Egy ajánlórendszer működése jelentős mértékben az online látogatók, vásárlók adataira épül, hiszen ezek alapján tud személyre szabott ajánlásokat generálni. A perszonalizáció pedig egyre inkább nélkülözhetetlen feltétele a vásárlói elégedettségnek, és ezáltal az oldalt üzemeltető webáruház vagy tartalomszolgáltató üzleti sikerének is.

Ugyanakkor az online felhasználók személyes adatait szigorú jogszabályok védik, amelyek igyekeznek lépést tartani a technológia fejlődésével. Több mint három éve érvényben van a GDPR (General Data Protection Regulation), az Európai Unió adatvédelmi rendelete, amely a személyes adatok kezelését csak konkrét feltételekhez kötve engedélyezi. Még tart az egyeztetés egy másik uniós jogszabályról, az ún.
E-Privacy Rendeletről, amely többek között a cookie-k (sütik) és hasonló felhasználóazonosítási technológiák használatát szabályozza majd. 

Mindezek fényében joggal felmerülhet benned néhány kérdés: 

Jogszerűek az ajánlórendszerek a GDPR rendelkezései értelmében? 

Fenntartható lehet a perszonalizáció third-party cookie-k nélkül is? 

Meg tudok felelni a jogszabályi követelményeknek, ha a weboldalamon ajánlórendszert használok?

A válaszok tömören: igen, igen és igen. Alább a részletek, Németh Bottyán,
a Gravity R&D marketingigazgatója, valamint Dr. Tarján Zoltán, a Siegler Bird & Bird Ügyvédi Iroda senior ügyvédje jóvoltából. 

Röviden a GDPR-ról

Minden természetes személy alapvető joga, hogy szabadon és tudatosan rendelkezzen saját személyes adatai felett. Ezt a jogot hivatott biztosítani a GDPR, ezért a személyes adatok kezelését csak meghatározott esetekben, szigorú feltételekhez kötve teszi lehetővé. 

Az egyik ilyen feltétel lehet például, hogy a felhasználónak – azaz a természetes személynek – hozzá kell járulnia az adatai tárolásához és kezeléséhez, miután megismerte az adatkezelés célját és egyéb lényeges körülményeit, annak biztosítása mellett, hogy a hozzájárulását bármikor visszavonhatja, és az adatait töröltetheti az adott adatbázisból. 

A GDPR értelmében az adatkezelést végezheti maga egy adott szervezet saját céljai érdekében (ez a szervezet ún. adatkezelőnek minősül), vagy az adatkezelést kiszervezheti egy másik szervezetnek (ún. adatfeldolgozónak), amely köteles az adatkezelő céljai érdekében és annak utasításai alapján gyűjteni, tárolni és kezelni természetes személyek (ún. érintettek, pl. felhasználók) személyes adatait. 

Személyes adatnak minősül minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik. 

(Figyelem! Ez egy nagyon leegyszerűsített kivonata a GDPR rendelkezéseinek, amelybe önkényesen válogattuk össze a cikk szempontjából lényeges részleteket. Az eredeti, teljes jogszabályt itt olvashatod.)

Az ajánlórendszer szerepe: adatfeldolgozó, adatkezelő vagy közös adatkezelő?

Az ajánlórendszer-szolgáltató – így például a Yuspify és Yusp ajánlórendszerek mögött álló cég, a Gravity R&D is – általában adatfeldolgozó, míg megbízója, a webáruház vagy tartalomszolgáltató (pl. a weboldal-üzemeltető) az adatkezelő. Fontos kitétel, hogy akkor minősül egy szervezet adatfeldolgozónak, ha kizárólag a szolgáltatása keretében, a megbízó érdekében kezel személyes adatokat. Amikor saját üzletének fejlesztése érdekében vagy más saját célból gyűjt és kezel személyes adatokat, például alkalmazottairól vagy ügyfeleiről, ebben a minőségében adatkezelőnek számít – magyarázza Dr. Tarján Zoltán.

Adatfeldolgozóként az ajánlórendszer-szolgáltató feladata, hogy úgy alakítsa ki a szolgáltatását, hogy képes legyen a megbízója (adatkezelő) utasításainak megfelelő módon gyűjteni, tárolni és kezelni a felhasználók adatait. 

