Az Európai Parlament ugyanis 2016 tavaszán, azaz két évvel ezelőtt hirdette ki az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR). De a rendeletet ténylegesen csak 2018. május 25-től kell alkalmazni.

Vagyis legalább 2 év állt a hazai hatóság rendelkezésére, hogy tájékoztassa és felkészítse a hazai cégeket a GDPR-ra és kidolgozza az állásfoglalásokat. "Saját tapasztalatom szerint, ebből szinte semmi nem valósult meg. 2-3 héttel a határidő előtt is teljes a csönd és a káosz volt a szabályozási területen, a hatóság helyett pedig a piaci szereplők próbálnak egymásnak segíteni és utat mutatni. És ez néha komoly gondot okoz. A GDPR-ral kapcsolatban ugyanis sok probléma és tévhit merül fel, amit nem könnyű feloldani. De sokan megpróbálják, és ezért elképesztően sok a téves és rossz információ a piacon. Az ijesztgetés és rémisztgetés helyett közelítsük meg gyakorlatias oldalról a dolgot. Bár igyekszem egy kicsit segíteni a GDPR online marketinges részéhez kapcsolódóan ez nem jelenti azt, hogy amit itt olvashatsz, az lefedi a teljes sztorit. A cikk oktató jellegű és jóhiszeműen született. Amit itt írok, az nem is minősül jogi állásfoglalásnak. Mielőtt belevágsz a témába, konzultálj egy GDPR szakértővel” – hívja fel a figyelmet Papp Gábor online marketing szakértő a ThePitch blogján megjelent legfrissebb bejegyzésében. A továbbiakban ebből közlünk most egy részletet.

Maga a GDPR egy nagyon jó irány. A személyes adatok védelme extrém fontos dolog, még ha sokan csak legyintenek, amikor erről a témáról van szó. A GDPR megvalósítása és bevezetése, főleg Magyarországon viszont kész katasztrófa. Nem tudok szebben fogalmazni. És szerintem nem is kell.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Hogyan alkalmazható a GDPR az online világban?

A témáról egy nagyon pöpec videót rakott össze Geiger Tamás és a JabJab csapata. Azt járták körbe, hogy a hirdetési rendszerekre és a digitális analitikára milyen hatással lesz a GDPR. Hogy könnyebb legyen feldolgozni a témát, részekre bontottam az anyagot és összefoglaltam a lényeget. Plusz kiegészítettem pár helyen a saját tapasztalatommal.

Google Analytics

A Google Analytics fiókok átalakítására mindenképp szükség lehet, hogy a GDPR-nak megfelelő módon működjön az analitikád. A GA ugyanis rengeteg olyan dolgot mér, ami nem fér bele a GDPR kereteibe, ezért beleegyezést kéne kérni tőlük. Ez viszont rontja a felhasználói élményt és mérési pontatlanságokhoz vezethet. Ha ugyanis nem akarjuk már az első másodpercben feldobni neki a “GA + GDPR hozzájárulási ablakot”, hanem csak egy későbbi időpontban tennénk ezt meg, akkor el tudjuk veszíteni a forgalmi adatok egy fontos részét.

Ha nem akarunk külön felhasználói beleegyezést kérni a látogatóktól már az első böngészés első másodpercében, akkor érdemes a GA Advertising Features funkciót deaktiválni (vagy ha új GA kódot kötsz be, akkor ne is aktiváld). A hirdetési funkciókról itt olvashatsz bővebben.

Szabályozási szempontból az IP cím is személyes adatnak minősül. Ezért érdemes lehet bekapcsolni az IP cím anonimizálást Google Analyticsben. Erről bővebben itt olvashatsz. Az IP cím anonimizálása erősen rontani fogja a földrajzi riportokat, de legalább GDPR compliant leszel.

Kép: Pixabay

Miért fontos a mérést minél előbb elindítani, már a felhasználó hozzájárulása előtt is?

Azért, mert amikor megérkezik a felhasználó az oldalra, akkor a böngésző tárol rengeteg információt. Például azt, hogy milyen forrásból jött a felhasználó. Ha a hozzájárulást viszont csak azután kérjük el, hogy már megnézett pár oldalt, vagy csak második munkamenetnél, akkor ezeket az akvizíciós információkat elveszítjük. És például a referral, ppc, organic források helyett directet fog mutatni az Analytics. Így meg kvázi használhatatlanná fog válni a gyűjtött adat.

Ezért fontos, hogy a méréseket minél hamarabb, de már GDPR megfelelő formában el tudd indítani.

Ezen felül viszont több GA elem valószínűleg már hozzájárulás köteles lesz. Ilyen a USER-ID, ami a cross device méréseket segíthet azonosítani. Ha az Analytics fontos eleme az online marketing kampányodnak, akkor érdemes mélyebben utánajárni ennek a területnek, mert ezt is érinti a GDPR.

