Analitik ve A/B Testi Çerezleri — Yalnızca Avrupa'da Onay Verdikten Sonra mı?

19 Şubat 2020'de güncellendi: CNIL'den yapılan yeni bir güncelleme, A/B testinin ve kitle ölçümünün artık izinden muaf olduğunu belirtiyor.

GDPR'nin yalnızca Mayıs 2018'de yürürlüğe girdiğinde kesintiye neden olduğunu düşünebilirsiniz.

Gerçek şu ki, Avrupa 2019 boyunca kargaşa içindeydi ve bu iyi bir haber değil.

Fransız ve Birleşik Krallık veri koruma yetkilileri (CNIL ve ICO), analitik çerezlerin (A/B testi ve kişiselleştirme dahil) bir ziyaretçinin cihazına yerleştirilmeden önce açık onaya ihtiyaç duyduğunu vurgulayarak Temmuz 2019'da yayınlanan kılavuz notlarını güncelledi. İzinden bahsederken (opt-in'ler gibi) özellikle GDPR'ye atıfta bulunurlar. Varsayılan ayarlara değil, aktif kullanıcı eylemine dayalı olmalıdır.

Şubat 2020'de CNIL bu konudaki tutumunu değiştirdi (bunu bana bildirdiği için Paul Schmitt'e teşekkürler). ICO ve CNIL daha önce A/B testi ve analitik için çerezlerin onay gerektirdiğini belirtmiş olsa da, en son yönergeler (Fransızca) aksini söylüyor:

“Rıza muafiyetinden yararlanma, belirli sayıda koşula bağlı olarak, izleyici ölçümü için kullanılan çerezler rızadan muaftır. Çerezler ve diğer izleyicilere ilişkin yönergelerde belirtildiği gibi bu koşullar, (1) kullanıcıları kullanımları hakkında bilgilendirmek; (2) onlara buna karşı çıkma gücü vermek; (3) sistemi yalnızca şu amaçlarla sınırlamak için: izleyici ölçümü ve A/B testi.”

Bu, yalnızca bir kuruluş tarafından veri toplanması için kurulan (ve üçüncü taraflarla hiçbir şekilde paylaşılmayan) analitik araçlarının izin alınmadan yüklenebileceği anlamına gelir. Bu değişiklik Google Analytics için zor olabilir. Mozilla'nın bu özel anlaşması, Google Analytics'i verilerini diğer hizmetlerle paylaşmamaya zorladı. Şu anda, bu ayarın tüm kullanıcılar için kullanılabilir olup olmadığı kesin değildir. Yine de, Avrupa izinsiz olarak analize kapı açıyorsa, Google'ın rotayı takip etmesi ve bu özelliği Avrupa müşteri tabanına sağlaması gerekeceğini düşünüyorum.

Başka hiçbir Avrupa ulusal gizlilik yetkilisi eGizlilik Yönergesi yasalarına (GDPR'den önce yürürlükte olan) bu tür eklemelerle gelmemiş olsa da, bu, Temmuz 2020 ile yeni eGizlilik Düzenlemelerinin mevcut Yönergenin yerini alacağı an arasında yasal bir boşluk yaratmış olabilir.

Ne oldu? Ne değişti?

Avrupa'daki gizlilik yasalarında yapılan ana değişikliklerin bir özeti için aşağıdaki videoyu izleyin ( sorumluluk reddi : videoda yanlışlıkla 2018'de, aslında 2019'da gerçekleştirildiğinden bahsetmiştim).

2011 tarihli Avrupa e-Gizlilik Yönergesi “çerez yasası” ve İngiltere versiyonu, 2003 tarihli Gizlilik ve Elektronik İletişim (EC Yönergesi) Düzenlemeleri (“PECR”), yakın zamanda ICO tarafından yeniden yorumlanmıştır. Bu değişiklik, kişisel veriler toplansın ya da toplanmasın, herhangi bir "gerekli olmayan" tanımlama bilgisini bırakmak için "rıza" istemek anlamına gelir.

2012'de ICO, zımni rızaya (yani, kabulden ziyade devre dışı bırakmaya) izin verildiğini belirtti:

Zımni rıza, veri koruma kanunu ve mahremiyet düzenlemesi bağlamında her zaman makul bir önerme olmuştur ve bilgilerin saklanması veya çerezler ve benzer cihazlar kullanılarak bilgilere erişim bağlamında öyle kalır.

