Yayıncılar için 2026'da EU-US Veri Gizliliği Çerçevesi (DPF) Çerez Onayı Rehberi
The EU-US Data Privacy Framework (DPF), çerez tanımlayıcıları, IP adresleri, karma e-postalar ve reklam isteği verileri dahil olmak üzere Avrupa kişisel verilerinin — her yayıncının kendi Standart Sözleşme Maddelerini (SCCs) ayrı ayrı müzakere etmesine gerek kalmaksızın — ABD merkezli satıcılara aktarılmasını sağlayan yasal çerçevedir. Avrupa Komisyonu tarafından Temmuz 2023'te kabul edilen ve artık gerçek dünyada birkaç yıldır kullanılan DPF, geçersiz kılınan Privacy Shield'ın yerini almak için yapılan üçüncü girişimdir ve Avrupa Birliği Adalet Divanı'nda yeniden yasal meydan okumayla karşı karşıyadır. ABD merkezli SSP'ler, DSP'ler, analitik araçlar ve CMP'ler üzerinden AB trafiği yönlendiren yayıncılar için DPF'i — ve üzerinde duran onay katmanını — anlamak artık isteğe bağlı değildir. Bu rehber, DPF'in gerçekte neye izin verdiğini, çerez onayının nasıl uyduğunu ve çerçeve yeniden iptal edilirse transferlerinizi savunulabilir kılacak operasyonel adımları açıklar.
DPF Gerçekte Ne Yapar
DPF, Avrupa Komisyonu tarafından GDPR'ın 45. maddesi kapsamında verilen bir yeterlilik kararıdır. Yeterlilik kararı, üçüncü bir ülkenin — bu durumda Birleşik Devletler'in — kişisel veri koruması açısından AB'ye esasen eşdeğer bir düzey sağladığını, ancak yalnızca belirli bir çerçeveye dahil olmayı seçen kuruluşlar için geçerli olduğunu belirtir. DPF katılım mekanizmasıdır. ABD şirketleri Ticaret Bakanlığı'na kendilerini tescil ettirir, bir dizi Gizlilik İlkesine bağlı kalmayı taahhüt eder ve bu taahhütlere ilişkin FTC veya DOT yaptırımına tabi olur.
AB yayıncısı için pratik etki, kişisel verilerin DPF sertifikalı bir ABD satıcısına — ayrı SCCs'ler, o satıcıya özgü TIA'lar veya Schrems II kararının ardından gerekli olan türde ek tedbirler olmaksızın — aktarılabilmesidir. DPF, hukuki zemin katmanındaki ağır işi yapar.
DPF'in yapmadığı ve yayıncıların sürekli yanlış anladığı üç şey:
- Onayın yerini almaz. AB ziyaretçisine zorunlu olmayan bir çerez yerleştirmek, verinin nereye ulaştığından bağımsız olarak hâlâ GDPR/ePrivacy düzeyinde onay gerektirir.
- Sertifikalı olmayan ABD satıcılarına yapılan transferleri kapsamaz. SSP'niz veya analitik sağlayıcınız aktif DPF listesinde değilse hâlâ SCCs ve TIA gereklidir.
- Sertifikalı kapsam dışında faaliyet gösteren ABD yan kuruluşlarına yapılan transferleri kapsamaz. Pek çok büyük satıcı yalnızca belirli iş birimlerini sertifikalandırır.
Çerez Onayı Hâlâ Ön Kapıdır
DPF yolculuğun transfer ayağını çözer. Çerezin bırakıldığı, reklam kimliğinin okunduğu veya bir etikete olay gönderildiği an için hiçbir şey yapmaz. O an; ePrivacy Direktifi (Madde 5(3)) ve GDPR (Madde 6 ve 7) tarafından düzenlenir. Her ikisi de terminal ekipmanı depolama alanına zorunlu olmayan her türlü erişim için önceden bilgilendirilmiş, belirli ve özgür iradeyle verilmiş onay talep eder.
