Eltűnnek a marketing sütik?!

Az egyre tudatosabb felhasználói rétegeknek (és a több száz millió eurós bírságoknak?) köszönhetően elérkezni látszik a pillanat, amikor az online piacot meghatározó gazdasági szereplők elkezdenek beállni a jogi szabályozás mögé. Globális változás következik, amire minden vállalkozásnak fel kell készülni, mivel az online elérhetőségük és marketingtevékenységük eredményessége a tét.

🔄 A cikket frissítettük ekkor: 2023.01.19.

A cookie-k közeli jövője

A technológiai óriások bejelentései szerint általánosságban tiltani fogják a harmadik féltől származó sütiket. Ez azért izgalmas, mert jellemzően ilyen sütik teszik lehetővé a felhasználó preferenciáinak mérésén alapuló hatékony, személyre szabott hirdetés-megjelenítést.

Egyes felmérések szerint a megkérdezett hirdetők kétharmada úgy gondolja, hogy nagyobb hatása lesz ennek a gyakorlatban, mint a GDPR bevezetésének. (Igen, de csak azért, mert a piaci szereplők nagy része vagy tudatosan a marketing érdekeinek alárendelve, vagy nem tudatosan, a jogszabály félreértése miatt, de a mai napig jogsértő módon alkalmazza ezeket az adatgyűjtő eszközöket.)

Íme egy rövid idővonal a kezdetekről:

• 2020. január – A Google bejelentette, hogy a következő két évben fokozatosan kivonja a harmadik féltől származó cookie-kat, hogy egy, az „adatvédelmet jobban előtérbe helyező webet” hozzon létre (ezt azóta többször elhalasztotta, az aktuális előrejelzés itt érhető el).
• 2020. március – Az Apple az iOS és iPadOS 13.4 és a Safari 13.1 verziójával mindenhol blokkolja a harmadik féltől származó cookie-k használatát.
• 2021. szeptember – Az iOS 14 verziófrissítésével az alkalmazásoknak engedélyt kell kérniük a felhasználók nyomon követésére. Ha a felhasználók nem engedélyezik ezt, az Apple nem osztja meg az alkalmazások szolgáltatóival az IDFA-t (egy azonosítót, amelyet a hirdetők a felhasználó eszközének azonosítására és a viselkedés nyomon követésére használnak).

Mindez azt jelenti, hogy alapvetően megváltozik a böngészési adatokon alapuló online marketingtevékenység technológiai megközelítése. A hirdetőknek, hirdetési szolgáltatóknak erre fel kell készülnie, mivel a más technológiák alkalmazására való áttérés szakmai és technikai ismereteket igényel. (Ami biztos, hogy a Universal Analytics már nem lesz használható, ahelyett a Google Analytics 4-re kell átállni.)

Adódik a kérdés: hogyan lehet helyettesíteni a hirdetésekhez használt sütiket?

Szerver oldali adatgyűjtés – egy alternatíva (?)

A Google Analytics 4 és a Facebook Ads + Conversion API megoldások már szerveroldalon végzik az adatgyűjtést. Akkor ezek alkalmazásával elintéztünk mindent? Nincs süti-telepítés a böngészőben, mehet az adatgyűjtés? Illetve, mégis csak van süti, ez esetben is?

Fontos, hogy azok a megoldások, melyek a harmadik féltől származó, a felhasználó egyedi azonosítását lehetővé tevő sütik által megvalósított adatgyűjtést és hirdetés-célzást más technológiával, de lényegében ugyanazon eredménnyel valósítják meg, jogi megítélésük szempontjából nem jelentenek alapvető különbséget. Pl. egy szerver oldali mérés, mely esetében csak annyi a lényegi különbség, hogy minden adatot a szolgáltató szerverén tárolnak – amennyiben az adatgyűjtés alkalmas a személyre szabott hirdetések célzására – lényegében ugyanazon jogi kötelezettségeket vonja maga után, mint a harmadik féltől származó sütik ilyen célú alkalmazása. Ráadásul az eddig elérhető információk alapján a szerver oldali mérés esetében is van süti a böngészőben, csak a segítségével gyűjtött adatokat már nem helyben tárolják, hanem a szerveren.

