Načrtovano je bilo, da bo uredba o elektronski zasebnosti sprejeta v podobnem časovnem okviru kot uredba o varstvu osebnih podatkov (GDPR), ki je v veljavo stopila maja 2018. Nesprejetje uredbe o e-zasebnosti, specialnega zakona (»lex specialis«) uredbe o GRPR-ju pomeni, da na področju regulative ostaja vrsto nejasnosti:

• ni jasno, ali je za zajem podatkov o uporabnikih za poznejše namene obdelave mimo piškotkov potrebna izrecna privolitev,
• ali bodo le informacijski pooblaščenci tisti, ki so pristojni za preverjanje pravnih podlag za obdelavo podatkov, povezanih s piškotki,
• kako zagotoviti skladnost z uredbo GDPR.

Jaka Repanšek glede na časovnico napoveduje, da uredba o e-zasebnosti v veljavo ne bo stopila pred letom 2025. Podjetja bodo do takrat morala oceniti kalnost vode oziroma kaj je z vidika varstva podatkov zanje nujna pravna obveznost in kako jo izpeljati.

Bo pa uredba o e-zasebnosti v okviru temeljnega varstva podatkov na spletu razširila obstoječa varovanja zasebnosti in hkrati uvedla nova:

• dokončno bo urejeno področje piškotkov,
• na področju direktnega marketinga se ne pričakuje bistvenih sprememb,
• urejeno bo varovanje podatkov v mobilnih aplikacijah,
• uredba se bo dotaknila tudi spletnih oglaševalskih mrež, interneta stvari, »over the top« komunikacijskih storitev, elektronske pošte, telefonije, instant sporočil in neželene pošte, spletnih klepetov s potrošniki, aplikacij za komuniciranje, kot sta WhatsApp in Skype, telekomunikacijskih vsebin in meta podatkov.

Temeljna pravna podlaga za obdelavo podatkov pa bo ostala privolitev posameznika.

Kot eno večjih dilem ureditve, ki jo bo prinesla uredba o e-zasebnosti, je Jaka Repanšek izpostavil upravljanje s piškotki in ali bo pravna podlaga zanje privolitev. GDPR namreč prepoveduje povezovanje storitve z zasebnostjo. Ena od možnosti, ki se omenjajo, je, da bi ponudniki lahko z namestitvijo piškotkov pogojevali dostop do vsebine le, če bi uporabnikom kot alternativo ponudili plačljivo dostopanje do vsebin. Jaka Repanšek opozarja, da bi se v tem primeru morali povsem spremeniti poslovni modeli številnih podjetij.

Omenja se tudi možnost privzete nastavitve v brskalniku, ki ne dovoljuje namestitve piškotkov in ki bi jo uporabniki lahko omilili z lastnimi nastavitvami. Tehnično je takšna rešitev težko izvedljiva. Kaj lahko se zgodi, da bo namesto poenostavitev uporabe spletnih mest prišlo do oteževanja. Ogroženo bo njihovo financiranje, saj so številna spletna mesta odvisna od digitalnega oglaševanja, po novem pa bi se lahko zgodilo, da bi bil prikaz oglasov odvisen le od privolitve, je še izpostavil Jaka Repanšek.

Ciljano oglaševanje ključno za mala in srednje velika evropska podjetja

Daniel Knapp (IAB Europe) je predstavil izsledke raziskave o širši socio-ekonomski in kulturni vrednosti ciljanega oglaševanja v Evropi, ki je pokazala, da bi imela popolna prepoved ciljanega oglaševanja na spletu neslutene posledice. Poudaril je, da ciljano oglaševanje pomeni ključno podporo malim in srednje velikim podjetjem, ki so temelj evropskega gospodarstva. Hkrati je ciljano oglaševanje povezano s promocijo in zaščito evropske kulture in služi kot motor rasti za najuspešnejša evropska podjetja, ob čemer ima velik pomen tudi za pluralnost medijske krajine. Po besedah Daniela Knappa je vse večji del gospodarstva podprt s podatki, zato bo ciljano oglaševanje preželo prav vse panoge.