18 Temmuz 2019'da Fransız gizlilik otoritesi (CNIL), çerezlerin kullanımına ilişkin yeni yönergelerini yayınladı. HTTP tanımlama bilgileri için geçerli olan kurallar, yerel paylaşılan nesneler, terminal ekipmanı parmak izleri, donanım tanımlayıcıları ve işletim sistemleri tarafından oluşturulan tanımlayıcılar dahil olmak üzere diğer birçok izleme teknolojisi ("izleyiciler") için de geçerlidir. Tıpkı ICO ve GDPR yönergelerinde olduğu gibi, burada da çerezlerin kullanımına ilişkin ayrı bir karar yoktur, ancak parmak izi artık rıza kapsamına girmektedir.

Ama sonra CNIL, Github sayfasını güncelleyerek her şeyi biraz kafa karıştırıcı hale getiriyor. CNIL'in en son yönergeleri, izleyici ölçümünün ve A/B testinin onaydan muaf olduğunu ve hemen yerleştirilebileceğini (vazgeçme) belirtir.

Avrupa Veri Koruma Kurulu (EDPB), ePrivacy Direktifi ile GDPR arasındaki etkileşimi ele alan Mart 2019'da yazılı bir görüş yayınladı, çünkü GDPR çerezlerden bahsetmez ve iki yasa arasında bir boşluk vardır.

Bazıları EDPB'nin görüşünü, eGizlilik Yönergesinde "rıza"ya yapılan tüm atıfların, GDPR tarafından tanımlandığı şekilde rıza anlamına geldiği şeklinde yorumladı. Çerezler için bu, insanlar aktif olarak katılmadan çerez yerleştiremeyeceğiniz anlamına gelir.

Peki, ICO ve ayrıca CNIL, GDPR'nin yürürlüğe girmesinden bir yıl sonra neden kılavuzlarını değiştirdi? Çerezlerin "devre dışı bırakılması" ile ilgili bilgiler neden 13 ay içinde izin alınmasına dönüştü?

Bunun için teşekkür etmemiz gereken Planet49 var.

30 Kasım 2017'de bir Alman web sitesi ve şirketi olan Planet49, GDPR ve ePrivacy Direktifi dikkate alınarak çok sayıda şüpheli uygulama nedeniyle mahkemeye çıkarıldı.

Sonuçları beklemek zorunda olsak da (tamamı makalenin sonunda ektedir), karar, her ülke için daha net yönergelere ihtiyaç duyulduğunun tonunu belirledi.

Bu karar nedeniyle, CNIL ve ICO, mevcut gizlilik yasalarının izin, bilgi paylaşımı ve (analitik ve izleme) tanımlama bilgilerini nasıl kapsadığını yansıtmak için yönergelerini güncellemeye başladı. CNIL'in diğer Avrupa ülkelerini hedef kitle ölçümü ve A/B testi çerezlerine izin vermek için etkileyip etkilemediğini bekleyip görmemiz gerekecek.

'Kesinlikle Gerekli' Çerez Muafiyeti Savaşı

Biz A/B testi şirketleri GDPR uygulamalarını uyarladığında, analizler ve A/B testi çerezleri müşterilere bir işletme için gerekli olarak sunulabilir. Bunun yerine, daha çok reklam izleyicilere odaklanıldı.

Günümüzde, kesinlikle gerekli olan 'çerez muafiyetinin arkasına saklanabiliriz. Hatta birinin “ama hukuk ekibimiz Google Analytics çerezini izinsiz yerleştirebileceğimizi söyledi” dediğini bile duydum. ICO'nun yeni yönergelerini okuyana kadar ben de o kamptaydım. Siteleri, web sitesinin çalışması ve doğru kullanıcı etkileşimi için hangi çerezlerin gerekli olduğuna dair bazı iyi örnekler verir. Her zaman çıkan yeni yönergelerle, bir tarafa veya diğerine kesinlikle bağlı kalmak kafa karıştırıcı olabilir. Bazı şirketler artık CNIL'in en son tavsiyelerini takip ediyor.

