Global Privacy Control Sinyali Nedir?

Global Privacy Control, kullanıcının kişisel bilgilerinin satışından veya paylaşılmasından vazgeçme tercihini ileten tarayıcı tabanlı bir sinyaldir. İki şekilde iletilir: her giden istekle birlikte gönderilen bir HTTP istek başlığı (Sec-GPC: 1) ve bir boolean döndüren JavaScript özelliği (navigator.globalPrivacyControl). Bunlardan herhangi biri mevcut ve ayarlanmış olduğunda, kullanıcı belirli gizlilik yasalarının uymanızı zorunlu kıldığı yasal açıdan anlamlı bir tercih ifade etmiştir.

GPC, başarısız olan Do Not Track (DNT) deneyinin yerini almak üzere tasarlanmıştır. DNT'nin yasal dayanağı olmadığından reklamverenler ve yayıncılar bunu sonuçsuz biçimde görmezden gelebiliyordu. GPC farklıdır; çünkü California düzenleyicileri bunu doğrudan CPRA düzenlemesine yazmıştır ve ardından gelen eyalet yasaları da bu yaklaşımı benimsemiştir.

Günümüzde Hangi Tarayıcılar GPC Gönderiyor?

2026 itibarıyla GPC, tüm büyük tarayıcılarda yerel olarak desteklenmekte ya da uzantı aracılığıyla kullanılabilmektedir:

• Firefox — yerel, gizlilik ayarlarından etkinleştirilebilir
• Brave — tüm kullanıcılar için varsayılan olarak etkin
• DuckDuckGo tarayıcısı ve mobil uygulamaları — varsayılan olarak etkin
• Safari — uzantılar ve iOS gizlilik yapılandırması aracılığıyla kullanılabilir
• Chrome ve Edge — resmi GPC uzantısı ve çeşitli gizlilik eklentileri aracılığıyla kullanılabilir

Tahminler, ABD web trafiğinin yüzde 8 ile 15'i arasında bir bölümünün artık GPC sinyali taşıdığını ve gizlilik odaklı demografilerde bu oranın belirgin biçimde daha yüksek olduğunu göstermektedir. Orta büyüklükteki bir yayıncı için bu, vazgeçme haklarını ihlal etmeden geleneksel davranışsal hedeflemeyle para kazanılamayan kayda değer bir envanter payını temsil etmektedir.

Hangi Gizlilik Yasaları GPC'yi Yasal Olarak Bağlayıcı Kılmaktadır?

GPC, tek bir federal gereklilik değildir. Uygulanabilirliği, her biri biraz farklı kapsam ve yaptırımlara sahip eyalet yasalarına dağılmış durumdadır.

California — CPRA ve CCPA

California Başsavcısının nihai CCPA yönetmelikleri, işletmelerin GPC'yi satıştan ve paylaşımdan geçerli bir vazgeçme olarak ele almasını açıkça zorunlu kılmaktadır. 1,2 milyon dolar ceza ile sonuçlanan 2022 Sephora uzlaşması, GPC'nin bir vazgeçme sinyali olarak işlenmemesini temel ihlallerden biri olarak özellikle belirtmiştir. California Gizlilik Koruma Ajansı, 2024 ve 2025 boyunca agresif uygulama sürdürmüş olup GPC yönetimi artık standart bir denetim odak noktası haline gelmiştir.

Colorado Gizlilik Yasası

CPA, 1 Temmuz 2024'ten itibaren denetleyicilerin bir Evrensel Vazgeçme Mekanizması (UOOM) tanımasını zorunlu kılmaktadır. Colorado Başsavcısı, teknik özelliklerinde GPC'yi onaylanmış UOOM olarak açıkça belirlemiştir.

Connecticut Veri Gizliliği Yasası

CTDPA, 1 Ocak 2025'te Colorado ile aynı ruhta bir UOOM tanıma gerekliliğiyle yürürlüğe girmiştir. Connecticut'ta faaliyet gösteren işletmeler, hedefli reklamcılıktan ve kişisel veri satışından vazgeçme işlemleri için GPC'ye uymak zorundadır.

2026'da Ek ABD Eyaletleri

• Oregon — Oregon Tüketici Gizliliği Yasası, evrensel vazgeçme mekanizmalarını tanımaktadır
• Texas — TDPSA, 1 Ocak 2025'e kadar evrensel vazgeçme tanıması gerektirmektedir
• Delaware, New Jersey, New Hampshire — benzer UOOM hükümleri yürürlükte ya da aşamalı olarak hayata geçiriliyor
• Montana — Ekim 2024'ten itibaren geçerli, GPC tanıma gereklilikleri içermektedir

Avrupa ve GDPR Hakkında Ne Söylenebilir?

