Blog GDPR tanácsok és megoldások online marketingeseknek
GDPR tanácsok és megoldások
Írta:

GDPR tanácsok és megoldások online marketingeseknek

Cikk utolsó frissítése: 2018. május 10.

Ahogy érkeznek be új infok és vélemények, úgy fogom frissíteni a cikket.

Sokakat lázban tart a GDPR az elmúlt hónapokban. Van, aki legyint rá. Van, aki fél. Van, aki rémiszget. Mások ezerrel készülnek. Sokak meg az utolsó pillanatig kivárnak. És vannak, akik nem is hallottak még erről az egészről.

GDPR összefoglaló

Bár a cikk igyekszik egy kicsit mindenkinek segíteni, főleg a GDPR online marketinges részéhez kapcsolódóan találhatsz benne értékes és hasznos infokat. Ez viszont nem jelenti azt, hogy amit itt olvashatsz, az lefedi a teljes sztorit. A cikk oktató jellegű és jóhiszeműen született. Amit itt írok, az nem is minősül jogi állásfoglalásnak. Mielőtt belevágsz a témába, konzultálj egy GDPR szakértővel.

gdpr

Mi az a GDPR?

GDPR röviden: A GDPR (General Data Protection Regulation), az Európai Unió új, 2018. május 25-én érvénybe lépő egységes adatvédelmi rendelete, ami minden EU-s tagállamban bevezetésre kerül. Május 25-től nincs türelmi idő, vagyis a szabályozás onnantól kezdve él, mindenféle jogi következményeivel (azaz ha nem tartod be, akkor megbüntethetnek). De mielőtt elkezdünk a büntetéstől parázni, nézzük meg részeletesen miről is van szó.

A GDPR rendelet nem csak az Európai Uniós vállalkozásokat érinti, hanem minden olyan magánszemélyre, civil szervezetre is érvényes, akik EU-s állampolgárok adatait kezelik (rögzít, tárol, használ, vagy továbbít). Ráadásul ennek az új adatvédelmi elvárásnak minden méretű cégnek egyaránt meg kell felelnie.

Személyes adatok védelme

A GDPR egyik fő célja, hogy megvédje az emberek személyes adatait.

Ez a cél önmagában egy rendkívül jó cél. Ezzel nem lehet és nem is érdemes vitatkozni. A kérdés sokkal inkább az, hogy mi minősül személyes adatnak?

A személyes adatoknak van egy direkt és indirekt köre. Direkt adatnak számít valaki neve, születési adatai, lakcíme, bankkártya száma stb. Ezzel szemben az indirekt adat nem köthető direkt módon egy felhasználóhoz, de több lépésen keresztül már igen. Ilyet pedig hozzájárulás nélkül nem kezelhetünk. A felhasználónak tehát hozzá kell járulnia ahhoz, mi az adatait kezelhessük vagy feldolgozzuk.

Emellett biztosítani kell a személyes adatok törölhetőségét is. Ezt nevezik right-to-be-forgotten elvnek.

Itt arról van szó, hogy a felhaszáló megkereshet minket, hogy a hozzá kapcsolódó személyes adatokat véglegesen (és visszamenőlegesen) töröljük.

Egy újabb terület, amit szabályoz a GDPR a profilozás kérdésköre, ahol is adott vásárlókhoz, személyekhez és csoportokhoz marketing céllal célcsoportokat és hirdetési profilokat hozunk létre. Gondoljunk itt a remarketingre, amikor korábbi weboldal látogatások vagy épp vásárlások alapján próbálunk célzott üzenetet eljuttatni felhasználókhoz.

Maga a GDPR egy nagyon jó irány. A személyes adatok védelme extrém fontos dolog, még ha sokan csak legyintenek, amikor erről a témáról van szó. A GDPR megvalósítása és bevezetése, főleg Magyarországon viszont kész katasztrófa. Nem tudok szebben fogalmazni. És szerintem nem is kell.

Az Európai Parlament ugyanis 2016 tavaszán, azaz két évvel ezelőtt hirdette ki az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR). De a rendeletet ténylegesen csak 2018. május 25-től kell alkalmazni.

gdpr folyamat

Vagyis legalább 2 év állt a hazai hatóság rendelkezésére, hogy tájékoztassa és felkészítse a hazai cégeket a GDPR-ra és kidolgozza az állásfoglalásokat. Saját tapasztalatom szerint, ebből szinte semmi nem valósult meg. 2-3 héttel a határidő előtt is teljes a csönd és a káosz. A hatóság helyett pedig a piaci szereplők próbálnak egymásnak segíteni és utat mutani. És ez néha komoly gondot okoz.