Aşağıdaki örneklerde, kullanıcılara bir hizmet sağlamak için bir çerez 'kesinlikle gereklidir'. Her durumda, muafiyetler geçerlidir ve herhangi bir onay gerekli değildir:

• Kullanıcının kasaya gittiğinde veya alışveriş sepetine ürün eklediğinde satın almak istediği ürünleri hatırlamak için kullanılan çerez,
• Kullanıcının talep ettiği bir etkinlik için GDPR'nin güvenlik ilkesine uymak için gerekli olan çerezler - örneğin, çevrimiçi bankacılık hizmetleriyle bağlantılı olarak,
• İş yükünü çok sayıda bilgisayara dağıtarak bir sayfanın içeriğinin hızlı ve etkili bir şekilde yüklenmesini sağlamaya yardımcı olan çerezler (buna genellikle 'yük dengeleme' veya 'ters proxy' denir).

'Kesinlikle gerekli' olanın sizin değil, kullanıcının veya abonenin bakış açısından değerlendirilmesi gerektiğini hatırlamak önemlidir. Bu nedenle, örneğin, reklam çerezlerini hizmetinize fon sağlayan gelir getirdikleri için 'kesinlikle gerekli' olarak görseniz de, kullanıcının bakış açısından 'kesinlikle gerekli' değildirler.

ICO'nun kullanıcı onayına ihtiyaç duyduğu tanımlama bilgileri (kullanıcı eylemiyle proaktif katılım) örneğin:

• Analiz için kullanılan çerezler, örneğin bir web sitesine yapılan benzersiz ziyaretlerin sayısını saymak için (kişiselleştirme ve A/B testini içerir),
• Birinci ve üçüncü taraf reklam çerezleri (tıklama sahtekarlığı tespiti, araştırma, ürün geliştirme vb. gibi üçüncü taraf reklamlarıyla ilgili operasyonel amaçlar için kullanılanlar dahil),
• Bir kullanıcıyı bir web sitesine döndüklerinde, aldıkları selamlamanın uyarlanabilmesi için tanımak için kullanılan çerezler (kişiselleştirme özellikle ICO tarafından belirtilir).

1 Ekim 2019 tarihli ECJ “Planet49” Kararı

Ekim 2019'da Avrupa Birliği Adalet Divanı (' CJEU '), “Planet49” kararında, CNIL ve ICO, Temmuz 2019'dan beri uygulanıyordu.

Bu nedenle, reklam çerezleri de dahil olmak üzere (ancak kesinlikle gerekli olmayan çerezler) çerezleri ve profil oluşturma teknolojilerini (parmak izi alma gibi) yerleştirmek için aktif ve bilgilendirilmiş onay gereklidir.

Planet49'un kurtulmaya çalıştıkları gibi önceden işaretlenmiş kutular, onay almak için geçerli bir yol değildir.

Bir şirket olarak GDPR'ye uyduğumuzdan ve çerezlerde hiçbir kişisel veri saklamadığımızdan emin olmak için tüm altyapımızı yeniden oluşturduk.

ABAD kararı, kişisel verilerin çerezler aracılığıyla toplanıp toplanmadığının önemli olmadığını belirtmektedir. Çerez yerleştirme kişisel verilerin işlenmesini içermese bile onay alınmalıdır. Denetleyici, onaylarını almadan önce kullanıcıları her bir çerezin ömrü ve bu tür çerezler aracılığıyla toplanan bilgilere üçüncü tarafların erişimi hakkında bilgilendirmelidir.

Analitik ve A/B Testi Çerezleri için Rıza Dışı Umut Var mı?

ICO, analitik için kullanılan çerezler ile diğer amaçlar için kullanılan çerezler arasında ayrım yapmaz, ancak CNIL yapar.

Analitik çerezler, ICO için 'kesinlikle gerekli' muafiyet kapsamına girmez. Bu, işletmelerin kullanıcıları analitik çerezler hakkında bilgilendirmeleri ve Birleşik Krallık'ta kullanımları için izin almaları gerektiği anlamına gelirken, Fransa'da CNIL analitiklere (sınırlamalarla) ve A/B testlerine izin almadan izin verir.

