Miközben az internetről és az alkalmazásokból gyűjtött felhasználói adatok kulcsfontosságúak a sikeres hirdetésekhez, ezek használata még szigorú szabályozások mellett is alkalmat adhat a visszaélésekre.
A felhasználókról gyűjtött adatok az EU-ban szigorú szabályozás alá esnek, elsősorban a 2016-os GDPR-rendeletnek köszönhetően. Ennek célja, hogy biztosítsa az állampolgárok személyes adatainak védelmét, vagyis elsősorban azt, hogy azokat az információkat, melyek segítségével egy természetes személy azonosítható, ne lehessen illetéktelenül használni.
Bár az adatgyűjtés többnyire anonim módon kezdődik, az általunk használt készülékek, alkalmazások, eszközök és protokollok online azonosítóival, például IP-címekkel és cookie-kkal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a személyes profilunk létrehozására és az azonosításunkra.
Mit mond a GDPR?
A visszaélések elkerülésének elsődleges eszköze a beleegyezésünk: a rendelet szerint az adatainkat csak akkor kezdhetik el kezelni,
ha egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulásunkat adjuk a személyes adataink kezeléséhez.
Noha a legtöbben automatikusan nyomjuk az elfogadás gombot a weboldalakon, sokunknak valószínűleg fogalma sincs arról, hogy ezután milyen adataink kelnek önálló életre az internet útvesztőjében és mi történik velük. Ahhoz viszont, hogy a hozzájárulás hivatalosan "tájékoztatáson alapulónak" minősüljön, elég, ha tisztában vagyunk az adatkezelő kilétével és a személyes adatok kezelésének céljával. De mi történik akkor, ha az adatok kikerülnek az első adatkezelő hatásköréből?
A személyes adatok gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése bizonyos esetekben megengedett, "ha az adatkezelés összeegyeztethető azzal a céllal, amelyre a személyes adatokat eredetileg gyűjtötték". Vagyis reklámcéllal akár még tovább is használhatók.
Mégis szabad prédává válhatnak a hirdetési adatok
Azonban az utóbbi időben felmerült az az aggodalom, hogy nem csak ilyen célra használják őket további szereplők. Egészen pontosan az automatizált hirdetések valós idejű licitjei kerültek fókuszba, a hirdetők és hirdetésfogadók közötti licitfolyam adatai, amit angolul bidstream datának hívnak. Ezekhez sok platformon minden licitáló cég hozzáfér, akik között lehetnek adatkereskedők is. Akik nem nyerték meg a licitet, elvileg nem használhatják fel ezeket az információkat, de előfordulhat, hogy megteszik, és úgynevezett származékos művet készítenek belőlük, amit továbbértékesítenek.
Az a félelem, hogy ezek az adatok a titkosszolgálatok kezében végezhetik, hogy azután ezek segítségével szankcionálják az állampolgárokat, különösen az Egyesült Államokban erős, ahol kevésbé szigorú a szabályozás, és volt már példa arra, hogy az állam közfelháborodást keltő megfigyeléseket folytatott. Byron Tau amerikai újságíró, a Means of Control című könyv szerzője szerint akár egy kormány maga is részt vehet ezeken a hirdetési liciteken a kiberhírszerzési szervezetein keresztül. 2023 őszén nagy port kavart a Wall Street Journal riportja, amely szerint a Near Intelligence nevű adatkereskedő érzékeny felhasználói adatokat értékesített amerikai kormányzati vállalkozóknak közvetítő szervezeteken keresztül.
Ugyanakkor nemcsak a hírszerzés juthat hozzá az adatokhoz; a titkosszolgálatok munkatársainak adatai is megszerezhetők, ahogyan egy szintén a könyvben bemutatott példából kiderül. Ez az adatokhoz való hozzáférés egy másik módját, az alkalmazásokon keresztül történőt mutatja be. Az alkalmazásadatok elsősorban a helymeghatározásra vonatkoznak, Mike Yeagley technológiai szakember pedig bebizonyította, hogy a Grindr nevű társkereső oldal adatai alapján nyomon követhető az FBI-nál és a Pentagonnál dolgozó munkatársak mozgása.
A hasonló esetek valószínűleg nem túl elterjedtek, már csak azért sem, mert az érintett cég beperelhető, de legalábbis nagy reputációs veszteséget szenved, ha kiderülnek a manőverei, ahogyan az említett esetekben is történt. Remélhetőleg ez visszatartja azokat a vállalatokat, akik ily módon szereznék meg az adatokat. A hatóságoknak ugyanakkor lehetőségük van bizonyos esetekben hozzáférni személyes adatokhoz bűncselekménnyel és közbiztonságot fenyegető veszélyekkel kapcsolatban, de erre külön uniós szabályozás vonatkozik.
Miközben a reklámiparban kulcskérdés a hirdetések célzása, egyre árnyaltabb módszerek születnek arra is, hogy hogyan lehet mérni a reklámok hatását.