Link kısaltıcı ve KVKK — bültene bir bağlantı eklemeden önce bilmeniz gerekenler

Kısaltılmış bir bağlantıya tek bir tıklama, sessizce kaydedilen ortalama dört veri demektir: IP adresi, tarayıcı, işletim sistemi, giriş kaynağı. Dört. Şimdi bunu, Pazar sabahı teklifinizin bağlantısına tıklayan 3000 bülten abonesiyle çarpın. Aniden, gözünüzün bile görmediği birkaç bin kayıtlık bir veri tabanına sahip olursunuz.

Ve bu, link kısaltıcılar ile GDPR'ın hukukçuların teorik bir sorunu olmaktan çıkıp sizin sorununuz haline geldiği tam olarak o andır.

AB'deki IP adresi kişisel bir veridir. "Neredeyse" değil, "bazı durumlarda" değil. Kişisel bir veridir. Bir şirket kampanyasında kısaltılmış bir bağlantı paylaşıyorsanız, yönetici olarak bu bağlantıya tıklayan kişilerin IP adreslerine ne olduğu konusunda sorumlusunuz.

Birisi tıkladığında kısaltıcı gerçekte ne görüyor?

Liste göründüğünden daha kısa ama yeterince yoğun:

• Ziyaretçinin IP adresi (yani yukarıda bahsedilen şahıs),
• user agent, yani tarayıcı ve sistem,
• referer — girişin hangi sayfadan geldiği,
• bu IP adresinden hesaplanan yaklaşık konum.

Güzel tıklama istatistikleri elde etmek için bu kadarı yeterlidir. Gönderimden önce hızlıca bir bağlantı yapıştırırken çoğu insanın düşünmediği sorumlulukların altına girmek için de bu kadarı yeterlidir.

Bu veriler nereye gidiyor (ve bu neden istatistiklerin kendisinden daha önemli)

İşte asıl can alıcı nokta burada. Bilinen birçok kısaltma servisi Avrupa dışındaki şirketlere, çoğunlukla da Amerikan menşeli firmalara ait. "Kısalt" butonuna tıklıyorsunuz, bülten bağlantısını yapıştırıyorsunuz ve kimin, ne zaman ve nereden tıkladığına dair veriler okyanusun ötesine gidiyor.

İki sorun, birbiri ardına.

Birinci: AB dışına veri aktarımı için yasal bir temele ihtiyaç vardır ve bu aktarımın dayanağı değişkenlik gösterebilir. Düzenlemeler zaten birkaç kez değişti ve bunun son olduğuna dair hiçbir belirti yok.

İkinci: veriler farklı bir yasal düzenge tabi oluyor. Bir Avrupa veri sorumlusu olarak bunu basitçe kontrol edemezsiniz. Sunucunun fiziksel olarak nerede bulunduğu, dokümantasyondaki sıkıcı bir detay olmaktan çıkıyor. GDPR'a uyumlu olup olmadığınızla ilgili bir karar haline geliyor.

Riski gerçekte ne azaltır

Üç şey. Büyü olmadan.

AB'de sunucu. Tıklama verileri Avrupa dışına çıkmıyor, bu nedenle transatlantik transferi konusu tamamen devre dışı kalıyor. Daha az çevrilecek, daha az takip edilecek şey.

Daha az toplanan veri. Araç ne kadar az veri tutarsa, sorumluluğunuz o kadar az olur. IP adresinin açık halde durmak yerine hashlenmiş olması iyidir — böylece istatistikleri görürsünüz ancak belirli bir kişinin ham adresini depolamazsınız. Bu, cutty.dev içine yerleştirdiğimiz tam olarak bu özelliktir, çünkü o olmadan geri kalan her şey yarım kalır.

Servisler arası takip yok. Ziyaretçi profilini birleştirmeyen ve verileri başka yere satmayan bir reklam engelleyici, listedeki bir sorun daha az demektir.

Pratik olarak, yani pazartesi sabahı ne yapmalı

Mesele bağlantıları kısaltmayı bırakmak değil. Kısaltmaya devam edin. Mesele sadece, arama motorunda karşınıza çıkan ilk araç yerine, bilinçli bir şekilde bir araç seçmektir.

1. Sunucunun nerede durduğunu ve bunu aslında kimin yönettiğini kontrol edin.
2. Neyi, ne kadar süreyle sakladığını kontrol edin.
3. Eğer ziyaretçilerin verilerini topluyorsanız, gizlilik politikanıza bir link kısaltıcı ekleyin. Sadece tek bir cümle. Gerçekten canınızı yakmaz.

Hepsi bu kadar. Bu bir hukuki tavsiye değildir (avukatınız değilim), ancak verilerin ilk tıklamadan itibaren okyanusun ötesine kaçtığı durumlara kıyasla, uyumluluğun çok daha kolay inşa edildiği temel budur.

Eğer buradan tek bir cümle hatırlaman gerekirse: bülten linkini paylaşmadan önce, okuyucularınızın IP adreslerinin nereye düşeceğini kontrol edin. Bu, ileride çok daha fazla sinir bozukluğu yaşamamanızı sağlayacak, beş dakika sonra soracağınız bir sorudur.