Oglaševanje je ena od prvih panog, ki je razvila in prevzela rešitve, ki temeljijo na podatkih, a kljub temu ohranjajo zasebnost uporabnikov ter skrbijo za kulturne vrednote, zato lahko ponudi »recept« za uvedbo tovrstnih rešitev.

Pravila o e-zasebnosti kot poslovna priložnost

Da uredbi o GDPR in e-zasebnosti, ki bo šele sprejeta, ne pomenita zgolj ovir, pač pa tudi poslovno priložnost, meni Zoran Savin (IAB Slovenija). Poudaril je, da je na spletu na voljo dovolj podatkov o uporabnikih, ki niso ime in priimek, da jih vendarle lahko učinkovito nagovarjamo.

Evropska unija je GDPR uredbo sprejela, da bi na eni strani zaščitila zasebnost svojih prebivalcev, na drugi pa svoj enotni trg. Nad regulacijo oziroma obvezno zaščito podatkov seveda niso navdušeni vsi, a je Zoran Savin pri tem izpostavil primer varnostnega pasu. Čeprav je bilo dokazano, da varuje življenja, so ga ljudje začeli množično uporabljati šele, ko je bila uporaba uzakonjena. »Šele ko smo v marketingu ponotranjili, da ta zakon obstaja, smo ga začeli uporabljati v svoj prid – Volvo je tako prvi začel izpostavljati varnost svojih avtomobilov.« Podobno lahko podjetja v svoj prid uporabijo tudi uredbi o GDPR in e-zasebnosti.

Trenutni trendi na področju zaščite podatkov gredo v tri smeri:

1. sistemi za sistemizacijo soglasij
2. kontekstualno oglaševanje
3. anonimizacija uporabnikov

Za v prihodnje pa Zoran Savin napoveduje naslednje trende, ki lahko prinesejo konkurenčno prednost za podjetja, če jih bodo le pravočasno izkoristila:

• pospeševanje konkurenčnosti EU (zaščita podatkov kot konkurenčna prednost),
• visokotehnološke rešitve (v skladu z zakonodajo odgovarjajo na katero koli potrebo),
• izkoristite priložnost za majhna tržišča.

Kot primer, kako trenutno situacijo izkoristiti sebi v prid, je Zoran Savin izpostavil troje:

• začetna okna za soglasje k piškotkom lahko izkoristite kot priložnost za komunikacijo z uporabniki,
• poudarite vaše vrednote na področju varstva osebnih podatkov ter skrbi za uporabnika ter njegove podatke obrnite v lastno konkurenčno prednost
• izkoristite prednosti, ki jih prinašajo zakoni in spodbudite uporabnike za prenos njihovih podatkov z velikih platform.

Kdo je DPO in kaj počne?

Naloge pooblaščenca za varstvo podatkov (DPO) so spremljanje skladnosti z uredbo GDPR, zakonom o varstvu osebnih podatkov, ozaveščanje in usposabljanje drugih zaposlenih, obveščanje in svetovanje upravljavcu, obdelovalcem, zaposlenim, DPO pa deluje tudi kot kontaktna točka za informacijskega pooblaščenca in posameznike.

DPO pri svojem delu upravlja in pripravlja politike, navodila, smernice, priročnike, oblikuje kontrolne vprašalnike in opravlja GAP analize, izvaja notranje kontrole ter ocene tveganj, preglede, pripravlja poročila in priporočila. Aktivnosti izvaja na podlagi strukturiranega in skrbno pripravljenega programa dela.

Kljub mnogim regulatornim zahtevam in usmeritvam pa to ne pomeni, da DPO ne more biti kreativen, je dejala Katarina Ogorevc Breznik (Banka Sparkasse). Kreativnost DPOja je celo zaželena. Prav tako je pomembno, da se zaposleni na DPO obrnejo pravočasno, že v fazi oblikovanja nove rešitve ali procesa, saj lahko DPO le na takšen način učinkovito pomaga pri iskanju najboljših rešitev, ki upoštevajo tudi vidik zasebnosti.

Kot primer dobre prakse je Ogorevc Breznik izpostavila video, ki so ga v banki skupaj pripravili predstavniki marketinga in poznavalci varstva osebnih podatkov in posameznikom na enostaven, razumljiv ter zanimiv način pojasni, katere osebne podatke banka od njih potrebuje ob morebitnem zaprosilu za kredit in zakaj.

Kaj se zgodi, ko izgubimo tretji najpomembnejši vir prometa?

Kako lahko pravna nedorečenost poseže v poslovanje podjetij, je primer svojega podjetja predstavila Lidija Rakuša (Merkur). Ko je julija 2020 Max Schrems, avstrijski aktivist za zasebnost, dosegel padec Ščita zasebnosti, to je dogovora med EU in ZDA o prenosu podatkov, je s tem povzročil, da je postala uporaba rešitve Facebook Pixel (koda, ki jo implementirate v svojo spletno stran in vam omogoča spremljanje vedenja uporabnikov) sporna, saj so se podatki pošiljali v ZDA. Med podjetji, ki jih je Max Schrems v tem času prijavil informacijskim pooblaščencem, so bila tudi tri slovenska, med njimi Merkur.

Merkur je moral po besedah Lidije Rakuša čez noč izklopiti Facebook Pixel, prek katerega je ciljal in sledil vedenju uporabnikov. 80 % Merkurjevega Facebook oglaševanja je uporabljalo Facebook Pixel, Facebook pa je bil tretji najpomembnejši vir prometa na spletni strani podjetja. Oktobra 2020 je tako prihodek od Facebook oglasov padel za 50 % v primerjavi z mesecem prej, stopnja konverzije pa za 41 %.

Lidija Rakuša tako priporoča robustno večkanalno strategijo, kjer lahko izgubo enega kanala nadomestijo drugi. Razvoj digitalnega marketinga naj poteka v smeri, kjer je zasebnost na prvem mestu, v ospredje pa bo prišla uporabna in kakovostna vsebina. Nujno je vlaganje v lastno znamko in njen imidž, saj tako gradimo zaupanje uporabnikov, s tem pa bomo pridobili tudi več soglasij za personalizirano oglaševanje.

Velike spremembe na področju varstva podatkov se dogajajo tudi na ravni operacijskih sistemov, brskalnikov in posameznih aplikacij. »Zasebnost tako prihaja v prvi plan, a se veliko podjetij tega še ne zaveda,« je zaključila Lidija Rakuša.

Podatki v zameno za dobro uporabniško izkušnjo

Bojana Pleterski (Info hiša) se je strinjala, da želi uporabnik imeti dobro uporabniško izkušnjo, dobro bančno aplikacijo, dobro spletno trgovino in je za takšno spletno izkušnjo pripravljen posredovati svoje podatke. V zameno za nekaj relevantnih oglasov (namesto množice nerelevantnih) ter pošten odnos in varnost pristane na obdelavo podatkov.

Kot priložnosti na področju zasebnosti je pri pravnih podlagah izpostavila:

• zakon o elektronskih komunikacijah, ta določa, kako lahko elektronski naslov, ki ga podjetje prejme ob registraciji v spletno trgovino, uporabi za neposredno trženje,
• zakoniti interes je nova pravna podlaga, ki jo je po izvedeni oceni (LIA) mogoče uporabiti tudi v določenih primerih pri digitalnem marketingu,
• pogodba oziroma splošni pogoji – ob vsaki storitvi, ki jo uporabnik naroči ali ko se registrira v spletno trgovino, se strinja tudi s splošnimi pogoji,
• privolitev je zadnja možnost za zbiranje podatkov in vsekakor še vedno zelo pomembna.

Pri izvedbi v digitalnem okolju pa še:

• instant in dolgoročne spodbude lahko pomagajo pri pridobivanju novih podatkov in privolitev,
• taktičen pristop – za različne kupce uporabimo različne motivatorje,
• transparentnost – jasno povemo, za kaj zbiramo podatke, česar pa ne zapakiramo v pravniški jezik,
• pogum za kreativne rešitve.

Podjetja naj tako izkoristijo priložnosti, ki jih ponuja digitalizacija, to so velike zbirke podatkov, enostavne interakcije, enostavnost komunikacije, večkanalnost, enostavno izvedbo informiranja in transparentnosti.

1.000 različnih oglasov v eni kampanji

Tako oglaševalci kot uporabniki si želijo pravo vsebino na pravem mestu ob pravem času, je prepričan tudi Igor Mali (iPROM). Če so podatki ustrezno zbrani, če so podana soglasja za obdelavo, potem težav ni, je dejal. Treba je le poskrbeti za učinkovitost. »Oglaševanje je pozitivna stvar, če nas doseže na pravem mestu, ob pravem času in s pravim sporočilom.« Oglasi bodo namreč obstajali tudi, če piškotke zavrnemo. A to bo pomenilo, da nas spletne strani ne bodo prepoznale in dobili bomo še več (nerelevantnega in ponavljajočega se) oglaševanja.

Podatki o uporabnikih so tako ključni za učinkovite oglaševalske kampanje. DMP – iPROM-ova platforma za upravljanje podatkov – združuje / agregira podatke o uporabnikih, njihovih navadah in vedenjskih vzorcih ter omogoča hranjenje podatkov o preteklih kampanjah oglaševalca. V kombinaciji z napredno oglaševalsko tehnologijo, kot je na primer iPROM Real-time Creative, pa na podlagi časovnih filtrov, različnih vrst ciljanja (vedenjsko, osredotočeno na uporabnika, tehnološko, geografsko) posameznikom v določeni ciljni skupini sestavi različne oglase z zanje najbolj relevantno vsebino.

Nagovarjanje oziroma targetiranje ciljne skupine s prilagojenimi oglasi pomeni spremembo v razmišljanju na področju digitalnega oglaševanja. - Igor Mali

V posamezni kampanji se tako lahko sestavi v realnem času tudi 1.000 različnih oglasnih sporočil.

Ob tem je Igor Mali izpostavil še en vidik zaščite podatkov. Podatki, ki so pridobljeni v oglaševalskih kampanjah na globalnih platformah, so na voljo tudi konkurenci in platformam omogočajo, da prek njih ustvarjajo cenovno bitko za doseganje uporabnikov. Zato je tovrstne podatke treba zaščititi, saj za podjetja predstavljajo edinstveno konkurenčno prednost in so v časih, ko so podatki nova nafta, gonilo rasti podjetja.

Kako se lotiti upravljanja s piškotki?

Zakon o elektronskih komunikacijah zapoveduje, da lahko piškotke postrežemo le ob predhodni privolitvi obiskovalca, ni pa potrebna privolitev za piškotke, ki so nujni za delovanje storitev informacijske družbe. Primož Govekar dodaja, da sem ne spada analitika, saj ta ni nujna za delovanje spletne strani, bi pa morda kot nujna za delovanje spletne strani štela lastna analitika, ki jo imamo nameščeno na spletno stran. A ob tem poudarja, da bi se takšna ureditev kmalu lahko spremenila.