E-kereskedelmi mérések

Amikor leadsz egy rendelést egy webshopban, akkor az analitika generál egy rendelési azonosítót. Ezt ritkán szoktuk felhasználni. Ennek ellenére ez alkalmas arra, hogy azonosítani lehessen felhasználókat. Ezért itt is szükség van a vásárló beleegyezésére.

Adatmegtartás

A Data Retention, vagy adatmegtartás egy viszonylag új Google Analytics funkció. Ez azt mutatja meg, hogy a GA maximum hány hónapig tárolja az adatokat.

Data Processing Amendment (DPA)

Mi történik, ha adatvédelmi probléma lép fel? Ezt bizony kezelnünk kell és fel kell rá készülni. Hogy megfelelj ennek a résznek, ki kell töltened egy szerződés-kiegészítést. Itt meg kell adni a kapcsolattartó(k) adatait, amin a Google megkereshet minket, ha szükség van rá. Ha valaki viszoneladó partnertől veszi a GA-t, akkor ott a partnerrel kell szerződést kötni, egyéb esetben a DPA-t nekünk kell megkötni. Ezt online meg tudod tenni és néhány perc alatt végig lehet rajta menni.

Remarketing és GDPR

A remarketing mérőkódokat (legyen az Facebook Pixel, Adwords, Adroll és társai), csak a felhasználó hozzájárulása után lehet elindítani. Ennek a mérőkódnak a működését hozzá lehet kötni az Elfogadom gomb megnyomásához. Vagyis itt egyezik bele a felhasználó a mérőkód futtatásába és innentől kezdve gyűjt információt majd róla az oldal.

Kérdés, hogy az opt-out lehetőséget milyen formában lehet biztosítani. Ennek a technikai megvalósítása nem triviális. Érdemes egy olyan aloldalt létrehozni, ahol részletesen leírjuk, hogy milyen cookie-kat használunk, azok mire jók. És jelezzük, hogy ezeket milyen formában lehet törölni.

First party cookie-k esetében ez nem annyira bonyolult, de third-party cookiek esetében technológiailag nem megoldható ezek törlése. Ilyenkor érdemes ezeknek a sütiknek a Súgó oldalait belinkelni a felhasználók számára. Vannak tehát olyan megoldások, amiket mi magunk is el tudunk végezni a saját oldalunkon. Ahol viszont ezt nem tudjuk megtenni, ott ezt a felhasználónak kell elvégeznie. Erről pedig tájékoztatni kell őket a weboldalunkon.

Adatkezelő vs adatfeldolgozó

Fontos különbséget kell tenni aközött, hogy valaki adatkezelő vagy adatfeldolgozó egy adott esetben.

Adatkezelő az, aki meghatározza, milyen célból gyűjt adatokat. Tulajdonképpen ő felel azért, hogy az adatgyűjtés módja jogilag és technikailag rendben legyen. Ő gyűjti be például a hozzájárulásokat.

Adatfeldolgozó pedig az, aki elvégzi az adatkezelő által rá bízott feladatokat. De csak azért felel, amit az adatkezelő rábíz. Például a hozzájárulások begyűjtéséért valószínűleg nem az adatfeldolgozó felel.

Ez pedig több eseteben és mondjuk a Facebook hirdetések vagy remarketing esetében is egy fontos kérdés lesz. Vegyünk egy egyszerűnek tűnő esetet: Facebookon akarunk hirdetni. Ha a Facebook által gyűjtött adatok alapján célozzuk a felhasználókat (példuál demográfiai alapon vagy érdeklődés szerint), akkor a Facebook az adatkezelő. Tehát nem mi. Vagyis neki kell begyűjteni a hozzájárulást az adatok kezeléséhez. Viszont, ha mi személyes adatot viszünk fel a Facebookba egy általunk gyűjtött adatbázisból (például a feliratkozók email címeit töltjük fel), akkor már nekünk kell begyűjteni a hozzájárulásokat.

Vagyis ugyanarról a felületről beszélünk, Facebook-on akarunk hirdetni, de máris eltérő adatkezelési folyamatba futhatunk bele. Ezek azok a megoldások és nüanszok, amit a legtöbb jogász nem fog tudni feloldani, amikor online marketingről van szó. Nem az ő hibájuk, de jól jelzi, hogy mennyire nincs előkészítve még ez a terület.

A Facebook remarketing és GDPR kapcsolatáról Lévai Ricsi írt bővebben a Közösségi Kalandozásokon. Érdemes elolvasni, ha érint a téma.

Papp Gábor folyamatosan frissülő cikke itt folytatódik!

Szerző:

Papp Gábor

Online marketing és SEO szakértő.

THE PITCH online marketing blog