli çaba göstermezse söz konusu hesaplarla ilgili olarak gerekli işlem yapılabilir. Bu işlemler reklamverenlerin reklam kişiselleştirme (ör. yeniden pazarlama) ve dönüşüm ölçümü özellikleri de dahil olmak üzere kitle işlevlerinin askıya alınmasını kapsar. Yayıncılar ise yalnızca sınırlı reklam/programatik sınırlı reklam yayınlamaya uygun olabilir (programatik sınırlı reklamlar etkinse).
Web siteleri ve uygulamalarda denetim yapmanın yanı sıra yayıncıların AEA, Birleşik Krallık ve İsviçre'deki kullanıcılara reklam sunarken bu politikaya uymak için sertifikalı bir CMP kullanmasını zorunlu kılarız. Google, Sertifikalı CMP'nin kullanıldığı yayıncı iş ortaklarımızın site ve uygulamalarında denetim yapmaya devam edecektir.
AEA trafiği alan reklamverenler söz konusu olduğunda, AEA'daki bir kullanıcı web sitenizi veya uygulamanızı kullanıyorsa ve Google etiketleri ya da SDK'larla kullanıcı davranışını ölçüyorsanız ve/veya kitle işlevinden/reklam kişiselleştirme işlevinden faydalanıyorsanız son kullanıcı izin seçeneklerini Google'a göndermeniz (ör. izin modu veya TCF aracılığıyla) gerekir. Google etiketini yüklüyorsanız ve izin modunun en yeni sürümünü uygulamadıysanız Google CMP Partner Program'daki bir CMP ile çalışmanızı öneririz. Bu liste mevcut tüm CMP'leri kapsamaz ve Google, reklamverenlerin Partner Program'daki bir CMP'yi kullanmasını zorunlu kılmaz.
Son kullanıcılara hangi açıklamaları yapmam gerekir?
Politikamız, son kullanıcıların bir Google ürününü kullanması nedeniyle bu kullanıcılara ait kişisel verileri alan tüm tarafların tanımlanmasını gerektirir. Ayrıca son kullanıcıların kişisel verilerinin kullanımıyla ilgili olarak belirgin ve kolayca erişilebilen bilgilerin olmasını da gerektirir. Google'ın bilgi kullanımına ilişkin bilgi yayınlamıştık. Google'ın veri kullanımına dair bilgi açıklama yükümlülüklerini yerine getirmek için yayıncıların ve reklamverenlerin, ilgili sayfaya bağlantı vermesi gerekir. Ayrıca Google'ın ürünlerini entegre olarak kullanan diğer reklam teknolojisi sağlayıcılardan da kişisel veri kullanımlarıyla ilgili bilgi sunmalarını istiyoruz.
Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için yararlanabileceğiniz yapılacaklar listesi
Bunlar yalnızca örnek niteliğindedir. Bu listede olası her durumun ele alınmadığını unutmayın. Kullanıcı rızasıyla ilgili uygulamalarınızın, Google politikalarının tüm şartlarına uymasına daima özen gösterin.
- Kullanıcı rızası mekanizması/izin banner'ı uyguladınız mı? Yayıncı iş ortaklarının kullanıcı rızası mekanizması/izin banner'ı Google sertifikalı mı?
- Kullanıcılarınıza web sitenizde/uygulamanızda kişisel verilerinin nasıl kullanılacağını açıkladınız mı? Örneğin, kullanıcılarınız kişisel verilerinin reklam kişiselleştirme için kullanılacağının, çerezlerin/mobil reklam tanımlayıcıların ise kişiselleştirilmiş ve kişiselleştirilmemiş reklamlar için kullanılabileceğinin farkında mı?
- Kullanıcı rızası mekanizmanızın/izin banner'ınızın, web sitenize/uygulamanıza erişen ve herhangi bir AEA ülkesinin yanı sıra Birleşik Krallık ve İsviçre'de bulunan tüm kullanıcılara gösterilip gösterilmediğini kontrol ettiniz mi?
- Kullanıcılara, izin verdiklerini gösteren olumlu bir eylemde bulunma seçeneği sundunuz mu? Örneğin, "Tamam" düğmesini veya "Kabul ediyorum" düğmesini tıklamak gibi.
- Web sitenizde/uygulamanızda topladığınız kullanıcı verilerine hangi üçüncü tarafların (Google dahil) erişebileceğini açıkladınız mı?
