This browser is not actively supported anymore. For the best passle experience, we strongly recommend you upgrade your browser.

Hungarian Hub

A Bird & Bird blog

| 6 minute read

A GPDR megfelelés kapuőrei: Consent Management Platforms

Az adatvezérelt marketing a közelmúltban jelentős kihívásokkal szembesült a GDPR-nak való megfelelés területén. Ezek a kihívások azonban már régebben is jelen voltak, gondoljunk csak azokra a jellemzően USA-beli online hírportálokra, amelyek 2018. május 25-ét követően letiltották az EU-beli felhasználók számára a hozzáférést, vagy azon weboldalakra, amelyek nem mertek célzott hirdetéseket megjeleníteni vagy ún. cookie-falat húztak a weboldaluk elé, azaz addig nem jelenítettek meg érdemi tartalmat, amíg a felhasználó hozzá nem járult a cookie-k használatához.

2019 közepén az internetes forgalom több mint 10%-a EU-s felhasználókra volt visszavezethető, ez pedig akkora potenciális vásárlóerőt jelent, amit a weboldalak többsége egyszerűen nem hagyhat figyelmen kívül. Óriási igény alakult ki olyan megoldásokra, amelyekkel a weboldalak a GDPR és az ePrivacy irányelv elvárásainak való megfelelést tudják igazolni. Ezt igényt elégítik ki a Consent Management Platform-ok (CMPs), amelyekkel a felhasználók meg tudják adni, hogy mely típusú cookie-k használatához járulnak hozzá, adott esetben bizonyos saját és harmadik fél cookie-k települését akár külön-külön is be tudják állítani, illetve további információkat tudnak kapni az egyes cookie-król, és azon adatkezelésekről, illetve adattovábbításokról, amelyek a háttérben történnek. Mindezen beállítások az adatvezérelt marketinget használó weboldalak számára egyenesen elengedhetetlen, hiszen ezek nélkül a harmadik fél cookie-k elhelyezése, és az ezek által megvalósított adattovábbítások jogossága erősen megkérdőjelezhető lenne.

A jelen posztban bemutatjuk, hogy milyen feladatokat lát el egy CMP, mi a hozzáadott értéke egy weboldal tartalomszolgáltatója számára, valamint miért jelentős a szerepük az AdTech ökoszisztémában.

A CMP-k által nyújtott szolgáltatások

Egy CMP alapvetően bizonyos cookiek elhelyezéséhez szükséges hozzájárulások menedzselésében nyújt segítséget egy honlap szolgáltatójának, vagy ahogy az AdTech világában hivatkoznak rájuk, a kiadóknak (publishers):

  • bekéri, feldolgozza az érintett felhasználó hozzájárulását, a cookie-k adatgyűjtésével kapcsolatos tájékoztatást nyújt a felhasználónak (az adatvédelmi elvárások szerint ugyanis a felhasználónak jól informált, valódi választáson alapuló hozzájárulása szükséges a cookie-k alapján történő adatkezeléshez, kivéve a feltétlenül szükséges cookie-kat);
  • eltárolja és listázza az egyes cookie szolgáltatókat, amelyekhez a felhasználó hozzájárulását adta (ebben a körben adatbázist vezetnek a felhasználó cookie azonosítóiról, a hozzájárulás idejéről, az elfogadott cookie-król, illetve arról, hogy mikor változtatták meg vagy vonták vissza a felhasználók hozzájárulásukat);
  • kezelik az érintett felhasználó hozzájárulásának módosítását, illetve visszavonását (az adatvédelmi szabályok alapján a hozzájárulást hátrányos következmények nélkül bármikor visszavonhatja a felhasználó).

A gyakorlatban az érintettek egyszerűen, a szolgáltató honlapján található felhasználóbarát cookie hozzájárulási sávon adhatják meg preferenciáikat az összes adatkezelési célra és cookie szolgáltatóra egyedileg vagy egyszerre valamennyire kiterjedően. A CMP-k ezeket a sávokat készen, némi egyediesítést követően teszik elérhetővé a szolgáltató honlapján, akár különböző nyelveken is, amivel a CMP-k meg tudják szűrni, hogy az AdTech-ben részt vevő egyes szereplők milyen cookie-jait rakhatja le a honlap a felhasználó eszközére. Ezen cookie-k teszik lehetővé a böngészési előzményeken és különböző szegmentációkon alapuló személyre szabott hirdetések megjelenítését.