GPC, AB GDPR veya ePrivacy Direktifi kapsamında açıkça zorunlu tutulmamaktadır. Ancak bazı Avrupa düzenleyicileri, tarayıcı düzeyinde açık bir vazgeçme işlemini dikkate almanın yasanın ruhuna uygun olduğunu gayri resmi biçimde belirtmiştir. Uygulamada, küresel kitlelere hizmet veren yayıncılar, AB kullanıcılarından gelen bir GPC sinyalini en azından yasal dayanağı olmayan izleme piksellerini bastırmak için güçlü bir sinyal olarak değerlendirmelidir.

GPC, CMP'niz ve Onay Modunuzla Nasıl Etkileşime Giriyor?

GPC'yi doğru şekilde uygulamak, onay yönetim platformunuzla, etiket yönetim sisteminizle ve sunucu tarafı izleme altyapınızla entegrasyonu gerektirmektedir. Yalnızca istemci tarafı çerezlerini engelleyen basit bir entegrasyon, sunucudan sunucuya veri paylaşımına da uygulanan çoğu eyalet hukuku gereksinimini karşılamaz.

Uyumlu Bir GPC Akışının Dört Adımı

1. Sinyali algılayın: Sayfa yüklenirken navigator.globalPrivacyControl okuyarak ve sunucu tarafında Sec-GPC istek başlığını inceleyerek.
2. Banner'ı gizleyin: GPC'nin ön vazgeçme işlevi gördüğü ABD'li kullanıcılar için ya da ilgili vazgeçme işlemleri zaten uygulanmış biçimde banner'ı görüntüleyin.
3. Vazgeçmeyi yayın: Etiket yöneticinize, onay modu yapılandırmanıza, sunucu tarafı izleme uç noktalarına ve tüm veri paylaşım ortaklıklarına (reklam ağları, SSP'ler, analitik satıcıları).
4. Sinyali kayıt altına alın: Zaman damgası, geçerliyse kullanıcı tanımlayıcısı ve uygulanan belirli vazgeçmelerle birlikte bir uyumluluk kanıtı olarak.

GPC ve Google Consent Mode v2

Google Consent Mode v2, GPC ile doğrudan eşleşen iki sinyal sunmuştur: ad_user_data ve ad_personalization. Bir GPC sinyali algılandığında her ikisi de kullanıcı oturumu süresince denied olarak ayarlanmalıdır. Bu, Google mülklerine ulaşan verilerin kişiselleştirilmiş reklamcılık için kullanılmak yerine çerez gerektirmeyen modellemeye düşürülmesini sağlar. GPC'yi Consent Mode'a yayamamak, yayıncı denetimlerinde gördüğümüz en yaygın uygulama açıklarından biridir.

Sunucu Tarafı ve Ölçüm API'leri

GPC, tüm işlemler için geçerlidir; yalnızca tarayıcı çerezleri için değil. Stack'inizde Meta Conversions API, TikTok Events API veya Google'ın Measurement Protocol'ü kullanılıyorsa bu çağrılar da vazgeçme işlemine saygı göstermelidir. Yaygın bir hata kalıbı: istemci tarafındaki banner Meta Pixel'i engelliyor ancak sunucu tarafı entegrasyon, karma email verileriyle etkinlik tetiklemeye devam ediyor. Bu, CCPA satıştan vazgeçme hakkının klasik bir ihlaline örnektir.

Yaygın Uygulama Hataları

Yayıncı denetimlerinde karşılaştığımız en sık GPC uyumluluk başarısızlıkları öngörülebilir kategorilere girmektedir.

Hata 1: GPC'yi Yalnızca Çerez Vazgeçmesi Olarak Ele Almak

Pek çok CMP, GPC algılandığında yalnızca gerekli olmayan çerezleri devre dışı bırakmaktadır. Ancak eyalet yasaları, "satış" ve "paylaşım" tanımlarını sunucu tarafı veri aktarımlarını, sadakat programı profillemesini ve birinci taraf veri sendikasyonunu da kapsayacak biçimde yapmaktadır. Çerez banner'ınız GPC'ye saygı gösterse de arka uç sisteminiz kullanıcı profillerini bir veri komisyoncusuna göndermeye devam ediyorsa uyumlu değilsinizdir.

Hata 2: Kimliği Doğrulanmış Kullanıcılar için GPC'yi Görmezden Gelmek

Bir kullanıcı oturum açmışsa GPC sinyali yine de geçerlidir. Bazı yayıncılar kimliği doğrulanmış ilişkileri örtülü bir geçersiz kılma olarak değerlendirmektedir. Düzenleyiciler bu görüşe katılmamaktadır. Vazgeçme, CRM dışa aktarımlarına, e-posta listesi paylaşımına ve yeniden hedefleme kitlesi yüklemelerine kadar uzanmaktadır.

