Sosyal medyanın bireylerin gündelik hayatında kapladığı alanın ve etkisinin büyüklüğü şüphe götürmez. Bireylerin, ilk başlarda eski arkadaşlarını bulmak, aileleriyle haberleşmek, profesyonel ilişkiler kurabilmek ve onlarla içerik paylaşmak için kendilerine ait bir profil açarak kullandıkları sosyal medya, son yıllarda çeşitleri ve kullanıcıları arttıkça, devasa bir pazarlama mecrası haline de geldi. Buradaki pazarlama terimini sadece ticari ürünlerin pazarlanmasına ilişkin faaliyetler olarak değil aynı zamanda politik düşüncelerin, eğilimlerin veya başka konulardaki görüşlerin pazarlanmasını da kapsar şekilde okumak gerekir. Buna bağlı olarak zamanla sosyal medya sağlayıcılarının pek çoğu (belki de hepsi) reklam hedefleme hizmetleri de vermeye başladı.
Reklam hedefleme hizmetleri en çok markalar veya onlara hizmet veren reklam ajansları tarafından ürünlerin veya hizmetlerin reklamlarını belli kullanıcı gruplarına göstermek için kullanılıyor. Sosyal medya kullanıcıları, yaşları, cinsiyetleri, bulundukları şehirler, hoşlandıkları faaliyetler, ilgi alanları gibi verilere göre gruplara ayrılıyor. Örneğin, seçilen kriterlere göre 25-35 yaş aralığında, modadan ve online alışverişten hoşlanan, İstanbul’da yaşayan kadınlar bir hedef grubunu oluşturabiliyor. Bu verilerin bazıları sosyal medya kullanıcılarının kendi paylaştıkları bilgilerden bazıları da sosyal medya üzerinde yaptıkları paylaşımlardan veya başka kullanıcılara ait beğendikleri paylaşımlardan elde edilebiliyor.
Hedefleme kriterleri için kullanıcıların kişisel verilerinin kullanıldığı sosyal medya reklam hedeflemelerinin elbette kişisel verilerin korunması açısından da ele alınması gerekiyor. Bu konu ile ilgili Avrupa Veri Koruma Kurulu 2 Eylül 2020 tarihinde sosyal medya kullanıcılarının hedeflenmesi üzerine 8/2020 sayılı rehberini[1] (“Rehber”) kabul etti. Bu yazı Rehber’e dayanılarak hazırlanmıştır.
Sosyal medyada hedefleme ve olası riskler
Genel Veri Koruma Tüzüğü (“GDPR”)[2] açısından kişisel verilerin işlenmesi sırasında kişilerin hak ve özgürlüklerine ilişkin doğabilecek risklerin değerlendirilmesi ve hafifletilmesi çok önemli. Esas konusu bu riskleri tayin etmek olmasa da risklerin önemini göstermek açısından, Rehber içinde sosyal medya kullanıcılarının hedeflenmesinin yol açabileceği risklerin bazılarına değinilmiş.
Bunlardan biri hedeflemenin kullanıcıların kişisel verilerinin kullanımı ile ilgili makul beklentilerini aşabilecek olması. Daha basit bir anlatımla, bir sosyal medya kullanıcısı, herhangi bir paylaşımı beğendiğinde veya bir videoyu izlediğinde, sosyal medya sağlayıcısının bu etkileşimini hedefleme amaçlı kullanmak üzere kaydedeceğini hesaba katmamış olabilir.
Bir diğer riskli konu ise hedeflenecek kişi grupları oluştururken kullanıcılar arasında ayrımcılık yapılması ihtimali. Hedefleme yapılırken sosyal medya kullanıcılarının ırkları, cinsiyetleri, sağlık durumları gibi özellikleri kriter olarak kullanılabiliyor. Bu durum da ayrımcı bir sonuç ortaya çıkmasına sebep olabiliyor. Rehber, bu ayrımcılığa örnek olarak iş ilanları için kullanılan hedefleme kriterleri sonucu bazı kişi gruplarının bu iş ilanını görme ihtimalinin azaltılabileceğini belirtiyor. Hedefleyenler[3], hedeflemek istedikleri kişi gruplarını kullanıcıların kişisel verilerine dayanarak tanımlarken, potansiyel ayrımcılıktan söz edilebilir mi sorusu önemli bir soru haline geliyor.