A GDPR-ral kapcsolatban ugyanis sok probléma és tévhit merül fel, amit nem könnyű feloldani. De sokan megpróbálják, és ezért elképesztően sok a téves és rossz információ a piacon.

A fő gondok

Kicsik vs nagyok

A GDPR kire vonatkozik? Ha Te csak egy 3 fős magyar cég vagy, akkor rád ugyanúgy vonatkozik a GDPR, mint egy 100 fős cégre, vagy épp egy több ezer fős multira. Ez már önmagában is jelzi, hogy a rendszerrel és annak implementálásával kapcsolatban lesznek majd problémák. A kis cégek nagy része nem tud külön jogi osztályt fenntartani a GDPR megfelelőség előkészítésére, de ez még nem jelenti azt, hogy kivonhatják magukat alóla.

Online vs offline

A GDPR egyszerre vonatkozik az offline és online területre is. Az online részre vonatkozó előírás (ePrivacy Regulation) viszont még csak „vázlat” formájában létezik. Így meg elég nehéz megfelelni egy olyan szabályozásnak, ami még kész sincs. Ezért jelenleg sokkal inkább egy „általános” szabályozásnak kell megfelelni, ami viszont nem kezeli az online tér specifikus elemeit. Ebben próbál ez a cikk is segíteni.

Jog vs technikai tudás

A legtöbb jogász nem marketinges és technológiai szakember. A legtöbb marketinges pedig nem ért a joghoz. A GDPR online alkalmazásának nem csak az a problémája, hogy egyelőre nem létezik a pontos direktíva, hanem az, hogy két (vagy sok esetben több) terület határán mozgó kérdéseket feszeget. Emiatt elképesztően sok a félreértés, a rossz értelmezés és a téves információ.

Én például a napokban hallottam jogásztól egy konferencián azt, hogy a GDPR miatt a cégek mostantól nem használhatnak majd Gmail alapú levelezést, mert az ütközik a GDPR-ral. A résztvevők nagy részét meg a szívinfarktus kerülgette. A jogász kijelentése ebben a formában nem igaz, de a hallgatóság ijesztgetésére tökéletesen alkalmas volt.

Nem elég megfelelni

Nem elég megfelelni a Rendelet előírásainak. A megfelelést tudni kell igazolni is, belső és külső szabályzatok elkészítésével és azok igazolt betartatásával. Ennek egy lehetséges módja a magatartási kódexek betartása, illetve az ezekhez való csatlakozás vagy egy akkreditált tanúsító általi minősítés megszerzése. Nagy cégek ezt meg tudják oldani, a kicsiknél komoly gondok lesznek ezen a téren.

Gigabüntetés

A felügyeleti hatóságok jogosultak bírság kiszabására. A mértéke attól függ, hogy a Rendelet mely rendelkezését sérti meg a cég. A maximális bírság a vállalkozás előző évi globális árbevételének a 4%-a vagy 20M EUR. A Rendelet több, de nem alapvető fontosságú rendelkezésének megsértése esetén a bírság legkisebb mértéke a vállalkozás előző évi globális árbevételének a 2%-a vagy 10M EUR.

Ez az az összeg, amit a legtöbb cég fel se tud fogni. Ezért sokak számára kvázi értelmezhetetlen is. Cserébe viszont jól lehet vele stresszelni az átlag vállalkozást.

A gond itt az, hogy adott egy rekord büntetés, amihez viszont egyelőre nem párosul pontos elvárásrend. Röviden:

  • büntethetnek
  • sok pénzre
  • de nem tudni, hogy fognak-e
  • és ha igen, akkor mi alapján…

A legtöbb cikkben és előadásban persze ez az utóbbi elem mindig hangsúlyos. Én azonban nem erről akarok ebben a cikkben beszélni.

GDPR és az online marketing

Az ijesztgetés és rémisztgetés helyett közelítsük meg gyakorlatias oldalról a dolgot.

Hogy kapcsolódik és hogy alkalmazható a GDPR az online világban?

A témáról egy nagyon pöpec videót rakott össze Geiger Tamás és a JabJab csapata, amit itt tudsz megnézni. Azt járták körbe, hogy a hirdetési rendszerekre és a digitális analitikára milyen hatással lesz a GDPR. Hogy könnyebb legyen feldolgozni a témát, részekre bontottam az anyagot és összefoglaltam a lényeget. Plusz kiegészítettem pár helyen a saját tapasztalatommal.

