Milton Friedman tételmondatából mára széles körben használatos mondás lett: „nincs ingyenebéd”. A reggeli elfogyasztása melletti szokásos internetes rutinból kiindulva mégis számos ingyenes szolgáltatást tudunk felsorolni, amelyek nélkül mára nehéz lenne elképzelni a mindennapjainkat. Az ébresztőóra lenyomását sokunknál pár perc Instagram böngészés követi. Ahogyan ébredezünk és az agyunk idővel már nemcsak vizuális tartalmakat képes befogadni, sokan ezután a Facebookról tájékozódnak, hogy ismerősi körükben kivel mi történt aktuálisan. A reggeli kávé mellett sokan már a különböző hírportálok szalagcímei között válogatnak, fogmosás előtt pedig tanácsos Google Maps-en megnézni, hogy melyik buszt érjük el, ami bevisz az irodába. A vezető technológiai cégek, mint a Google, vagy a Facebook számos szolgáltatása ingyenesen hozzáférhető a felhasználók számára, mégis kiforrott, és egymáshoz hasonló üzleti modelljeikkel pár év leforgása alatt a világ legjövedelmezőbb iparágát építették ki. Hogyan lehetséges ez és hogy jön ide Friedman?

A tech óriások szinte kivétel nélkül az úgynevezett rejtett bevétel üzleti modellt követik, amit először a Google implementált és fejlesztett folyamatosan. A modell lényege abban áll, hogy a felhasználók közvetlenül nem fizetnek pénzbeli ellenértéket a szolgáltatások használatáért, mégis igen erős korreláció fedezhető fel felhasználói magatartásuk és a tech óriások által a hirdetésekből realizált bevételek között. Ebben a három szereplős üzleti modellben bizonyos értelmezés mellett mindenki nyer, azonban érdemes minden érintett számára tudatosan, a felmerülő kockázatokat is figyelembe véve részt venni abban.

Mivel legelőször a Google kezdte el a gyakorlatban alkalmazni a rejtett bevétel üzleti modellt, kézenfekvő ezen a tech óriáson keresztül megvizsgálni az egyes érintetti szerepeket.

Az érintettek közül a legtöbben a felhasználók vannak. A Google ingyenes keresőmotorja úgy összeforrott a világhálóval, hogy manapság már nehéz elképzelni, hogy egy internethasználó ne használja azt napi rendszerességgel. A Google keresőmotorját az úgynevezett PageRank algoritmus tette egyedivé, melynek bevezetésével kezdetét vette a Google azóta is megállíthatatlan térhódítása. Az algoritmus lényege az, hogy a keresőszavak alapján a találatokat bonyolult szempontrendszer szerint osztályozza és súlyozza, így jó eséllyel azok a honlapok kerülnek a keresésünk alapján a találatok között előkelő helyre, amelyek számunkra legnagyobb valószínűséggel megoldást kínálnak. A találatként listázott honlapok tartalmának előzetes vizsgálata mellett, a Google sikerének másik nélkülözhetetlen összetevője a profilalkotás. A Google a felhasználókról gyűjtött adatok alapján a felhasználók preferenciáit, korábbi aktivitását, szokásait is beemeli az egyenletbe, így biztosítva, hogy tényleg a legrelevánsabb találatok ugorjanak fel egy-egy keresésünk során az első oldalon, és ne kelljen túl sokat lapozgatni. A profilalkotás és az azt követő targetált (személyre, vagy legalábbis fogyasztói szegmensre szabott) reklámozás nem a Google egyedi eszköze, a felhasználók aktivitásáról szinte kivétel nélkül minden keresőmotor, közösségi média felület, videó megosztó oldal adatokat gyűjt és elemez annak érdekében, hogy viselkedésmintáikat felhasználva még sikeresebbé tegyék az adott szolgáltatás vagy termék értékesítését.