Rehber, hedeflemenin sosyal medya kullanıcıları için manipülasyon riski doğurabileceğine de değiniyor. Unutmamalıyız ki hedefleme hizmetleri bireylerin satın alma kararlarını hatta politik kararlarını bile etkilemek için kullanılabiliyor.
Hedefleme her zaman kullanıcıların ilgili platform üzerindeki faaliyetleri ile de sınırlı olmayabilir. Bireylerin tarayıcı hareketleri veya başka faaliyetlerine ilişkin verilerin kullanılması sonucu bireylerin davranışları sistematik olarak takip edilip, izlenebiliyor. Dolayısıyla ilgili oyuncuların ve işleme faaliyetlerinin yeterince şeffaf olmaması ilgili kişilerin haklarını kullanmalarını karışık ve zor bir hale getirebiliyor.
Rehber, Avrupa Birliği Adalet Divanı’nın Wirtschaftsakademie[4] ve Fashion ID[5] kararlarına atıfta bulunarak sosyal medya kullanıcılarının hedeflenmesi kapsamında kişisel veri güvenliğinden sorumlu tarafları belirleyebilmek için hedefleme faaliyetinde rol alan oyuncuların tespitinin ve ayrımının iyi yapılmasının önemini vurguluyor. Rehberin esas gayesi de sosyal medya sağlayıcıları ve hedefleyenler arasındaki sorumluluk paylaşımını tespit etmek.
Roller ve Sorumluluklar
Wirtschaftsakademie kararında Avrupa Adalet Divanı, Facebook’ta “fan sayfası” olarak geçen bir sayfanın yöneticisinin, kişisel veri işleme amaçları ve yöntemlerinin belirlenmesinde rol aldığının kabul edilmesi gerektiğine hükmetmiştir. Fan sayfası açılması, yöneticinin fan sayfası ziyaretlerine dayanarak, istatistik verilere ulaşmak amacıyla kişisel veri işlenmesinde etkisi olan parametreleri tanımlamasına yol açmaktadır. Yönetici, Facebook tarafından sunulan filtreleri kullanarak istatistiklerin oluşturulacağı kriterleri tanımlayabilmekte hatta Facebook tarafından kişisel verileri kullanılacak kişi kategorilerini de tayin edebilmektedir. Mahkeme ayrıca veri işlemeye ilişkin müşterek sorumluluğun her zaman eşit sorumluluk anlamına gelmeyeceğinin, değişik oyuncuların veri işleme faaliyetine değişik etaplarda dahil olabileceğinin ve sorumluluk seviyelerinin de buna uygun olarak belirlenmesi gerektiğinin altına çizmiştir.
Fashion ID kararında ise web sitesine, Facebook’a kişisel veri aktarımı yapılmasına olanak veren bir eklenti ekleyen bir web sitesi yöneticisinin, veri işleme amacı ve yollarına karar verdiği ölçüde veri sorumlusu kabul edilebileceğine karar verilmiştir.
Hedefleme Mekanizmaları
Kullanıcıların paylaştıkları veriler:
Sosyal medya kullanıcıları, sosyal medya sağlayıcısı içinde kendilerine hesap açıp, profil oluştururken doğum günü tarihi, cinsiyet, yaşadıkları şehir ve hatta ilişki durumlarından (evli, bekar var, kız arkadaşı/erkek arkadaşı var gibi), iş durumlarına kadar kendileri ile ilgili pek çok bilgi paylaşabilmektedir.
