Je Google iznašel obvoz za GDPR?

Takoj zatem, ko je Google skupil 170 milijonsko kazen za kršitve zasebnosti otrok, so se na podjetje zgrnile še precej hujše obtožbe. Johnny Ryan, CPO (Chief policy officer) v podjetju Brave, ki ponuja istoimenski brskalnik, je pri irskem informacijskem pooblaščencu vložil pritožbo zoper Google, potem ko so v podjetju nekoliko raziskali Googlov sistem Authorised Buyers, prej znan pod imenom DoubleClick.

Google namreč že ves čas po sprejetju GDPR trdi, da podjetjem, ki sodelujejo v njihovih realnočasovnih dražbah (RTB) in prejemajo občutljive podatke o obiskovalcih spletnih strani, preprečuje kombiniranje podatkov, s katerimi bi lahko posameznika identificirali. Prav tako jim po sprejemu GDPR več ne ponuja identifikatorjev s psevdonimi, ki bi peljali k enakemu cilju. Sistem Authorised Buyers je sicer nameščen na približno 8,4 milijona spletnih straneh.

A kot trdijo pri Brave, je Google našel obvoz, po katerem lahko podjetja še vedno dostopajo do Googlovih identifikatorjev. Ryan je v eksperimentu uporabil sveže nameščen brskalnik Chrome, brez poprejšnjih piškotkov, loginov ali zgodovine brskanja. Skratka, bil je oglaševalska tabula rasa. Analiza zabeležk brskanja je nato razkrila mehanizem potisnih strani, s katerimi Google podjetjem omogoča medsebojno deljenje identifikatorjev o osebi, ki si je naložila spletno stran. Potisne strani se nahajajo na Googlovi domeni (https://pagead2.googlesyndication.com) in imajo vse enako ime cookie_push.html. Razlikujejo se zgolj po 2 tisoč znakov dolgi kodi, ki jo na vsako prilepi Google in unikatno opredeli posameznega uporabnika. Skupaj z drugimi piškotki, ki jih prav tako priskrbi Google, je na ta način mogoče identificirati posamezno osebo.

Ryan je ugotovil, da je v eni uri brskanja Google zanj napravil 9 takih potisnih strani, nato pa še 11 duplikatov. Natančne vsebine zapisov o sebi sicer ni videl, je pa mogoče sklepati, da nosijo njegov spol, etnično pripadnost, politično orientacijo, navade in podrobnosti njegove uporabe družabnih omrežij. Do teh strani je poleg Googla dostopalo še osem drugih podjetij, njegovi identifikatorji pa so bili uporabljeni 278-krat.

Google se je odzval precej na kratko, rekoč, da uporabnikom brez njihovega privoljenja ne pošiljajo personaliziranih oglasov, niti oglaševalcem ne pošiljajo RTB ponudb zanje. Omenjene potisne strani pa so po njihovem zatrjevanju namenjene merjenju end-to-end zakasnitev spletnih strani.

Če se bo preiskavi irskega pooblaščenca izkazalo, da ugotovitve Brave držijo, čaka Google najverjetneje še kaka zajetna finančna kazen. Zelo verjetno bo moral tudi prenehati s takimi praksami. Po drugi strani pa so si strokovnjaki precej enotni, da bodo oglaševalci nato zlahka našli nov način, po katerem bodo vedeli, kdo je kdo in kaj vse je zadnje čase počel v svojem brskalniku.