A lenti példa a Cookiebot megoldása, amelyen a felhasználónak kell kipipálnia, hogy a feltétlenül szükséges cookie-kon kívül milyen típusú cookie-k elhelyezéséhez járul hozzá.

Cookiebot cookie hozzájárulási sáv

Az IAB Europe fogalomhasználata szerint a CMP-k olyan szolgáltatók, amelyek összeszedik és menedzselik a felhasználók hozzájárulását és biztosítják a transzparenciát a végfelhasználók felé. Így a felhasználók és a cookie-k szolgáltatói között közvetítő szerepet játszanak a hozzájárulások begyűjtésével, amellyel megteremtik a jogalapot az adatkezeléshez, segítik az érintettek megfelelő tájékoztatását. Továbbá eltárolják a felhasználói preferenciákat is, hogy azokat később ne kelljen újra felmérni.

Az IAB iránymutatása és CMP megfelelést ellenőrző eszközei

2018 novemberében a francia adatvédelmi hatóság (CNIL) a francia Vectaury nevű adtech vállalat ellen indított eljárást rossz adatkezelési gyakorlata miatt. A vállalat ugyanis egy olyan CMP szolgáltatásait vette igénybe, akinek a hozzájárulás-gyűjtési gyakorlata nem felelt meg a GDPR-ban támasztott követelményeknek.

Felmerül a kérdés, hogy akkor mégis melyik CMP felel meg azoknak a sztenderdeknek, amelyet a szabályozás állít. Ebben nyújt segítséget az IAB Europe által kialakított Transparency & Consent Framework („TCF”), amelynek második verzióját 2019. augusztus 21-én jelentették be. Ennek a részét képezi a CMP-kre vonatkozó alapvető követelmények rendszere, a megfelelő hozzájárulás-begyűjtés és kezelés, az elszámoltathatóság és a nyilvántartási kötelezettség. A TCF-nek jelenleg megfelelő CMP-k listája az IAB erre a célra létrehozott oldalán olvasható.

Az IAB megbízásából a Media Trust kifejlesztette a CMP validátort, amely ellenőrzi, hogy egy CMP kód megfelel-e a fenti keretszabályok specifikációinak és protokoljainak. Ez egy olyan eszköz lehet, amellyel a kockázatot megfelelő alacsony szintre lehet csökkenteni és a számos egymással versengő CMP között könnyebben lehet választani.

IAB Frameworknek megfelelő CMP-k részesedése a piacon.

A piaci trendek alapján a CMP szolgáltatók igyekeznek megfelelni az IAB iránymutatásainak, amiben a legnagyobb ösztönző erő, hogy a hirdetői oldalon egyre inkább csak az aktuális TCF-nek megfelelő hozzájárulás-menedzsment alapján vásárol személyre szabott hirdetést. Felmerülhet, hogy a honlap üzemeltetője nem felel meg ezen feltételeknek, azaz nem tudja igazolni, hogy az adott honlapot letöltő felhasználó a TCF elvárásainak megfelelő  – az IAB szerint ezáltal pedig a GDPR-nak és az ePrivacy irányelv elvárásainak is megfelelő –  hozzájárulást adott a cookie-k használatához. Ennek az a kockázata, hogy vagy egyáltalán nem jelenik meg hirdetés, vagy célzás nélküli (legfeljebb kontextuális alapú) hirdetés jelenik meg a felhasználónak, ezzel pedig jelentős bevételtől esik el a szolgáltató. Ilyen lépéseket tervez tenni – egyelőre csak az USA-ban – a Google, ugyanis az IAB California Consumer Privacy Act (CCPA) kapcsán kidolgozott keretszabályaihoz tervez igazodni.

Néhány CMP szolgáltatásának összehasonlítása

Számos CMP működik a piacon, amelyek számtalan különböző szolgáltatást kínálnak a honlapok üzemeltetőinek. Ezek között van ingyenes is, de az előzetesen összeállított csomagokon kívül egyedi igényeket is kiszolgálnak.

Üzleti szempontból sokszor jobban megéri ezeket a szolgáltatásokat igénybe venni, hiszen időigényes és drága folyamat egy honlap szolgáltatójának lefejlesztenie saját hozzájárulás-menedzsment rendszerét vagy open source megoldásokat testre szabni. Ráadásul az IAB TCF-nek való megfelelés és IAB vendor list-re való felkerülés 1200 € éves költséggel is jár.