- Google'ın Business Data Responsibility sitesinin bağlantısını ekleyerek kullanıcıları, sitenizde/uygulamanızda izin verdikleri takdirde kişisel verilerinin Google tarafından nasıl kullanılacağı konusunda bilgilendirdiniz mi? Peki, kişisel verilerinin diğer üçüncü taraflarca nasıl kullanılacağını açıkladınız mı?
- Reklamverenlerin AEA'daki kullanıcıları için: Son kullanıcı tercihlerini yansıtan doğrulanmış izin sinyallerini Google'a gönderiyor musunuz? İzin modunun veya TCF'nin en yeni sürümünü doğru bir şekilde uyguladınız mı?
- Rızanın gerekli olduğu ölçüde, rıza alınmadığında çerezlerin ayarlanmadığından emin oldunuz mu? Web sitelerinde yayınladığımız kişiselleştirilmemiş reklamların çalışabilmesi için yine de çerez kullanılması gerektiğini unutmayın.
- Yayıncı olarak TCF şartlarına uygun Google sertifikalı bir CMP kullanıyor musunuz? Ek İzin'den faydalandığınız ölçüde, bu izni doğru bir şekilde uyguladınız mı?
Sınırlı reklamlar nedir?
Yayıncıysanız ve gösterimlerden yalnızca sınırlı reklamları kullanarak para kazanıyorsanız Google, reklamların kişiselleştirilmesi için kişisel verilerin toplanması, paylaşılması ve kullanılmasını devre dışı bırakmanın yanı sıra sıklık sınırı gibi yerel tanımlayıcı kullanılması gereken özellikleri de devre dışı bırakır. Programatik sınırlı reklamlar etkinleştirildiği takdirde yalnızca geçersiz trafik algılama çerezleri ve yerel depolama alanı, sahtekarlık ve kötüye kullanıma karşı koruma sağlamak için kullanılır. Reklam sunma teknolojilerinin (JavaScript etiketlerimiz ve/veya SDK kodumuzun), kullanıcıların tarayıcı ve mobil işletim sistemlerinin normal çalışmasının bir parçası olarak önbelleğe alınmaya veya yüklenmeye devam edeceğini unutmayın. Bulunduğunuz yargı alanındaki yerel yasalarda belirtilen bildirim ve rıza şartları da dahil olmak üzere tüm uygunluk yükümlülüklerinizi yerine getirip getirmediğinizi kendiniz değerlendirmeniz gerekir. Bu özellikle ilgili daha fazla ayrıntı için Ad Manager, AdMob ve Adsense Yardım Merkezlerine bakın.
Rızanın geri çekilmesiyle ilgili olarak son kullanıcılara hangi talimatları vereceğim?
Politika, rızanın nasıl iptal edileceğinin son kullanıcılara açıklanmasını gerektirir. Kullanıcı, rızasını başlangıçta verdiği kadar kolay bir şekilde iptal edebilmelidir. En azından son kullanıcılar, rıza tercihlerinde değişiklik yapmak için web siteniz veya uygulamanızdaki reklam kontrollerine kolayca nasıl erişebileceklerine dair yeterli bilgiye sahip olmalıdır.
Bu politika kapsamına giren diğer Google ürünleri nelerdir?
Reklamlar ve ölçüm ürünlerine ek olarak Google Haritalar Platformu Hizmet Şartları, YouTube API Hizmetleri Hizmet Şartları, reCAPTCHA Hizmet Şartları ve Blogger gibi diğer Google ürünlerinde de bu politika referans alınmaktadır.
Bu politikanın amacı gereği ne tür reklamlar "kişiselleştirilmiş" olarak değerlendirilir?
Kişiselleştirilmiş reklamlar hem kullanıcılar (reklamların alaka düzeyini artırır) hem de reklamverenler/yayıncılar için gelişmiş bir deneyim sunar. Google, reklam sunmayı belirlemek veya etkilemek için kullanılan kişisel verilere dayalı reklamları kişiselleştirilmiş reklamlar olarak sınıflandırır. Daha fazla bilgiyi burada bulabilirsiniz.
İzin banner'ım, denetim kapsamında uyumsuz olarak işaretlendi. Bu sorunu en iyi şekilde nasıl çözebilirim?
Bu politikaya uyulmadığını tespit edersek önceliğimiz, iş ortaklarımızın politikaya tekrar uymasını sağlamak olacaktır. Denetim ekibimiz, hatayla ilgili ayrıntılar ve web sitenizi/uygulamanızı politikaya uygun hale getirmek için uygulamanız gereken adımlar hakkında size bilgi verecektir.
