A koronavírus-járvány terjedése óta reneszánszát éli az online vásárlás, hiszen elegendő néhány adat és egy bankkártya a megrendeléshez, és napokon belül házhoz szállítják a csomagot. Hogyan találunk rá a kívánt portékára? Befolyásol bennünket egy reklám a választásban? Miért éppen az a termék bukkan fel egy hirdetésben, amelyről néhány órával azelőtt beszéltünk? Dr. Seer László marketing szakembert, a BBTE oktatóját és Székely Barnabás  minősített adatvédelmi szakembert (CIPP/E), jogászt  arról kérdeztük, hogyan értékesítenek és élhetnek vissza a webáruházak adatainkkal.

Rengeteg láthatatlan jelet hagyunk magunk után szerte az online térben, amelyeket alkalomadtán egyes marketingesek, vagy rosszabb esetben adathalászok és hackerek is kihasználhatnak. Hiszen több, mint 2,5 trillió byte adat jön létre naponta az okoseszközök, applikációk használatával, vagy egy WiFi-hálózathoz való csatlakozás során – a mesterséges intelligencia pedig a generált és a felhasználók által megadott adatokból olyan következtetéseket von le az algoritmusok segítségével, amelyek által még pontosabban meghatározhatóak vásárlási szokásaink, személyiségjegyeink.

Nem kell túl sok műveletet végrehajtanunk az online térben ahhoz, hogy nyomokat hagyjunk magunk után. Elegendő egy weboldal egyszeri betöltése, ami a böngészőprogramunkon keresztül egy webanalitikai adatbázisba kerül, amelyik a böngészésünk több tulajdonságát rögzíti: hozzájut az IP-címhez, egyes esetekben a hozzárendelt földrajzi koordinátához; adatokat gyűjt arról, hogy mennyi időt töltünk az oldalon, mire kattintunk, esetleg a kurzorunkkal merre mozgunk.

Hasonlóan alakul az okostelefonokon történő böngészés is, vagy egy alkalmazás használata, annyi különbséggel, hogy ilyenkor még egy konkrét személyt is csatolnak a viselkedési adatokhoz, hiszen általánosan úgy kezdünk el használni egy alkalmazást, hogy előbb regisztrálunk – részletezték a Maszol által megkérdezett szakemberek.

Sütik, címkék, profilozás – így gyűjtik össze az adatainkat

Míg a marketingesek főként a törvények és szabályok betartása mellett végzik „adatgyűjtő” tevékenységüket, addig az adathalászok és a hackerek a szabályok megkerülésével jutnak a vásárlók adataihoz. Ebben az okozza a legnagyobb fejtörést, hogy az utóbbiakat mondhatni lehetetlen tetten érni, felelősségre vonni. Az adathalászatot és az adatokkal való visszaélést voltaképpen az internet és a webes technológia elképesztő iramú fejlődése idézte elő – ennek következményeként alakult ki egy olyan médium, amelyben a vásárlók tevékenységeivel kapcsolatosan könnyűszerrel összegyűjthetőek a különféle adatok, és „a sok jó cuccért cserébe, amit a fogyasztók webáruházakból rendelnek, nemcsak pénzzel, hanem bizonyos adatokkal is fizetni kell”.

A megadott adatok által a szolgáltatók pontosabb, relevánsabb reklámokat és szolgáltatásokat nyújtanak a felhasználóknak – ismertette dr. Seer László, marketing szakember, a kolozsvári Babeș-Bolyai Tudományegyetem Közgazdaság- és Gazdálkodástudományi Karának oktatója a webáruházak értékesítéseinek módszereit.

Székely Barnabás adatvédelmi szakember felvilágosított, Romániában az adatvédelmi jogsértések között leggyakoribb a személyes adatok törvénytelen felhasználása marketing célokra, ugyanis a webáruházak gyakran visszaélnek a vásárlás lebonyolítása érdekében megadott felhasználói adatokkal, és előfordul, hogy ezeket továbbértékesítik. Az is megtörténhet, hogy az információbiztonsági hiányosságok miatt szivárognak ki adatok, vagy egy vásárlóra vonatkozó információt más személynek küldenek, megsértve az adatok bizalmas jellegét.

Ugyanakkor az is visszás, hogy a webáruház továbbít adatokat a beszállítói (tárhely-szolgáltató, elektronikus fizetési szolgáltató, kapcsolt third party szolgáltatások, csomagszállító szolgáltató) számára, anélkül hogy szerződésben lennének szabályozva az adatok felhasználásának feltételei. A vásárlási szokásaink mellett a különböző követési technológiák segítségével meglepően pontosan tudnak profilozni az algoritmusok, ilyenek a cookie-k, tagek, beacon-ok. Segítségükkel személyre, illetve célcsoportra szabott reklámokkal és ajánlatokkal bombázhatók a felhasználók. A folyamatos és részletes profilozáshoz azonban szükséges a felhasználó hozzájárulása, amit néha figyelmen kívül hagynak a szolgáltatók.