A legtöbb CMP (pl. Quantcast, Cookiebot) egy domain-re vonatkozó meghatározott számú aloldalon elhelyezett cookie-ról ingyenesen készít egyszerű táblázatos összefoglalót. Ez segítség lehet a honlap üzemeltetőjének az első lépések megtételében. Megfelelő erőforrások birtokában ezek alapján akár le is lehet fejleszteni saját cookie hozzájárulás sávot és hozzájárulás-gyűjtő és -tároló rendszert. Egyértelmű ugyanakkor, hogy az ilyen ingyenes riportok célja az, hogy az adott CMP a saját cookie sávjának igénybevétele  felé terelje a holnapok üzemeltetőit. Számukra szolgáltatáscsomagok széles tárháza áll rendelkezésre, amelyekben általában megtalálható a bejegyzés elején felsorolt CMP alapfunkciók összessége. Az egyes CMP szolgáltatókat ezen a szinten az különbözteti meg, hogy milyen többletszolgáltatást nyújtanak az alapfunkciók mellett. Így például a TrustArc egy könnyen kezelhető adminisztrációs felületet kínál a honlapok szolgáltatóinak, amelyen a beállításokon kívül a legfrissebb adatvédelemmel kapcsolatos hírek is megjelennek, de az egyes cookiekkal kapcsolatos kockázatelemzés eredményei is olvashatóak. A OneTrust Pro szolgáltatásai azoknak lehet előnyös, akik honlapját nem kizárólag a GDPR hatálya alá tartozó felhasználók böngészik, ugyanis geolokáció alapján a más jogi előírásoknak való megfelelést is segíti.

Bizonyos CMP-k egyedi ajánlat keretei között kiterjedtebb általános online GDPR és ePrivacy megfelelési tanácsadást is vállalnak, amelyek alapfunkcióiktól bizonyos mértékben eltérnek és jelentősen bővebbek.

CMP penetráció és a legnépszerűbb platformok

A CMP-ket egyre nagyobb számban használják különböző piacokon. Ez a tendencia több tényezőnek köszönhető. Egyrészt, ahogyan a lenti grafikonról is leolvasható, az USA-ban és az Egyesült Királyságban az online hírportálok alkalmazzák legnagyobb számban ezeket a szolgáltatásokat, akiknek jobban megéri a GDPR megfelelést a CMP-kre rábízni.

CMP-k alkalmazásának rátája 2018 Q3-tól az USA és UK adatokkal

A Quantcast felmérése szerint egy jól kialakított cookie sáv alkalmazása esetén a felhasználók több mint 90%-a nem bajlódik az egyes beállításokkal és az összes cookie elhelyezéséhez hozzájárul. Ez egyfelől kecsegtető a honlapok üzemeltetői és az AdTech szolgáltatót számára, mert a felhasználók gyorsan megadják a hozzájárulásukat az összes cookie használatához, Ugyanakkor ez felveti azt a kérdést, hogy ez a hozzájárulás tekinthető-e érvényesnek, ha a felhasználók a valójában nincsenek tisztában azzal, hogy mihez járulnak hozzá.

A jól kialakított cookie hozzájárulási sáv orientálja a felhasználókat, akik így általában a hozzájárulásra kattintanak.

A legnépszerűbb CMP szolgáltatókat az alábbi diagram mutatja be:

IAB listázott CMP-k piaci megoszlása 2018 Q3 óta.

A honlapok üzemeltetőinek oda kell arra figyelniük, hogy az összes aloldalukon az összes cookie listázásra kerüljön és azokat a CMP-k is felügyeletük alatt tarthassák. Egy esetleges elutasítás esetén pedig hatékonyan meg kell tudni oldani, hogy a célzott hirdetés helyett kontextuális hirdetés jelenjen meg.

A CMP-ék fontos szerepet töltenek be, megjelenésük és elterjedésük pozitív lépés a korántsem egyértelmű, cookie-kra vonatkozó adatvédelmi előírásoknak való megfelelés felé. Használatuk jelentősen hozzájárulhat ahhoz, hogy a honlapok üzemeltetői megfelelő jogalappal, transzparens módon járjanak el a cookie-k elhelyezése során.

Szerzők:

Halász Bálint

ügyvéd, partner

Sziládi Péter

ügyvédjelölt

Tags

adtech, ccpa, cmp, consent, consent management platform, cookie, gdpr, iab, iab europe, iab tcf, iab transparency and consent framework, iab validator, publishers, adatvédelem