Az adatvezérelt marketing a közelmúltban jelentős kihívásokkal szembesült a GDPR-nak való megfelelés területén. Ezek a kihívások azonban már régebben is jelen voltak, gondoljunk csak azokra a jellemzően USA-beli online hírportálokra, amelyek 2018. május 25-ét követően letiltották az EU-beli felhasználók számára a hozzáférést, vagy azon weboldalakra, amelyek nem mertek célzott hirdetéseket megjeleníteni vagy ún. cookie-falat húztak a weboldaluk elé, azaz addig nem jelenítettek meg érdemi tartalmat, amíg a felhasználó hozzá nem járult a cookie-k használatához.
2019 közepén az internetes forgalom több mint 10%-a EU-s felhasználókra volt visszavezethető, ez pedig akkora potenciális vásárlóerőt jelent, amit a weboldalak többsége egyszerűen nem hagyhat figyelmen kívül. Óriási igény alakult ki olyan megoldásokra, amelyekkel a weboldalak a GDPR és az ePrivacy irányelv elvárásainak való megfelelést tudják igazolni. Ezt igényt elégítik ki a Consent Management Platform-ok (CMPs), amelyekkel a felhasználók meg tudják adni, hogy mely típusú cookie-k használatához járulnak hozzá, adott esetben bizonyos saját és harmadik fél cookie-k települését akár külön-külön is be tudják állítani, illetve további információkat tudnak kapni az egyes cookie-król, és azon adatkezelésekről, illetve adattovábbításokról, amelyek a háttérben történnek. Mindezen beállítások az adatvezérelt marketinget használó weboldalak számára egyenesen elengedhetetlen, hiszen ezek nélkül a harmadik fél cookie-k elhelyezése, és az ezek által megvalósított adattovábbítások jogossága erősen megkérdőjelezhető lenne.
A jelen posztban bemutatjuk, hogy milyen feladatokat lát el egy CMP, mi a hozzáadott értéke egy weboldal tartalomszolgáltatója számára, valamint miért jelentős a szerepük az AdTech ökoszisztémában.
A CMP-k által nyújtott szolgáltatások
Egy CMP alapvetően bizonyos cookiek elhelyezéséhez szükséges hozzájárulások menedzselésében nyújt segítséget egy honlap szolgáltatójának, vagy ahogy az AdTech világában hivatkoznak rájuk, a kiadóknak (publishers):
- bekéri, feldolgozza az érintett felhasználó hozzájárulását, a cookie-k adatgyűjtésével kapcsolatos tájékoztatást nyújt a felhasználónak (az adatvédelmi elvárások szerint ugyanis a felhasználónak jól informált, valódi választáson alapuló hozzájárulása szükséges a cookie-k alapján történő adatkezeléshez, kivéve a feltétlenül szükséges cookie-kat);
- eltárolja és listázza az egyes cookie szolgáltatókat, amelyekhez a felhasználó hozzájárulását adta (ebben a körben adatbázist vezetnek a felhasználó cookie azonosítóiról, a hozzájárulás idejéről, az elfogadott cookie-król, illetve arról, hogy mikor változtatták meg vagy vonták vissza a felhasználók hozzájárulásukat);
- kezelik az érintett felhasználó hozzájárulásának módosítását, illetve visszavonását (az adatvédelmi szabályok alapján a hozzájárulást hátrányos következmények nélkül bármikor visszavonhatja a felhasználó).
A gyakorlatban az érintettek egyszerűen, a szolgáltató honlapján található felhasználóbarát cookie hozzájárulási sávon adhatják meg preferenciáikat az összes adatkezelési célra és cookie szolgáltatóra egyedileg vagy egyszerre valamennyire kiterjedően. A CMP-k ezeket a sávokat készen, némi egyediesítést követően teszik elérhetővé a szolgáltató honlapján, akár különböző nyelveken is, amivel a CMP-k meg tudják szűrni, hogy az AdTech-ben részt vevő egyes szereplők milyen cookie-jait rakhatja le a honlap a felhasználó eszközére. Ezen cookie-k teszik lehetővé a böngészési előzményeken és különböző szegmentációkon alapuló személyre szabott hirdetések megjelenítését.