Esetenként előfordulhat, hogy egy ajánlórendszer-szolgáltató és megbízója együtt határozzák meg az adatkezelés célját és eszközeit – ezt nevezik közös adatkezelésnek. Ilyenkor az ajánlórendszer-szolgáltató és a megbízó egymással együttműködve kötelesek biztosítani a GDPR követelményeinek való megfelelést.

Ha egy ajánlórendszer-szolgáltató GDPR-biztos módon üzemel – tehát például 

  • lehetővé teszi, hogy a felhasználók letilthassák a tevékenységüket követő sütik alkalmazását; 
  • hozzáférést biztosít az adatokhoz, ha egy felhasználótól (az adatkezelőn keresztül) ilyen kérés érkezik;
  • eleget tesz az adattörlési kéréseknek, amelyeket szintén az adatkezelő továbbít neki, 

akkor ezáltal megbízója GDPR-megfelelését is elősegíti – legalábbis, ami az adott webshop vagy tartalomszolgáltató perszonalizációs tevékenységét illeti.

“Sütimentes” ajánlásokkal GDPR-biztos az ajánlórendszer

Az ajánlórendszer alapvetően pszeudonimizált, azaz álnevesített adatokkal dolgozik. Nagyon egyszerűen fogalmazva a felhasználókról gyűjtött információt úgy tárolja, hogy a természetes személyek és a hozzájuk tartozó adatok ne lehessenek összeköthetőek, csak egy elkülönítve tárolt “megoldókulcs” segítségével. 

Ez a titkosításnak egy közepesen erős szintje; abban tér el az anonimizálástól, hogy itt még visszaállítható az adatok és az érintettek közötti kapcsolat. Ezért a GDPR az álnevesített adatot is személyes adatnak tekinti – szögezi le Zoltán. Hozzáteszi: vitatott, hogy a sütik által tárolt információk mennyire alkalmasak egy természetes személy beazonosítására. Ahhoz azonban nem fér kétség, hogy egy kifinomult perszonalizációs szolgáltatás keretében egy-egy felhasználói profil kialakításához összegyűjtött sokrétű, részletes információ személyes adatnak számít.

Tehát az ajánlórendszer-szolgáltatók, mint személyes adatokat kezelő szervezetek, a GDPR hatálya alá tartoznak, és megbízójukkal együtt meg kell felelniük a GDPR vonatkozó rendelkezéseinek. 

“Minden olyan adat kezelése jogszerű, amihez a felhasználó a hozzájárulását adta” – emlékeztet Németh Bottyán. Ugyanakkor az ajánlórendszer annak a felhasználónak is tud ajánlásokat megjeleníteni, aki nem kért a sütikből, vagyis nem járult hozzá személyes adatai kezeléséhez. Ilyenkor kontextuális vagy népszerűségi adatokra építi az ajánlásait a rendszer, éppúgy, mint az új, ismeretlen látogatók esetében. 

Bottyán szerint a kontextuális alapú perszonalizáció mellett az ún. item-to-item ajánlások is GDPR-biztos módon működnek. Ide tartoznak a “Mások ezt is nézték / megvették” vagy az “Ez is jól jöhet hozzá” típusú ajánlások. Ezekhez nem egy-egy user személyes adatait használja fel az ajánlórendszer, hanem az adott termék vagy tartalom és az ismert (tehát a sütiket engedélyező) látogatók viszonyát veszi alapul. 

Egy további GDPR-biztos módszer a perszonalizációra, ha egyszerűen megkérdezzük a felhasználót, mit szeretne. “Kérd el a usertől az adatot, de csak annyit, amennyi feltétlenül kell” – foglalja össze Bottyán a koncepció lényegét. Különösen szépségápolási és divatmárkáknál vált be ez a megközelítés. A webshopban a látogató megadhatja a preferenciáit vagy paramétereit – például: ovális arca van, kreol bőre, és a retro stílust kedveli –, és ennek alapján kap személyre szabott ajánlásokat, mondjuk napszemüvegekre. 