A modell másik sarokkövét azok a vállalkozások adják, amelyek termékekkel, szolgáltatásokkal rendelkeznek és ezeket minél több ember számára szeretnék értékesíteni. Az értékesítés növelése reményében ezek a vállalkozások hajlandóak marketing kampányokért, reklámokért fizetni. A reklámok a Google Ads és a Google AdSense hálózatán keresztül jutnak el a felhasználókhoz. A Google a targetált reklámokat ugyanazon algoritmus szerint, a felhasználói profilokat előzetesen kielemezve helyezi el, mint amely a keresőmotort is működteti. A rendszer már így is működőképes, ám az teszi még jövedelmezőbbé, hogy az algoritmus számításainak eredménye befolyásolható. Ha egy vállalkozás például prémium csomagot vesz, így többet fizet a reklámokért, akkor annak ellenére is vezető helyre kerülhet a találatok között, hogy esetleg vannak olyan honlapok, amelyek pusztán a profilozó algoritmus szerint megelőznék a találatok listáján.

A modell a tartalomszolgáltatók részvételével válik teljessé. Ilyennek tekinthető minden olyan szereplő, amely valamilyen tartalmat generál és azt közzéteszi az interneten. A tartalomszolgáltatók fő célja nyilvánvalóan az, hogy az általuk generált tartalmat minél több emberhez eljuttassák. Azonban a rejtett bevétel üzleti modellel a kiadók előtt gyorsan körvonalazódott egy másik cél is. Honlapjaikon ugyanis általában találhatók olyan „szabad” felületek, amelyek üzleti célú felhasználására lehetőség van, hiszen például egy hírportálon egy cikk általában nem foglalja el az egész képernyőt. Ezek a felületek kezdetben „üresen álltak”, de egy ponton a Google integrálta azokat is a fent említett modellbe, felismerve, hogy ezek az eddig kihasználatlan felületek kiválóan alkalmasak hirdetések (úgynevezett banner-ek) elhelyezésére a Google AdSense használatával. A tartalomszolgáltatók az üres felületek ilyen módon történő kiadásából bevételhez jutnak, a vállalkozások hirdetései pedig még több felhasználóhoz juthatnak el. A különbség a korábban említett hirdetések (amelyek a keresőmotoros keresés után a találatok között jelennek meg) és a bannerek között az, hogy utóbbi esetben a felhasználó nem keresett rá semmilyen termékre, szolgáltatásra, csak valamilyen tartalmat kívánt elolvasni, mégis, a korábbi internetes aktivitása alapján a banner valamilyen testreszabott hirdetést fog számára megjeleníteni, adott esetben pl. pontosan azt a futócipőt, amelyre egy nappal korábban egy webshop-ban többször is rákattintott. Ezek a targetált reklámok, amelyek a már említett profilalkotás útján válnak lehetségessé, mind promóciós, mind tényleges bevételnövelő hatással bírnak a vállalkozások számára.

Ugyanakkor látni kell hogy ez a fajta marketing stratégia számos jogi kérdést vet fel, elsősorban az adatvédelem területéről. A jelenlegi joggyakorlat ugyanis lényegében egységes abban, hogy bármely olyan azonosító, vagy paraméter, amely alapján egy adott felhasználó online aktivitására nézve valamely következtetés vonható le a GDPR szerinti személyes adatként kezelendő. Ismert olyan bírósági döntés, amely még egy dinamikus (azaz minden internetre csatlakozáskor megváltozó) IP címet is személyes adatnak tekintett, a személyes adat fogalom az online térben tehát igen tágan értelmezendő.

Ennek elsődleges következménye, hogy bármely olyan internetes oldal, keresőfelület, vagy egyéb szolgáltatás üzemeltetője, amely a tevékenységét részben vagy egészben a felhasználók profilozására alapozza, a GDPR szerinti adatkezelőnek minősül és ennek megfelelően számos kötelezettsége van, nem beszélve a potenciális szankciók kockázatáról.