Hata 3: Coğrafi Kapsam Mantığı Olmamak

GPC şu anda yalnızca vazgeçme yasaları olan eyaletlerdeki kullanıcılar için yasal açıdan bağlayıcıdır. Bunu küresel ölçekte sert bir engel olarak uygularsanız, yasal etkisinin bulunmadığı yargı bölgelerinden gelen trafikte para kazanma fırsatını kaybedersiniz. Doğru biçimde kapsamlı bir uygulama, ilk filtre olarak IP coğrafi konumlandırmasını kullanır; GPC'yi bağlayıcı olduğu eyaletlerdeki kullanıcılara uygular ve diğer yerlerde normal bir onay akışı sunar.

Hata 4: Vazgeçme Onayını Unutmak

Özellikle California'daki bazı yasalar, kullanıcıların vazgeçmelerinin işlendiğine dair onay almasını beklemektedir. Küçük bir bildirim — "Global Privacy Control sinyali algıladık ve kişisel bilgilerinizin satışından vazgeçmenizi sağladık" — orantısız düzenleyici değere sahip düşük maliyetli bir uyumluluk kanıtıdır.

Reklam Gelirlerine Etkisi

GPC'nin gelir etkisi, trafik karışımınıza, para kazanma stratejinize ve stack'inizin çerez gerektirmeyen envanteri ne kadar zarif yönettiğine büyük ölçüde bağlıdır. Çalıştığımız yayıncılarda GPC sinyali olan kullanıcılar, bağlamsal ve kişiselleştirilmemiş reklamlar sunulduğunda tam onay vermiş kullanıcıların genellikle yüzde 40 ila 70'i kadar para kazandırmaktadır. Güçlü birinci taraf veri stratejilerine, sunucu tarafı header bidding'e ve çeşitlendirilmiş talep ortaklarına sahip yayıncılar bu açığı daha da kapatmaktadır.

GPC'ye verilen yanlış yanıt onu görmezden gelmektir; çünkü düzenleyici olumsuz taraf — çok milyonluk para cezaları, CCPA özel dava hakkı kapsamındaki toplu davalar ve itibar zararı — kısa vadeli RPM kaybını çok aşmaktadır. Doğru yanıt, GPC kullanıcılarını kaybedilmiş envanter olarak değil premium bağlamsal kitle olarak değerlendiren çerez gerektirmeyen bir para kazanma yolu oluşturmaktır.

2026'da Yayıncılar için Eylem Kontrol Listesi

• CMP'nizi, hem navigator.globalPrivacyControl'ü hem de Sec-GPC HTTP başlığını algıladığını doğrulamak üzere denetleyin
• GPC yayılımını Google Consent Mode v2, Meta Conversions API ve tüm sunucu tarafı izleme uç noktalarına haritalayın
• GPC'nin uygulanabilir ABD eyaletlerinde bağlayıcı, diğer yerlerde güçlü bir sinyal olarak ele alınması için coğrafi kapsam uygulayın
• Her GPC algılamasını ve uygulanan vazgeçmeleri kayıt altına alın; günlükleri ilgili yasanın gerektirdiği süre boyunca saklayın (genellikle 24 ay)
• GPC algılandığında ve uygulandığında görünür bir onay mesajı görüntüleyin
• Reklam stack'inizi çerez gerektirmeyen gelir alternatifi için gözden geçirin: bağlamsal hedefleme, satıcı tanımlı kitleler, bağlamsal parametreli anlaşma kimlikleri
• Geçerliyse GPC yönetimini yıllık gizlilik politikası incelemenize ve DPIA'nıza dahil edin

GPC ortadan kalkmayacak. Yörünge açıktır: daha fazla ABD eyaleti evrensel vazgeçme gereklilikleri benimseyecek, tarayıcılar varsayılan olarak GPC göndermeye devam edecek ve düzenleyiciler sinyalin uygulanmamasını birinci öncelikli uygulama konusu olarak değerlendirmeye devam edecektir. 2026'da GPC yönetimini onay ve para kazanma stack'lerinin çekirdeğine yerleştiren yayıncılar, bir sonraki gizlilik mevzuatı dalgası için iyi konumlanmış olacaktır. Bunu sonradan düşünen olarak ele alanlar ise birkaç günlük mühendislik çalışmasıyla önlenebilecek uygulama işlemlerine karşı savunma yapmak zorunda kalacaktır.