3 év a GDPR alatt: tapasztalatok, tanulságok

A GDPR hatályba lépése idején óriási volt a tumultus, mindenki igyekezett megfelelni az előírásoknak. A kezdeti lelkesedést aztán az óvatos mérlegelés váltotta fel: a vállalkozások és szervezetek attól tették függővé a megfelelésbe fektetett erőforrásokat, hogy mennyire szigorú és következetes a végrehajtás – idézi fel Dr. Tarján Zoltán. Magyarországon többnyire százezres, néhány milliós nagyságrendű bírságokat rónak ki a hatóságok. A magyar adatvédelmi hatóság elsősorban a jogalap megfelelőségével kapcsolatos problémákra, az adatkezelési tájékoztatók hiányosságaira, az érintetti joggyakorlással kapcsolatos kifogásokra,  és adatvédelmi incidensekre koncentrál. 

Bár a bírságok mértéke európai viszonylatban nem kimagasló, azt világossá teszi, hogy komolyan kell venni a személyes adatok jogszerű kezelését. Zoltán kiemeli: a GDPR-megfelelés nem oldható meg egy lépésben, hanem folyamatos odafigyelést igényel.

A Gravity R&D-nél a legkomolyabb erőfeszítést maga az átállás jelentette a GDPR bevezetése idején – mondja Németh Bottyán marketing-igazgató. Az adatkezelési tájékoztató és a sütibeállítások megalkotásához jogi tanácsadót vontak be Zoltán személyében, aki adatvédelmi specialista a Siegler Bird & Bird Ügyvédi Irodánál. 

Azóta elvétve akadt bármilyen probléma a GDPR-megfelelés kapcsán. Egy példa: olyan ügyfél esetében, ahol a hírlevél-adatbázis kiépítésénél eredetileg nem volt meghatározva az adatgyűjtés célja, a teljes címlistát nulláról kellett újraépíteni, miután az ügyfél az ajánlórendszer-szolgáltató beépített funkciójának segítségével eleget tett tájékoztatási kötelezettségének a felhasználók felé.  

Van-e élet a third-party cookie-k után?

A GDPR mellett egy másik fontos tényező, ami alapjaiban rengeti meg az online marketing világát, a third-party cookie-k várható kivonása a forgalomból. Mint köztudott, több más böngésző példáját követve 2022-től már a Google Chrome sem támogatja ezeket. 

Az EU-szintű jogharmonizációs törekvések, illetve egyes civil szervezetek aktív működése egyre szigorúbb hatósági végrehajtást eredményeznek az adatvédelem terén, talán ezért is menekülnek előre a piaci szereplők – véli erről Zoltán. Hosszú ideje küszködnek az uniós jogalkotók az ún. E-Privacy Rendelet megalkotásával, amely a jelenleg is létező E-Privacy irányelvet hivatott felváltani. Ha elfogadják, a GDPR-t kiegészítő  jogszabályként valamennyi uniós tagállamban egységesen alkalmazandó lesz. (Hogy mi a különbség EU irányelv és rendelet között? Előbbi alapján a tagállamok saját jogszabályokat fogadnak el, melyeknek főbb rendelkezései azonosak, de részletei különbözhetnek. Utóbbi viszont az EU-s szervek által elfogadott szöveggel közvetlenül alkalmazandó az Unió teljes területén.) 

Míg a GDPR általában a személyes adatok védelméről szól, az E-Privacy Rendelet többek között a cookie-k és hasonló technológiák használatának szabályozását célozza meg. Zoltán szerint egyelőre úgy tűnik, hogy az E-Privacy Rendelet gyökeres változást valószínűleg nem fog jelenteni: a cookie-szabályozás két fő pillére továbbra is a felhasználói hozzájárulás követelménye és a tájékoztatási kötelezettség marad. A tervezet értelmében adott szolgáltató cookie-jait a böngésző vagy más szoftver beállításaival is lehet majd jogszerűen engedélyezni vagy letiltani, feltéve, hogy az ilyen beállítások működése a rendelet minden feltételének megfelel. Illetve  bizonyos cookie-kat egyszerűbb lesz elhelyezni, mert ezek nem lesznek a felhasználók hozzájárulásához kötve. Fontos megjegyezni, hogy az E-Privacy Rendelet szövege jelenleg az EU-s intézmények közötti egyeztetések tárgyát képezi, és még nem tekinthető véglegesnek.

És mit jelent mindez az ajánlórendszerekre nézve? Mielőtt belemennénk a várható következmények latolgatásába, egy kis összehasonlító cookie-tudomány:

A cookie (azaz süti) egy apró szöveges adatfájl, amit a böngésző helyez el a felhasználó gépén, amikor egy-egy weboldalt megnyit. Ez a pici azonosító rögzíti a felhasználó releváns adatait, hogy a weboldalak felismerhessék. 