A lenti példa a Cookiebot megoldása, amelyen a felhasználónak kell kipipálnia, hogy a feltétlenül szükséges cookie-kon kívül milyen típusú cookie-k elhelyezéséhez járul hozzá.
Az IAB Europe fogalomhasználata szerint a CMP-k olyan szolgáltatók, amelyek összeszedik és menedzselik a felhasználók hozzájárulását és biztosítják a transzparenciát a végfelhasználók felé. Így a felhasználók és a cookie-k szolgáltatói között közvetítő szerepet játszanak a hozzájárulások begyűjtésével, amellyel megteremtik a jogalapot az adatkezeléshez, segítik az érintettek megfelelő tájékoztatását. Továbbá eltárolják a felhasználói preferenciákat is, hogy azokat később ne kelljen újra felmérni.
Az IAB iránymutatása és CMP megfelelést ellenőrző eszközei
2018 novemberében a francia adatvédelmi hatóság (CNIL) a francia Vectaury nevű adtech vállalat ellen indított eljárást rossz adatkezelési gyakorlata miatt. A vállalat ugyanis egy olyan CMP szolgáltatásait vette igénybe, akinek a hozzájárulás-gyűjtési gyakorlata nem felelt meg a GDPR-ban támasztott követelményeknek.
Felmerül a kérdés, hogy akkor mégis melyik CMP felel meg azoknak a sztenderdeknek, amelyet a szabályozás állít. Ebben nyújt segítséget az IAB Europe által kialakított Transparency & Consent Framework („TCF”), amelynek második verzióját 2019. augusztus 21-én jelentették be. Ennek a részét képezi a CMP-kre vonatkozó alapvető követelmények rendszere, a megfelelő hozzájárulás-begyűjtés és kezelés, az elszámoltathatóság és a nyilvántartási kötelezettség. A TCF-nek jelenleg megfelelő CMP-k listája az IAB erre a célra létrehozott oldalán olvasható.
Az IAB megbízásából a Media Trust kifejlesztette a CMP validátort, amely ellenőrzi, hogy egy CMP kód megfelel-e a fenti keretszabályok specifikációinak és protokoljainak. Ez egy olyan eszköz lehet, amellyel a kockázatot megfelelő alacsony szintre lehet csökkenteni és a számos egymással versengő CMP között könnyebben lehet választani.
A piaci trendek alapján a CMP szolgáltatók igyekeznek megfelelni az IAB iránymutatásainak, amiben a legnagyobb ösztönző erő, hogy a hirdetői oldalon egyre inkább csak az aktuális TCF-nek megfelelő hozzájárulás-menedzsment alapján vásárol személyre szabott hirdetést. Felmerülhet, hogy a honlap üzemeltetője nem felel meg ezen feltételeknek, azaz nem tudja igazolni, hogy az adott honlapot letöltő felhasználó a TCF elvárásainak megfelelő – az IAB szerint ezáltal pedig a GDPR-nak és az ePrivacy irányelv elvárásainak is megfelelő – hozzájárulást adott a cookie-k használatához. Ennek az a kockázata, hogy vagy egyáltalán nem jelenik meg hirdetés, vagy célzás nélküli (legfeljebb kontextuális alapú) hirdetés jelenik meg a felhasználónak, ezzel pedig jelentős bevételtől esik el a szolgáltató. Ilyen lépéseket tervez tenni – egyelőre csak az USA-ban – a Google, ugyanis az IAB California Consumer Privacy Act (CCPA) kapcsán kidolgozott keretszabályaihoz tervez igazodni.
Néhány CMP szolgáltatásának összehasonlítása
Számos CMP működik a piacon, amelyek számtalan különböző szolgáltatást kínálnak a honlapok üzemeltetőinek. Ezek között van ingyenes is, de az előzetesen összeállított csomagokon kívül egyedi igényeket is kiszolgálnak.
Üzleti szempontból sokszor jobban megéri ezeket a szolgáltatásokat igénybe venni, hiszen időigényes és drága folyamat egy honlap szolgáltatójának lefejlesztenie saját hozzájárulás-menedzsment rendszerét vagy open source megoldásokat testre szabni. Ráadásul az IAB TCF-nek való megfelelés és IAB vendor list-re való felkerülés 1200 € éves költséggel is jár.