Reklamverenlerin, banner'ın kullanıcı tercihlerine uygun şekilde yapılandırıldığından emin olmak için kendi üçüncü taraf CMP'si ile birlikte çalışmasını ya da uygun izin ayarları yönetimi dokümanlarını inceleyip bunları, izin moduyla uygun şekilde entegre etmesini öneririz.
Yayıncıların kendi Google sertifikalı CMP'siyle birlikte çalışmasını ve uyumsuzluğu gidermek için bu sorun gidericiye göz atmasını öneririz.
Reklam ölçümleri gibi kişiselleştirme dışındaki amaçlarla kullanılsa bile politika neden çerezlere izin verilmesini gerektiriyor?
Çerezler veya mobil tanımlayıcılar; Google tarafından yayınlanan kişiselleştirilmiş ve kişiselleştirilmemiş reklamları desteklemek, sıklık sınırı belirlemek ve toplu reklam raporlaması için kullanılır. Politikamız gereği, çerezlere veya mobil tanımlayıcılara izin verilmesinin yasal olarak zorunlu olduğu ülkelerdeki kullanıcılar, çerezlerin veya mobil tanımlayıcıların kullanılmasına izin vermelidir.
Web sitemde/uygulamamda Google'ın ürünlerini kullanan bir reklamverensem ne olur?
Sayfalarınızda/uygulamalarınızda Google Ads veya Google Marketing Platform gibi reklamcılık ürünleri için etiketler kullanıyorsanız Google'ın AB Kullanıcı Rızası Politikası uyarınca AEA, Birleşik Krallık ve İsviçre'deki kullanıcılarınızdan izin almanız gerekir. Politikamız; çerezler, mobil tanımlayıcılar veya yasal olarak gerekli olan durumlarda yerel olarak depolanan diğer teknolojiler için izin verilmesini gerektirir. Ayrıca, kişiselleştirilmiş reklamlar için kişisel veriler kullanılırken de izin verilmesini gerektirir (örneğin, sayfalarınızda/uygulamanızda yeniden pazarlama etiketleri varsa).
Kullanıcı rızası mekanizmasında/izin banner'ında ne demeliyim?
Kullanıcı rızası mekanizmasını/izin banner'ını uygulamaya koyarken sık yapılan hatalardan kaçınmak için yukarıdaki yapılacaklar listesini incelemenizi öneririz. Bu liste, ilgili politikaya uyma konusunda size destek olacaktır.
Rıza uyarınızın metni, veri kullanımınıza (ör. verileri kendi amaçlarınız doğrultusunda veya birlikte çalıştığınız diğer hizmetleri desteklemek için kullanıyorsanız) bağlı olacağından Google'ın politikası, kullanıcılara sunulması gereken seçenekleri belirtmez.
Google, uygulamalar için kullanıcı rızası alma mesajının belirli bir biçimde olmasını şart koşuyor mu?
Yayıncıysanız evet. Google'ın yayıncılarının AEA, Birleşik Krallık ve İsviçre'deki kullanıcılara kişiselleştirilmiş reklamlar sunarken Google sertifikalı bir CMP kullanması gerekir.
Google'ın reklamveren iş ortaklarının, AEA trafiği için izin modu veya TCF aracılığıyla son kullanıcının tercihlerini yansıtan sinyalleri Google'a göndermesi gerekir. CMP Partner Program, reklamverenlerin izin banner'ları oluşturmasına ve yapılandırmasına yardımcı olmak için geliştirilmiştir. Not: Bu liste mevcut tüm CMP'leri kapsamaz ve Google, reklamverenlerin Partner Program'daki bir CMP'yi kullanmasını zorunlu kılmaz.
İş ortakları hangi Kullanıcı Rızası Yönetim Platformu (CMP) sağlayıcıyı kullanacaklarını nasıl seçmelidir?
Reklamveren iş ortaklarının izin banner'ları oluşturmasına ve yapılandırmasına yardımcı olmak için de CMP Partner Program geliştirildi. Not: Bu liste mevcut tüm CMP'leri kapsamaz. Bu CMP'lerden herhangi birini kullanmanın Google'ın AB Kullanıcı Rızası Politikası'na uygunluğu garanti etmediğini, bunun CMP'nin uygulanmasına ve kullanıcılara sunulan kullanıcı rızası alma mesajına bağlı olduğunu lütfen unutmayın (Bu konuda daha fazla bilgi için lütfen yukarıdaki "Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için iş ortaklarımızın yararlanabileceği yapılacaklar listesi" bölümüne bakın.).