ICO (Birleşik Krallık), çevrimiçi reklamcılık veya web analitiği için kullanılan çerezleri gereksiz olarak tanımlar, bu nedenle önceden izin alınması gerekir. Buna, üçüncü taraf sağlayıcılar tarafından belirlenen birinci taraf çerezleri ve birinci taraf çerezleri dahildir (Dönüştür veya Google Analytics'i okuyun). Convert, CNIL düzenlemeleriyle de uyumludur ve veri kümelerini müşteriler arasında paylaşmaz ve yüklemeler yalnızca müşteri başınadır, bu nedenle A/B testine ve test için engelleme ile kişiselleştirmeye izin verilir.

ICO kılavuzu açıkça şunları belirtir:

Bir kullanıcıyı birden fazla sitede veya cihazda izleyebilecek diğerleri kadar müdahaleci görünmeseler de, birinci taraf analitik tanımlama bilgileri için izin gereklidir.

Bir kullanıcıyı birden fazla sitede veya cihazda izleyebilecek diğerleri kadar müdahaleci görünmeseler de, birinci taraf analitik tanımlama bilgileri için izin gereklidir.

ICO, herhangi bir alanda resmi eylem olasılığını dışlayamasa da, birinci taraf analitik çerezinin ayarlanmasının düşük düzeyde müdahaleciliğe ve bireylere düşük zarar verme riskine neden olduğu durumlarda bu her zaman geçerli olmayabilir. Ancak, üçüncü bir tarafça sağlanan birinci taraf analitik çerezlerini kullandığınızda, durumun böyle olmayacağını da unutmamalısınız.

ICO'nun PECR yönergelerini Temmuz 2020'ye kadar takip etmek için bir ek süre olduğunu bilmelisiniz.

Web sitesi kullanımı hakkında toplanan bilgiler üçüncü bir tarafa aktarılırsa, bu durum kullanıcılara açıklanmalıdır. Bu üçüncü şahsın bilgilerle ne yaptığı da açık olmalıdır.

Hizmetinize bağlı olarak, analitik sağlayıcılar da dahil olmak üzere üçüncü taraflarla bilgi paylaşımını sınırlamak için kullanıcılara hesap ayarlarını değiştirme olanağı da sunabilirsiniz. (Bir analiz hizmeti de bu işlevi sağlayabilir, uygun olduğunda etkinleştirmeyi düşünebilir.) Kullanıcıya sağlanan kontroller göze çarpacak şekilde görüntülenmeli ve gizlenmemelidir.

Sonuç olarak, kullanıcılara analitik tanımlama bilgileri hakkında net bilgiler sağlayın ve onların onayını alın veya bilgileri paylaşın (eski tanımlama bilgileri afişleri). Bu, kullanıcılara bu çerezlerin neden onlar için yararlı olduğunu göstermeyi içerir - ancak kullanıcıyı bir seçeneği diğerine tercih etmeye zorlamadığınızdan emin olmalısınız.

Bazı yönlerden, bu tür kılavuz belgeler, mevcut eGizlilik Yönergesinin (ve mevcut PECR ve Fransız yasalarının) yerini alacak olan yeni eGizlilik Yönetmeliği'nin (ö. 4 Ekim 2019) mevcut taslağından daha ileri gitmektedir. Mevcut taslakta, operatörlerin “izleyici ölçümü” (yani hizmeti optimize etmek için web sitelerinden geçen trafiği analiz etmek) için izin almadan kullanıcıların cihazlarına birinci veya üçüncü taraf çerezleri yerleştirmesine izin veriyor.

Hala şüpheniz varsa, ICO'dan çerezlerin kullanımını gerçekten iyi açıklayan bir diyagram.

Bana Doğru Ver

Burada ortaya çıkabilecek bir sorun, çerez yerleştiren şirketlerin kanunu kendilerine göre yorumlamaya çalışacaklarıdır. Ancak her ne kadar analitik, A/B testi ve kişiselleştirme yazılımı yapsak da size doğrudan vereceğiz.

