Lehallgat, lefigyel a telefonom, számítógépem! Mindent tud rólam a Google, Facebook! Rákattintok egy sportcipő hirdetésre és utána egy hétig sportcipőket látok az idővonalamon! – Gyakran hangzanak el ezek a mondatok, de mennyi a valóságalapjuk? Mit és mennyit lehet megtudni rólunk az internethasználati szokásaink alapján? Illetve, legfőképp, mit tudunk tenni annak érdekében, hogy a rólunk megtudható információkat minimálisra csökkentsük? Ezeket a kérdéseket járjuk most körül nagy vonalakban.
Ma már gyakorlatilag nincs ember, akinek ne lapulna a zsebében okos telefon, ne használna munkájához és/vagy otthon laptopot, tabletet. Ezeket az eszközöket jellemző módon úgy használjuk, hogy be vagyunk jelentkezve Gmail fiókunkba, a Gmail pedig a Google – mint legnépszerűbb, legelterjedtebb keresőoldal – szolgáltatása. Tehát az internetezésre használt eszközünk, az e-mail fiókunk, (amivel szinte mindenhova regisztrálunk) és a keresési előzményeink össze vannak kapcsolva. Nem nehéz belátni, hogy ebben a háromszögben napi szinten töméntelen mennyiségű személyes adat[1] keletkezik, ami alapján már elég pontos képet lehet alkotni rólunk. De hogy is néz ki ez a gyakorlatban?
Nyissuk meg a https://myadcenter.google.com/ weboldalt! Először is, az első és legfontosabb dolog: a jobb felső sarokban be tudjuk állítani, hogy egyáltalán akarunk-e személyre szabott hirdetéseket kapni. Ha nem, egy kattintással ki tudjuk kapcsolni.
1. A „Hirdetéseim” menüpontban láthatjuk, hogy legutóbb milyen témájú hirdetéseket jelenítettek meg számunkra és be tudjuk állítani, hogy az egyes témájú hirdetésekből többet vagy kevesebbet akarunk kapni.
2. A „Hirdetéseim személyre szabása” menüpontban az 1. pontban leírt beállításokon felül a „Márkák” almenüpontban még azt is beállíthatjuk, hogy milyen márkák (ezek szintén a legutóbb megjelenített hirdetések alapján vannak sorrendbe rakva) hirdetéseiből szeretnénk többet vagy kevesebbet, valamint a „Kényes” almenüpontban pedig azt, hogy bizonyos kényes témájú (pl. alkohol, gyereknevelés) hirdetéseket akarunk-e egyáltalán kapni vagy sem.
3. Az „Adatvédelem kezelése” menüpontban láthatjuk, hogy a Google ismeri a nemünket, életkorunkat, mivel ezeket anno megadtuk a regisztráció során. Viszont, ha lejjebb megyünk, ott már olyan adatok sorakoznak, amiket a Google – még ha nem is 100%-os biztonsággal – az internethasználati szokásainkból következtetett ki és ezek alapján jelenít meg hirdetéseket. Ezek között egész meglepőek is akadnak, például kikövetkezteti, hogy az ingatlan, ahol élünk saját vagy bérelt, a családi állapotunk, milyen iparágban dolgozunk és ezt mekkora cégnél tesszük, sőt, még azt is, van-e gyerekünk vagy sem. Ha még lejjebb megyünk, látthatjuk, hogy
- az internetes alkalmazástevékenységek,
- a YouTube előzmények,
- a Google használatának helye (tehát lényegében a földrajzi helyzetünk)
alapján is jelenítenek meg hirdetéseket.
Az áltaunk megadott alapadatokon kívül (nem, életkor, nyelv) minden egyes hirdetés megjelenítésre használt kategóriánál be tudjuk állítani, hogy szeretnénk-e az alapján hirdetéseket kapni vagy sem.
