Koliko so vredni vaši osebni podatki?

Zasebnost nakupovanja – utopija 21. stoletja

Razkužilo za roke, otroška kašica, brezkofeinska kava, test nosečnosti. Ste se kdaj vprašali, kaj vaš nakup pove trgovskemu ponudniku? Ali so vaše zasebne informacije sploh še zasebne?

Aplikaciji Maya in MIA Fem ter nekatere druge, ki so ženskam pomagale beležiti menstrualni cikel in z njim povezane simptome, so nedavno z velikanom socialnih omrežij, Facebookom, delile zasebne informacije uporabnic. To pomeni, da so bile vse občutljive informacije o ženskem počutju uporabljene za spremembo algoritmov in prilagojeno oglaševanje. Če je žensko zaradi menstruacije bolel trebuh in je to zabeležila v aplikaciji, ji je Facebook že v naslednjem trenutku prijazno ponudil zdravilen napitek za samo 9,99 evra. Facebook je uporabnicam menstrualnih aplikacij ”stal ob strani” tudi pri najmanjšem sumu nosečnosti. Vozički, pleničke in otroške igrače so bile zgolj klik stran. To ni osamljen primer velikih korporacij, ki osebne in zelo občutljive informacije izkoriščajo za zaslužek. Pred leti je v Ameriki burno reakcijo sprožila novica, da trgovska veriga Target svoje kupce pozna bolje, kot se poznajo sami.

Leta 2012 so novinarji ameriškega The New York Timesa namreč razkrili, da je njihov trgovski ponudnik Target s pomočjo zbiranja informacij kupcev le-te analiziral in oblikoval personalizirane kataloge ugodnosti. Targetov analitik je s pomočjo analize podatkov odločil 25 produktov, ki so mu ob skupni analizi omogočile, da je vsakemu kupcu določil t.i. vrednost ”verjetnosti nosečnosti”. Ugotovili so, da začnejo noseče ženske v začetku drugega trimesečja kupovati večje količine losjona brez vonja in da v prvih 20 tednih kupujejo večje količine dodatkov kot so kalcij, magnezij in cink. V kombinaciji z nakupovanjem razkužil za roke in otroških krpic so to prepoznali kot znak, da se ženska približuje roku poroda. To je Targetu omogočilo, da je točno določene kupone nosečnicam pošiljal v času specifičnega obdobja nosečnosti. Toda ker so kupci vzorec prepoznali in jih je to prestrašilo, so pri Targetu postali previdnejši – oglase za ciljne produkte so pomešali s takimi, ki niso bili relevantni za določenega kupca. Tako so dosegli izgled naključnosti ponudb, kar se jim je bogato obrestovalo – v osemletnem obdobju (2002-2010) so prodajo povečali za več kot 50%.

”Pri ogledu spletnih strani se naši obiski beležijo in lahko služijo ustvarjanju našega profila –če ste si recimo ogledovali športne copate v spletni trgovini, boste zelo verjetno videli oglase zanje tudi na drugih spletnih straneh. ” 

Glede na informacije, ki jih s podjetji delimo, lahko te oblikujejo naš profil. Ta je sestavljen iz demografskih informacij, kot so starost, zakonski stan, v katerem delu mesta živimo, koliko daleč je od našega doma oddaljena trgovina, predvidena plača in tudi to, katere kreditne kartice si lastimo. S pomočjo teh informacij ponudniki predlagajo primerne izdelke. ”Personalizirano oglaševanje poteka večinoma na spletu in preko elektronske pošte, saj so tam stroški za tovrstno prilagajanje oglasov nižji kot pri oglaševanju po navadni pošti.  Pri ogledu spletnih strani se naši obiski beležijo in lahko služijo ustvarjanju našega profila –če ste si recimo ogledovali športne copate v spletni trgovini, boste zelo verjetno videli oglase zanje tudi na drugih spletnih straneh. Pri nekaterih ponudnikih se beleži – včasih v zameno za bonitetne točke – kateri oglas v elektronski pošti smo zasledili,” razloži Mojca Prelesnik, informacijska pooblaščenka na Ministrstvu za pravosodje.

Analiziranje nakupov za predvidevanje nosečnosti ni praksa le v Ameriki, temveč tudi pri nas. Že 26 let je na slovenskem trgu namreč prisoten dm drogerie markt, ki personalizira kataloge za nosečnice, kot nam pove zaposlena, ki tam dela tri leta: ”V dm popuste dobijo tudi nosečnice in mame. Če zasledimo, da je gospa v enem mesecu kupila otroške izdelke v vrednosti 20 evrov, npr. kašice in pripomočke za otroško nego, ji na spletno stran kartice zvestobe pošljemo kupon, ki ga mora aktivirati in nato osebno priti po knjigo, kjer so kuponi s popusti za otroške stvari.”