Nagyon fontos látni, hogy az ide vonatkozó előírások nem az adatgyűjtéshez használt technikai megoldáshoz kötődnek – pl. a „klasszikus”, harmadik féltől származó süti a böngészőben vagy szerver oldali mérés –, hanem magát az adatgyűjtési tevékenységet szabályozzák, és arra vonatkozóan írnak elő kötelezettségeket (függetlenül tehát az alkalmazott technológiától).

Tehát, ha csak más megoldást alkalmazunk, de hasonló adatgyűjtést hajtunk végre úgy, hogy mindez a felhasználó egyedi azonosítását is lehetővé teszi, akkor a jogi kötelezettségeink többnyire ugyanazok. Így az előzetes tájékoztatás és a hozzájárulás kérése – megfelelő tartalmú, sütikre (is) vonatkozó adatkezelési tájékoztató közzététele, és hozzájárulás-kezelő eszköz (pl. „felugró ablak”) megjelenítése – ugyanúgy szükséges. Ezt – és a sütik kapcsolódó témáit – itt fejtettük ki bővebben a PARK-on: Sütik kezelése – hány checkbox legyen, vagy ne?

Az egyes szolgáltatók konkrét megoldásait szemlélve a szerver oldali mérés inkább a harmadik felek kizárásában jelenthet nagyobb előrelépést, ez viszont a jogi megfelelés tekintetében külön téma.

A harmadik fél kérdésköre (a „süti-szolgáltatók”)

Külön szempontként említendő az, hogy az adatgyűjtésben részt vesz-e harmadik fél, ám a weboldal üzemeltetők kötelezettségeit ez is csak részben befolyásolja. Szó van arról, hogy a harmadik fél által szolgáltatott eszközöket a weboldal üzemeltetőjének/hirdetőnek a szerverére telepítik, vagy egy „nyomkövető” szerverre, ami utóbbiak felelősségi körében működik. Amennyiben ez azt jelenti, hogy a sütiket/követő kódokat szolgáltató harmadik fél (pl. Google) ennek köszönhetően nem is férhet hozzá – a felhasználó azonosítását is megengedő módon – az adatokhoz, akkor a harmadik fél kiiktatásra került az adatgyűjtésből (mármint a személyes adatokat tekintve). Ez abban jelenthet nagy változást, hogy az eddigi megoldások könnyen lehetővé tették azt, hogy az adott weboldal üzemeltetőjén kívül a harmadik fél közvetlenül, saját célra is gyűjtse a személyes adatokat, és ez a fenti feltételezés szerint pedig lehetetlenné válna. Pontosabban – a leírások szerint – az adott weboldal üzemeltetőjének döntésén múlik, hogy megosztja-e az adatokat a harmadik féllel.

Mindenesetre a harmadik fél kiiktatása a weboldal üzemeltetőjének fentebb vázolt fő kötelezettségein nem változtat, legfeljebb annyiban lesz könnyebb dolga, hogy nem kell neki gondoskodnia arról, hogy megfelelően tájékoztasson a harmadik fél adatgyűjtéséről is, és ahhoz is külön hozzájárulás(oka)t szerezzen.

A Google Chrome böngészőjével kapcsolatos FLEDGE javaslata bizonyos, a felhasználó érdekeit védő szabályok betartásával működtetett nyomkövető szerver alkalmazásával is foglalkozik. Ennél a megoldásnál a korábbiakhoz hasonlóan továbbra is szükség van mérési kódra. Az erre való átállás során a megfelelően konfigurált Google Tag Manager továbbra is fontos lesz. A teljes nyomkövető szerver megoldáshoz a Google saját felhőplatformját kínálja; ennél a szolgáltatásnál átlagosan havi 100 euró körüli költségre kell számítani. Ez az átállás is nehézségekkel jár, viszont pozitív hozadéka lehet a hatékonyság növelése; ha ez esetben nem kell számolni a reklámblokkolókkal vagy az intelligens nyomkövetés megakadályozásával.