Başka bir deyişle, yığınınızdaki her satıcı DPF sertifikalı olsa bile şunları yapan bir Onay Yönetim Platformuna ihtiyacınız vardır:
- Onay alınmadan önce zorunlu olmayan çerezleri ve etiketleri engeller.
- Tümünü reddet seçeneğini tümünü kabul et ile eşit düzeyde sunar (EDPB bu konuda 2022'den bu yana açık bir tutum sergilemiştir).
- Onay olayını değiştirilemez zaman damgası ve kullanıcının gerçekte gördüğü bildirimin bir kopyasıyla kaydeder.
- Onay durumunu TCF v2.3, Google Consent Mode v2 veya satıcıya özgü API'ler aracılığıyla her yönlendirme aracına iletir.
DPF, transfer için yasal dayanağın yerini alır; CMP, toplama için yasal dayanağı sağlar. Herhangi bir tarafı atlamak sizi açık bırakır.
Satıcının DPF Durumu Nasıl Doğrulanır
ABD Ticaret Bakanlığı, resmi DPF listesini dataprivacyframework.gov adresinde yayımlamaktadır. Bir satıcının DPF iddiasına güvenmeden önce listelemesinde üç şeyi kontrol edin.
Aktif Sertifikasyon Durumu
Sertifikasyonların yıllık olarak yenilenmesi gerekir. Durumu Etkin Değil, Geri Çekildi veya Süresi Doldu okunan bir satıcı, pazarlama sayfaları hâlâ DPF rozeti görüntülese bile transfer mekanizmanız olarak güvenilemez. Listelemeyi satıcı envanterinize ekleyin ve her üç ayda bir yeniden kontrol edin.
Kapsanan Kuruluşlar ve Bağlı Şirketler
Pek çok holding şirket bazı bağlı kuruluşları sertifikalandırır, bazılarını sertifikalandırmaz. DPA'nızdaki sözleşme tarafı, sertifikalı kuruluşla eşleşmelidir. Sık yapılan bir hata, DPF sertifikası Delaware'deki Acme Inc. tarafından tutulan durumlarda Acme Marketing UK Ltd ile imzalanmasıdır; veri akışı o zaman sertifikalı kapsamın dışına çıkar.
Kapsanan Veri Kategorileri
DPF, sertifikasyonların yalnızca İK verisi, İK dışı veri veya her ikisiyle sınırlı tutulmasına izin verir. Yalnızca İK dışı sertifikasyon reklam ve analitik verilerinizi kapsar; yalnızca İK sertifikasyonu kapsamaz. Listelemeyi dikkatlice okuyun.
Satıcı DPF Sertifikalı Olmadığında Ne Yapılır
Pek çok kullanışlı ABD satıcısı — özellikle küçük ad-tech oyuncuları ve niş analitik araçları — hiç sertifikalanmamış ya da sertifikasyonlarının sona ermesine izin vermiştir. Bunlar için DPF alakasızdır ve 2023 öncesi araç setine geri dönersiniz:
- Standart Sözleşme Maddeleri (SCCs) — 2021 tarihli modül 2 veya modül 3 sürümleri, her iki tarafça imzalanmış ve DPA'ya dahil edilmiştir.
- Transfer Etki Değerlendirmesi (TIA) — ABD gözetim hukuku, risk altındaki veri kategorileri ve maruziyeti azaltan teknik ile organizasyonel tedbirlere ilişkin satıcıya özgü analiz.
- Ek tedbirler — iletim sırasında ve beklemede şifreleme, takma ad kullanımı, sözleşmeye dayalı şeffaflık taahhütleri ve ABD hükümeti erişim talepleri için belgelenmiş bir yanıt planı.
Yığınınızdaki her ABD satıcısını, her biri için kullanılan yasal dayanağı (DPF, SCCs, istisna) ve en son inceleme tarihini listeleyen bir kayıt tutun. Düzenleyiciler ve denetçiler bu kaydı isteyecektir; kayda sahip olmamak başlı başına bir bulgudur.