Yayıncı iş ortaklarının AEA, Birleşik Krallık ve İsviçre'deki kullanıcılara kişiselleştirilmiş reklamlar sunarken Google sertifikalı ve IAB Avrupa Şeffaflık ve Kullanıcı Rızası Çerçevesi (TCF) ile entegre edilmiş bir CMP kullanması gerekir.
Başka hangi taraflar son kullanıcıların kişisel verilerini toplar ve bu üçüncü tarafları nasıl tanımlayabilirim?
Google'ın reklam sistemlerini kullanan birçok reklamveren ve yayıncı, gerek reklam yayınlamak gerek reklam kampanyalarının web siteleri ile uygulamalardaki etkinliğini ölçmek için üçüncü taraflardan yararlanır. Politika, Google'a ek olarak, Google ürünlerini kullanmanızdan dolayı son kullanıcıların kişisel verilerini toplayabilecek, alabilecek ve/veya kullanabilecek tüm tarafları açıkça belirtmenizi gerektirir.
Web sitem/uygulamam Avrupa'da yer almıyor. Bu politika benim için geçerli mi?
Evet, politika kapsamına giren Google ürünleri kullanıyorsanız bu politika sizin için geçerlidir. Politika sadece AEA, Birleşik Krallık ve İsviçre'deki son kullanıcılar için geçerlidir.
Yayıncıyım ve kampanyalarımdan hiçbiri AEA, Birleşik Krallık veya İsviçre'yi hedeflemiyor. Bu rıza şartı benim için yine de geçerli mi?
Bu politika AEA, Birleşik Krallık ve İsviçre'deki son kullanıcılar için geçerlidir. Google hizmetleri söz konusu ülkelerdeki kullanıcılar için web sitesinden/uygulamadan kaldırılırsa politika geçerli olmaz.
Yasayla ilgili farklı bir bakış açısına sahip olan kuruluşumuz, bilgi açıklama ve rıza konusunda farklı bir yaklaşım uygulamak istemektedir. Bunu yapabilir miyiz?
Google, Avrupa’da sunduğumuz tüm hizmetlerde, uygulanabildiği ölçüde Birleşik Krallık yasaları da dahil olmak üzere GDPR'ye uymayı taahhüt eder. AB Kullanıcı Rızası Politikamız, Avrupa veri koruma yetkililerinin taahhüdünü ve yönlendirici bilgilerini yansıtır. İş ortaklarımızın yasaları farklı yorumlaması mümkün olsa da bu politikadaki beklentileri karşılamalarını zorunlu kılarız. Yasayı ve sektörde kabul gören uygulamaları değerlendirmeye devam edecek, önerilerimizi ve şartlarımızı bu bilgiler ışığında güncelleyeceğiz.
Reklam ölçümü için neden rıza almamız gerekiyor? Bu, meşru menfaat kapsamına girmiyor mu?
Google, reklam ölçümünü desteklemek için çerezler ve çeşitli reklam tanımlayıcıları kullanır. Mevcut eGizlilik yasaları, yerel yasalarca rıza alınmasının gerekli olduğu ülkelerdeki kullanıcılar için bu tür kullanımlarda rıza alınmasını zorunlu tutar. Bu nedenle politikamız, yasal olarak gerektiğinde reklam kişiselleştirme ve reklam ölçümü için rıza alınmasını gerektirir.
Rızayı Google reklamveren etiketleri etkinleşmeden önce mi almam gerekiyor yoksa daha sonra da alabilir miyim?
Kişiselleştirilmiş reklamlar ve çerezlerin veya yasalarca gerekli olan durumlarda yerel olarak depolanan diğer teknolojilerin kullanımıyla ilgili rıza, Google'ın reklamveren etiketleri web sayfalarınızda ya da uygulamalarınızda etkinleştirilmeden önce alınmalıdır.
Tıklama izleyici kullanıldığında ne olacak?
Üçüncü taraf tıklama izleme teknolojileri kullanan reklamverenlerin (ör. bir reklam tıklamasının kullanıcının tarayıcısını reklamverenin açılış sayfasından önce üçüncü taraf ölçüm tedarikçisine yönlendirdiği zaman) bunu geçerli yasaya uygun olarak yapmaları gerekir. Google’ın yayıncılara yönelik tedarikçi kontrolleri, tıklama izleme teknolojilerini kapsayacak şekilde tasarlanmamıştır.
