Türkiye’de Çevrimiçi Davranışsal Reklamcılık: Teknoloji ve Yasal Çerçeve

İnternet kullanımının yaygınlaşmasıyla birlikte çevrimiçi davranışsal reklamcılık kavramı da hayatımıza girmiştir. Özellikle Google ve Instagram gibi popüler platformlar, kullanıcıların çevrimiçi davranışlarına dayalı olarak reklamlar sunmaktadır.

Davranışsal Reklamcılık Nedir ve Nasıl Çalışır?

Davranışsal reklamcılık, kullanıcıların çevrimiçi etkinliklerinden elde edilen verilerle ilgi alanlarına göre kişiselleştirilmiş reklamlar sunma yöntemidir. Bu sistemde kullanıcılar, önceki web tarama aktivitelerine göre ortak ilgi gruplarına ayrılır ve bu gruplara uygun reklamlar gösterilir. Örneğin, sık sık seyahat bloglarını ziyaret eden bir kullanıcı “seyahat meraklısı” olarak profillenebilir ve bu kullanıcıya uçak bileti veya otel reklamları gösterilebilir. Bu sayede reklamlar, kişiye olabildiğince ilgili ve faydalı hale getirilerek reklamların etkililiği (ör. tıklanma veya satın alma oranı) artırılmaya çalışılır.

Bu reklamcılık türünün arkasında, kullanıcıdan toplanan çeşitli kişisel veriler ve bu verilerle oluşturulan reklam profilleri yer alır. Kullanıcının ziyaret ettiği web siteleri, arama motorlarında aradığı kelimeler, sosyal medyada beğendiği gönderiler, izlediği videolar gibi veriler reklam şirketleri tarafından toplanabilir. Bu veriler bir araya getirilerek kullanıcıya ait bir profil (ilgi alanları ve demografik özelliklere dair çıkarımlar içeren dijital kimlik) oluşturulur. Sistem, bu profildeki ilgi alanlarına uygun reklamları otomatik olarak seçer ve kullanıcı internette gezinirken karşısına çıkarır. Örneğin, Instagram’ın çatı şirketi Meta’nın her bir kullanıcı için reklam hedefleme amacıyla 200’ün üzerinde veri noktası topladığı ve değerlendirdiği bilinmektedir. Bu veri noktaları; kullanıcıların hangi içeriklerle etkileşime girdiği, neleri beğendiği, ne sıklıkla ve ne kadar süreyle baktığı gibi detayları içerir. Sonuçta, davranışsal reklamcılık algoritmaları bu zengin veri havuzunu kullanarak her kullanıcı için özelleştirilmiş reklam deneyimi yaratır.

Davranışsal reklamcılığın teknik temelinde, genellikle otomatik algoritmalar ve gerçek zamanlı açık artırma sistemleri bulunur. Kullanıcı bir web sayfasını yüklediğinde, sayfa arka planda kullanıcının profilini reklam borsalarına bildirir ve milisaniyeler içinde uygun reklam seçilerek görüntülenir. Bu süreç, kullanıcı geçmişinin anlık olarak değerlendirilmesi ve en yüksek teklifi veren reklamın gösterilmesiyle gerçekleşir. Böylece her kullanıcıya, o anda profiline en uygun ve reklamveren için en değerli olan içerik sunulmuş olur.

Çerezler ve Davranışsal Reklamcılık Teknolojileri

Davranışsal reklamcılığın işlemesini mümkün kılan başlıca teknolojilerden biri çerezlerdir (cookies). Çerez, bir web sitesinin tarayıcınızda depoladığı küçük bir veri dosyasıdır. Çerezler sayesinde siteler sizi tanıyabilir, tercihlerinizi hatırlayabilir ve çevrimiçi hareketlerinizi izleyebilir. Birinci taraf çerez, ziyaret ettiğiniz site tarafından yerleştirilirken üçüncü taraf çerez ise ziyaret edilen siteden farklı bir alan adına ait çerezdir. Davranışsal reklamcılıkta özellikle üçüncü taraf çerezler büyük rol oynar. Çünkü bu çerezler, bir reklam ağı veya veri ortağı tarafından birçok farklı sitede yerleştirilerek kullanıcıyı siteler arası takip etmeye olanak tanır. Örneğin, bir haber sitesindeki reklam alanı Google’ın reklam ağına aitse, site yüklendiğinde tarayıcınıza Google’ın DoubleClick gibi alan adlarından bir çerez gönderilebilir. Bu çerez tarayıcınıza benzersiz bir kimlik atayarak Google’ın sizi farklı web sitelerinde tanımasını sağlar. Sonuç olarak, bir sitede baktığınız ürünün reklamını başka bir sitede görmeniz mümkün olur – işte bu, üçüncü taraf çerezler aracılığıyla yapılan çapraz site takibinin bir sonucudur.

