Adtech és adatvédelem

Az Európai Általános Adatvédelmi Rendelet (GDPR) és az elektronikus kommunikációt érintő jogi változások jelentősen átformálták a reklámipart érintő korábbi szabályozási környezetet, így a különböző reklámtechnológiai (ún. Adtech) szolgáltatások piacát is.

Adtech szolgáltatások

Adtech szolgáltatások: a közösségi médiaoldalakon, valamint jelentős forgalmú honlapokon és alkalmazásokon (pl. nagyobb webáruházok, applikációk) keresztül használt viselkedésalapú és egyéb, az érintettek tevékenységéhez kötődő marketingeszközök.

• Jelentős mennyiségű személyes adatot kezelnek a felhasználókról.
• Lehetővé teszik felhasználói profilok és Big Data adatbázisok építését / értékesítését.
• Az egyes reklámüzenetek és marketingkampányok személyre szabhatók.

Real-Time Bidding (RTB) megoldások – kiemelt szerepet töltenek be. Az algoritmusok különböző forrásokból elérhető adatok (pl. böngészési előzmények, helymeghatározási és vásárlási adatok) alapján lehetővé teszik a targetált reklámtevékenységet, valamint online reklámfelületek licitalapú, algoritmusok által végzett értékesítését a potenciális vevők számára.

A szolgáltatók szerint az adtech javítja a felhasználók élményét, mert nem kapnak többet érdektelen, zavaró hirdetéseket.

Az adatvédelmi hatóságok kiemelt figyelemmel kísérik az adtech-et

• Az angol adatvédelmi hatóság (Information Commissioner’s Office – ICO) 2019. júniusában adta ki az adtech iparról és az RTB-ről szóló jelentését („Update report into adtech and real time bidding”). Ez az első olyan átfogó anyag, amely a fenti megoldások és szolgáltatások adatvédelmi szempontjait részletesen elemzi, feltárva az egyes iparági hiányosságokat.

A hatóság megközelítését Elizabeth Denham adatvédelmi biztos asszony foglalta össze: „Egyértelműen tudjuk, mely területekkel kapcsolatban vannak fenntartásaink, és változásokat várunk a szolgáltatóktól.”

• Az RTB adatvédelmi szempontjaival a francia adatvédelmi hatóság (Commission nationale de l’informatique et des libertés – CNIL) is foglalkozott.

Mi történt? A CNIL egy Vectaury nevű céget vizsgált, amely applikációkba beépíthető alkalmazásával gyűjtött adatokat a felhasználókról, és továbbította azokat ügyfeleinek (applikációt biztosító társaságoknak) marketingtevékenységük támogatása érdekében.

Mit kifogásolt a CNIL?

• Az alkalmazás többek között akkor is gyűjtött lokációs (az érintett eszközök földrajzi helyzetét mutató) adatokat a felhasználókról, amikor az adott applikáció nem volt bekapcsolva. Ezeket az adatokat azután arra használták, hogy földrajzi alapú hirdetéseket küldjenek a felhasználók számára.”
• A Vectaury RTB módszerrel értékesített hirdetési helyeket ügyfelei részére, azonban sem erről, sem a fenti lokációs adatok felhasználásáról nem tájékoztatta a felhasználókat.

Adtech – a legfontosabb adatvédelmi kérdések

1. Az érintettek hozzájárulásának beszerzése

A személyes adatok kezeléséhez, továbbításához, értékesítéséhez szükség lehet az érintettek (pl. az adott applikációt használó vagy honlapot látogató személyek) hozzájárulására, különösen az RTB megoldásokkal összefüggésben.

2. Online reklámfelületek programozott adásvétele („programmatic ad buying”)

• Különböző forrásokból elérhető adatok alapján lehetővé teszi targetált reklámtevékenység folytatását a potenciális vevők számára (pl. Google Ad Manager).
• Rendkívül nagyszámú felhasználói adat elemzésével (profilalkotással) jár.

Kiemelten fontos, hogy az érintettek számára áttekinthető legyen az adataik kezelése. A vevőknek és eladóknak be kell szerezniük az érintettek hozzájárulását, és az adatkezelési tájékoztatóikban áttekinthetően el kell magyarázniuk a fenti műveleteiket.

3. Social Listening eszközök

A közösségi oldalakon folytatott analitikai és egyéb marketing eszközöket, valamint az érintett cégre vagy termékre/szolgáltatásra tett észrevételeket figyelő Social Listening eszközöket alkalmazó cégek adatkezelési tájékoztatóikban közérthető tájékoztatást kell adniuk:

• az egyes elemzési folyamatokról és az azok mögött álló logikáról, és
• az érintettekre gyakorolt hatásokról (pl. mi alapján jut el az érintett vásárlóhoz a szolgáltató által küldött kupon).

4. A közösségi médiaszolgáltatók szerepe

• A közösségi oldalakon folytatott különböző marketingtevékenységek kapcsán folytatott adatgyűjtésekkel már az Európai Bíróság is foglalkozott, és több esetben az adott marketingtevékenységet folytató társaság közös adatkezelői (egyetemleges) felelősségét állapította meg a közösségi médiaszolgáltatóval.
• A gyakorlatban ez azt jelenti, hogy az adott társaság a közösségi médiaszolgáltató (pl. Facebook) szolgáltatásainak igénybevétele esetén is felel a felhasználók felé, és nem háríthatja át a felelősséget a közösségi médiaszolgáltatóra. A társasággal szemben tehát adatvédelmi hatósági eljárás vagy per is kezdeményezhető.