Google Analytics

A Google Analytics fiókok átalakítására mindenképp szükség lehet, hogy a GDPR-nak megfelelő módon működjön az analitikád. A GA ugyanis rengeteg olyan dolgot mér, ami nem fér bele a GDPR kereteibe, ezért beleegyezést kéne kérni tőlük. Ez viszont rontja a felhasználói élményt és mérési pontatlanságokhoz vezethet. Ha ugyanis nem akarjuk már az első másodpercben feldobni neki a „GA + GDPR hozzájárulási ablakot”, hanem csak egy későbbi időpontban tennénk ezt meg, akkor el tudjuk veszíteni a forgalmi adatok egy fontos részét.

Ha nem akarunk külön felhasználói beleegyezést kérni a látogatóktól már az első böngészés első másodpercében, akkor érdemes a GA Advertising Features funkciót deaktiválni (vagy ha új GA kódot kötsz be, akkor ne is aktiváld). A hirdetési funkciókról itt olvashatsz bővebben. A kapcsolódó videós részt itt találod:

Szabályozási szempontból az IP cím is személyes adatnak minősül. Ezért érdemes lehet bekapcsolni az IP cím anonimizálást Google Analyticsben. Erről bővebben itt olvashatsz. Az IP cím anonimizálása erősen rontani fogja a földrajzi riportokat, de legalább GDPR compliant leszel. A releváns videórészt itt találod:

Miért fontos a mérést minél előbb elindítani, már a felhasználó hozzájárulása előtt is?

Azért, mert amikor megérkezik a felhasználó az oldalra, akkor a böngésző tárol rengeteg információt. Például azt, hogy milyen forrásból jött a felhasználó. Ha a hozzájárulást viszont csak azután kérjük el, hogy már megnézett pár oldalt, vagy csak második munkamenetnél, akkor ezeket az akvizíciós információkat elveszítjük. És például a referral, ppc, organic források helyett directet fog mutatni az Analytics. Így meg kvázi használhatatlanná fog válni a gyűjtött adat.

Ezért fontos, hogy a méréseket minél hamarabb, de már GDPR megfelelő formában el tudd indítani.

Ezen felül viszont több GA elem valószínűleg már hozzájárulás köteles lesz. Ilyen a USER-ID, ami a cross device méréseket segíthet azonosítani. Ha az Analytics fontos eleme az online marketing kampányodnak, akkor érdemes mélyebben utánajárni ennek a területnek, mert ezt is érinti a GDPR.

E-kereskedelmi mérések

Amikor leadsz egy rendelést egy webshopban, akkor az analitika generál egy rendelési azonosítót. Ezt ritkán szoktuk felhasználni. Ennek ellenére ez alkalmas arra, hogy azonosítani lehessen felhasználókat. Ezért itt is szükség van a vásárló beleegyezésére. Erről a témáról ebben a részben beszélt Geiger Tamás.

Adatmegtartás

A Data Retention, vagy adatmegtartás egy viszonylag új Google Analytics funkció. Ez azt mutatja meg, hogy a GA maximum hány hónapig tárolja az adatokat.

Data Processing Amendment (DPA)

Mi történik, ha adatvédelmi probléma lép fel? Ezt bizony kezelnünk kell és fel kell rá készülni.

Hogy megfelelj ennek a résznek, ki kell töltened egy szerződés-kiegészítést. Itt meg kell adni a kapcsolattartó(k) adatait, amin a Google megkereshet minket, ha szükség van rá. Ha valaki viszoneladó partnertől veszi a GA-t, akkor ott a partnerrel kell szerződést kötni, egyéb esetben a DPA-t nekünk kell megkötni. Ezt online meg tudod tenni és néhány perc alatt végig lehet rajta menni.

Remarketing és GDPR

A remarketing mérőkódokat (legyen az Facebook Pixel, Adwords, Adroll és társai), csak a felhasználó hozzájárulása után lehet elindítani. Ennek a mérőkódnak a működését hozzá lehet kötni az Elfogadom gomb megnyomásához. Vagyis itt egyezik bele a felhasználó a mérőkód futtatásába és innentől kezdve gyűjt információt majd róla az oldal.

Kérdés, hogy az opt-out lehetőséget milyen formában lehet biztosítani. Ennek a technikai megvalósítása nem triviális.