Hedefleme çerezleri de denilen davranışsal reklam çerezleri, kullanıcıların ilgi alanlarını anlamak ve onlara uygun içerik ile reklam sunmak için kullanılır[5]. Bu çerezler, kullanıcının ziyaret geçmişini, tıklamalarını, satın alma alışkanlıklarını ve diğer çevrimiçi davranışlarını kaydeder. Örneğin, bir e-ticaret sitesinde gezindiğiniz ürünler veya sepete ekledikleriniz, reklam çerezleri sayesinde hatırlanır ve daha sonra başka bir platformda bu ürünlere benzer reklamlar karşınıza çıkar. Google’ın reklam ekosisteminde, kullanıcılar bir web sayfasını ziyaret ettiğinde tarayıcılarına google.com, doubleclick.net, googlesyndication.com veya googleadservices.com gibi alan adlarından çerezler gönderilebilir. Bu sayede Google hem kendi sitelerinde (ör. YouTube, Arama) hem de iş ortaklarının sitelerinde kullanıcının ilgi alanlarına dayalı reklamlar sunabilir.

Çerezler, kullanıcı davranışını izleme ve profil oluşturma konusunda çok etkili olmakla birlikte, son yıllarda gizlilik endişeleri nedeniyle kısıtlamalara tabi tutulmaktadır. Birçok modern web tarayıcısı, üçüncü taraf çerezleri varsayılan olarak engellemeye başlamış veya engelleme planlarını duyurmuştur. Örneğin Safari ve Firefox tarayıcıları halihazırda üçüncü taraf çerezlerini büyük ölçüde engellerken, Google Chrome da 2024 itibariyle bu çerezleri aşamalı olarak kaldırmayı hedeflemektedir. Bu değişimlerle birlikte sektör, çerezlerin yerini alabilecek daha gizlilik odaklı çözümler arayışına girmiştir. Google bu amaçla Privacy Sandbox (Özel Korumalı Alan) girişimini duyurarak, kullanıcı bilgilerini korurken reklamların etkinliğini ölçmeyi sağlayacak yeni teknikler geliştirmeye çalışmaktadır. Yine de günümüzde, çerezler halen davranışsal reklamcılığın yaygın ve önemli bir parçasıdır; kullanıcı hareketlerinin izlenmesi ve reklamların kişiselleştirilmesi büyük ölçüde çerez tabanlı sistemlerle yürütülmektedir.

Yasal Çerçeve: Türkiye’de KVKK ve AB’de GDPR

Kullanıcıların çevrimiçi davranışlarına göre reklam hedeflemesi yapılması, kişisel verilerin işlenmesi anlamına gelir ve bu da yasal düzenlemelere tabidir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nde Genel Veri Koruma Tüzüğü (GDPR) bu alandaki temel yasal çerçeveyi oluşturur. Her iki düzenleme de kişisel verilerin korunmasını amaçlayan, temelde benzer ilkelere sahip yasalardır ancak coğrafi kapsam ve bazı uygulama farklılıkları bulunmaktadır. KVKK, Türkiye’deki gerçek ve tüzel kişiler için geçerli olup Türkiye’deki kullanıcı verilerini korumayı hedeflerken; GDPR, AB vatandaşlarının verilerini korumak üzere global ölçekte (AB dışındaki şirketler bile AB’deki bireylere hizmet veriyorsa) uygulanır.

Açık rıza (explicit consent) her iki mevzuatın da kilit kavramlarından biridir. Hem KVKK hem GDPR, kişisel verilerin işlenmesi için ilgili kişinin açıkça bilgilendirilmiş ve özgür iradesiyle verdiği onayın alınmasını şart koşar (bazı istisnai hukuki dayanaklar dışında). Özellikle çevrimiçi izleme ve reklam amaçlı veri işleme, genellikle hukuka uygunluk nedeni olarak kullanıcının açık rızasını gerektirir. Nitekim KVKK’ya göre bir internet sitesinde zorunlu olmayan (reklam gibi) çerezlerin kullanımı için kullanıcılardan açık rıza alınmalıdır; kullanıcı siteye sadece girdi diye rıza verilmiş sayılmaz. KVKK’nın yayınladığı Çerez Uygulamaları Hakkında Rehber’de, çevrim içi davranışsal reklamcılık çerezlerinin açık rıza olmadan kullanılamayacağı özellikle vurgulanmıştır. Benzer şekilde AB’de de ePrivacy Direktifi ve GDPR birlikte değerlendirilerek, reklam ve izleme çerezleri için önceden onay (opt-in) alınması gerektiği kabul edilmektedir.