Primož Govekar (Info hiša) je opisal, kako morajo biti pripravljena obvestila o piškotkih:

• Obvestilo o piškotkih mora biti pripravljeno v skladu s pravili o e-zasebnosti in GDPR (vsebina obvestila in enaki gumbi),
• biti mora primerno tehnično izvedeno (pred privolitvijo postreženi le nujni piškotki),
• zapisana mora biti tudi politika piškotkov (zabeležimo, kaj z njimi počnemo), ki je lahko vključena tudi v politiko zasebnosti.

PRIMER 1: Če so nameščeni samo nujni piškotki, objavimo obvestilo, da piškotki so:

1. Besedilo
2. Gumb s potrditvijo
3. Povezava na (ali lightbox) politiko piškotkov

‍

PRIMER 2: Če so poleg nujnih nameščeni še drugi piškotki, objavimo obvestilo in možnost izbire ter politiko piškotkov:

1. Obvestilo in možnost izbire:
   a. Besedilo
   b. Gumb za strinjanje z vsemi
   c. Gumb za strinjanje samo z nujnimi
   d. Gumb za podrobno izbiro
2. Povezava na (ali lightbox) politiko piškotkov

‍

PRIMER 3: Podrobna izbira piškotkov

Za upravljanje s piškotki so tako mogoče lastne rešitve (ekipe razvijejo svojo rešitev), rešitve, vključene na lastne strežnike (dodatek k platformam, rešitve tujih ponudnikov) ali sistemske rešitve (rešitve tretjih ponudnikov preko njihovih CMP-jev). »Pri tem je bistvena izvedba in vsebina rešitve za namestitev piškotkov, ne pa vrsta rešitve,« je še poudaril Primož Govekar. Obstajajo sicer tudi strani brez piškotkov in te ne potrebujejo ne obvestila ne kakršnega koli orodja za upravljanje s piškotki.

Zoran Savin je predstavil nekaj orodij za upravljanje s piškotki.

• One Trust – eno od najbolj razširjenih orodji, ki izpostavlja svojo kakovost, ker podpirajo tako varnost kot trženje. Omogoča veliko različnih postavitev, odvisno od tega, na kakšen način želite obvestiti svoje obiskovalce.
• IAB Europe – kot panožna organizacija ponuja standard izmenjave pravic uporabnikov. Je idealna za samostojne rešitve in povezovanja.
• Piwik pro – evropska alternativa Google Analytics-u, ki vsebuje tudi rešitve za zasebnost.
• Didomi – izkoriščajo ta kanal komuniciranja in izzive zasebnosti za dostavljanje vrednosti. Ponujajo netipične pristope za nagovor in pridobivanje soglasij.
• Quantcast – precej razširjeno orodje, ki ponuja standardizirane rešitve uporabniške izkušnje. Imajo tudi brezplačno rešitev.
• TrustArc – skozi kviz vas vodijo po poti težav, ki vas tarejo na področju varstva podatkov in vam posledično ponudijo ustrezno rešitev. Splača se tudi samo rešiti kviz.
• CookieHub – primeren za manjša podjetja, saj ponujajo rešitve, ki so omejene z določenim številom prikazov.
• SAP – marsikatero orodje, ki ga že imate, ponuja tudi možnost upravljanja s piškotki. Če že uporabljate npr. Salesforce ali kak drug CRM sistem, lahko le dodate to storitev.

Pri tem je Zoran Savin dodal, da ima vsako od orodij svoje prednosti, za vsa pa velja, da se ob spremembi zakonodaje posodobi tudi orodje za vse uporabnike. Opozoril pa je, da so nastavitve v določenih primerih skladne z zakonodajo, v drugih pa ne. Francoski informacijski pooblaščenec ima na svoji spletni strani pripravljen dober pregled, katera orodja kaj ponujajo (stran je v francoskem jeziku).

Zapis je nastal po dogodku Kako učinkovito tržiti in hkrati spoštovati zasebnost kupca, ki smo ga v marcu 2022 organizirali Društvo za marketing Slovenije, IAB Slovenija, Info hiša in Slovenska oglaševalska zbornica.