Privacy Sandbox Gerçekte Neyin Yerini Alıyor

Üçüncü taraf çerezleri dört farklı reklamcılık işlevini yerine getiriyordu: ilgiye dayalı hedefleme, yeniden hedefleme, dönüşüm ölçümü ve sıklık sınırlama. Privacy Sandbox bunları her biri kendi onay profiline sahip ayrı API'lere böler.

Topics API — İlgiye Dayalı Hedefleme

Topics API, her tarayıcıya küçük bir kaba taneli ilgi konuları kümesi atar; birkaç yüz kategoriden oluşan hazırlanmış bir sınıflandırmadan çekilen, haftada yaklaşık beş konu. Bir yayıncı document.browsingTopics() işlevini çağırdığında, tarayıcı reklam teknolojisi ekosisteminin siteler arası herhangi bir tanımlayıcı olmaksızın bağlamsal kişiselleştirme için kullanabileceği en fazla üç konu döndürür. Konular yerel olarak hesaplanır, cihazda depolanır, haftalık döner ve chrome://settings/adPrivacy adresindeki kullanıcı kontrollerine tabidir.

Protected Audience API — Yeniden Hedefleme ve Remarketing

Eski adıyla FLEDGE olan Protected Audience, paylaşılan siteler arası tanımlayıcı olmaksızın yeniden hedeflemeyi canlı tutar. Reklamverenler, kullanıcıyı kendi sitelerindeki bir ilgi grubuna ekler; kullanıcı katılımcı bir yayıncıyı ziyaret ettiğinde, Fenced Frame içinde cihaz üzerinde bir açık artırma çalışır ve bir kreatif seçer. Kazanan reklam, yayıncı hangi ilgi grubunun eşleştiğini öğrenmeden render edilir.

Attribution Reporting API — Dönüşüm Ölçümü

Attribution Reporting, ölçüm kullanım senaryolarının bir alt kümesi için dönüşüm piksellerinin yerini alır. Etkinlik düzeyinde raporları (gürültülü, kayıplı, dönüşüm başına) ve toplu özet raporları (istatistiksel olarak yansızlaştırılmış toplamlar) destekler. Eski piksel gibi bireysel kullanıcıdan dönüşüme bağlantıyı ifşa etmez.

Shared Storage ve Fenced Frames

Shared Storage, sıklık sınırlama ve A/B deneyi tutarlılığı gibi siteler arası kullanım senaryoları için her yere yazılabilen, sandbox'ta okunan bir anahtar-değer deposudur. Fenced Frames, çevreleyen sayfanın render edilen reklamı veya etkileşim verilerini okumasını önleyen yalıtılmış iframe'lerdir.

Privacy Sandbox Onay Gerektiriyor mu?

Bu, 2026 reklam teknolojisi ortamında en çok yanlış anlaşılan tek sorudur ve yanıt yargı bölgesine özgüdür.

GDPR ve ePrivacy Kapsamında

Avrupa Veri Koruma Kurulu genel bir pozisyon yayımlamamıştır, ancak ulusal otoriteler daha açık sözlü olmuştur. UK ICO, İtalyan Garante ve Fransa'nın CNIL'i, kişisel verileri işledikleri durumlarda, kullanıcının cihazına durum yazan veya okuyan herhangi bir işleme dahil olmak üzere, Topics ve Protected Audience'ın önceden opt-in onayı gerektirdiği görüşünü benimsemiştir. Mantık şudur: tarayıcı hâlâ ilgi konularını ve ilgi gruplarını yerel olarak depolar ve document.browsingTopics() çağrısı, çıkarılmış kişisel verileri bir üçüncü tarafa iletir. Bu, talep edilen hizmet için kesinlikle gerekli olanın ötesinde kullanıcının terminal ekipmanına herhangi bir erişim veya depolama için onay gerektiren ePrivacy Direktifi'nin 5(3). Maddesi kapsamında düzenlenmektedir.

Google'ın tutumu daha izin vericidir; API'lerin tasarım gereği gizlilik koruyucu olduğunu ve onay gerekliliklerinin tüm bağlamlarda geçerli olmayabileceğini öne sürmektedir. Bu, bir düzenleyici pozisyonu değildir. Privacy Sandbox'ı Avrupa'da onaydan muaf kabul etmek yüksek riskli bir tutum olacaktır.