Davranışsal reklamcılıkta kullanıcı profili çıkarmak, GDPR kapsamında “profil çıkarma” (profiling) olarak tanımlanır ve bireyler üzerinde hukuki sonuçlar doğurabilecek veya benzer şekilde önemli etkiler yaratabilecek otomatik karar verme süreçlerinde ek korumalara tabidir. Her iki yasa da şirketlerin veri işleme faaliyetlerinde şeffaf olmasını, kullanıcıyı verinin nasıl kullanıldığı konusunda bilgilendirmesini (aydınlatma yükümlülüğü) zorunlu kılar. Örneğin, bir web sitesine üçüncü taraf çerez yerleştiriliyorsa hem site sahibinin hem de üçüncü tarafın kullanıcılara bu durumu açıkça bildirmesi ve rızalarını alması gerekmektedir.

KVKK ve GDPR arasındaki farklardan bazıları şunlardır:

• Coğrafi Kapsam ve Uygulama: KVKK, Türkiye’de yerleşik veri sorumlularını ve Türkiye’deki kişisel veri işleme faaliyetlerini kapsar. GDPR ise AB sınırları içinde yaşayan bireyleri hedef alan mal/hizmet sunumu veya davranış izleme faaliyetlerini yürüten herkese uygulanır[8][9]. Yani bir Türk şirketi AB’deki bireylerin verilerini işliyorsa GDPR’a tabi olabilir; aynı şekilde AB’deki bir şirket Türkiye’deki bireylerin verilerini işlerse KVKK hükümleri devreye girebilir.

• Para Cezaları: GDPR, ihlaller için son derece yüksek idari para cezaları öngörür – yıllık global cironun %4’üne veya 20 milyon Euro’ya kadar (hangisi yüksekse). KVKK’daki ceza üst limiti ise GDPR’a kıyasla daha düşüktür ve kanun uyarınca (2023 güncellemesiyle) yaklaşık 2.7 milyon TL civarındadır. Bu durum, GDPR’ın yaptırım gücünün çok daha caydırıcı olabileceği anlamına gelir.

• Veri Sorumlusu vs. Veri İşleyen: GDPR, veri sorumlularının yanı sıra veri işleyenlerin (veri sorumlusu adına veri işleyen üçüncü taraflar) de yükümlülüklerini ve cezai sorumluluklarını düzenler. KVKK’da ise ihlallerde yaptırım muhatabı olarak daha çok veri sorumlusu öne çıkar; veri işleyenin doğrudan cezalandırılmasına dair açık bir düzenleme yoktur. Yani GDPR altında örneğin bir reklam teknolojisi sağlayıcısı (işleyen konumunda) hatalı bir işlem yaparsa da sorumlu tutulabilirken, KVKK’da asıl sorumluluk veri sorumlusundadır.

• Veri Koruma Görevlisi (DPO): GDPR, belirli şartlarda şirketlerin bir Veri Koruma Görevlisi atamasını zorunlu kılmıştır. KVKK’da doğrudan DPO kavramı bulunmaz, ancak Kurum zaman zaman bu konuda rehberlikler yayınlamaktadır[15]. Bu fark, özellikle büyük ölçekli veri işleyen kuruluşların uyum süreçlerinde ortaya çıkar.

  
  

Bununla birlikte, KVKK ve GDPR özünde benzer prensiplere dayanır: her ikisi de kişisel verilerin hukuka uygun, dürüstlük kuralına uygun, belirli meşru amaçlar için ve bu amaçlarla bağlantılı/sınırlı şekilde işlenmesini; gerektiğinde güncel tutulmasını ve işleme amacı için gerekli süre kadar muhafaza edilmesini şart koşar. Davranışsal reklamcılık uygulamaları da bu yasal çerçeve içinde değerlendirilir. Yani reklam amacıyla veri toplayan ve kullanan şirketler, minimum veri ilkesine uymak (gereğinden fazla veri toplamamak), amaç sınırına riayet etmek (topladığı veriyi sadece bildirilen reklam amacı için kullanmak), kullanıcıya belirli ve anlaşılır bir aydınlatma metni sunmak ve gerekiyorsa rızasını almak durumundadır. Aksi takdirde, hem KVKK hem GDPR kapsamında ciddi idari para cezaları ve yaptırımlarla karşılaşabilirler.

Özetle, Türkiye’deki internet kullanıcılarını hedefleyen davranışsal reklamcılık uygulamaları, gerek ulusal KVKK gerekse uluslararası GDPR ışığında sıkı bir yasal denetim altındadır. Bu yasal çerçeve, kullanıcı mahremiyetini korumayı ve veri işlemede hesap verebilirliği sağlamayı amaçlar.