A Google hosszú távon tervezett megoldása

Ez már érdekesebb adatvédelmi jogi szempontból is. A Google évek óta tartó fejlesztéssorozata több elképzelés alapján és több szálon indult el, iparági szereplők, hirdetők tesztelésbe való bevonásával. Minden irány azonban egy cél felé mutat, lehetővé tenni az eddigi – jellemzően harmadik féltől származó sütik által megvalósított – hatékony hirdetés-célzást és az ahhoz szükséges adatgyűjtést olyan módon, hogy mindez egyúttal a felhasználók privát szféráját, személyes adataik feletti rendelkezési jogát is tiszteletben tartsa (azaz megfeleljen az adatvédelmi jog – itt Európában a GDPR – előírásainak).

De miben más a Google terve?

Nagyon fontos sarokpontja a témának egyrészt az, hogy a felhasználó „profilozása” megtörténik-e, márpedig ez szükséges a hatékony hirdetés-megjelenítéshez. Másrészt az is fontos, hogy a hirdetés megjelenítése a felhasználó számára olyan módon történik-e, amiről kijelenthető, hogy egyénileg neki címzett hirdetés-megjelenítésről van szó.

Mindkettő megállapításához az szükséges, hogy valamilyen – akár közvetett – módon, de a konkrét felhasználót egyedileg azonosítsák. A harmadik féltől származó, ilyen célokra alkalmazott sütik rendszerint ebben segítenek, megjelölik a felhasználó böngészőjét, vagy éppen IP cím alapján azonosítással, de egyedileg a konkrét felhasználóhoz kötik a böngészési szokásairól gyűjtött adatokat és azonosítják a hirdetés megjelenítésének „helyét” (a felhasználó böngészőjét, böngészéshez használt eszközét).

A Google FLoC (W3C Software and Document License alapján) elképzelése szerint a felhasználókat nem egyedileg azonosítanák, hanem csoportokba sorolnák be, és a hirdetések egy adott – releváns – csoport számára jelennének meg. Tehát nem keletkeznek olyan adatok, melyek lehetővé tennék egy konkrét felhasználó egyedileg történő profilozását és célzását, illetve a hirdető számára nem lennének azonosíthatók az egyes felhasználók. (Utóbbi azért kérdésesnek látszik, mivel a leírásokban sokszor inkább az egyén tömegben való elrejtéséről olvashatunk, ami nem egyenlő azzal, hogy kizárt az azonosíthatósága.) A hirdető csak bizonyos érdeklődési körű és számára ismeretlen tagokból álló csoport számára célozhatná a hirdetéseit. Az eddigi tesztek eredményeire hivatkozva a Google bizakodóan nyilatkozott erről a megoldásról.

A FLoC továbbfejlesztésével – a jelenlegi ismeretek szerint – végső megoldásként a Google bejelentette a Topics API javaslatot. Ezzel újabb lépést tettek a felhasználó privát szférájának megőrzése felé, mivel ez a módszer lényegesen felszínesebb következtetéseket enged levonni a felhasználóra vonatkozóan a hirdetők számára („témák”: érdeklődési területek – mint „fitness”, „biciklizés” – meghatározása részletes profilépítés helyett). Továbbá a témák kiválasztásának alapját jelentő adatgyűjtés helyben történik a felhasználó böngészőjében, és a közlés szerint ezek az adatok ott is maradnak (még a Google szervereire sem kerülnek fel). Ezen kívül az így megállapított témákat a felhasználó a böngészőjében bármikor törölheti (a teljes funkciót is tilthatja), de a böngésző enélkül is 3 hetente „elévülteti” az adatokat. A böngésző a hirdetők felhasználó által meglátogatott weboldalaival csak a témákat osztja meg, illetve azok közül is csak az éppen aktuális témákból legfeljebb hármat.

Az ábrán bal oldalon láthatjuk a harmadik féltől származó cookie-k szemléltetését, jobb oldalon a Topics megoldást a Chrome böngészőben. Kétségtelen, hogy a felhasználó számára sokkal átláthatóbb az új tervezet, ami egyben a GDPR egyik alapvető törekvését is segít megvalósítani; az érintett (felhasználó) kezébe adni az irányítást a személyes adatainak kezelése felett.