A legtöbb CMP (pl. Quantcast, Cookiebot) egy domain-re vonatkozó meghatározott számú aloldalon elhelyezett cookie-ról ingyenesen készít egyszerű táblázatos összefoglalót. Ez segítség lehet a honlap üzemeltetőjének az első lépések megtételében. Megfelelő erőforrások birtokában ezek alapján akár le is lehet fejleszteni saját cookie hozzájárulás sávot és hozzájárulás-gyűjtő és -tároló rendszert. Egyértelmű ugyanakkor, hogy az ilyen ingyenes riportok célja az, hogy az adott CMP a saját cookie sávjának igénybevétele felé terelje a holnapok üzemeltetőit. Számukra szolgáltatáscsomagok széles tárháza áll rendelkezésre, amelyekben általában megtalálható a bejegyzés elején felsorolt CMP alapfunkciók összessége. Az egyes CMP szolgáltatókat ezen a szinten az különbözteti meg, hogy milyen többletszolgáltatást nyújtanak az alapfunkciók mellett. Így például a TrustArc egy könnyen kezelhető adminisztrációs felületet kínál a honlapok szolgáltatóinak, amelyen a beállításokon kívül a legfrissebb adatvédelemmel kapcsolatos hírek is megjelennek, de az egyes cookiekkal kapcsolatos kockázatelemzés eredményei is olvashatóak. A OneTrust Pro szolgáltatásai azoknak lehet előnyös, akik honlapját nem kizárólag a GDPR hatálya alá tartozó felhasználók böngészik, ugyanis geolokáció alapján a más jogi előírásoknak való megfelelést is segíti.
Bizonyos CMP-k egyedi ajánlat keretei között kiterjedtebb általános online GDPR és ePrivacy megfelelési tanácsadást is vállalnak, amelyek alapfunkcióiktól bizonyos mértékben eltérnek és jelentősen bővebbek.
CMP penetráció és a legnépszerűbb platformok
A CMP-ket egyre nagyobb számban használják különböző piacokon. Ez a tendencia több tényezőnek köszönhető. Egyrészt, ahogyan a lenti grafikonról is leolvasható, az USA-ban és az Egyesült Királyságban az online hírportálok alkalmazzák legnagyobb számban ezeket a szolgáltatásokat, akiknek jobban megéri a GDPR megfelelést a CMP-kre rábízni.
A Quantcast felmérése szerint egy jól kialakított cookie sáv alkalmazása esetén a felhasználók több mint 90%-a nem bajlódik az egyes beállításokkal és az összes cookie elhelyezéséhez hozzájárul. Ez egyfelől kecsegtető a honlapok üzemeltetői és az AdTech szolgáltatót számára, mert a felhasználók gyorsan megadják a hozzájárulásukat az összes cookie használatához, Ugyanakkor ez felveti azt a kérdést, hogy ez a hozzájárulás tekinthető-e érvényesnek, ha a felhasználók a valójában nincsenek tisztában azzal, hogy mihez járulnak hozzá.
A legnépszerűbb CMP szolgáltatókat az alábbi diagram mutatja be:
A honlapok üzemeltetőinek oda kell arra figyelniük, hogy az összes aloldalukon az összes cookie listázásra kerüljön és azokat a CMP-k is felügyeletük alatt tarthassák. Egy esetleges elutasítás esetén pedig hatékonyan meg kell tudni oldani, hogy a célzott hirdetés helyett kontextuális hirdetés jelenjen meg.
A CMP-ék fontos szerepet töltenek be, megjelenésük és elterjedésük pozitív lépés a korántsem egyértelmű, cookie-kra vonatkozó adatvédelmi előírásoknak való megfelelés felé. Használatuk jelentősen hozzájárulhat ahhoz, hogy a honlapok üzemeltetői megfelelő jogalappal, transzparens módon járjanak el a cookie-k elhelyezése során.
Szerzők:
Halász Bálint
ügyvéd, partner
Sziládi Péter
ügyvédjelölt
Categories: Adatvédelem