Çevrimiçi Davranışsal Reklamcılık:

Platform Örnekleri: Google ve Instagram’da Veri Kullanımı

Davranışsal reklamcılığın pratikte nasıl işlediğini anlamak için Google ve Instagram platformlarını inceleyelim. Bu iki platform, geniş kullanıcı tabanları ve gelişmiş reklam teknolojileri ile çevrimiçi hedefli reklamcılığın en yoğun yaşandığı ortamlardandır.

Google: Arama Motorundan YouTube’a Reklam Ekosistemi

Google, kullanıcı verisi denildiğinde akla gelen ilk şirketlerden biridir. Bir kullanıcının Google ekosistemindeki etkinlikleri (Arama motorunda yaptıkları aramalar, YouTube’daki izleme geçmişi, Google Haritalar’daki konum geçmişi, Android cihaz kullanımı vb.) devasa bir veri yığını oluşturur. Google bu verileri, kullanıcıya ilgi alanlarına göre uyarlanmış reklamlar sunmak için kullanır. Örneğin, Google’ın Reklam Merkezim (My Ad Center) adlı aracı, Arama, YouTube ve Keşfet gibi hizmetlerde size gösterilen reklamlar için hangi bilgilerin kullanıldığını gösterir ve bu bilgileri yönetmenize olanak tanır. Bu sayede kullanıcılar, hangi ilgi alanlarının veya demografik bilgilerin kendilerine reklam gösterirken kullanıldığını görebilirler.

Google’ın reklam teknolojisi hem kendi sitelerinde hem de üçüncü taraf web sitelerinde etkilidir. Bir kullanıcı Google’da oturum açmışsa, yaptığı aramalar ve izlediği videolar gibi etkinlikler doğrudan hesabına bağlı bir reklam profili oluşturur. Oturum açmamış olsa bile, Google’ın reklam çerezleri ve cihaz tanımlayıcıları sayesinde kullanıcının tarayıcı geçmişi anonim bir kimlikle ilişkilendirilir. Örneğin, Google’ın “Neden bu reklam?” özelliği sayesinde, karşınıza çıkan bir fotoğraf makinesi reklamının size gösterilme sebebini öğrenebilirsiniz: Daha önce internette fotoğraf makinesi araması yapmış olmanız, fotoğrafçılıkla ilgili siteleri ziyaret etmeniz veya kamera reklamlarını tıklamış olmanız bu reklamın görünme nedeni olabilir. Yani Google, arama geçmişiniz, gezindiğiniz web siteleri ve önceden etkileşim kurduğunuz reklamlar gibi sinyalleri bir araya getirerek sizin için anlamlı reklamlar seçer.

Google, reklam hedeflemelerinde konum verisini de aktif olarak kullanır. IP adresinizden çıkardığı genel konum bilgisi veya mobil cihazınızdan gelen GPS verileri, size yakın çevrenizdeki işletmelerin reklamlarını göstermek için değerlidir. Örneğin, Google şöyle bir senaryoyu öngörür: “Yeni bir araba arıyorsanız, genel içerikli mobilya reklamları görmek yerine, bulunduğunuz bölgedeki otomobil bayilerinin promosyonlarını içeren reklamları görmek sizin için daha faydalı olacaktır”. Bu, kullanıcının ilgisine ve lokasyonuna dayalı reklam kişiselleştirmenin pratik bir örneğidir.

Google’ın reklam altyapısında çerezlerin yanı sıra mobil reklam tanımlayıcıları da önemli yer tutar. Mobil uygulamalarda çerez kullanımı sınırlı olduğundan, Android ve iOS gibi sistemlerde her cihaza özel reklam ID’leri kullanılır. Android cihazlarda “Reklam Kimliği” adı verilen bu tanımlayıcı, kullanıcıların uygulamalar arası takibini sağlar. Google, mobil uygulamalardaki reklamlar ile mobil web arasındaki bağlantıyı kurmak için, bazen cihazın reklam kimliğini o cihazdaki web tarayıcısının çerezleriyle ilişkilendirir. Örneğin, bir mobil uygulamada gördüğünüz reklama tıkladığınızda tarayıcıda bir sayfa açılırsa, Google bu etkileşmeyi anlayıp aynı cihazdaki kullanıcıyı tek bir profile bağlayabilir. Android kullanıcıları, ayarlar menüsünden reklam kimliğini sıfırlayabilir veya tamamen silebilir; bu durumda eski kimlikle toplanan veriler yeni kimlikle ilişkilendirilemez. Yine de uygulamalar farklı izleme yöntemleri kullanarak reklam göstermeye devam edebilir, ancak kişiselleştirme düzeyi düşecektir.