Hangi kayıtları tutmam gerekiyor?
Politikamız gereği müşteriler rıza kayıtlarını saklamalıdır. En azından kullanıcılara rıza mekanizması kapsamında sunulan metin ile seçenekler ve kullanıcının rıza tarihi ile saatini içeren bir kayıt saklanmalıdır.
IAB tarafından da onaylanmış sertifikalı bir CMP kullandığım halde yayıncı CMP seçimim neden uygunsuz bulundu?
Sertifikalı CMP kullanmanın Google'ın AB Kullanıcı Rızası Politikası'na uygunluğu garanti etmediğini, bunun CMP'nin uygulanmasına ve kullanıcılara sunulan kullanıcı rızası alma mesajına bağlı olduğunu lütfen unutmayın (Bu konuda daha fazla bilgi için lütfen yukarıdaki "Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için iş ortaklarımızın yararlanabileceği yapılacaklar listesi" bölümüne bakın.).
Google iş ortağı olan CMP kullandığım halde web sitem/uygulamam neden uygunsuz bulundu?
CMP Partner Program, reklamveren iş ortaklarının web'de/uygulamada izin banner'ları oluşturmasına ve yapılandırmasına yardımcı olmak için geliştirilmiştir ve izin modu entegrasyonuyla desteklenebilir. Bu CMP'lerden herhangi birini kullanmanın Google'ın AB Kullanıcı Rızası Politikası'na uygunluğu garanti etmediğini, bunun CMP'nin uygulanmasına ve kullanıcılara sunulan kullanıcı rızası alma mesajına bağlı olduğunu lütfen unutmayın (Bu konuda daha fazla bilgi için lütfen yukarıdaki "Kullanıcı rızası mekanizmasını uygulamaya koyarken sık yapılan hatalardan kaçınmak için iş ortaklarımızın yararlanabileceği yapılacaklar listesi" bölümüne bakın.).
Özel Korumalı Alan API'lerinin kullanıldığı ürünler kullanıyorsam bu politikaya uymam gerekir mi?
Evet. Özel Korumalı Alan API'lerini (Topics, Protected Audience ve Attribution Reporting) kullanırken reklamları kişiselleştirmek ve/veya yerel depolama alanına erişmek için kişisel verileri kullanıyor olabilirsiniz. Günümüzde reklam kişiselleştirme ve yasal olarak gerekli olan ölçüde zaruri olmayan yerel depolama erişimine yönelik kullanıcı rızasını alma zorunluluğu bulunması gibi, AB Kullanıcı Rızası Politikası uyarınca bu işlemler için geçerli kullanıcı rızasının alınması zorunludur. Özel Korumalı Alan hakkında daha fazla bilgi edinin.
Reklamverenlerin, Birleşik Krallık ve İsviçre'deki kullanıcılar için geçerli bir izin sinyali göndermesi (TCF veya izin modu aracılığıyla) zorunlu mu?
Hayır, reklamverenlerin Birleşik Krallık ya da İsviçre trafiği için Google'a doğrulanmış bir rıza sinyali göndermesi (izin modu veya TCF aracılığıyla) beklenmemektedir. Not: Doğrulanmış rıza sinyalleri gönderme şartı, Avrupa Ekonomik Alanı'ndaki (AEA) son kullanıcılardan trafik alan reklamverenler için geçerlidir. Uygulama sürecinde size yol göstermesi için Google CMP iş ortağı ile çalışmanızı öneririz. Not: Bu liste mevcut tüm CMP'leri kapsamaz ve Google, reklamverenlerin Partner Program'daki bir CMP'yi kullanmasını zorunlu kılmaz.
Bu politikayla ilgili güncellemeler
Google’ın orijinal AB Kullanıcı Rızası Politikası 25 Mayıs 2018'de güncellenmiştir. Birleşik Krallık'ın Avrupa Birliği ile olan ilişkisindeki değişikliği yansıtmak amacıyla 31 Ekim 2019'da küçük değişiklikler yapılmıştır.
Temmuz 2024'te güncellediğimiz AB Kullanıcı Rızası Politikası'nın kapsamını İsviçre'yi de içerecek şekilde genişlettik.
Şu an için politika üzerinde başka değişiklik yapılmasını öngörmüyoruz, ancak yukarıda belirtildiği gibi, yasayı ve sektörde kabul gören uygulamaları değerlendirmeye devam edecek, önerilerimizi ve şartlarımızı bu bilgiler ışığında güncelleyeceğiz.