Što je kolačić treće strane?
Kolačići prve strane i kolačići treće strane: u čemu je razlika?
Izvorno stvorena kako bi omogućila sesije pregledavanja (na primjer čuvanjem internetske košarice za potencijelnog kupca), ova primarna upotreba brzo se razvila u svrhe praćenja i oglašavanja, čime je kolačić postao široko korištena tehnologija u sustavu oglašavanja na mreži, posebice kolačići treće strane.
Kada korisnik interneta posjeti web stranicu, on/ona u praksi posjećuje "domenu" koja obično završava nastavkom .com ili .hr (npr. mywebsite.com je domena). Sadržaj posjećene web stranice može se prenositi s domene koju korisnik posjećuje ili putem drugih domena koje korisnik nije posjetio, a koje pripadaju trećim stranama. Zapravo, svaki kolačić je povezan s domenom i šalje se ili prima svaki put kada preglednik "pozove" tu domenu. U praksi:
Kolačiće prve strane postavlja web stranica koju korisnik posjećuje, točnije, postavljaju se na domenu web stranice. Mogu se koristiti za pravilno funkcioniranje web stranice ili za prikupljanje osobnih podataka kako bi se pratilo ponašanje korisnika u svrhe oglašavanja;
Kolačići treće strane su kolačići koje postavljaju druge domene osim one koju korisnik posjećuje, a njima uglavnom upravljaju treće strane angažirane od strane posjećene web stranice, a ne od strane samog korisnika interneta: ovi kolačići također mogu biti potrebni za pravilno funkcioniranje web stranice, ali se uglavnom koriste kako bi trećoj strani omogućili da vidi koje je stranice na predmetnoj stranici posjetio korisnik i da prikupi podatke o njemu/njoj, uglavnom u reklamne svrhe.
Alat koji se široko koristi u reklamnoj industriji
Dok kolačići prve strane dopuštaju praćenje korisnika samo na web stranici koja ih postavlja, kolačići treće strane omogućuju praćenje ponašanja korisnika na svim web stranicama koje ih integriraju. To ih čini alatom koji naširoko koriste mnogi sudionici industrije oglašavanja. Tako, na primjer, sve web stranice koje dodaju Facebook gumb "sviđa mi se" ili Youtube video, dopuštaju im da primaju i postavljaju kolačiće pri svakom posjetu i na taj način obnavljaju djelomičnu povijest pregledavanja.
Pohrana kolačića trećih strana omogućuje praćenje korisnika tijekom njegova kretanja od web stranice do web stranice i prikupljanje informacija o njemu/njoj kao što su dob, mjesto stanovanja ili obrasci potrošnje. Te se informacije zatim mogu koristiti za kreiranje profila korisnika i njegovo daljnje razvijanje, što ponekad može biti vrlo detaljno i nametljivo. Taj se profil koristi za prikazivanje oglasa za koje se smatra da će korisnik vjerojatno pogledati i na temelju toga nešto kupiti.
Za mnoge web stranice veliki dio prihoda dolazi od prodaje ciljanih reklamnih prostora. Te transakcije uključuju mnoštvo sudionika i dovele su do razvoja novog dijela reklamne industrije, koji se općenito naziva "AdTech" ("tehnologije oglašavanja"). Iako je potpuno moguće plasirati oglašavanje na tržište bez korištenja kolačića trećih strana (na primjer, web-mjesto za e-trgovinu specijalizirano za planinarenje može svim svojim korisnicima prikazati oglase robnih marki u ovom sektoru), tržište online oglašavanja sada je uglavnom organizirano oko sustava na temelju kolačića trećih strana i profiliranja korisnika.
Zašto govorimo o kraju kolačića treće strane?
Korištenje kolačića treće strane osporavaju određeni web preglednici koji žele ograničiti reklamne tvrtke u praćenju korisnika. Preteča u ovom području bio je Appleov preglednik Safari koji je lansiranjem svog ITP programa ("Intelligent Tracking Protection") 2017., razvio funkcije preglednika koje su posebno osmišljene za ograničavanje određenih praksi reklamnih mreža. Spomenuti sustav nastoji identificirati kolačiće povezane s praksama praćenja i ograničiti mogućnosti koje API-ji nude web stranicama, primjerice, što se tiče perioda zadržavanja kolačića.