A Topics API jelenlegi fázisban elérhető technikai leírása (felhasználási jogokra vonatkozó licenc megjelölés hiányában nem hivatkoztam be) alapján úgy tűnik, hogy ez a megoldás bár valóban nem enged mélyebb, konkrétabb betekintést a felhasználó érdeklődési körébe, viszont adott témát a felhasználó egyedi azonosítása mellett oszt meg a hirdetőkkel.

Mit jelent ez a GDPR tükrében?

A felkészülés keretében érdemes már most foglalkozni azzal, hogy ezek a megoldások mennyiben érintik a jogi kötelezettségeket. Az eddigi információk ismeretében maradnak még kérdések.

A FLoC – úgy tűnik elvetett – javaslat esetében a felhasználók tömegben történő elrejtésével nehezítette volna a Google az egyedi azonosítást (és érzékenyebb profilozást). Az aktuális Topics API esetében nincs szó egyelőre csoportképzésről, egyedileg azonosítva marad a felhasználó (böngészője), viszont csak az érdeklődési körök fő témái kerülnek meghatározásra, komolyabb szűkítés nélkül. Hogy az egyedi azonosítás mégse vezessen a felhasználó részletes profilozásához, ezt azzal nehezíti a Google, hogy ugyanarra a felhasználóra vonatkozóan egy bizonyos időszakban minden webhellyel csak egy, és egymástól eltérő témát oszt meg. Tehát adott felhasználó érdeklődési körébe tartozó különböző témákat „A” hirdető webhelye időben elszórtan, különböző alkalmak során kapja meg, ezzel párhuzamosan „B” hirdető weboldala az „A” hirdetővel megosztottaktól mindig eltérő témákat kap meg. A módszer nehezíti a felhasználó teljes érdeklődési körének meghatározását, az adott témába tartozó hirdetések megjelenítése viszont így is lehetséges. A témakörök rendszeres frissülése (böngészőbeli elévülése) is hozzájárul a felhasználó profilozásának nehezítéséhez.

Mindkét megoldásról kijelenthetjük, hogy érdemi lépéseket tesz egy adott felhasználó profilozásának megnehezítése érdekében, és a sütikkel folytatott adatgyűjtésekhez viszonyítva ez jelentősnek mondható előrelépés. A felhasználó egyedi azonosítása viszont úgy tűnik továbbra sincs kizárva, illetve a végeredmény továbbra is a valamilyen mértékben személyre szabott hirdetés célzott megjelenítése. Mindez azt jelenti, hogy személyes adatkezelés továbbra is megvalósul, és a személyre szabott, konkrét személy számára történő hirdetés megjelenítés is.

Árnyalja a kérdéskört még, hogy az adatvédelmi jog célja a magánszféra védelme, az érintett személy önrendelkezési jogának biztosítása is. Ezért csupán az, hogy én, mint hirdető, az alkalmazott technológiai megoldásnak köszönhetően nem, vagy csak nagyon nehezen tudom azonosítani az általam hirdetéssel célzott személyt, még nem mentesít az ide vonatkozó kötelezettségek alól, ha ezzel együtt meg tudok jeleníteni neki egy személyre szóló reklámot. Érthető, hiszen ezzel ugyanúgy „beavatkozom” a magánéletébe, ezt pedig feltételekhez köti a GDPR.

Amíg ez így van, addig teljesíteni kell az adatvédelmi jogi követelményeket, jelen esetben elsősorban a tájékoztatást (megfelelő tartalmú tájékoztatóval!) és a hozzájárulás beszerzését. Mindezt előzetesen, tehát az adatkezelés megkezdése előtt.

Viszont jelentős kockázat-csökkentő intézkedésként, egyúttal a felhasználó privát szférájának magasabb szintű védelmeként már így is elismerhető a tervezett átfogó módosítás.

Tehát a Google itt felvázolt törekvése már valóban érdemi lépést jelenthet az adatvédelmi jogi követelményeknek is megfelelő(bb), de mégis eredményes és fenntartható online marketing felé. Kíváncsian várjuk a végkifejlet részleteit, addig is érdemes szakértő informatikai és jogi segítséggel felkészülni a változásokra.

A cikk megírásában segítségemre volt Deák Sándor analitikus marketing szakértő.A témában mindig aktuális információk a Google Privacy Sandbox kezdeményezésének weboldalán elérhetők.