Az Európai Bíróság megállapította:

• Egy, a Facebookon rajongói oldalt üzemeltető szervezet a Facebook marketing eszközével mérte a látogatói adatokat rajongói oldalán – ezzel összefüggésben felelős a jogszerű adatkezelésért.
• A Facebook oldalra mutató „Tetszik” gombot a saját honlapján elhelyező cég szintén felelős a jogszerű adatkezelésért, ha lehetőséget biztosított a Facebook számára, hogy személyes adatokat szerezzen meg a honlapjára látogatóktól, függetlenül attól, hogy a látogatók Facebook felhasználók voltak-e.

Az egyes közösségi oldalakon hirdető cégeknek tájékoztatást kell adniuk adatkezelési tájékoztatóikban az egyes marketing és analitikai célú eszközökről– akkor is, ha az adott eszközt ténylegesen a közösségi médiaszolgáltató biztosítja.

5. Cookiek

A marketing és analitikai sütikkel, valamint az általuk gyűjtött adatokkal Magyarországon már a Nemzeti Adatvédelmi és Információszabadság Hatóság is foglalkozott:

• Be kell szerezni a honlapot látogatók hozzájárulását – még a sütik telepítése előtt.
• A honlapon elérhető süti tájékoztatóban átfogó képet kell adni az alkalmazott sütikről, az általuk gyűjtött adatokról és a sütik egyéb jellemzőiről (pl. élettartamuk, esetleges harmadik fél sütik).

6. Az adattovábbítások láncolatának áttekinthetősége

• Az RTB megoldásokat szabályozó iparági, önszabályozási keretrendszerek – ideértve különösen az IAB „Transparency and Consent Framework”, valamint a Google „Authorized Buyers” keretrendszereket – az adatvédelmi hatóságok szerint egyelőre nem teszik a GDPR elvárásai szerint átláthatóvá az érintettek részére az adattovábbítások láncolatát, a résztvevők (pl. reklámszolgáltatók, a reklámok közzétevői, az egyes platformszolgáltatók) szerepét és tevékenységét.
• Ezzel kapcsolatban korábban az érintett felhasználók, valamint adatvédelmi aktivisták több panasszal is éltek. A Brave nevű IT cég képviselője, Johnny Ryan ügyében például a panaszos az adtech szolgáltatók által alkalmazott fenti két keretrendszerrel kapcsolatban az adattovábbítások átláthatóságát, és a kezelt adatok mennyiségét kifogásolta. A panaszban megfogalmazott javaslat szerint csökkenteni kellene a fenti keretrendszerekben használt adatok számát, illetve az RTB folyamatokat az azonnali, reklámszolgáltatók részére való adattovábbítás helyett kizárólag a felhasználók eszközeire kellene csökkenteni.

7. Adatvédelmi hatásvizsgálatok

Az RTB és egyéb adtech megoldások esetén szükséges lehet, hogy a résztvevők még a szolgáltatás megkezdése előtt adatvédelmi hatásvizsgálatot végezzenek. A hatásvizsgálatban az adatkezelésben résztvevő társaság felméri az adott szolgáltatás vagy megoldás adatvédelmi kockázatait és érintettekre gyakorolt lehetséges hatásait, valamint bemutatja az adatok védelmét biztosító intézkedéseket.

Hogyan tovább?

Az adtech iparág szereplőinek, ideértve az RTB vagy hasonló megoldásokat (pl. közösségi oldalakon elhangzó vélemények figyelésére szolgáló Social Listening eszközöket, viselkedésalapú marketing megoldásokat, analitikai sütiket) alkalmazó társaságoknak:

• felül kell vizsgálniuk adatvédelmi gyakorlatukat,
• ki kell dolgozniuk a felhasználói hozzájárulások beszerzésének jogszerű módszerét, és
• áttekinthető módon be kell mutatniuk az egyes megoldásokat, valamint a kapcsolódó adatok kezelésének, továbbításának jellemzőit a felhasználók számára.

Többszereplős adatkezelői (a reklámozásban vagy a reklám értékesítésében érdekelt társaságokból álló) láncolatok esetén a résztvevő társaságoknak megfelelő adattovábbítási szerződéseket kell kötniük egymással, és specifikus felelősségi szabályokat kell előírniuk egymás számára (pl. az adatbiztonság vagy az adatok anonimizálása).

Az egyes piaci szereplőket tömörítő szakmai szervezeteknek egységes állásfoglalást kell kialakítaniuk az elvárt adatkezelési gyakorlatokról, és meg kell követelniük az egyes szolgáltatástípusokban (pl. RTB megoldások) résztvevőktől adatkezelési és adattovábbítási gyakorlataik áttekinthető és tömör bemutatását.

A megfelelés már csak azért is fontos, mert a hatóságok továbbra is kiemelt figyelemmel fogják kísérni az adtech megfelelőségét. Az ICO további konzultációt folytat az érintett szervezetekkel a megfelelő adatvédelmi megoldások kialakítása céljából, a korábban kiadott jelentés felülvizsgálatát pedig 2020-ra tervezi.

Simon McDougall az ICO részéről kiemelte: „Ha nem látunk alapvető változásokat, készen állunk hatósági választ adni, a rendelkezésünkre álló összes felügyeleti eszköz segítségével.”