Érdemes egy olyan aloldalt létrehozni, ahol részletesen leírjuk, hogy milyen cookie-kat használunk, azok mire jók. És jelezzük, hogy ezeket milyen formában lehet törölni.

First party cookie-k esetében ez nem annyira bonyolult, de third-party cookiek esetében technológiailag nem megoldható ezek törlése. Ilyenkor érdemes ezeknek a sütiknek a Súgó oldalait belinkelni a felhasználók számára.

Vannak tehát olyan megoldások, amiket mi magunk is el tudunk végezni a saját oldalunkon. Ahol viszont ezt nem tudjuk megtenni, ott ezt a felhasználónak kell elvégeznie. Erről pedig tájékoztatni kell őket a weboldalunkon.

Adatkezelő vs adatfeldolgozó

Fontos különbséget kell tenni aközött, hogy valaki adatkezelő vagy adatfeldolgozó egy adott esetben.

Adatkezelő az, aki meghatározza, milyen célból gyűjt adatokat. Tulajdonképpen ő felel azért, hogy az adatgyűjtés módja jogilag és technikailag rendben legyen. Ő gyűjti be például a hozzájárulásokat.

Adatfeldolgozó pedig az, aki elvégzi az adatkezelő által rá bízott feladatokat. De csak azért felel, amit az adatkezelő rábíz. Például a hozzájárulások begyűjtéséért valószínűleg nem az adatfeldolgozó felel.

Ez pedig több eseteben és mondjuk a Facebook hirdetések vagy remarketing esetében is egy fontos kérdés lesz. Vegyünk egy egyszerűnek tűnő esetet: Facebookon akarunk hirdetni.

Ha a Facebook által gyűjtött adatok alapján célozzuk a felhasználókat (példuál demográfiai alapon vagy érdeklődés szerint), akkor a Facebook az adatkezelő. Tehát nem mi. Vagyis neki kell begyűjteni a hozzájárulást az adatok kezeléséhez.

Viszont, ha mi személyes adatot viszünk fel a Facebookba egy általunk gyűjtött adatbázisból (például a feliratkozók email címeit töltjük fel), akkor már nekünk kell begyűjteni a hozzájárulásokat.

Vagyis ugyanarról a felületről beszélünk, Facebook-on akarunk hirdetni, de máris eltérő adatkezelési folyamatba futhatunk bele. Ezek azok a megoldások és nüanszok, amit a legtöbb jogász nem fog tudni feloldani, amikor online marketingről van szó. Nem az ő hibájuk, de jól jelzi, hogy mennyire nincs előkészítve még ez a terület.

A Facebook remarketing és GDPR kapcsolatáról Lévai Ricsi írt bővebben a Közösségi Kalandozásokon. Érdemes elolvasni, ha érint a téma.

Hozzájárulás kérése

Az adatgyűjtéshez való hozzájárulásnak opciónálisnak kell lennie. Vagyis lehetőséget kell adni arra, hogy a felhasználó ne fogadja azt el, tehát ne tudjuk róla adatot gyűjteni. A checkboxokat pedig nem is lehet előre kipipálni.

Egy lehetséges megoldást is mutat a videó, méghozzá az IBM oldaláról, amit ezen az animgif mentettem ki nektek. A szöveg az összes információt tartalmazza, amit elfogadunk, és a Beállítások testreszabása résznél tudjuk módosítani, hogy milyen adatgyűjtéshez adunk hozzájárulást és mihez nem.

Azt nem tudni, hogy ez a megoldás 100%-ban GDPR komform-e, mert erre vonatkozóan még nincs állásfoglalás ugye. De ha az IBM magyar oldalán ez van fent, akkor valószínűsíthetően ez egy stabil, jó irány. Szóval hogyha egy hasonló megoldást implementálsz, akkor az vélhetően megfelelő lesz. De ahogy korábban is írtam, ez korántsem minősül jogi tanácsnak.

Néhány érdekesség

GDPR temető

Néhány nappal ezelőtt, 2018. május 5-én, jelent meg a hír, hogy az unroll.me egyszerűen becsukja az ajtót a EU-s állampolgárok előtt, mert egyszerűen nem tud megfelelni a GDPR-nak. A nem tud és nem akar között persze komoly különbség van, ebbe nem látni bele, de azért mégiscsak jelzés értékű, hogy bonyolult a sztori.

Az unroll.me egy szolgáltatás, amely pár kattintással le tud minket iratkoztatni az összes hírlevélről. Bekötöd a Gmail fiókodat, kiszűri a hírleveleket és pár kattintással le tudsz róluk tömegesen iratkozni.

Milyen megoldást választott a cég arra vonatkozóan, hogy megfeleljen a GDPR-nak? Május 24-én törli az összes EU-s felhasználó fiókját. Így „meg tud felelni” az előírásoknak május 25-től.

Unroll.me to close to EU users saying it can’t comply with GDPR

De több cég és játékcég is lelőtte az EU-s szolgáltatását. A Verve 2 év után hagyja itt a piacot, a Ragnarok Online 14 év után állítja le az EU-s szervereit, mert nem tudnak megfelelni a GDPR előírásainak.

Mi történik ha utazom?

Sokaknál felmerült az a kérdés, hogy mi történik akkor ha csak az EU földrajzi területén korlátozzák az adatgyűjtést, máshol viszont engedélyezik. Elsőre jónak tűnik az ötlet, de mi van akkor, ha egy EU-s állampolgár elutazik mondjuk az USA-ba? Ő attól még ugyanúgy EU-s állampolgár, tehát a GDPR továbbra is vonatkozik rá és a cégre. Részben ez is az oka annak, hogy több tízezer cég frissítette a szerződési feltételeket az elmúlt napokban, még akkor is ha a célpiaca nem is feltétlenül az EU. Hetek óta csak úgy záporoznak a Privacy Policy updatek a legtöbb felasználónak.

adatkezelesi szabalyzat frissítés

Ki olvassa el ezeket?

Tök jó ez az új adatkezelés, és hogy most már elvileg mindent le kell írni a felhasználóknak, amikor beleegyeznek valamibe. De ki olvassa el ezeket? Leginkább senki.

Egy művészeti projekt keretében egy pár napja jelent meg egy vizualizáció a különböző appok Adatkezelési Szabályzatának hosszát illetően.

A Snapchat adatkezelését például 64 perc elolvasni. 64!

snapchat adatkezeles

A GDPR iránya szerintem kifejezetten jó, de a megvalósítása teljes káosz. Évek álltak rendelkezésre, hogy felkészüljön rá a szakma és a hatóság, de érdemi lépés kevés született. Online marketing téren pedig főleg. Ezért is becsülendő azoknak a piaci szereplőknek a munkája, akik önszántukból segítik a szakmát. Emiatt külön köszönet Geiger Tamásnak, Lévai Ricsinek és mindenkinek, aki részt vesz ebben a folyamatban.

Mi lesz a NAIH számommal?

Emlékszel még arra az időre, amikor heteket küzdöttél arra, hogy megkapd a NAIH számodat? Én igen. MAC-ről nem lehetett kitölteni, csak PC-ről. Kitöltöttem, leadtam. Aztán hónapokig nem történt semmi. Majd írtam egy levelet a NAIH-nak, hogy mégis mi a helyzet. Aztán hirtelen elbírálták a kérelmet. Nos, a GDPR bevezetésével elvileg megszűnik a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által vezetett nyilvántartás. Legalábbis az előterjesztett, de még el nem fogadott infotörvény szerint így lesz. A régi NAIH számra tehát elvileg nem lesz szükséged. Csupán emlék marad a jövő számára. De hallottam már ezzel ellentétes álláspontot is a napokban, úgyhogy ezzel a „tanáccsal” még érdemes várni egy kicsit a végleges és elfogadott előterjesztésig.

Ha a NAIH szám igénylésről lemaradtál (pedig valószínűleg kellett volna), akkor a GDPR-t ne vedd félvállról. A megvalósítása egyelőre döcög, de az az irány kifejezetten jó. A személyes adatok védelme fontos lépés az online marketing életében.

Fontos:

Igyekeztem az elérhető infokat pontosan visszaadni ebben a cikkben. De simán lehet, hogy valamit félreértelmeztem, vagy pontatlanul magyaráztam el. Szóval ezt a cikket ne tekintsd jogi szaktanácsnak. Ha szeretnél biztosra menni, akkor kérd ki egy GDPR szakértő véleményét. Ha pedig tényszerű hibát találsz a cikkben, vagy kiegészítenéd valamivel, akkor kommentben írd meg bátran.


Hozzászólások

Moderáld magad – vagy mi fogunk. :)
Na jó, nem fogunk, szóval csak ésszel!