Bár rengeteg adat és viselkedési minta összegyűl a vásárlókról, és ezek mentén a vásárlói szokásokhoz alakítható a reklámkínálat, fontos megjegyezni, hogy a legtöbb vállalat csupán annyit tesz a „gyűjteményével”, hogy egy adatbázisban tárolja, és időnként ránéz, hogy az összegyűjtött adatmennyiség segítségével alakítsa a weboldal vagy az alkalmazás kinézetét, működését, valamint a felhasználói élményt – nyomatékosította dr. Seer László. A felhasználói élmény jobbá tételének érdekében használják a különféle sütiket (cookie) és címkéket (tag) a weblapok, hiszen ezek segítségével még több információ gyűjthető össze a vásárlói viselkedésről, amely hozzájárul a vásárlási folyamat és a reklám-megjelenítés hatékonyságához.

A kulcsszavakra „felfigyel” a telefonunk

A marketing szakember elmondása szerint "sikamlós" történet az, hogy mi alapján „néznek ki bennünket” a különböző reklámok. Az azonban bizonyos, hogy a terület nagy játékosai, a Google, a Facebook, az Amazon nem teljesen vállalják fel, hogy „lehallgatnák” felhasználóikat, annak ellenére, hogy számos jel arra utal, az okostelefonjaink mikrofonját használják azok az alkalmazások, amelyeknek mi engedélyt adtunk erre. Elméletileg nem összefüggő szövegeket regisztrálnak, hanem csak a kulcsszavakra „lesznek figyelmesek”, amelyekből a rendszereik kikövetkeztetik, hogy melyek az aktuális érdeklődési területeink, szükségleteink, témáink.

Ezért történik az, hogy az elmondottakat követően elég hamar összetalálkozunk a témának megfelelő hirdetésekkel, és ezek általában a Google Ads, a Facebook Ads vagy egyéb rendszerek keretében jelentkeznek – magyarázta a marketing szakember. Kiemelte, ez nem feltétlenül jelenti azt, hogy a telefon lehallgatja a felhasználóját, inkább arról tanúskodik, hogy „a Google, tehát az Android is, valamint a Facebook, a Messenger és néhány egyéb alkalmazás jelen van velünk a szobában”.

A hirdetések megjelenítését, azáltal, hogy mire kattintunk, mennyi időt töltünk el adott tartalmakon, mit kedvelünk, mit utasítunk el, mit küldözgetünk egymásnak, viselkedési célzásnak nevezi a szakirodalom, és jelenleg nem ismeretes ennél hatékonyabb reklámtechnológia. Önámítás lenne azt feltételezni, hogy ebben a folyamatban csak negatívum lapul – figyelmeztetett dr. Seer László, arra hivatkozva, hogy az évekig tartó „megfigyelés” odáig vezethet, hogy egy idő után eltűnnek a kelletlen hirdetések, és annyira „megismer” bennünket az okos rendszer, hogy csak olyan ajánlatokat juttat el hozzánk, amelyek egyébként is érdekelnének bennünket. „Évek múlva nem fogjuk ismerni a haszontalan reklám fogalmát”, mert a legalkalmasabb időben mindig a legjobb ajánlattal áll elő a rendszer. Természetesen mindezt azon az áron, hogy a reklámrendszer az adataink által előbb „kiismer” bennünket.

Mi az, ami már törvényellenes az adatgyűjtésben?

Székely Barnabás adatvédelmi szakember elmondása szerint platformonként változik a biztonság és a kockázatok mértéke, ezért fontos használat és adatok megadása előtt ellenőrizni néhány dolgot. Gyakori hiányosság, hogy a kapcsolat nem titkosított, ezt a böngészők már jelzik is a „nem biztonságos” (not secure) címkével. Egyre több adathalászatra vagy csalásra szakosodott klónoldal indul, ezért fontos ellenőrizni a domaint, hogy valóban azon a platformon vagyunk-e, amely az általunk keresett szolgáltatás hivatalos felülete.

Apró jelek, mint a helyesírási vagy nyelvhelyességi hibák, a hivatalostól eltérő arculat vagy stílus, vagy a honlapot működtető cég adatainak a hiánya is szembetűnő lehet. Figyelmeztető jel, ha az oldal PIN-kódot, oldalon kívüli fiókhoz tartózó jelszót, vagy egyéb olyan adatot kér el, amire nincs szükség a megfelelő használatához, vagy ha ésszerűtlenül alacsony az ára a kínált termékeknek. Érdemes az adatkezelési tájékoztatót és a felhasználási feltételeket ellenőrizni. Gyanú esetén lefuttatni egy keresést, hogy történt korábban visszaélés az adott domain-nel kapcsolatosan.

