Magyarországon is akciót indítanak a Google adathabzsoló hirdetési rendszere ellen

Tizennégy európai országban – köztük Magyarországon – számíthat vizsgálatokra a Google, miután egy civil szervezet kampányt indított azért, hogy minél többen nyújtsanak be panaszt a cég ellen a helyi adatvédelmi hatóságoknál. Az Európai Szövetség a Szabadságjogokért (Liberties) hálózat #StopSpyingOnUs, vagyis „ne kémkedjenek utánunk” címkével ellátott kampánya a Google nemcsak tisztességtelen, de az uniós adatvédelmi rendelettel ütköző hirdetési rendszerére hívja fel a figyelmet.

A videlkedésalapú reklámozásra, pontosabban a valós idejű licitálásra (real time bidding, RTB) alapuló Google Authorized Buyers hirdetési rendszer „a felhasználók személyes adatait több száz vagy ezer cég felé közvetítheti, ami egyértelműen sérti az Európai Unió adatvédelmi rendeletét, a GDPR-t” – mondta a szervezet jogi munkatársa, Simon Éva. Az akciót Magyarországon kívül Belgiumban, Bulgáriában, Csehországban, Észtországban, Hollandiában, Írországban, Lengyelországban, Luxemburgban, Nagy-Britanniában, Németországban, Olaszországban, Spanyolországban és Szlovéniában is meghirdették.

Ki és mit csinál az adataimmal, és főleg, hogyan?

A valós idejű licitálás egy olyan automatizált folyamat, ami a másodperc törtrésze alatt lehetővé teszi, hogy egy tetszőleges weboldal hirdetési felületén a leginkább személyre szóló reklám kerüljön a felhasználó elé. Ez az ad exchange-nek nevezett online hirdetési piactereken történik (ilyen a 8,4 millió weboldalon használt Authorized Buyers is), ahol az eladói oldalon a hirdetési felületek kiadói, a weboldalak tulajdonosai, a vásárlói oldalon pedig a hirdetők, hirdetési hálózatok, médiaügynökségek találhatók.

Ez a szisztéma a weboldal megnyitásának pillanatában még üres hirdetési felület paramétereit nagyjából egy századmásodperc alatt összeveti a hirdető által előre megadott paraméterekkel, és egyezés esetén az adott felületért legtöbbet kínáló hirdető nyeri meg a licitet, vagyis az ő reklámját jeleníti meg az oldal.

Tehát ha megnyitsz egy oldalt, ami az Authorized Buyers szolgáltatáson keresztül értékesít hirdetéseket, akkor egy századmásodperc alatt minden olyan cég megkapja a személyes adataidat, amely kínál olyan hirdetéseket, amik a rendszer szerint érdekesek lehetnek neked. Ilyen személyes adatok lehetnek a pontos tartózkodási helyed, a böngészési előzményeid, a lájkolásaid alapján az ízlésed, a szexuális irányultságod, de még olyan egyedi kódok is, amelyek segítségével a cégek a jövőben továbbra is nyomon követhetik az online tevékenységed.

„Igazából senki sem tudja, mi történik ezután ezekkel a személyes adatokkal, ki mindenki használja fel őket, mikor és hogyan. Tekinthetjük úgy is, hogy a RTB paramétereket meghatározó szervezeteknek nem áll szándékukban kiárusítani téged. Ám miként arra a velünk együtt kampányoló Bits of Freedom rámutatott, lehetőséget teremtenek erre, és semmit sem tesznek ellene” – írja a viselkedésalapú reklámozásról szóló cikkében a Liberties. A szervezet a Cambridge Analytica-botrány előzményeihez hasonlítja a Google tevékenységét, ugyanis a Facebook esetében sem lehetett tudni, hogy ki mit kezd az oldalról kikerült személyes adatokkal, elég volt, hogy a cég azok kiszivárgását lehetővé tette.

A Google 2007-ben vásárolta fel az akkor még DoubleClick néven futó szolgáltatást, mára pedig már ez az egyik legjövedelmezőbb lába a cég évi 19,9 milliárd dollárt termelő hirdetési ágazatának. 

Egy országban már vizsgálódnak, és bizonyítékok is vannak

Az ügy Írországból indult, ahol a Brave nevű, adatvédelem-központú böngésző a One Rights Group csoporttal közösen nyújtott be panaszt a helyi és a brit hatóságnál 2018 szeptemberében az RTB miatt, majd az ír adatvédelmi bizottság (DPC) idén május végén jelentette be, hogy vizsgálatot indít a Google Írország ellen „az ország adatvédelmi törvényének lehetséges megszegése miatt, a személyes adatok hirdetési piactereken történő kezelésével kapcsolatban”.

„A DPC döntése azt jelzi, hogy közel egy évvel a GDPR bevezetése után végre olyan változás jön, ami túlmutat a Google-n is. Úgy kell megreformálnunk az online hirdetési piacot, hogy az adatvédelmet állítsuk a középpontba” – mondta Johnny Ryan, a Brave egyik vezetője.

A Brave februárban megszerzett egy olyan dokumentumot is, amelyben az európai reklámszövetség, az IAB gyakorlatilag beismeri, hogy az RTB alapjaiban mond ellent a GDPR-nak. A dokumentumban az áll, hogy „a felhasználónak technikailag lehetetlen előzetesen megbizonyosodnia arról, hogy milyen adatkezelők vesznek részt a valós idejű licitálás folyamatában”. Ezt a cég döntő erejű bizonyítéknak tekinti.

A GDPR előtt legfeljebb 150 ezer eurós bírságot lehetett kiszabni ilyen esetekben, az új rendelet értelmében viszont már 20 millió euró vagy az adott cég előző évi világpiaci forgalmának 4 százaléka (amelyik magasabb, a Google esetében nyilván az utóbbi) a maximum büntetés.

A Google-t egyébként januárban már egyszer megbüntették a személyre szabott hirdetések miatt, akkor Franciaországban bírságolták 50 millió euróra a céget a GDPR nevében. A Google hivatalos válasza az ügyre a következő volt: „az emberek az átláthatóság és az irányítás jó minőségét várják el tőlünk, és mi mélyen elkötelezettek vagyunk abban, hogy megfeleljünk az elvárásoknak. Tanulmányozzuk a döntést, és ez alapján határozzuk meg a következő lépéseinket.”

Kapcsolódó cikkek a Qubiten: