Jungtinės Karalystės informacijos komisijos biuras (BIKO) pateikė naujas rekomendacijas dėl slapukų naudojimo bei pažymėjo, kad personalizuotos reklamos (angl. targeted advertising) internete rinkos reguliavimas turi keistis ir užtikrinti vartotojų privatumą. Taip pat BIKO išleido rekomendacijas dėl programuojamosios reklamos pirkimo aukciono būdu (angl. Real Time Bidding (RTB)), o Airijos duomenų apsaugos komisija pradėjo tyrimą dėl „Google“ ir „Quantcast“ teikiamų RTB paslaugų.

Kas yra tas RTB ir kodėl apie jį būtina kalbėti?

Dauguma vartotojų yra patyrę situaciją, kai, atlikus kokios nors prekės paiešką, tų pačių ar panašių prekių reklama vėliau internete persekioja net keletą savaičių. Būtent RTB technologija leidžia reklamos užsakovams užtikrinti vartotojo interesus atitinkančios personalizuotos reklamos pasiūlymus.

RTB technologija apima keletą etapų:

1. Vartotojui apsilankius interneto svetainėje, jo įrenginyje įdiegiami slapukai. Vėliau, priklausomai nuo įdiegto slapuko, lankant skirtingas interneto svetaines slapukas iš to paties įrenginio (pavyzdžiui, mobiliojo telefono) renka informaciją apie vartotojo buvimo vietą, pomėgius, lytį, religiją, finansinę padėtį ir kita.

2. Slapuką vartotojo įrenginyje įdiegusi šalis, pavyzdžiui „Google“, iš apie vartotoją surinktos informacijos sudaro jo profilį, apimantį tokią informaciją kaip amžius, lytis, pomėgiai, religiniai įsitikinimai, išsilavinimas, atliktos paieškos, mėgstamos interneto svetainės ir kita.

3. Vartotojui ketinant apsilankyti interneto svetainėje, turinčioje parduodamą reklamos plotą, jo profilis išsiunčiamas reklamos užsakovams, kurie dalyvauja reklamos ploto pirkimo aukcione.

4. Reklamos užsakovas (tiksliau, programinė įranga), kuris pagal gautą profilį nustatė, jog vartotojas yra potencialus jo klientas, pateikia statymą dėl galimybės šiam vartotojui rodyti savo reklamą. Užsakovas, kuris pasiūlo didžiausią sumą, gauna reklamos plotą, ir vartotojui pristatoma jo reklama.

Šį reklamos ploto pirkimo ir parodymo vartotojui procesą programinė įranga atlieka, kol vartotojui yra „užkraunama“ interneto svetainė su parduodamu reklamos plotu. Tokie procesai vyksta nuolat, einant iš vienos interneto svetainės ar programėlės į kitą. Dauguma vartotojų matomų reklamų buvo parinktos, pritaikytos ar personalizuotos sekimo slapukų ir RTB proceso metu.

Vartotojų teises į privatumą saugančios organizacijos ir aktyvistai jau pateikė skundus Airijos, Jungtinės Karalystės, Belgijos, Liuksemburgo, Olandijos, Ispanijos ir Lenkijos duomenų apsaugos institucijoms dėl RTB proceso ir Bendrojo duomenų apsaugos reglamento suderinamumo.

Kokios pagrindinės problemos kyla dėl asmens duomenų apsaugos?

Visų pirma, net ir praėjus daugiau nei metams po BDAR įsigaliojimo daugelis interneto svetainių tinkamai neinformuoja vartotojų apie naudojamus sekimo įrankius ir trečiuosius asmenis, kuriems vėliau yra perduodami šie duomenys. Interneto svetainių gaunami sutikimai dėl asmens duomenų rinkimo ir naudojimo neatitinka BDAR reikalavimų, nes būna iš anksto pažymėti langeliai, nesuteikiama pasirinkimo vartotojui, nenurodoma išsami informacija ir kita.

Belgijos privatumo apsaugos komisijos kartu su „KU Leuven“ universiteto mokslininkais atliktas bendras tyrimas nustatė, kad „Facebook“ nuolat renka informaciją net ir ne apie aktyvius ar registruotus vartotojus jų lankomose trečiųjų asmenų svetaines. Jeigu turite „Facebook“ paskyrą, o interneto svetainė, kurioje apsilankėte, turi „Facebook“ „Dalintis“ ar „Patinka“ mygtukus, „Facebook“ gaus informaciją, kad jūs lankėtės toje svetainėje, kiek laiko praleidote ir pan., net jeigu ir nepaspausite mygtuko „Patinka“. Tikėtina, kad visose svetainėse esantys „Twitter“, „Youtube“, „LinkedIn“ ir kitų socialinių tinklų papildiniai atlieka tokius pačius veiksmus.

2019 m. liepos 29 d. Europos Sąjungos Teisingumo Teismas vadinamojoje „FashionID“ byloje nurodė, jog interneto svetainių valdytojai, kurie turi įsidiegę socialinių tinklų papildinius (slapukus, vadinamuosius „pikselius“, „Dalintis“ funkciją ir kita), kartu su socialiniu tinklu yra bendri asmens duomenų valdytojai ir privalo apie tai informuoti svetainės lankytojus bei gauti jų išankstinį sutikimą, jeigu duomenų rinkimui nėra kito pagrindo (teisėtas interesas, teisinė prievolė, sutartis). Taigi interneto svetainių valdytojai privalo gauti informuotą ir aktyvų vartotojo sutikimą dėl jo duomenų rinkimo bei perdavimo tretiesiems asmenims.

Antra, RTB proceso metu vartotojo asmens duomenys yra išsiunčiami (perduodami) tretiesiems asmenims (reklamos užsakovams), kuriuos ne visada galima nustatyti bei kurių serveriai gali būti bet kurioje pasaulio šalyje. Tuo tarpu BDAR draudžia perduoti europiečių asmens duomenis juridiniams asmenims, kurie neužtikrina BDAR reikalavimų.

Trečioji problema yra ta, jog nėra žinoma, ką reklamos užsakovai daro su gautais duomenimis apie vartotoją po nesėkmingo statymo – ar tie duomenys yra ištrinami, ar toliau saugomi serveriuose, ir kaip užtikrinamas tokių duomenų saugumas.

Gauti skundai dėl RTB procesų įpareigojo Europos Sąjungos valstybių narių duomenų apsaugos institucijas imtis išsamių tyrimų dėl RTB technologijos ir asmens duomenų apsaugos, o Prancūzijos duomenų apsaugos agentūra paskelbė, kad interneto svetainių valdytojams suteikia vienerių metų pereinamąjį laikotarpį įsidiegti BDAR reikalavimus atitinkančią sutikimo formą dėl slapukų, „pikselių“ ir kitų vartotojų sekimo priemonių naudojimo. Iššokančios lentelės su užrašu „Mes naudojame slapukus“ ar iš anksto pažymėti langeliai su sutikimais dėl sekimo slapukų naudojimo nebebus toleruojami.

Kokių veiksmų, atsižvelgiant į šias tendencijas, turėtų imtis interneto svetainių valdytojai?

Visų pirma, atlikti savo interneto svetainėje naudojamų slapukų ir kitų duomenis renkančių technologijų auditą ir išsiaiškinti, kas dar (be pačių valdytojų) renka lankytojų duomenis.

Antra, pasirengti BDAR reikalavimus atitinkančią slapukų sutikimo formą. Vartotojų duomenys yra vertinga informacija kuriant marketingo strategijas, pozicionuojant prekių ženklą ar užsakant reklamas, tačiau svarbu, kad po institucijų patikrinimų nereikėtų mokėti BDAR numatytų baudų ir pašalinti BDAR reikalavimų neatitinkančiu būdu surinktų asmens duomenų.

Personalizuotos ir vartotojui pritaikytos reklamos pačios savaime nėra joks blogis, jos leidžia vartotojui atrasti naujus produktus ir gauti jam tinkamas, o ne masines reklamas. Tačiau vartotojas turi teisę būti informuotas apie renkamus asmens duomenis bei pasirinkti, sutikti ar ne.

M360