Az adatvédelmi szakember rávilágított, a termékek kiválasztása, a számlázási adatok és e-mailcím vagy telefonszám megadása reális elvárás. A fizikai termék esetén a kiszállítási cím meghatározása is. De nem lehet a vásárlás feltételéhez kötni a hírlevélre való feliratkozást, hűségkártya használatát vagy felhasználói fiók regisztrációját, mert ez már visszaélésnek minősül. Online fizetés esetén érdemes résen lenni, ha PIN-kódot vagy online banking felhasználónk adatait kérik, ez ugyanis a pénzügyi csalás egyértelmű jele. Érdemes online fizetés előtt kétlépcsős azonosítást beállítani, így a vásárlás kifizetését minden esetben meg kell erősíteni SMS-kóddal vagy token által generált kóddal, ezzel csökkentve a visszaélések lehetőségét.

A sütik adatokat gyűjtenek, esetenként személyes adatokat is. A jelenlegi szabályozás tükrében az oldal alapértelmezett működéséhez szükséges sütik indulhatnak el csak az oldal betöltésekor. A többi sütihez – ami optimalizációs vagy kényelmi funkciók működését szolgálja, méri az oldal használatát vagy a felhasználói szokásokat elemzi, esetleg third party szolgáltatások működésének feltétele – elengedhetetlen a felhasználók hozzájárulása. Ugyanakkor, lehetőséget kell biztosítani egyéni beállításra is, hogy egy felhasználó csak egy célt szolgáló adatkezeléshez vagy csak néhányhoz adja beleegyezését.

Fontos, hogy az oldalnak úgy kell működnie, hogy a felhasználó bármikor visszavonhassa hozzájárulását egy kattintással. Hatósági kivizsgálás esetén az oldal üzemeltetőjének egy nyilvántartás segítségével kell bizonyítania, hogy egy felhasználó, mikor és mihez járult hozzá a süti-adatkezelésekkel kapcsolatosan.

A GDPR nem tiltja a személyes adatok marketingcélú kezelését, hanem feltételeket szab ezek jogszerű kezeléséhez. A GDPR és a vállalati marketingtevékenység nem zárja ki egymást, de az adatvédelmi joggyakorlat ismerete és informatikai tudás is szükséges, hogy a GDPR megsértése nélkül folytassanak a webáruházak személyes adatokat érintő direkt marketing tevékenységet. Egyre több kutatás bizonyítja, hogy jól kommunikált és átlátható adatkezelési gyakorlat növeli a vásárlók bizalmát, illetve középtávon a vásárlói kosár értékének növekedését eredményezi. A bírságok és a kártérítési perek megelőzése mellett piaci előnyt is jelent és a brand-építés szempontjából is előnyös lehet a GDPR-megfelelés.

És ha nem olvassuk el az „apró betűs részt”?

Ha az adatkezelés nem felel meg a jogszabályi követelményeknek és az adatvédelmi joggyakorlatnak, akkor az adatkezelő felel a kihágásért, attól függetlenül, hogy elolvastuk-e az adatkezelési tájékoztatót vagy sem. Ugyanakkor, ha hozzájáruláson alapuló vagy szerződéses jogviszonyhoz kapcsolódó jogszerű adatkezelési feltételeket nem veszünk tudomásul, kellemetlen helyzetbe hozhatjuk magunkat – figyelmeztetett az adatvédelmi szakember.

Hozzátette, amennyiben az adatvédelmi incidens kockázatot jelent az érintett magánszemélyek jogaira, akkor az adatkezelő szervezetnek indokolatlan késedelem nélkül, de legkésőbb az incidens észlelését követő 72 órán belül jelentenie kell az adatvédelmi hatóságnak. Ha az incidens valószínűsíthetően magas kockázatot feltételez, akkor az összes érintett tudomására kell hoznia az incidens lényeges körülményeit. Mindkét esetben az adatbiztonság sérülését elszenvedő  szervezetnek kell intézkedéseket hoznia a negatív hatások csökkentése érdekében, és megfelelő technikai és szervezeti megoldásokat kell alkalmaznia, hogy az incidens ne ismétlődjön meg.

A bejelentési kötelezettség ellenére sok esetben információbiztonsági szakemberek kutatásának vagy sajtóhíreknek köszönhetően szerzünk tudomást adatvédelmi incidensekről. Ez annak is köszönhető, hogy a GDPR által bevezetett bejelentési kötelezettség teljesítéséhez szükséges infrastruktúrával és folyamatokkal nem rendelkeznek a szervezetek. Így nem kerülnek azonosításra az incidensek, vagy tudomást vesznek róla, de a következmények megúszásában bízva elmulasztják a bejelentést. Egy ilyen magatartás súlyosbító tényező a GDPR-bírság meghatározásánál, de a sérelmi díjak megállapításánál is a polgári jogi eljárásban – összegezte Székely Barnabás adatvédelmi szakember, a GDPR Akadémia adatvédelmi és információbiztonsági trénere, a Cluj Privacy Hub társalapítója.