Schrems III Riski ve Geleceği Nasıl Güvence Altına Alırsınız
Gizlilik savunucusu Max Schrems ve kuruluşu NOYB, DPF'in kabul edilmesinin hemen ardından yürütme kararnamesi 14086 (EO 14086) kapsamındaki ABD gözetim reformunun hâlâ AB temel hak standartlarının altında kaldığını öne sürerek dava açtı. CJEU'ya gönderme yaygın olarak beklenmekte; çerçevenin iptal edilme olasılığı — yirmi yılda üçüncü kez — göz ardı edilemeyecek bir düzeydedir.
2020'de Privacy Shield'ı tek transfer mekanizması olarak ele alan yayıncılar, Schrems II onu geçersiz kıldığında tek gecede çözüm bulmak zorunda kaldı. DPF'i yedek mekanizma hazır tutarak birincil mekanizma olarak ele alarak aynı durum bu sefer önlenebilir.
Her DPA'da SCCs'leri Saklayın
DPA'larınızın, DPF yeterlilik kararı geçersiz kılınırsa veya satıcının sertifikasyonu sona ererse otomatik olarak devreye giren bir yedek madde olarak 2021 SCCs'lerini içermesi için ısrarcı olun. Bu artık standart dildir; bir satıcı reddederse bu bir uyarı işaretidir.
Yine de TIA Yürütün
DPF, TIA için yasal zorunluluğu ortadan kaldırır; ancak hafif bir TIA yürütmek — özellikle hassas reklam sinyalleri veya büyük AB popülasyonlarıyla ilgilenen satıcılar için — çerçeve çöktüğünde savunulabilir belgeler sağlar. Maliyeti düşük tutmak için satıcılar genelinde aynı şablonu yeniden kullanın.
Matematiğin İşe Yaradığı Yerde Yerelleştirin
Bazı kullanım durumları için — birinci taraf analitik, oturum açmış kullanıcılara ilişkin davranışsal veriler veya hassas içerik siteleri — AB'de barındırılan ve AB tarafından kontrol edilen bir satıcıya geçmek transfer sorusunu tamamen ortadan kaldırır. Maliyet-fayda analizi yalnızca yüksek riskli veya yüksek hacimli akışlar için anlam ifade eder, ancak bir seçenek olarak yol haritasında yer almalıdır.
DPF'i CMP'nize Entegre Etmek
Modern bir CMP, DPF'i doğrudan uygulamaz — "bu transfer DPF kapsamındadır" diyen bir GPP veya TCF alanı yoktur. CMP'nin yapması gereken, düzenleyicinin nihayetinde talep edeceği belgeleri destekleyecek şekilde her satıcı için onay toplamaktır.
Satıcı Bazında Ayrıntılılık
Tüm ABD'li ad-tech satıcılarını tek bir "Pazarlama" geçişinde toplamak artık savunulabilir değildir. Sertifikalı CMP'lerin büyük çoğunluğunun senkronize ettiği TCF v2.3 satıcı listesi, satıcı başına amaçlar ve yasal dayanaklar sağlar. Onu kullanın. Bir düzenleyici "Y tarihinde Satıcı X'e kişisel veriler hangi gerekçeyle aktarıldı?" diye sorduğunda bir TCF dizesini, DPF sertifikasyon kaydını ve DPA'yı gösterebilmeniz gerekir.
Gizlilik Bildirimini Afiş'te Yansıtın
Gizlilik bildiriminizdeki alıcı listesi, onaydan sonra yüklenen satıcı listesiyle tam olarak eşleşmelidir. Uyumsuzluklar en kolay yaptırım hedefidir — İspanyol AEPD ve Fransız CNIL, 2024'te aktif ortakları atlayan satıcı listeleri nedeniyle yayıncılara para cezası uyguladı.