A cookie-knak két alapvető fajtája a first-party és a third-party cookie. 

  • A first-party cookie-t az a weboldal helyezi el a felhasználó böngészőjén, amit éppen meglátogat a felhasználó. Kizárólag az adott site-ra vonatkozó böngészési előzményeit, beállításait tárolja. Elsősorban kényelmi funkciója van, vagyis az a célja, hogy a lehető legjobb felhasználói élményt biztosítsa például a nyelvi preferenciák vagy korábbi vásárlások megjegyzésével. Ezért a first-party cookie-k megítélése többnyire pozitív, és használatuk hosszú távon is fenntarthatónak ígérkezik. 
  • A third-party cookie-t nem a látogatott weboldal, hanem egy másik, jellemzően marketingre vagy analitikára szakosodott domain helyezi el a felhasználó böngészőjén. Úgy működik, mint a madárgyűrűzés: ez az azonosító mindenhova “követi” a felhasználót az interneten. Az így generált információra épülnek például a retargeting kampányok, amikor egy-egy e-kereskedő más weboldalak hirdetési felületein emlékezteti elnavigált vásárlóját megkezdett vagy korábbi vásárlásaira. Mivel a legtöbb felhasználó nem örül, ha meggyűrűzik, a third-party cookie-k létjogosultsága vitatott.

(Igen, jól sejted: létezik second-party adat is. Ebben az esetben az a weboldal, amely létrehozta a cookie-t, megosztja az információt egy másik szervezettel valamilyen stratégiai együttműködés keretében.)

Az ajánlórendszer fenntartható, mert csak first-party sütit eszik

A first-party adatok a leghasznosabbak perszonalizáció szempontjából – a személyre szabott megoldások zömét ezekből ki lehet hozni. Az utóbbi évek jellemző tendenciája, hogy ez az értékes információ túlnyomó része néhány gigacég – Google, Facebook – kezében összpontosul. Ugyanis a legtöbb felhasználó nem veti meg az univerzális Google/Facebook login nyújtotta kényelmet, és mindenféle online tevékenységével ezeknek az óriásoknak szolgáltat first-party adatokat, vagyis alapanyagot célzott hirdetéseikhez. Ilyen, csúcsra járatott gépezettel a publisherek (azok az oldalak, amelyek ingyenes tartalomért cserébe reklámbevételekből próbálnak megélni) nem tudnak versenyezni – magyarázza Bottyán. 

Ha adatvédelmi aggályok miatt végleg megszűnnek a third-party cookie-k, a first-party adatok monopolizálását pedig támadják a publisherek, milyen alternatíva lehet a felhasználók azonosítására, amely mindenkinek elfogadható? Több lehetséges megoldás is felmerült szakmai berkekben, ezek közül Bottyán az ún. Unified ID 2.0-t tartja legszimpatikusabbnak. Ez a rendszer még fejlesztés alatt áll. Lényege, hogy a felhasználó anonimizált email-címéből létrehoz egy egységes azonosítót, ami alapján az adott user számára testreszabhatók lesznek tartalmak vagy szolgáltatások bárhol az interneten. 

Ami az ajánlórendszereket illeti, ezek csak egy-egy weboldalon belül nyújtanak személyre szabott ajánlásokat, ehhez pedig elég first-party cookie-kat használni. Így a third-party cookie-k megszüntetése nem fog fennakadást okozni a működésükben – hangsúlyozza Bottyán. 

Jogtiszta adatkezelés mindenkinek, 7* egyszerű** lépésben

Ha e-kereskedőként ajánlórendszert használsz, vagy legalábbis fontolgatod valamilyen perszonalizációs megoldás alkalmazását, akkor számodra is fontos szempont, hogy a tevékenységed megfeleljen a GDPR előírásainak.

Hogyan győződhetsz meg erről? Íme egy praktikus lista, amely témakörönként összefoglalja legfontosabb teendőidet. 