Rehberde bu başlıkla ilgili aşağıdaki örnek verilmiştir:
Örnek 1: Erkek ayakkabıları satan bir şirket kış koleksiyonunun reklamını yapmak istemektedir. Reklam kampanyası için hedef kitlesini 30-45 yaş aralığı bekar erkekler olarak belirler. Bunu yaparken de sosyal medya hizmet sağlayıcısının sunduğu hedefleme kriterlerini kullanır. Hedefleme kriterlerini oluşturmak için hangi kişisel verilerin kullanılacağı ve hangi hedefleme kriterlerinin sunulacağı daha önceden sosyal medya sağlayıcısı tarafından belirlenmiştir. Sosyal medya sağlayıcısı, reklam kampanyası yayına girdikten sonra reklamla etkileşime girenlerin demografik yapısı gibi çeşitli istatistiki bilgiler de sağlar.
Roller: Hem hedefleyen hem sosyal medya sağlayıcısı kişisel veri işlemenin amacını ve vasıtalarını belirlemekte rol oynamıştır ve böylece reklam kampanyası hedef kitleye ulaştırılmıştır.
Kişisel verilerin işlenmesi amacı: Kişisel veri işlemenin amacı hedef kitleye reklam göstermektir. Hedefleyen ve sosyal medya sağlayıcısı kişisel veri işleme faaliyetinin amacına müşterek karar vermişlerdir.
Kişisel verilerin işlenme vasıtası: Kişisel verilerin işlenmesi için kullanılan vasıtaları, hedefleyen ve sosyal medya sağlayıcı müşterek belirlemiştir. Hedefleyen, sosyal medya sağlayıcısının sunduğu hizmetleri seçerek ve belli kriterlere göre bir hedef kitle oluşturulmasını isteyerek hedeflemeyi sağlayan vasıtaların belirlenmesinde rol oynamış; sosyal medya sağlayıcısı ise hedefleme kriterlerini oluşturabilmek üzere kullanıcıların kişisel verilerini kullanmaya karar vermiş ve bu bağlamda, hangi veri kategorilerinin işleneceğine, hedefleyene hangi hedefleme kriterlerinin sunulacağına dair kararlar vermiştir.
Hedefleyen ve sosyal medya sağlayıcısının müşterek veri sorumlusu olmaları durumu her ikisinin de işleme amaç ve vasıtalarına beraber karar verdiği ölçüde geçerlidir. Bunun dışında taraflardan birinin belirlediği amaç ve vasıtalarla yapılan işleme faaliyetlerinde diğer tarafın sorumluluğundan söz edilemez.
Rehber’de bulunan ve altı çizilmesi gereken cümlelerden biri de hedefleyenin sadece hedef kitlesi oluşturmak üzere parametreleri belirleyip, ilgili sosyal medya kullanıcılarının kişisel verilerine erişimi olmadığı zamanlarda da yukarıda yazılanların geçerli olduğudur. Aynı veri işleme faaliyetine ilişkin değişik oyuncuların müşterek sorumlulukları her birinin ilgili kişisel verilere erişiminin olmasını gerektirmez. Avrupa Veri Koruma Kurumu da kişisel veriye erişimin müşterek sorumluluğun bir koşulu olmadığını kabul etmiştir. Bununla beraber müşterek veri sorumluları olarak, her iki taraf da kişisel verilerin işlenmesi için yasal bir dayanak göstermek zorundadır.
Gözlemlenen veriler:
Gözlemlenen veriler kişinin bir hizmet veya cihaz kullanırken paylaştığı verilerin gözlemlenmesi sonucu elde edilen verilerdir. Örneğin, bir kullanıcının sosyal medyadaki faaliyetleri, paylaştığı ve/veya beğendiği içeriklerin gözlemlenmesi sonucu elde edilen veriler, sosyal medya uygulamasını kullandığı cihazın GPS koordinatları veya web sitelerine eklenmiş sosyal medya eklentileri yoluyla toplanan veriler bu kategoriye girmektedir.