Kako vemo, katere podatke imajo o nas trgovski ponudniki? V skladu s 15. členom Splošne uredbe (EU) o varstvu podatkov morajo upravljalci posamezniku na njegovo zahtevo:

  1. posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;
  2. omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in
  3. če se osebni podatki posameznika pri upravljalcu res obdelujejo, posredovati tudi informacije glede namena obdelave, vrste zadevnih osebnih podatkov, obstoj pravice za izbris ali popravek osebnih podatkov in podobno. Rok za odziv upravljalca je en mesec od prejema zahteve.

Da bi preizkusili, kakšno je uveljavljanje te pravice v praksi, smo za vpogled v osebne podatke zaprosili pri različnih ponudnikih. Pri prej omenjenemu dm so nam poslali povezavo, preko katere smo lahko dostopali do zahtevanih podatkov, povezava pa je bila zaradi varstva podatkov na voljo 14 dni. Da bi preprečili nepooblaščen dostop, je pred začetkom prenosa zahtevana prijava – vnos e-mail naslova ali številke kartice in PIN številka kartice zvestobe. Ob prijavi je možen vpogled v spremni dopis in informacije o osebnih podatkih. Spremni dopis vsebuje: 1) Od kod so podatki, ki so navedeni v prilogi?; 2) V kakšne namene se uporabljajo podatki?; 3) Komu bodo podatki posredovani?; 4) Koliko časa se hranijo podatki? in 5) Kakšne pravice imamo?. V okviru programa ”Active Beauty” lahko obdelujejo podatke kot so podatki o transakciji ali podatki o nakupu. Posredovali so nam tudi izjavo o privolitvi personaliziranega oglaševanja in navedli točen datum in uro privolitve.

Je izkoriščanje osebnih informacij za personalizirani marketing kot pri Targetu praksa tudi pri nas? Imajo tudi naši trgovci arhiv, kjer so na enem mestu zbrane informacije o preteklih nakupih določene stranke, in le-te uporabljajo pri personaliziranem oglaševanju svojih produktov? Imajo zaposlene analitike, ki te informacije povežejo v smiselno celoto? Ta vprašanja smo poslali največjim slovenskim živilskim trgovskim ponudnikom – Tušu, Mercatorju, Lidlu, Eurospinu, SPAR-u in Hoferju. Pri Eurospinu pravijo, da se personaliziranega oglaševanja ne poslužujejo, SPAR-u in Hoferju politika podjetja pri takšnih vprašanjih sodelovanja ne omogoča, odgovor Lidla in Mercatorja še čakamo. Na slednjega smo se kot potrošniki in imetniki Pika kartice obrnili sami in vprašali, ali se poslužujejo personaliziranega oglaševanja. Odgovorni odgovarjajo, da v Mercatorju trenutno potekajo začetne faze oblikovanja personalizirane ponudbe ter da bomo ob aktivaciji uporabniki obveščeni in povabljeni k soglasju.

Glede na to da odgovorov, katere vaše informacije imajo trgovine kot novinarji nismo prejeli, smo le-te sami izbrskali na spletu. SPAR obdeluje vaše podatke o posameznem nakupu (tako izdelek kot ceno, datum, čas in kraj nakupa, sredstvo plačila) in morebitno koriščenje ugodnosti. Če nakupujete preko spleta, hranijo še številko, povezano z vašim imenom za spremljanje aktivnosti na spletni strani, tako kot tudi podatke, pridobljene z uporabo piškotkov. Ko uporabljate mobilno aplikacijo SPAR plus, shranijo podatke, ki jih vnesete v aplikacijo – ročno, z dovoljenjem uporabe imenika ali z aktivno uporabo kamere na telefonu, prav tako kot tudi sledijo podatke, kdo je komu poslal nakupovalni listek in kdaj ter njegovo vsebino. Vse to jim je po pravni poti omogočeno s pogodbo 6(1)b člena Splošne uredbe EU o varstvu podatkov, ki jo podpišete ob sprejetju kartice. SPAR na svoji spletni strani trdi, da podatke o nakupih obdelajo, da vam lahko pripravijo posebne ponudbe in vas o njih obvestijo na način, ki ga izberete sami. Podobno velja tudi za ostale trgovske ponudnike.

Zahtevo v vpogled osebnih podatkov smo poslali še naslednjim trgovskim ponudnikom: CCC, Orsay, E. Leclerc in Mr. Pet.

Trgovina za živali Mr. Pet, je posredovala obrazec za zahteve za vpogled v osebne podatke, iz katerega so razvidne vse informacije, ki smo jih zahtevali – vsi hranjeni osebni podatki ter privolitve v obdelavo. Na obrazcu je navedeno tudi neposredno trženje in analiza nakupovalnih navad, čeprav pravijo, da na podlagi nakupov ne ustvarjajo personaliziranega oglaševanja. Na podlagi izbranega interesnega področja (tj. vrste živali) občasno prilagajajo vsebino e-novic. Ostale trgovine zagotavljajo, da hranijo le podatke, ki jih od nas zahteva izpolnitev obrazca za nastanek kartice zvestobe – običajno gre za ime in priimek ter telefonsko številko. Ob tem dodajajo, da jim lahko sporočimo, če nočemo, da podatke še naprej hranijo. Vsa oglaševanja potekajo v skladu z našimi privolitvami obdelave osebnih podatkov.