Son olarak, Google’ın reklam teknolojisinde Google AdSense, Google Ads (eski adıyla AdWords), DoubleClick ve Google Analytics gibi araçlar entegre çalışır. AdSense, web sitesi yayıncılarının sitelerinde Google reklamları göstermesini sağlarken; Google Ads reklamverenlerin anahtar kelimeler ve hedef kitle kriterleri belirleyerek reklam vermesine imkân tanır. DoubleClick (Google Ad Manager), reklamların dağıtımını ve gerçek zamanlı açık artırma sürecini yönetir. Google Analytics ise birçok sitede kullanıcı davranışlarını takip ederek hem site sahiplerine istatistik sunar hem de elde ettiği veriler Google’ın kullanıcı profillerini zenginleştirir. Bu araçların ortak noktası, kullanıcı faaliyetlerini ölçerek reklam kampanyalarının hedeflenmesini ve performansının değerlendirilmesini sağlamaktır. Örneğin, Google Analytics verileri reklam amaçlı kullanıldığında, farklı cihazlardaki etkinliklerin aynı kullanıcıya ait olup olmadığını anlayıp çapraz cihaz hedefleme bile yapılabilir.

Instagram: Sosyal Etkileşimden İlgi Alanı Profiline

Instagram (Meta Platforms’un bir parçası), kullanıcı verisini reklama dönüştürme konusunda son derece aktif bir platformdur. Instagram’da yaptığınız hemen her etkileşim, potansiyel olarak reklam profilinize katkı sağlar: Beğendiğiniz veya kaydettiğiniz gönderiler, yorum yaptığınız içerikler, arama geçmişiniz, takip ettiğiniz hesaplar, hatta duraklayıp uzun süre baktığınız bir fotoğraf veya video... Tüm bu davranışlar, ilgi alanlarınız ve tercihleriniz hakkında ipuçları içerir. Örneğin, Instagram’da sürekli fitness ile ilgili gönderilere yorum yapıyor ya da spor salonu videolarını beğeniyorsanız, bir süre sonra karşınıza spor giyim veya besin takviyesi reklamları çıkması şaşırtıcı olmayacaktır. Platform, sizin etkileşimlerinizi analiz ederek “fitness meraklısı”, “seyahat tutkunu”, “yeni ebeveyn” gibi çeşitli kategoriler altında gruplara ayırır ve reklam gösterimini bu ilgi kategorilerine göre optimize eder.

Instagram, kullanıcı verilerini sadece kendi uygulama içi faaliyetlerinden değil, aynı zamanda Meta şirket ailesinin genelinden ve harici web sitelerinden de toplayabilir. Facebook ve Instagram entegre bir reklam platformu kullandığı için, Facebook’ta paylaştığınız bilgiler veya beğenileriniz de Instagram’daki reklam profilinize etki edebilir. Örneğin, Meta şirketinin bir açıklamasına göre Instagram’ın ana şirketi, her bir kullanıcı hakkında reklam hedefleme amacıyla yüzlerce veri noktası biriktirmektedir – kullanıcıların kullandığı emoji’lerden tutun da, paylaşımlarına uyguladığı filtrelere kadar pek çok detay bu veri setine dahil olabilir. Ayrıca Instagram, Meta Pixel gibi araçlar aracılığıyla platform dışındaki aktivitelerinizi de izleyebilir. Eğer üye olduğunuz bir alışveriş sitesinde “Facebook/Instagram ile Giriş Yap” özelliğini kullanırsanız veya bir haber sitesindeki Facebook/Instagram paylaşım eklentileriyle etkileşime girerseniz, üçüncü taraf sitedeki bu faaliyetler tarayıcınıza yerleşen Meta’ya ait çerezler vasıtasıyla Meta’ya iletilebilir. Bu durum, internette gezindiğiniz herhangi bir yerde baktığınız ürünlerin, sonradan Instagram’da reklam olarak karşınıza çıkabilmesinin nedenidir. Örneğin, bir çevrimiçi mağazada ayakkabı modellerine göz gezdirdikten sonra, Instagram akışınızda aynı mağazanın reklamlarını görmeniz olasıdır – zira yeniden hedefleme (retargeting) adı verilen bu teknik, Meta’nın ortak web sitelerinden topladığı verilerle çalışır.