Természetesen nem csak a Google és a Meta szintű óriásvállalatok képesek adatot gyűjteni az felhasználóokról. Bárkinek, aki az online térben bármilyen árut, szolgáltatást forgalmaz, érdeke fűződhet ahhoz, hogy a pontosabb képet kapjon az oldalukra tévedő látogatók szokásairól. Ezt leginkább a cookiekal (vagy magyarul sütikkel) tehető meg, ami tulajdonképpen olyan, a felhasználók eszközén elhelyezett adatcsomag, ami megfigyeli a látogató weboldalon tanúsított viselkedését, sőt, sokszor még azt is, hogy honnan érkezett és hova távozott látogató az adott weboldalról. A cookiekat sokféleképp lehet csoportosítani, azonban jelenleg maradjunk meg a három legjellemzőbb kategóriánál.
- Alapműködést biztosító úgynevezett szükséges cookiek: ezek a cookiek a weboldal hibátlan műszaki, technikai működése érdekében működnek. Működésük elengedhetetlen a weboldal működése szempontjából, így ezen sütik kikapcsolására a látógatónak nincs lehetősége. Az ezekkel a cookiekkal végzett adatkezelés jogalapja általában a GDPR 6. cikk (1) bekezdés f) pontja[2].
- Analitikai/statisztikai sütik: ezen sütik segítségével lesz képes a weboldal tulajdonosa arra, hogy elemezze a látogató weboldalon tett látogatásait, illetve ezen látogatások során végzett tevékenységeket. Ezek a cookiek olyan információkat gyűjtenek, mint például a látogató melyik oldalt, aloldalt menüpontot nézte meg, annak mely részére kattintott, hány oldalt vagy aloldalt keresett fel, milyen más oldalakat látogatott, milyen hosszú volt az egyes oldalak megtekintési ideje stb. Az ezekkel a cookiekkal végzett adatkezelés jogalapja általában a GDPR 6. cikk (1) bekezdés a) pontja. [3]
- Marketing sütik: Ezeket a cookiekat a weboldal tulajdonosa arra használja, hogy elősegítse, hogy az látogatónak érdeklődési körének megfelelő személyre szabott szolgáltatásokat, ajánlatokat jelenítsen meg. Ha a felhasználó a social media profiljába (pl. Facebook, Instagram) bejelentkezve használja eszközét, akkor ebben a kategóriában jelennek meg az úgynevezett social media pixelek (meta pixeles cikk linkje) is. Az ezekkel a cookiekkal végzett adatkezelés jogalapja általában a GDPR 6. cikk (1) bekezdés a) pontja.
Ha jogszerűen van egy weboldal beállítva, akkor az első látogatás során felugrik egy úgynevezett cookie bar, ahol cookie beállításainkat meg tudjuk tenni.
És pont ez az, amit általában senki se olvas el, csak mindenki elfogad és/vagy beleegyezik mindenbe is, ezért jön elő a bevezetőben említett sportcipős példa, mert elfogadtuk a marketing sütiket Meta pixelestül.
Nyilván az sem várható el, hogy mindenki minden weboldalon minden cookie tájékoztatót elolvasson és annak megfelelően állítsa be az adott cookie bart, de ha már csak annyit megteszünk, hogy nem kattintunk egyből a „Mindent elfogad” gombra, hanem mondjuk jobb esetben van egy olyan gomb, hogy „Csak az elengedhetetlen sütiket fogadom el” vagy rosszabb esetben rá kell kattintani a „Beállítások” gombra, ahol a teljes lista végig bogarászása és minden csúszka, checkbox beállítása helyett elég legörgetni a végére és rákattintani a „Beállításaim megerősítése” gombra, mivel – ha jogszerűen van beállítva a cookie bar – olyan cookiek, amik adatkezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja, nem kerülhet automatikusan elfogadásra, hiszen a GDPR 7. cikk (1) bekezdése[4] értelmében a weboldal tulajdonosának, mint adatkezelőnek, igazolnia kell tudnia, hogy a hozzájárulás megtörtént részünkről.
Összeségében tehát elmondhatjuk, hogy
nem szükségszerű, hogy az online térnek tárgya legyünk, amikor kis odafigyeléssel és megfelelő beállításokkal lehetünk alanya is.
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: a GDPR) „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
[2] az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
[3] az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez
[4] (1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