Onay Anında Satıcı Durumunu Kaydedin
Her onay olayı için hangi satıcıların TCF GVL'de yer aldığını, hangilerinin DPF sertifikalı olduğunu ve her birinin hangi yasal dayanağa güvendiğini anlık görüntüyle saklayın. Bu, stresli bir düzenleyici mektubunu rutin bir yanıta dönüştüren denetim izididir. FlexyConsent ve diğer Google sertifikalı CMP'ler bu günlük kaydını kutudan çıkar çıkmaz sunar; pek çok eski afiş bunu yapmaz.
Pratik Geçiş Kontrol Listesi
DPF öncesi veya kısmi DPF kurulumundan mevcut bir siteyi 2026 için temiz bir yapılandırmaya taşıyorsanız şu listeyi çalışın:
- Etiket yöneticinizde, reklam yığınınızda ve sunucu taraflı kapsayıcınızda her ABD satıcısını envantere ekleyin.
- Her birini aktif DPF listesiyle çapraz referanslayın. DPF kapsamında, SCC kapsamında veya eylem gerekiyor olarak sınıflandırın.
- 2021 SCCs'lerini otomatik yedek olarak dahil etmek için DPA'ları güncelleyin.
- DPF durumundan bağımsız olarak yüksek riskli satıcılar için TIA yürütün.
- CMP'nizin satıcı başına onay kullanıcı arayüzü sunduğunu ve TCF v2.3'ü desteklediğini doğrulayın.
- Google Consent Mode v2'nin GA4, Ads ve sinyal kaybı araçlarına bağlandığını doğrulayın.
- Sertifikaları, GVL üyeliğini ve DPA sürümlerini yeniden kontrol etmek için takvime üç aylık inceleme ekleyin.
- DPF geçersiz kılınırsa ne değişeceğini hukuk ve reklam operasyonlarına birlikte açıklayın; böylece yanıt planı baskı altında icat edilmez.
Yaygın Yanılgılar
Yayıncı denetimlerinde tekrar eden ve açık düzeltme gerektiren bazı hatalar vardır.
"DPF sertifikalı olduğumuz için onaya gerek yok." Hayır. DPF bir transfer mekanizmasıdır. Onay bir toplama gereksinimidir. Farklı yasal katmanlarda yer alırlar.
"CDN'imiz ABD merkezli, dolayısıyla DPF onu kapsıyor." Ancak CDN'nin kendisi ilgili veri kategorileri için DPF sertifikalıysa. Pek çok altyapı sağlayıcısı, soruyu tamamen geçersiz kılan AB bölgeleri sunmaktadır.
"Satıcı X DPF'e hazır olduklarını söylüyor." Pazarlama dili. Resmi listeyi, sertifikalı kuruluş adını ve veri kategorilerini kontrol edin.
"DPF çerez afiş'in yerini aldı." Hayır. ePrivacy Direktifi'nin önceden onay kuralı, GDPR'ın transfer kurallarından bağımsızdır. Her ikisi de geçerlidir.
Sonuç
DPF, 2026 transatlantik ad-tech'i 2021'e kıyasla operasyonel olarak daha basit hale getiriyor; ancak yayıncıları çerez onayı, satıcı durum tespiti veya transfer dokümantasyonundan muaf tutmuyor. DPF'i birkaç geçerli transfer mekanizmasından biri olarak ele alın, SCCs'leri sözleşmeye dayalı yedek olarak tutun, korunan bir satıcı envanterine karşı satıcı başına onay kaydeden bir CMP çalıştırın ve çerçevenin hukuki istikrarının koşullu olduğunu varsayın. Bu dayanıklılığı şimdi inşa eden yayıncılar, bir Schrems III kararı önceki ikisi gibi sonuçlanırsa tek gecede yeniden mimari oluşturmak zorunda kalmaz. DPF'i kalıcı bir cevap olarak ele alanlar, kendilerini Privacy Shield'ın geçersiz kılınmasının ardından yaşanan aynı sıkışıklığa hazırlıyor — yalnızca bu sefer düzenleyiciler daha az sabırlı ve para cezaları daha yüksek.