Mi történik valójában, amikor egy webshopon hozzájárulunk az adataink tárolásához és kezeléséhez? Hogyan fér bele a GDPR szigorú szabályaiba, hogy a webshop ismeri a vásárlók böngészési történetét és adatait? A három éve hatályba lépett GDPR évfordulójának alkalmából az eCommerce ajánlórendszerekkel foglalkozó Yuspify jogi szakértő bevonásával bogozta ki a mindenkit foglalkoztató kérdéseket.
Minden természetes személy alapvető joga, hogy szabadon és tudatosan rendelkezzen saját személyes adatai felett. Ezt a jogot hivatott biztosítani a 3 éve hatályba lépett GDPR, ezért a személyes adatok kezelését csak meghatározott esetekben, szigorú feltételekhez kötve teszi lehetővé. A webshopokon azonban gyakorta találkozunk a személyes adatainkra vonatkozó felugró ablakokkal és személyre szabott ajánlásokkal, ami számos kérdést felvethet az óvatosabb vásárlók fejében.
Hogyan is működik egy ajánlórendszer?
Egy ajánlórendszer működése jelentős mértékben az online látogatók, vásárlók adataira épül, hiszen ezek alapján tud személyre szabott ajánlásokat generálni meglévő és potenciális ügyfeleik számára. A Yuspify egy machine learning algoritmusokon alapuló ajánlórendszer, amely kifejezetten személyre szabott ajánlásokkal, termékelhelyezésekkel és perszonalizált keresési eredményekkel teszi hatékonyabbá a webshopok működését.
Az ajánlórendszer-szolgáltató az esetek többségében adatfeldolgozó, míg megbízója, a webáruház vagy tartalomszolgáltató (pl. a weboldal-üzemeltető) az adatkezelő. Az adatfeldolgozó feladata pedig nem más, mint a felhasználók adatainak gyűjtése, tárolása és kezelése az adatkezelő utasításainak megfelelő módon.
De mitől lesz GDPR-biztos egy ajánlórendszer?
Egy ajánlórendszernek ma már meghatározó vásárlói élmény stratégiája a perszonalizáció, hiszen a jól célzott ajánlások segítségével a potenciális ügyfelek nem csupán megtalálják a keresett terméket, de elégedetten is távoznak a webshopból. Manapság ugyanis az online áruházak folyamatosan bővülő piacán már nem csak az árat figyelik a vásárlók, hanem azt is, hogy egy adott oldal mennyire felhasználóbarát és mennyire jó minőségű a felhasználói és a vásárlási élmény.
Az ajánlórendszer alapvetően pszeudonimizált, azaz álnevesített adatokkal dolgozik. Nagyon egyszerűen fogalmazva a felhasználókról gyűjtött információt úgy tárolja, hogy a természetes személyek és a hozzájuk tartozó adatok ne lehessenek összeköthetőek, csak egy elkülönítve tárolt “megoldókulcs” segítségével. „Alapvetően minden olyan adat kezelése jogszerű, amihez a felhasználó a hozzájárulását adta” – emlékeztet Németh Bottyán, a Yuspify by Gravity R&D marketingigazgatója. Tehát az ajánlórendszer-szolgáltatók, mint adatkezelők, a GDPR hatálya alá tartoznak, és megbízójukkal, az adatkezelővel együtt meg kell felelniük a GDPR vonatkozó rendelkezéseinek. Ide tartozik többek között az, hogy lehetővé teszik, hogy a felhasználók letilthassák a tevékenységüket követő sütik alkalmazását, vagy hozzáférést biztosítsanak a gyűjtött adatokhoz, ha egy felhasználó ezt kéri.
Ugyanakkor az ajánlórendszer annak a felhasználónak is tud ajánlásokat megjeleníteni, aki nem kért a sütikből, vagyis nem járult hozzá személyes adatai kezeléséhez. Ilyenkor a rendszer tartalmi vagy népszerűségi adatok felhasználásával szolgáltat ajánlásokat, éppúgy, mint az új, ismeretlen látogatók esetében. Ide tartoznak például azok a szintén GDPR-biztos módon működő ajánlások, mint a “Mások ezt is nézték/megvették” vagy az “Ez is jól jöhet hozzá”. Ezekhez nem egy-egy user személyes adatait használja fel az ajánlórendszer, hanem az adott termék vagy tartalom és az ismert (tehát a sütiket engedélyező) látogatók kapcsolatát veszi alapul.
Van-e élet a third-party cookie-k után?
A GDPR mellett egy másik fontos fejlemény, ami alapjaiban változtatja meg az online marketing világát, a third-party cookie-k várható kivonása a forgalomból, hiszen több más böngésző példáját követve 2022-től már a Google Chrome sem támogatja őket.
A cookie-knak két alapvető fajtája van, az úgynevezett first-party cookie-t maga a weboldal helyezi el a felhasználó böngészőjén, míg a third-party cookie-t nem a látogatott weboldal, hanem egy másik, jellemzően marketingre vagy analitikára szakosodott szolgáltató generálja. Az ajánlórendszerek működésében azonban ez a változás nem fog fennakadást okozni, hiszen a személyre szabott megoldások zömét a first-party adatokból lehet kinyerni.
Ha e-kereskedői szempontból nézzük, akkor kijelenthetjük, hogy az ajánlórendszerek használata teljes mértékben megfelel a GDPR jogszabályi követelményeinek, vásárlóként pedig jó, ha tudjuk, hogy jogunkban áll eldönteni, mit kezdünk a személyes adatainkkal az interneten.
Ez a cikk tájékoztató jellegű, nem pótolja a vonatkozó jogszabályok teljes, alapos megismerését, és nem egyenértékű jogi tanácsadással.
Vas Gabriella írónak, Németh Bottyán, a Gravity R&D marketingigazgatójának, valamint Dr. Tarján Zoltán, a Siegler Bird & Bird Ügyvédi Iroda senior ügyvédjének közös írása.