Krajem 2018., Firefox je pokrenuo sličnu inicijativu pod nazivom "ETP" ("Enhanced Tracking Protection"). U praksi, kod Firefoxa i Safarija, kolačići trećih strana su ograničeni prema zadanim postavkama, smanjujući mogućnosti praćenja internetskih korisnika na temelju ove tehnike.
Konačno, u kolovozu 2019., Google, čiji je preglednik Chrome imao tržišni udio od oko 70% u 2021., također je najavio pokretanje svog projekta pod nazivom "Privacy Sandbox", čiji je cilj ograničavanje upotrebe kolačića za oglašavanje i predlaganje tehničkih rješenja za zadržavanje značajki oglašavanja koje trenutačno zahtijevaju kolačiće. Nakon objave ove odluke, Google se obvezao da će zaustaviti korištenje kolačića treće strane na Chrome-u do 2023. godine.
Međutim, prestanak korištenja kolačića trećih strana ne znači i kraj praćenja internetskih korisnika na mreži, posebno u svrhe oglašavanja. Naime, „igrači“ u oglašivačkom sustavu i dalje će moći koristiti alternativne tehnologije koje im omogućuju praćenje pretraživanja i ponašanja korisnika kako bi ih označili kao potencijalne ciljeve za prikaz svojih reklama i oglasa.
Sustav u potrazi za alternativama koje će se koristiti umjesto kolačića treće strane
Posljednjih godina, primjećuje se razvoj nekoliko alternativa korištenju kolačića trećih strana, koje se mogu podijeliti u četiri kategorije.
Kolačići prve strane i otisak prsta
Neke tehnike se koriste za zaobilaženje ograničenja koja nameću preglednici. Trenutno se koriste različite metode, na način:
Single Sign-On
Single Sign-On (ili "SSO") sastoji se od dopuštanja povezivanja velikog broja web-mjesta, aplikacija ili usluga putem jednog korisničkog računa i jedne provjere autentičnosti.
Ovaj sustav namijenjen je olakšavanju povezivanja korisnika, ali uglavnom omogućuje grupi web stranica ili usluga da imaju cjelokupnu i konsolidiranu viziju korisnikovih pretraživanja na svim web stranicama, aplikacijama ili uslugama: korisnički račun postaje tragač koji prati korisnika tijekom njegovog/njezinog pretraživanja.
Treba imati na umu sljedeće: ova funkcija nije izvorno dizajnirana za ciljano oglašavanje. Također, prisutnost SSO-a nije nužno povezana s reklamnim svrhama.
Jedinstveni identifikatori
Jedinstveni identifikatori, razvijeni korištenjem analogije s reklamnim identifikatorima dodijeljenim pametnim telefonima (npr. IDFA), omogućuju praćenje korisnika korištenjem determinističkih, raspršenih podataka, prikupljenih tijekom korisnikovog pretraživanja na web stranici.
Ova tehnika može koristiti adresu e-pošte ili korisničke podatke koje je dao korisnik za prijavu na različite online usluge za povezivanje tih računa i praćenje njegove upotrebe tih usluga.
Ova se tehnika ponekad kombinira s uzimanjem otisaka prstiju, pri čemu se jedno koristi za omogućavanje drugog.
Ciljano oglašavanje na temelju skupine
Neki sudionici, kao što su Apple ili Google, razvijaju sustave ciljanog oglašavanja temeljene na skupinama. U tom smislu, neka od rješenja predloženih, na primjer, u Privacy Sandboxu (koji je razvio Google) posebno imaju za cilj reproducirati trenutne mogućnosti kolačića u kontekstu ciljanog oglašavanja, dok pokušavaju implementirati ograničenja kako bi se smanjila nametljiva priroda ove prakse.