Átláthatóság

  1. Helyezz el egy minden fontos részletre kiterjedő adatkezelési tájékoztatót a honlapodon. Ellenőrizd ajánlórendszer-szolgáltatód adatkezelési tájékoztatóját is, vagy tájékozódj a szolgáltatódnál az adatkezelési gyakorlatával kapcsolatban, és kösd meg az adatfeldolgozói szerződést.  
  2. Ha használsz cookie-kat, akkor egy külön cookie-tájékoztatóban tedd közzé, melyek azok; mi a célod a használatukkal; meddig érvényesek; mely más személyek férhetnek hozzá a cookie-kon keresztül gyűjtött adatokhoz; illetve az egyéb, felhasználó szempontjából releváns információkat. Ha használsz third-party cookie-kat, akkor érdemes tájékozódnod, hogy a third-party cookie-kat lerakó harmadik felek kötelezővé teszik-e neked, hogy bizonyos tájékoztatást megadj a felhasználóidnak e third-party cookie-k működésével kapcsolatban.

Felhasználói hozzájárulás

  1. Helyezz el a főoldal jól látható pontján cookie bannert, így biztosíts lehetőséget látogatóidnak, hogy értesüljenek a sütijeidről, és letilthassák vagy engedélyezzék azokat. 

A szabályos cookie banner többlépcsős. Az első szinten, vagyis magában a bannerben szerepeljen az adatkezelő azonosítása, az adatkezelés céljának megjelölése röviden, és az a tájékoztatás, hogy a sütik elfogadása opcionális. Biztosíts itt lehetőséget az összes süti engedélyezésére vagy az összes süti elutasítására egy lépésben, illetve további információ kérésére.

A második szinten (tehát ha valaki pl. “További információ” gombra kattintott) legyenek részletezve az adatkezelési célok, és legyenek külön-külön engedélyezhetők vagy letilthatók. Tedd a sütik letiltását ugyanolyan egyszerűvé, mint az engedélyezésüket. 

Az előre kipipált checkbox-ok formájában megelőlegezett engedélyezés nem felel meg a  GDPR követelményeinek, mint ahogy az sem, ha a weboldal használatának folytatását úgy értelmezed, hogy a felhasználó elfogadta a sütiket. A cookie wall – tehát amikor az oldal csak a sütik engedélyezése esetén érhető el a felhasználó számára – szintén problémás jogi szempontból, kerüld a használatát – figyelmeztet Zoltán. 

Adatok törlése 

  1. Ha egy felhasználód az adatai törlését kéri a adatbázisodból, legkésőbb 1 hónapon belül tegyél eleget a kérésének, vagy közöld a felhasználóval, hogy miért nem teszel eleget a kérésnek (utóbbi esetben érdemes jogi szakértővel konzultálnod, hogy a kérést jogszerűen megtagadhatod-e). Ha szerződéses viszonyban állsz egy adatfeldolgozóval (tehát például ajánlórendszer-szolgáltatóval), akkor hozzá is továbbítsd a kérést, és győződj meg róla, hogy végre lett hajtva.  

Adatbiztonság

  1. Gondoskodj arról, hogy az általad vagy az ajánlórendszer-szolgáltatód által kezelt személyes adatok biztonságosan legyenek tárolva. Kockázat- és költségarányosan alkalmazz titkosítást, álnevesítést vagy hasonló megoldásokat. 

Protokoll

  1. Dolgozz ki megfelelő belső eljárásokat az érintettektől érkező megkeresések kezelésére. Legyen ennek felelőse a cégnél, dedikált emailcíme és megfelelő átfutási ideje. 
  2. Légy felkészült, hogy ne érjenek váratlanul adatvédelmi incidensek, például egy hackertámadás vagy egy téves címre küldött email okozta “adatszivárgás”. Legyen forgatókönyved ezek felismerésére, orvoslására, és szükség esetén a hatóságok, illetve az érintett felhasználók értesítésére. 

* Ez a lista csak egy összefoglaló, nem terjed ki a GDPR-megfelelés minden egyes feltételére. Teljesebb körű tájékoztatásért nézd meg a Yusp adatvédelmi ajánlásait.

** Hogy mennyire egyszerű eleget tenni a GDPR valamennyi követelményének, az véleményfüggő. Ha úgy érzed, nyugodtabb lennél szakemberi segítséggel, vonj be jogi tanácsadót. A Gravity R&D a Siegler Bird & Bird Ügyvédi Irodát ajánlja. 

És végül még egy disclaimer: Ez a cikk tájékoztató jellegű, nem pótolja a vonatkozó jogszabályok teljes, alapos megismerését, és nem egyenértékű jogi tanácsadással.