CCPA, CPRA ve ABD Eyalet Yasaları Kapsamında

Amerika Birleşik Devletleri'nde, Privacy Sandbox akışları CPRA kapsamında bağlamlar arası davranışsal reklamcılık için kişisel bilgilerin paylaşımı olarak değerlendirilmektedir. Bu, opt-out hakkını tetikledikleri ve Global Privacy Control sinyalleri ile diğer evrensel opt-out mekanizmaları aracılığıyla yerine getirilmeleri gerektiği anlamına gelir. Topics verilerinin üçüncü taraf aracı tarafından satılmak yerine tarayıcıdan türetilmiş olması, onu bu kapsamın dışında tutmaz.

Chrome'un Kendi Kontrolleri

Chrome, Topics, Protected Audience ve Attribution Reporting için chrome://settings/adPrivacy adresinde kullanıcıya yönelik geçiş düğmeleri sağlar. Bu kullanıcı seçimleri, CMP'nizin onay durumunun yanında yer alır; onun yerini almaz. Bannerinızda reklam çerezlerine hayır, Chrome'un genel ayarlarında Topics'e evet diyen bir kullanıcı, banner aracılığıyla yine de hayır demiştir. Yığınınız iki sinyalin daha katı olanına uymak zorundadır.

Gerçekten İhtiyaç Duyduğunuz Onay Katmanı

Üretim düzeyinde bir 2026 onay yığını, Privacy Sandbox API'lerini her biri IAB TCF amaçları veya eşdeğer eyalet yasası kategorileri aracılığıyla geçirilen ayrı işleme faaliyetleri olarak ele alır.

Sandbox API'lerini TCF Amaçlarıyla Eşleştirme

• Topics API — Minimum olarak IAB TCF Amaç 2 (Temel reklamları seç) ve Amaç 3 (Kişiselleştirilmiş reklam profili oluştur); konular hedeflemeye besliyorsa Amaç 4 (Kişiselleştirilmiş reklamları seç).
• Protected Audience — Amaç 3 ve 4, artı açık artırma sonuç verilerini kullanıyorsa Amaç 7 (Reklam performansını ölç).
• Attribution Reporting — Amaç 7 (Reklam performansını ölç) ve Amaç 9 (İstatistikler aracılığıyla kitleleri anla).
• Sıklık sınırlama için Shared Storage — Kişiselleştirmeye beslendiği yerde Amaç 3 veya yalnızca sıklık kontrolü olduğu yerde meşru çıkar temeli.

Google Consent Mode v2 ile Eşleştirme

Google Consent Mode v2 sinyalleri Privacy Sandbox davranışıyla eşleşir:

• ad_storage reddedildi — Topics ve Protected Audience API çağrılarını tamamen devre dışı bırak
• ad_user_data reddedildi — Attribution Reporting'in kullanıcı kapsamlı veri göndermesini engelle
• ad_personalization reddedildi — Hedefleme mantığındaki Topics girdilerini atla

ABD Eyalet Sinyali İşleme

ABD trafiği için onay katmanınız Global Privacy Control'ü ve geçerli eyalet opt-out sinyallerini incelemelidir. Bir ABD kullanıcısı paylaşımı devre dışı bıraktığında, document.browsingTopics() işlevini bastırın, joinAdInterestGroup çağrısı yapmayın ve Attribution Reporting kayıt başlıklarını kaldırın.

Pratik Uygulama Kalıpları

Privacy Sandbox'ı zaten yayına almış yayıncılar genellikle iki mimari kalıptan birini izler.

Kalıp 1: Sunucu Taraflı Orkestrasyonu

Kökeninizde bulunan bir birinci taraf etiket yöneticisi onay durumunu, kullanıcı yargı bölgesini ve herhangi bir sinyal geçersiz kılmasını toplar, ardından Privacy Sandbox kancalarını sayfaya koşullu olarak render eder. Reklam sunucusu ve SSP, onay bayraklarını teklif isteği aracılığıyla alır ve Topics'i, Protected Audience'ı veya hiçbirini çağırıp çağırmayacaklarına karar verirler. Bu kalıp mantığı merkezileştirir ve onay durumunu yetkili tutar.