Ova ograničenja sastoje se na primjer od:
Ciljanje skupine u načelu je manje nametljivo od kolačića trećih strana: trebalo bi omogućiti ciljanje grupe korisnika sa sličnim ponašanjem, a ne pojedinačnog korisnika.
Međutim, procjena posljedica takvog sistema, a posebno rizika za prava i slobode korisnika, ovisi o konkretnoj analizi načina na koji se provodi ciljanje bez kolačića trećih strana, kako bi se ograničilo pojedinačno praćenje korisnika interneta (rizici pojedinačne ponovne identifikacije i sl.) i poštivalo načelo minimizacije podataka.
Koja pravila treba poštivati?
Različite gore objašnjene tehnike postavljaju pitanja u smislu zaštite osobnih podataka, ali i u smislu zaštite korisničkih terminala i komunikacija.
Tijela za zaštitu podataka podsjećaju da razvoj alternativa kolačićima trećih strana ne smije biti na štetu prava korisnika interneta na zaštitu osobnih podataka i privatnosti. Moraju se koristiti u skladu s načelima važećih propisa, odnosno GDPR-a, ali i Direktive o privatnosti i elektroničkim komunikacijama (poznatoj kao "ePrivacy") čiji je cilj posebno zaštititi komunikaciju pojedinaca.
Ovaj pravni okvir svakome jamči zaštitu njegovih privatnih komunikacija kao i njegove terminalne opreme.
Prikupljanje privole: slobodan izbor korisnika interneta
Gore predstavljene tehnike praktički se oslanjaju na pristup terminalnoj opremi korisnika (pametni telefon, prijenosno računalo ili stolno računalo, itd.) za dobivanje pristupa informacijama koje su već pohranjene u ovoj opremi (identifikator oglašavanja, identifikator na temelju skupine, podaci o postavkama preglednika) ili za pohranu informacija u njega, na isti način kao i za kolačiće.
Na primjer, ako uzmemo u obzir FLoC (Google Privacy Sandbox), za bilo koju domenu koja pokreće skripte s web-mjesta postoji mogućnost da pristupi identifikatoru skupine putem sučelja koje preglednik Chrome nudi na web stranici.
Radi zaštite integriteta terminala, radnje pristupa terminalskoj opremi korisnika posebno su regulirane europskim tekstovima.
Doista, operacije koje su potrebne za konstituiranje individualnog ili grupnog profila i pružanje ciljanog oglašavanja zahtijevaju prethodnu suglasnost korisnika, u mjeri u kojoj nisu izravno dio usluge koju traži korisnik, bez obzira obrađuju li se osobni podaci ili ne.
Korisnici stoga moraju moći slobodno i informirano izabrati:
Imajte na umu sljedeće: praćenje u svrhe oglašavanja, kada se temelji na informacijama preglednika ili terminala, mora se oslanjati na informirani izbor korisnika interneta, bez obzira na korištenu tehniku.
Ostale stvari na koje treba obratiti pažnju
Kako bi se osiguralo da korištenje ovih tehnologija poštuje privatnost korisnika bitno je integrirati od faze dizajna, odnosno omogućiti korisnicima da zadrže kontrolu nad svojim osobnim podacima. Također je potrebno omogućiti i olakšati ostvarivanje prava svih subjekata podataka, putem korisničkih sučelja, što je ključna komponenta pristupa „privatnosti po dizajnu“ koji nameće GDPR.
Osjetljivi podaci posebno su zaštićeni prema GDPR-u: njihovo prikupljanje i obrada, koji su načelno zabranjeni, stoga zahtijevaju najveću pozornost. Svaki akter mora osigurati da ciljne skupine koje stvaraju ne rezultiraju stvaranjem diskriminacije, uključujući i neizravnu diskriminaciju.
Konačno, sudionici (voditelji obrade i izvršitelji obrade) moraju analizirati svoje uloge i odgovornosti u provedbi ovih tehnika praćenja kako bi odredili svoje obveze.