A legfontosabb jogi szempontok egy adatkezelő szemszögéből az alábbiak:

• a profilalkotáshoz megfelelő, a GDPR szerinti jogalapot kell meghatároznia, ezen felül pontosan be kell mutatnia a profilalkotás tényleges célját. A profilalkotást olyan módon kell megvalósítania, hogy az érintett magánszférájába jelentett beavatkozás mértéke arányban álljon az elérni kívánt céllal. Amennyiben a profilalkotás – akár az annak alapjául szolgáló személyes adatok köre, akár az alkalmazott módszertan miatt – túlzó, invazív jellegű, akkor az adatkezelés jogsértőnek minősülhet;
• a hatályos magyar jogi környezetben, amennyiben a profilalkotás valamely marketing célhoz – pl. személyre szabott ajánlatok küldéséhez – kötődik, akkor ahhoz valószínűleg az érintett hozzájárulása lesz szükséges. A hozzájárulás megadását az adatkezelőnek utólag is igazolnia kell tudni, sőt, biztosítania kell, hogy azt az érintett bármikor vissza is vonhassa;
• a profilalkotásról érthető és kellően részletes tájékoztatást kell nyújtania az érintettek részére, lehetőleg egy adatkezelési tájékoztató formájában. Ez különösen jelentős kihívás egy olyan absztrakt, a felhasználók nagy része számára eleve nehezen megfogható adatkezelés kapcsán, amely teljes mértékben az online térben zajlik. Az adatkezelők ebben a körben gyakran esnek abba a hibába, hogy túl generálisan, „csak essünk túl rajta” alapon nyújtanak tájékoztatást, amely éppen ezért végső soron nem lesz érthető az érintettek részére, így növeli a jogsértési kockázatot;
• a megfelelő jogi háttér kialakításához – eseti mérlegelés alapján – további dokumentációs kötelezettségek is társulhatnak, így pl. szükséges lehet érdekmérlegelési teszt és adott esetben adatvédelmi hatásvizsgálat készítése is a profilalkotás jogszerűségének biztosításához;
• amennyiben a profilalkotás valamely külsős partner (pl. egy másik szervezet által egy webshop-ban elhelyezett kód) útján valósul meg, elengedhetetlen a felek közötti együttműködés szerződéses kereteinek pontos rögzítése, ideértve különösen az adatkezeléssel és adattovábbítással kapcsolatos feladatokat, valamint a felelősségi kérdéseket. Utóbbiak miatt ez a szempont messze túlmutat az adatvédelem területén és klasszikus polgári jogi problémákat is felvet.

Fontos hangsúlyozni azt is, hogy a GDPR mint általában, úgy az itt tárgyalt esetkörben sem kizárólag a tech óriások adatkezeléseire terjed ki, így a fentieket adott esetben egy kisvállalkozás által üzemeltetett webshop-ra is megfelelően alkalmazni kell, amennyiben az pl. a korábbi termékmegtekintések alapján rangsorolja a vásárló részére megjelenített termékeket, vagy figyeli a kosárba helyezett termékek körét és figyelmeztetést küld amennyiben a vásárlást a felhasználó nem fejezte be, hiszen ez is profilalkotást fog megvalósítani.

A profilalkotás és a részben annak eredményeként előálló „big data” – az a kritikus adattömeg, amely komplett piaci trendek, üzleti stratégiák elemzésére és kialakítására is alkalmas, valamint az annak kapcsán használt algoritmikus megoldások (gondolhatunk itt a sokat emlegetett „machine learning”-re is) az online gazdasági tér integráns részévé váltak az elmúlt években és ez a folyamat várhatóan csak erősödik. A jogi megfelelőség, az arányosítás és a jogszabályok által elvárt garanciák beépítése és alkalmazása ezért minden olyan vállalkozás számára kulcsfontosságú, amely ebben a szegmensben tevékenykedik. Az adatkezelési és általánosabban a jogi szempontok elhanyagolása nem csak komoly reputációs veszteséget, hanem súlyos milliókban mérhető bírságot és egyéb szankciókat is eredményezhet.

Dr. Csenterics András (e-mail: andras.csenterics@pwc.com) és dr. Bolvári Ferdinánd (e-mail: ferdinand.bolvari@pwc.com)

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.