Instagram reklam verenlere oldukça ince ayarlı hedefleme seçenekleri sunar. Facebook Reklam Yöneticisi üzerinden Instagram’da reklam vermek isteyen biri; demografik özellikler (yaş, cinsiyet, konum), ilgi alanları (kullanıcının takip ettiği sayfalar veya etkileşimlerine göre çıkarılan ilgi başlıkları) ve davranışlar (örneğin çevrim içi alışveriş alışkanlıkları) gibi kriterlere göre hedef kitle tanımlayabilir. Örneğin, İstanbul’da yaşayan 25-34 yaş arası, teknolojiyle ilgilenen ve son 3 ayda çevrimiçi alışveriş yapmış kullanıcılar şeklinde detaylı bir kitle seçmek mümkündür. Bu sayede reklam verenler, mesajlarını tam da istedikleri gruba ulaştırabilirler.

Instagram’ın veri kullanımı aynı zamanda platformdaki içerik önerilerini de şekillendirir. “Keşfet” bölümünde karşınıza gelen fotoğraf ve videolar, tamamen sizin uygulamadaki davranışlarınızdan öğrenilen modele dayalı olarak seçilir. Dolayısıyla reklam gösterimi ile organik içerik önerisi arasında benzer bir veri analizi süreci vardır – ikisi de kullanıcının ilgi ve davranış profilini esas alır. Instagram, gelişmiş yapay zeka ve makine öğrenimi algoritmaları kullanarak, sadece beğenilerinizi değil, yazdığınız yorumların duygusunu dahi analiz edebilir. Örneğin bir içerik altına sık sık belirli bir konuyla ilgili yorum yapıyorsanız, algoritma bu eğilimi farkedip hem daha fazla o konuyla ilgili içerik hem de ilgili reklamlar gösterebilir. Hatta Meta, kullanıcı mesajlarındaki veya yorumlarındaki anahtar kelimeleri (örn. spor, seyahat, moda) tanıyarak reklam hedeflemede bunlardan faydalanabilmektedir. Bunun yanı sıra bu tür veri işlemleri topluluk standartlarının ihlali gibi durumları tespit etmek için de kullanılmaktadır, ancak konumuz bağlamında önemli olan, reklam hedeflemede ne kadar derine inilebildiğidir.

Son olarak, Instagram’da toplanan verilerin Meta’nın diğer ürünleriyle paylaşılması da söz konusudur. Instagram hesabınız Facebook hesabınızla bağlantılıysa veya her iki platformu da kullanıyorsanız, birindeki etkinlik diğerindeki reklam profilini etkileyebilir. Örneğin Facebook’ta beğendiğiniz bir markanın reklamı, benzer kitle hedeflemesi sayesinde Instagram’da da önünüze gelebilir. Meta’nın tüm hizmetleri (Facebook, Instagram, WhatsApp vb.), veri paylaşımı açısından entegre olduğundan, bir platformdaki davranışsal veri diğerinde reklam amaçlı değerlendirilebilir. Bu durum kullanıcı açısından her ne kadar platformlar arası kesintisiz bir deneyim sağlasa da, arka planda oldukça geniş kapsamlı bir veri işleme faaliyeti yürüyor demektir.

Kullanıcı Hakları: Açık Rıza, Çerez Tercihleri ve Veri Silme Talepleri

Davranışsal reklamcılık sistemleri karşısında kullanıcıların da bir dizi hak ve kontrol imkânı bulunmaktadır. KVKK ve GDPR, bireylere kendi verileri üzerinde söz sahibi olma hakkı tanıyarak, şirketlerin bu hakları gözetmesini zorunlu kılar. İşte kullanıcıların bu bağlamda bilmesi gereken başlıca hakları ve yapabilecekleri:

• Açık Rıza ve Rızanın Geri Alınması: Hiçbir kullanıcı, bilgisi ve onayı olmadan sadece internette gezindiği için izlenmeyi ve profillenmeyi kabul etmiş sayılmaz. Gerek yasal düzenlemeler gereği gerek iyi uygulama örnekleri çerçevesinde, web siteleri ve uygulamalar kullanıcılara genellikle bir çerez onay bildirimi gösterir. Bu bildirimlerde, hangi tür çerezlerin kullanılacağı ve ne amaçla kullanılacağı belirtilir; kullanıcının onay vermesi istenir. Kullanıcılar tercihlerine göre reklam/hedefleme çerezlerini kabul edebilir veya reddedebilir. KVKK’nın da altını çizdiği üzere, açık rıza belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır; salt siteye girmiş olmak rıza yerine geçmez. Ayrıca kullanıcı, bir kez verdiği rızayı dilediği zaman geri alma hakkına sahiptir. İyi tasarlanmış siteler, ekranın bir köşesinde “çerez ayarları” benzeri bir buton veya simge ile kullanıcıya sonradan tercihlerini değiştirme imkânı sunar. Örneğin, bir haber sitesinde başta “Kabul Et” demiş olsanız bile, daha sonra çerez yönetim panelinden bunu “Reddet”e çevirebilmelisiniz. Rızanın geri alınması, geleceğe yönelik olarak veri işlemenin durdurulmasını gerektirir.

• Çerez Yönetimi: Kullanıcılar, çerezleri yönetmek için birden fazla yola sahiptir. Öncelikle, web sitelerinin sunduğu çerez tercih panelleri üzerinden hangi çerez kategorilerine izin verileceğini seçebilirler (örneğin “Sadece zorunlu çerezler aktif olsun, reklam çerezlerini istemiyorum” gibi). Bunun yanı sıra, tarayıcı ayarlarından da çerezleri kontrol etmek mümkündür. Her tarayıcı, çerezleri tamamen engelleme, belirli siteler için engelleme veya tarayıcı kapandığında otomatik silme gibi seçenekler sunar. Ancak tarayıcı düzeyinde tüm çerezleri kapatmak, bazı web sitelerinin düzgün çalışmamasına yol açabilir (örneğin giriş yapma fonksiyonları bozulabilir). Bu nedenle çoğu kullanıcı, reklam çerezlerini engellemek için tarayıcılara ekstra “izleme koruması” özelliklerini etkinleştirir veya reklam engelleme eklentileri kullanır. AB ülkelerinde yaygın olarak kullanılan YourOnlineChoices gibi platformlar da, birçok reklam ağı için toplu çerez tercihleri yönetme imkânı sunmaktadır. Keza ABD’de aboutads.info sitesi üzerinden ilgi alanına dayalı reklamları devre dışı bırakmak mümkündür. Türkiye’de de bazı siteler, kullanıcıları YourOnlineChoices’in Türkçe sayfasına yönlendirerek ilave bilgi ve opt-out (vazgeçme) imkânı vermektedir. Unutulmamalıdır ki, çerezleri yönetmek ve izlemeyi sınırlamak kullanıcı inisiyatifinde önemli bir hak olsa da, tamamen kapatmak her zaman pratik olmayabilir. Bu yüzden pek çok site, zorunlu olmayan çerezleri reddeden kullanıcılara bağlamsal reklamlar (yani içeriğe dayalı, kişiselleştirilmemiş reklamlar) göstermeye devam eder.

• Kişisel Verilere Erişim ve Taşınabilirlik: Hem KVKK hem GDPR, kullanıcılara kendi verileri üzerinde erişim hakkı tanır. Bu kapsamda bir kullanıcı, bir şirkete başvurarak “Hakkımda hangi kişisel verileri işliyorsunuz?” diye sorabilir ve bu verilerin bir kopyasını talep edebilir. Büyük teknoloji şirketleri, GDPR uyumluluğu çerçevesinde genellikle kullanıcıların verilerini kendi başlarına indirebilecekleri araçlar sunar. Örneğin Instagram, GDPR’a uyum amacıyla, kullanıcılara platformda kendileriyle ilgili toplanan tüm verilerin bir arşivini indirme imkânı vermektedir[28]. Bu arşivde paylaştığınız fotoğraflardan mesaj geçmişinize, beğenilerinizden arama geçmişinize kadar pek çok bilgi bulunabilir. Benzer şekilde Google da “Google Hesabım > Veri ve Gizlilik” bölümünde tüm verilerinizi indirme (Google Takeout hizmeti) seçeneği sunar. Bu sayede kullanıcılar, hangi bilgilerin toplandığını görebilir ve isterlerse bu verileri başka bir hizmete taşıyabilir (GDPR’ın getirdiği veri taşınabilirliği hakkı).

• Veri Silme Talepleri (Unutulma Hakkı): Kullanıcılar, belirli koşullar altında kişisel verilerinin silinmesini talep etme hakkına sahiptir. GDPR’da bu “unutulma hakkı” (Right to Erasure) olarak bilinirken, KVKK’da da veri sorumlusuna başvurarak verilerin yok edilmesini isteme hakkı düzenlenmiştir. Pratikte, birçok platform bunu hesap silme özelliğiyle çözmektedir. Örneğin Instagram, kullanıcıya hesabını geçici olarak dondurma veya kalıcı olarak silme seçeneği sunar. Hesabınızı kalıcı olarak sildiğinizde, paylaşımlarınız, profil bilgileriniz ve sizinle ilişkilendirilen veriler platformdan tamamen kaldırılır (Instagram bunun geri dönüşü olmayan bir işlem olduğunu özellikle belirtir). Google tarafında da kullanıcılar hesaplarını silebilir veya sadece belirli hizmetlerdeki (ör. Gmail, YouTube) verilerini temizleyebilirler. Google, gizlilik ayarları içinde kullanıcılara etkinlik verilerini kalıcı olarak silme imkânı tanımıştır; örneğin web ve uygulama etkinliği geçmişinizi veya konum geçmişinizi tamamen temizleyebilirsiniz. Ayrıca Google, otomatik silme özelliğini de sunarak belirli bir süreden (örn. 18 ay) daha eski verilerin kendiliğinden silinmesini varsayılan hale getirmiştir.