1. Birleşik Krallık (ICO) ve Fransa (CNIL) gizlilik yetkilileri, Temmuz 2019'da yönergelerini değiştirerek, Deneyimleri Dönüştür, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize gibi analitik, A/B testi ve kişiselleştirme yazılımlarının ve geri kalanların hepsinin vatandaşları için birinci ve üçüncü taraf çerezleri yerleştirmek için onay kullanarak kaydolması gerekir.
2. Fransa (CNIL), Github sayfasını A/B testini ve temel analitiği çerez izninden muaf tutan yönergelerle değiştirdi.
3. Almanya ve İspanya ya Birleşik Krallık'ı (ICO) ya da Fransa'yı (CNIL) takip ediyor ve kılavuzlarında kısa süre içinde güncellemeler bekleyebilirsiniz.
4. Avrupa Birliği Adalet Divanı ('CJEU'), Ekim 2019 tarihli “Planet49” kararında, GDPR standardı onayının eGizlilik Yönergesi kapsamında çerezlerin ayarlanması için de geçerli olduğuna karar verdi. Karar, Birleşik Krallık ve Fransa yönergelerinin tüm ulusal gizlilik yetkilileri tarafından benimsenmesi gerektiğini bir kez daha teyit ediyor.
5. eGizlilik Yönergesi'nin yerini alacak olan eGizlilik Düzenlemeleri adlı taslakta yer alan yeni yasada, A/B testi, kişiselleştirme ve analitik için bir çerez istisnası bulunmaktadır.
6. ICO veya CNIL'in şu anda birinci taraf analitik, A/B testi ve kişiselleştirme kullanan şirketlerin peşinden gitmesi pek olası değil. eGizlilik Düzenlemelerinin 2021 (orta) tarihinde yürürlüğe girmesi muhtemeldir ve Temmuz 2020'ye kadar bir ek süre vardır. Bu kuruluşların çalışmalarının kapsamı çok geniştir.
7. Avrupa'da Temmuz 2019'dan bu yana yaşananların adil bir temsili olduğunu düşündüğümüz şeye dayanarak kendi sonuçlarınızı çıkarın. Hukuk danışmanınızla konuşun. Tavsiyenizi, izin yönetimi platformları satan bir araca dayandırmayın (tüm onayları isterler), ne de analitik sağlayıcılardan, A/B testi ve kişiselleştirme araçlarından… biz ve onlar.

Umarım bu makale şu anda Avrupa'da meydana gelen değişikliklere biraz ışık tutmaya yardımcı olmuştur.

İş modelimize zarar verse de her zaman gerçeği paylaşmaya çalışıyoruz.

Optimizasyon araçlarımızın en iyi kullanıcı deneyimini sağlamak için kullanılmasını istiyoruz, böylece kullanıcılar en iyi ürün sayfasına, en az kafa karıştırıcı menüye, onları tamamlamak için zaman kazandıran forma sahip olurlar.

Web sitesi optimizasyonunu, hem web sitesi ziyaretçilerinin hem de sahiplerinin (ödeme yapan müşterilerimiz) çıkarları açısından asil bir zanaat olarak görüyoruz. Müşterilerimizin gizliliği ciddiye almalarını ve araçlarımızın her katmanına uyarılar ve gizlilik eklemelerini istiyoruz. Uyumluluk ve gizlilik adına araçlarımızda yalnızca toplu verileri depolarız ve kişisel verileri saklamayız.

Aslında önemsiyoruz. Mevcut ICO ve sürekli değişen CNIL yönergeleri ve eGizlilik Düzenlemeleri nedeniyle zor durumda olsak da, tam şeffaflıkla, mahremiyete önem veren ve tüketicilerin güvenebileceği markalar için tercih edilen şirket olacağımızı biliyoruz. .

Bu amaçla, web sitesi ziyaretçilerine hangi kişiselleştirmelerin ve A/B testlerinin parçası olduklarını gösteren küçük bir açılır pencere başlattık.

Bu, müşterilerin Deneyimleri Dönüştür A/B testi ve kişiselleştirme aracı içinde global Javascript'lerine ekleyebilecekleri isteğe bağlı bir koddur (nasıl çalıştığını görmek için aşağıdaki resme bakın).

Gizlilik, üzerinde çalıştığımız CNAME çözümleri veya yeni yasal gelişmeler hakkında görüşmek isterseniz, lütfen bana LinkedIn üzerinden ulaşın.