Kalıp 2: Header Bidding Wrapper Entegrasyonu

Prebid.js ve diğer header bidding wrapper'ları artık Privacy Sandbox modüllerini desteklemektedir. Wrapper, onay sinyalini okur, Topics çağrı davranışını yapılandırır ve izin verildiğinde açık artırma sonucunu Protected Audience aracılığıyla iletir. Bu yaklaşım daha kolay dağıtılır ancak istemciye daha fazla mantık aktarır ve wrapper yayın döngüsüne bağımlılığınızı artırır.

Denetlenecekler

• CMP'nin reklam onayı olumlu olmadıkça ve opt-out sinyali olmadıkça document.browsingTopics()'in çağrılmadığını doğrulayın
• joinAdInterestGroup ve runAdAuction'ın aynı koşullarla kısıtlandığını doğrulayın
• Attribution Reporting kayıt başlıklarının yalnızca onay durumu ölçüme izin veren kullanıcılara verilen yanıtlarda gönderildiğini doğrulayın
• TCF dizesindeki satıcı listenizin hâlâ envanterinizde Sandbox API'leri kullanan SSP'ler ve DSP'lerle eşleştiğini doğrulayın
• Gizlilik politikanızın Topics, Protected Audience ve Attribution Reporting'i yasal dayanak ve saklama süresiyle birlikte ayrı işleme faaliyetleri olarak tanımladığını doğrulayın

Privacy Sandbox'ın Yapmadıkları

Bütçenizi belirlemeden önce bazı yaygın yanlış anlamaların ortadan kalkması gerekiyor.

Onaydan Kaçınmanın Bir Yolu Değildir

API'ler reklamverenlere açıklanan kişisel verileri azaltır, ancak Avrupa hukuku kapsamında temel işlemi onaydan muaf kılmaz. Sandbox'ı benimsemenin CMP'yi atlamanıza izin verdiği uyumluluk teorisi, her AB/EEA yargı bölgesinde yanlıştır.

Bugün Çerezler için Tam Bir Yedek Değildir

Topics, genellikle çerez tabanlı kitlelere kıyasla daha zayıf olan kaba ve kayıplı bir hedefleme sinyali sunar. Protected Audience yeniden hedefleme ölçekleri hâlâ olgunlaşmaktadır. Attribution Reporting, küçük dönüşüm artışlarını gizleyebilecek ölçüm gürültü tabanlarına sahiptir. Tüm para kazanmayı bugün Sandbox'a taşıyan bir yayıncı, tipik envanterindeki çerez tabanlı bir yığına kıyasla %10-30 RPM düşüşü beklemelidir.

Mevcut Biçimiyle Kalıcı Değildir

Privacy Sandbox spesifikasyonu hâlâ gelişmektedir. Topics sınıflandırması genişliyor, Protected Audience ilgi grubu sınırları revize ediliyor ve düzenleyici yanıt devam ediyor. Onay katmanınızı mevcut spesifikasyona sabit kodlanmış değil, yapılandırma güdümlü olacak şekilde tasarlayın.

2026 için Doğru Tutum

Privacy Sandbox, birinci taraf verisi, satıcı tanımlı kitleler, bağlamsal hedefleme ve sunucu taraflı header bidding ile birlikte daha geniş bir çerezsiz stratejinin bir katmanı olarak en iyi şekilde anlaşılır. 2026'da kazanacak yayıncılar, onayı engel değil hakemci olarak görenler olacaktır; Sandbox API'lerini yalnızca yasanın ve kullanıcı tercihinin izin verdiği yerlerde besleyecek, başka her yerde bağlamsal reklamlara temiz bir şekilde geri dönecek ve kimliği varsaymayan araçlarla her iki yolda da sonuçları ölçeceklerdir.

En kötü tutum, bekle-gör tutumudur. Düzenleyiciler halihazırda kuralların bir sonraki dalgasını yazıyor; UK Competition and Markets Authority'nin Sandbox taahhütleri, devam eden CNIL kılavuzu ve AB Yapay Zeka Yasası'nın profil oluşturma hükümleri hepsi bu alana değiniyor. 2026'da Privacy Sandbox'ı düzgün şekilde kapılı bir onay yığınına entegre eden yayıncılar bu kurallar için hazır olacak. Bunu son dakika çerez yedeği olarak ekleyenler, baskı altında yeniden yazmak zorunda kalacaklar.