• Reklam Kişiselleştirmeyi Kapatma: Her iki büyük platform da (Google ve Instagram), kullanıcılara reklam kişiselleştirmesini kapatma imkânı verir. Google’da Reklam Ayarları (veya yeni arayüzde Reklam Merkezim), tek bir düğmeyle kişiselleştirilmiş reklamları devre dışı bırakma seçeneği sunmaktadır. Bunu yaptığınızda Google, ilgi alanlarınıza göre reklam göstermeyi durdurur; ancak yine de genel bağlamlı veya konumunuza/dayTime’ınıza göre reklamlar görmeye devam edersiniz (sadece bu reklamlar önceki kadar ilgili olmayabilir). Benzer şekilde Instagram da kullanıcıların ilgi alanı bazlı reklamları sınırlamalarına olanak tanır. Örneğin, Instagram’ın ayarlarında “Reklamlar” bölümünde, reklamverenlerin hakkınızda kullandığı ilgi alanlarını görüntüleyebilir ve isterseniz bazı kategorilerdeki reklamları gizleyebilirsiniz. Ayrıca Meta’nın hesap merkezi üzerinden “Ortaklık Verileriyle İlgili Reklamlar” ayarını kapatarak, Meta dışı web siteleri ve uygulamalardaki faaliyetlerinizin Instagram/Facebook reklam hedeflemesinde kullanılmasını engelleyebilirsiniz. Bu ayarı kapatmak, örneğin bir alışveriş sitesinde gezindiğiniz ürünlerin Instagram’da karşınıza reklam olarak çıkmasını durdurabilir. Elbette reklam kişiselleştirmesini kapatmanız, reklam görmeyeceğiniz anlamına gelmez – sadece gördüğünüz reklamlar daha genel içerikli olacaktır.

• Diğer Haklar: Bunların dışında kullanıcıların KVKK ve GDPR kapsamında düzeltme hakkı (yanlış veriler düzelttirme), işlemeyi kısıtlama hakkı, itiraz hakkı (özellikle profil çıkarma veya doğrudan pazarlama amaçlı kullanıma itiraz) gibi hakları da vardır. Örneğin GDPR Madde 21 uyarınca, bireyler kendilerini hedef alan doğrudan pazarlamaya diledikleri zaman itiraz edebilir ve bu durumda ilgili kişinin verileri artık bu amaçla işlenemez. Pratikte bu, bir e-posta bülteninden çıkmak kadar, reklam profili oluşturulmasını istememe talebini de kapsar. KVKK’da da kişinin temel hak ve özgürlüklerine zarar verecek ölçüde veri işlenmesine itiraz edebileceği hükümler mevcuttur. Kullanıcılar, hak ihlali olduğunu düşündüklerinde veri sorumlusuna başvurarak talepte bulunabilir; tatmin edici cevap alamazlarsa KVKK Kurumu’na şikâyette (veya GDPR kapsamında ilgili veri koruma otoritesine) bulunabilirler.

  
  

Sonuç olarak, çevrimiçi davranışsal reklamcılık kullanıcı açısından şeffaflık ve kontrol mekanizmaları ile dengelenmeye çalışılmaktadır. Her ne kadar internet üzerinde tamamen iz bırakmadan gezinmek sıradan bir kullanıcı için zor olsa da, en azından hangi verilere dayanarak reklam gördüğümüzü anlayabilir, istemediğimiz takdirde bu reklamları kişiselleştiren mekanizmaları sınırlandırabiliriz. Teknoloji devleri, kullanıcıların bu haklarını kullanabilmesi için araçlar sunsa da (ör. Google’ın Reklam Merkezim, Instagram’ın veri indirme ve reklam tercihleri gibi) bu araçları bilinçli şekilde kullanmak kullanıcıların sorumluluğundadır. Kişisel verilerimizin değeri, bu verilerden beslenen reklam sektörünün büyüklüğüyle ortada; dolayısıyla dijital dünyada bilinçli hareket etmek, hangi izinleri verdiğimizin farkında olmak ve gerektiğinde haklarımızı kullanmak, çevrimiçi mahremiyetimizi korumanın anahtarlarıdır.