Rehber bu başlıkla ilgili aşağıdaki örnekleri vermiştir:
Örnek 2: Mr. Schmidt, sırt çantaları satan “BestBags.com” web sitesini ziyaret eder ve alışveriş yapmadan siteden ayrılır. “BestBags.com” web sitesinin yöneticisi, siteyi ziyaret eden fakat alışveriş yapmadan ayrılan sosyal medya kullanıcılarını hedeflemek istemektedir. Bu amaçla bir sosyal medya sağlayıcısı tarafından sunulan izleme pikselini kullanmaktadır. Mr. Schmidt, daha sonra ilgili sosyal medya hesabına girince BestBags.com sitesinde dolaşırken satın almayı düşündüğü çantaların reklamları karşısına çıkmaya başlar.
Roller: BestBags.com ve sosyal medya sağlayıcısı, hedef kitleye giren kişilere belirli reklamlar göstermeyi, kişisel veri işlemenin amacı olarak, beraber belirlemişlerdir. BestBags.com izleme pikselini web sitesine yerleştirerek işleme vasıtaları üzerinde karar verici bir etki uygulamıştır. Söz konusu piksel olmasaydı web sitesi ziyaretçilerinin kişisel bilgileri toplanıp sosyal medya sağlayıcısına gönderilemezdi. Sosyal medya sağlayıcısı ise kişisel verileri toplayan ve aktaran pikseli geliştiren ve sunan taraf olarak rol oynamıştır. Dolayısıyla, pikseller aracılığıyla kişisel veri toplanması ve aktarımı, sosyal medya platformunda reklamın Mr. Schmidt’e gösterilmesi ve hedefleme kampanyası ile ilgili raporlamaya ilişkin iki taraf da müşterek veri sorumlusu sayılırlar.
Örnek 3: Mrs. M, cep telefonuna sosyal medya sağlayıcının uygulamasını indirir. Tatil için gittiği Paris’te tüm gün sokaklarda gezer. Sosyal medya sağlayıcısı, telefonunun GPS özelliği sayesinde Mrs. M’nin gittiği yerler hakkında bilgi toplar. Veri toplamaya ilişkin izin uygulama telefona indirilirken verilmiştir. Mrs. M’nin kaldığı otelin hemen yanında bir pizza lokantası vardır. Pizza lokantası da aynı sosyal medya sağlayıcısının coğrafi izleme hizmetini kullanmaktadır ve son altı altı ay içinde lokantanın bir km yakınına ilk defa gelen kişileri hedeflemektedir. Mrs. M. oteline döndüğünde sosyal medya uygulamasını açar ve karşısına pizza lokantasının reklamı çıkar. Web sitesinden pizza sipariş eder.
Roller: Pizza lokantası, hedefleme kriterini işinin ihtiyaçlarına göre lokantaya yakın kişiler olarak belirleyerek kişisel veri işleme faaliyetine etki etmiş ve veri işleme amaç ve vasıtalarının belirlenmesinde rol oynamış kabul edilir. Sosyal medya sağlayıcısı da konuma dayalı reklam amacı için Mrs. M’nin konumu ile ilgili bilgileri toplamıştır. Sonuç olarak, hedefleyen lokanta ve sosyal medya sağlayıcısı, kullanıcının hedeflenmesi için konum bilgisinin toplanması ve analiz edilmesi ve reklamın gösterilmesi açısından müşterek veri sorumlusu sayılırlar.
Çıkarım yapılan veriler:
İlgili kişi tarafından paylaşılan veya veri sorumlusu tarafından gözlemlenen verilere dayanarak oluşturulan verilerdir.
Örnek 4: Mrs. Deluca, Art Gallery “Beautifulart”’ın sosyal medya sayfasında paylaştığı empresyonist ressam Pataolito’nun fotoğraflarını sıklıkla beğenmektedir. Z Müzesi de yaklaşan bir sergi için empresyonist resimlerden hoşlanan kişilerin ilgisini çekmek istemektedir. Müze bunun için sosyal medya sağlayıcısının sunduğu “empresyonizme ilgi duyan”, cinsiyet, yaş ve ikamet yeri hedefleme kriterlerini kullanır. Mrs. Deluca, sosyal medya hesabında Z Müzesi’nin yaklaşan sergisiyle ilgili hedeflenmiş reklamını görür.