”Glede na podatke, ki jih vpišete na obrazec pri oblikovanju kartice, se prilagodijo popusti,” nam pove zaposlena v trgovini S. Oliver. ”To so na primer rojstnodnevni popusti, ki se oblikujejo na podlagi rojstnega datuma, in popusti v izbrani regiji, ki se oblikujejo na podlagi kraja, v katerem živite.” Novost, ki se jo poslužujejo, je spletna anketa o zadovoljstvu nakupa in postrežbe, ki jo kupec po opravljenem nakupu prejme na elektronski naslov.

Vprašljive so torej predvsem tako imenovane ”kartice zvestobe”, ki so pri nas že redna praksa. Te kartice predstavljajo najboljše obeh svetov – medtem ko se potrošniki polastijo določenih ugodnostih pri nakupih, ki drugače niso dostopne, lahko trgovci z njimi pridobi(va)jo koristne informacije o posameznem kupcu. Popusti, ki jih potrošniki dobijo kot člani kluba zvestobe, so velikokrat ”neuporabni” ter kupca nezavedno napeljejo v nakup nečesa, česar sploh ne potrebujejo, ugotovljata Zveza potrošnikov Slovenije (ZPS) in Informacijski pooblaščenec. Raziskava je vključevala najpopularnejše slovenske ponudnike s karticami zvestobe, poleg že navedene ugotovitve pa predvidevajo tudi, je pri teh ugodnostih velikokrat prisotna slabša kvaliteta izdelka. Najpomembnejša ugotovitev, ki je hkrati tudi skrito bistvo kartic zvestobe, je ta, da trgovci od kupcev za relativno majhne popuste zahtevajo ogromno količino osebnih podatkov. To je pripeljalo do targetiranja ciljnih občinstev, kar kupca ogradi od prostega toka informacij in svobodne izbire.

”Ponudnike klubov zvestobe predvsem zanimajo naše nakupovalne navade, torej katere izdelke (raje) kupujemo, kdaj, kakšne vrednosti in kje ter na katere morebitne elemente smo še odzivni in v kolikšni meri (akcije, popusti ipd),” pove že prej omenjena Mojca Prelesnik, informacijska pooblaščenka. ”Glede na te podatke lahko bolje prilagajajo svojo ponudbo in storitve, prilagajajo in tempirajo oglaševanje ter na splošno ciljajo k večji prodaji. Načeloma velja, da bolje kot nekoga poznaš, lažje mu prodaš svoje produkte ali storitve, brez kartic zvestobe pa trgovci nimajo toliko informacij o nas in se morajo zanašati na drugačne tržne in oglaševalske prijeme; nekateri se celo oglašujejo s tem, da nimajo kartic zvestobe. Kartice zvestobe oz. lojalnosti seveda služijo tudi temu, da nas nekoliko bolj ‘privežejo’ k določenemu trgovcu, čigar kartico imamo, saj se potrošniki težko upremo nekaterim bonitetam, kot so popusti, ki jih lahko uveljavimo samo kot člani kluba. Druga plat klubov zvestobe pa je v tem, da nas na ta način ograjujejo od druge ponudbe in od produktov, za katere sploh še ne vemo, da obstajajo, saj zanje redko dobimo reklamo, če jih nismo nikoli kupili in ne sodijo v naš ‘profil’ – to pomeni tudi, da postajamo izolirani od drugih informacij.” Prelesnikova dodaja, da pri klubih zvestobe večjih zlorab niso obravnavali: ”Dogaja pa se, da posamezniki podajajo prijave zaradi neposrednega trženja, vendar pa pogosto pozabijo, da so svoje podatke nekoč zaupali trgovcem.”

Najbrž se spomnite, kako smo morali pred kratkim na platformah in pri trgovskih ponudnikih ponovno privoliti, da še naprej dovoljujemo uporabo naših podatkov. Prav zaradi zgoraj omenjenih slabih praks je v skladu z General Data Protection Regulation (GDPR) 25. maja 2018 v rabo prišla nova Uredba, katere glavni cilj je bil zaščititi pravice državljanov EU in njihovih osebnih podatkov. Ta potrošnikom prinaša več pravic, podjetja pa so morala pri zbiranju osebnih podatkov jasno opredeliti, s kakšnim namenom bodo podatke zbirali in kdo bo imel dostop do le-teh. Poleg tega je v pripravi že kar nekaj časa tudi nov Zakon o varstvu osebnih podatkov, ki bo posameznikom nudil več zaščite.

Dober obet pri varstvu osebnih podatkov pri nas je nov zakon ZVOP-2, ki je sicer še v pripravi oz. medresorskem usklajevanju. Prenovljen zakon bo na novo uredil definicijo privolitve posameznika in urejal nekatera področja, ki jih ne ureja Splošna uredba o varstvu podatkov. Že danes pa lahko vse pravice v zvezi z obdelavo osebnih podatkov uveljavljate pri posameznem ponudniku, kot smo za pripravo članka storili tudi sami.

 

Sara Dvorjak, Eva Mavrič, Taja Slovnik