Jaká úskalí má technické řešení GDPR pro majitele webů?

, Články

Zanedlouho tomu bude rok, co vešlo v platnost Obecné nařízení na ochranu osobních údajů neboli GDPR. Nařízení se vztahuje na všechny, kteří shromažďují nebo zpracovávají osobní údaje občanů EU.

Jaká úskalí má technické řešení GDPR pro majitele webů?

V případě webových stránek tyto údaje a data od návštěvníků slouží dále například k analýze jejich chování nebo personalizaci reklamy prostřednictvím třetích stran. Podle české legislativy je dostačující souhlas se zpracováním údajů skrze povolené ukládání cookies webovou stránkou v prohlížeči. Prohlížeč je tedy zprostředkovatelem souhlasu. Z toho vyplývá, že návštěvník webu nemá možnost spravovat reklamní zdroje a subjekty, kterým chce své údaje poskytnout. Takových zdrojů a subjektů mohou být v rámci reklamního řetězce až stovky.

Organizace IAB Europe proto přišla s tzv. řešením CMP (Consent Management Providers), jež je stále více prosazováno a požadováno globálmi hráči na reklamním trhu. CMP je rámec, který standardizuje žádost vydavatelů a dalších poskytovatelů on-line služeb o získání „informovaného“ souhlasu návštěvníka webu. V praxi to znamená, že se po příchodu na webové stránky kromě informace o zpracování dat dostane návštěvník také k seznamu zpracovatelů dat, jejichž počet může být až několik set. Součástí seznamu jsou i účely využití dat a údajů, které návštěvník buď povolí či zakáže. Výsledky interního testu, který jsme zpracovali ve společnosti R2B2, ukazují, že více než 75 % návštěvníků udělí plný souhlas. Ten je při dalších návštěvách již automaticky předán do reklamního řetězce. Avšak podle testu se tak děje až po několika vteřinách, během kterých teprve vydavatel získává od CMP informaci o souhlasu. Stejná časová prodleva nastane pokaždé, když uživatel znovu navštíví stránky, a to i přesto, že již souhlas udělil. Při současném neustálém tlaku na co nejrychlejší načítání webových stránek, kdy i samotní vydavatelé nasazují nové ad-servery pro rychlé načtení reklamy, to může představovat značný problém.

Příčinu tohoto problému můžeme hledat konkrétně v technickém řešení CMP. Všichni zpracovatelé údajů, kteří se nacházejí v reklamním řetězci a požadují „informovaný“ souhlas, se musí nacházet také v databázi IAB. Z ní jsou propisování do již zmíněné možnosti správy údajů návštěvníkem webu. Tento proces funguje přes rozhraní API, které kvůli své nižší rychlosti může být jedním z úskalí. Tím dalším se jeví umístění volání CMP v kódu webové stránky. Pokud není při načítání webové stránky rámec CMP volán ideálně jako první skript, může nastat další zdržení, které může ovlivnit jaká reklama se návštěvníkovi zobrazí. Bez informace o souhlasu by totiž neměla být zobrazena cílená reklama, což dává vydavateli na výběr dvě možnosti. Buď zobrazí reklamu rychle, tak jak je zvyklý, ale reklama nebude cílená. Nebo si počká na informaci o CMP a zobrazí reklamu cílenou, která je pro něj profitabilnější. U této varianty však musí počítat s několika vteřinovým zdržením, tak jak ukázal test. V obou případech na tom mohou tratit všechny strany reklamního řetězce. Návštěvníkovi se nezobrazí relevantní reklama, inzerent nebude schopen doručit cílený reklamní prostor a vydavatel tak může přicházet jak o peníze, tak i o návštěvníky.

Pokud by výsledky testu, který jsme v R2B2 zpracovali, potvrzovaly skutečný stav aktuálního řešení CMP, znamenalo by to, že se celý reklamní systém může vrátit o několik let nazpět. Celý tento proces by proto bylo potřeba doladit natolik, aby informace o souhlasu byla dostupná pro subjekty v reklamním řetězci v co nejkratší době, maximálně v řádu nižších stovek milisekund. Ovlivnit jej může jak IAB, tak i samotní vydavatelé svou implementací CMP.

Lukáš Alexandr, Head of Technical Development, R2B2