Roller: Hedeflenmiş reklam amaçları için kişisel veri işlemesine ilişkin olarak Z Müzesi ve sosyal medya sağlayıcısı, sosyal medya platformu üzerindeki “beğenme” işlevi ile verilerin toplanması ve sosyal medya sağlayıcısının, reklam gösterme amacına uygun şekilde hedefleyene hedefleme kriterlerini sunabilmek için yaptığı analiz dikkate alınarak veri sorumlusu sayılırlar.
Örnek 5: Mr. Leon, kendisine ait sosyal medya profilinde sporla ilgilendiğini belirtmiş; en sevdiği spor müsabakalarının sonuçlarını takip etmek için cep telefonuna bir uygulama yüklemiş ve www.livesportsresults.com web sitesini dizüstü bilgisayarında kullandığı tarayıcının ana sayfası yapmıştır. İş yerinde de internette spor sonuçlarını aramak için sıklıkla masaüstü bilgisayarını kullanmaktadır. Mr. Leon zaman zaman bazı online bahis sitelerini ziyaret etmektedir. Sosyal medya sağlayıcısı, Mr. Leon’un çevrim içi faaliyetlerini değişik cihazları üzerinden takip eder. Bütün bu faaliyetlerden ve Mr. Leon tarafından sağlanan bilgilerden, sosyal medya sağlayıcısı, Mr. Leon’un online bahse ilgisi olacağı çıkarımında bulunur. İlaveten, sosyal medya sağlayıcısı şirketlerin düşünmeden hareket etme ihtimalleri olan ve düşük gelirli kişileri hedefleyebileceği kriterler geliştirmiştir. Online bahis şirketi “bestpaydayloans” bahisle ilgilenen ve yüksek miktarlarda bahis oynayacak kullanıcıları hedeflemek ister. Bunun için sosyal medya sağlayıcısının sunduğu kriterleri kullanır.
Roller: İşleme süreçleri ile ilgili “bestpaydayloans” ve sosyal medya sağlayıcısı, hedefleme kriterlerinin seçimi ve devamında reklamın gösterimi ve hedefleme kampanyasına ilişkin raporlamayı beraber belirlemişlerdir.
Rehber’e göre sosyal medya kullanıcılarının çıkarım yapılan veriler üzerinden reklam amaçlı hedeflenmesi profilleme uygulamasına girer. WP29 (Çalışma Grubu 29), profillemenin, özellikle kişiler hakkında varsayımlar ve analizler yapmak amacıyla kişisel bakış açılarını değerlendirmeyi amaçlayan otomatik kişisel veri işlemesi olduğunu belirtmiştir.
Yasal sonuçları veya “benzer önemli sonuçları” olan otomatik karar alma hallerinde, veri sorumluları GDPR Madde 22 uyarınca aşağıdaki istisnalardan birini esas alabilirler:
- İlgili kişinin açık rızası,
- Bir sözleşmenin akdedilmesi veya ifa edilmesi için otomatik karar almanın gerekli olması,
- Veri sorumlusunun tabi olduğu AB üyesi ülkenin kanunlarının izin vermesi.
Rehber’de, Örnek 5’deki durumun çevrim içi bahisle ilgilenen ve finansal zorluk çeken kişilerin hedeflenmesi ve bu hedeflemenin ilgili kişinin finansal durumunu önemli ve olumsuz şekilde etkileme potansiyeli olması açısından Madde 22’nin kapsamına girebileceği ve ilgili kişinin açık rızasının gerekeceği belirtilmiştir. Bu değerlendirme veri sorumlusu veya müşterek veri sorumluları tarafından yapılmalıdır.
Kişisel veri işlenmesi ve şeffaflık ilkesi
Avrupa Veri Koruma Kurulu’na göre kullanıcıların sadece “reklam” yapıldığına dair bilgilendirilmesi şeffaflık ilkesi açısından yeterli kabul edilemez. Reklam hedeflemelerine ilişkin veri işleme faaliyetlerinin şeffaf bir şekilde ve kolay anlaşılır bir dille kullanıcılara anlatılması gerekir. Kullanıcıların, faaliyetlerinin yukarıda belirtilen örneklerde olduğu gibi hedefleme için kullanılacağından haberdar olmalıdırlar.
Veri işleme faaliyetine ilişkin birden çok veri sorumlusunun olması halinde ilgili kişiler değişik veri sorumlularının gerçekleştirdiği işleme faaliyetlerine ve aralarındaki sorumluluk paylaşımına dair de bilgilendirilmelidir. İlgili kişilerin tam ve doğru olarak bilgilendirilmeleri esastır. Bununla uyumlu olarak ilgili kişilerin nasıl ve kim tarafından bilgilendirileceği konusunda veri sorumluları aralarında anlaşabilirler. İlgili kişiler ile etkileşim içinde olan tek bir veri sorumlusu var ise bilgilendirmenin bu veri sorumlusu tarafından yapılacağı öngörülebilir. Bununla beraber veri sorumlularının müşterek veri sorumluluğunun sona erdiği noktadan sonra bir diğerinin yürüttüğü veri işleme faaliyetlerine ilişkin bilgilendirme yükümlülükleri bulunmaz. Dolayısıyla bu yazının da konusu olan reklam hedeflemelerinde veri sorumlularından biri olan hedefleyenin, sosyal medya sağlayıcısının bu amaç dışında yaptığı veri işleme faaliyetleri ile ilgili bir yükümlülüğü yoktur.
Yazıyı, ilgili kişinin, şeffaflık ilkesine uygun olarak bilgilendirildiği bir örnekle sonlandıralım.
Örnek 6: Mrs. Ghorbani bir sosyal medya platformunda hesap açar. Kayıt esnasında sosyal medya sayfasında kendisinin doğrudan sosyal medya sağlayıcısına verdiği bilgilere (yaş, cinsiyet, vb.) ve sosyal medya platformu dışındaki web sitelerindeki davranışlarına dayanarak (çerezler vasıtasıyla) kendisine hedeflenmiş reklamlar gösterilmesi için kişisel verilerinin işlenmesine onay verip vermediği sorulur. Bu bilgilerin sosyal medya eklentileri veya izleme pikselleri ile toplanacağı konusunda, işleme süreçleri ile ilgili ve hedefleme faaliyetlerine müşterek sorumlular olarak başka tüzel kişiliklerin de dahil olacağı konusunda Mrs. Ghobani bilgilendirilir. Ne zaman isterse onayını geri çekebileceği açıklanır ve gizlilik politikasının bağlantısı verilir. Mrs. Ghobani bunun üzerine verilerinin işlenmesine onay verir. Mrs. Ghobani açık rızasını verene kadar herhangi bir reklam çerezi yerleştirilmemiş ve veri toplanmamıştır. Daha sonra, Mrs. Ghobani, “thelatesthotnews.com” web sitesini ziyaret eder. Bu sitenin içine entegre edilmiş bir sosyal medya butonu vardır. Ekranın sağ kenarında küçük ama rahatlıkla görülebilen bir ilan çıkar ve kişisel verilerinin çerezler ve sosyal medya eklentileri kullanılarak sosyal medya sağlayıcısına aktarılmasına rızasını verip vermediği sorulur. Web sitesi yöneticisi, kullanıcı açık rızasını verene kadar hiçbir kişisel verisinin sosyal medya platformuna aktarılmaması için gerekli teknik önlemleri almıştır.
[1] https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202008_onthetargetingofsocialmediausers_en.pdf
[2] General Data Protection Regulation
[3] Rehber içinde “hedefleyenler” (targeters) terimi “spesifik parametreler ve kriterlere dayanarak belli sosyal medya kullanıcı gruplarına doğrudan spesifik mesajlar atmak amacıyla sosyal medya hizmetlerini kullanan gerçek veya tüzel kişileri belirlemek” olarak kullanılıyor.
[4] CJEU, Wirtschaftsakademie, 5 Haziran 2018
[5] CJEU, Fashion ID, 29 Temmuz 2019