Elismerte a Twitter, hogy olyan felhasználók adatai is a hirdetési partnereihez kerülhettek, akik az ilyen célú felhasználást egyértelműen letiltották a beállításaiknál.

Májusban a közösségi oldal már nyilvánosságra hozott egy hibát, ami miatt bizonyos körülmények között megosztotta egy hirdetési partnerrel a felhasználók lokációs adatait egy ún. RTB aukció alatt (a real-time bidding aukciókon hirdetési felületekre lehet licitálni online hirdetési piactereken). De mint a közösségi oldal egy friss posztjából kiderül, azóta két komolyabb hibát is találtak a felhasználói profilok hirdetésekre vonatkozó beállításaiban, ami miatt a rendszer nem működött megfelelően.

Ezt a GDPR kényszerítette ki

Azt ugyan nem közölték, hogy mikórtól ismerik a hibákat, de azt állítják, hogy augusztus 5-ével mindkettőt javították.

Az egyik probléma a hirdetéskonverziók nyomon követésénél jelentkezett. Ha a felhasználó rákattintott egy mobilappos hirdetésre, és később használta is az adott appot, akkor a Twitter megoszthatott bizonyos adatokat mérési partnereivel és a hirdetési partnerekkel függetlenül attól, hogy a felhasználó ahhoz hozzájárult vagy sem. A probléma miatt tavaly májustól szivároghattak személyes felhasználói adatok a rendszerből.

A másik anomália 2018 szeptembere óta áll fenn, és egy kicsit homályosabb. A poszt szerint egy kísérlet keretében célzott hirdetéseket jeleníthettek meg a felhasználónak úgy, hogy a hirdetés relevanciájára a felhasználó által twitterezéshez használt eszközökből vontak el következtetéseket. Itt is az volt a probléma, hogy ez a következtetésen alapuló rendszer akkor is működött, ha a felhasználó az ahhoz szükséges adatok hirdetési célú felhasználását kategorikusan letiltotta. Itt azonban az adatok nem kerültek ki a Twittertől, és nem tartalmaztak érzékeny adatokat (jelszó, email-fiók stb.).

A TechCrunch szerint a problémákat azért hozta nyilvánosságra a közösségi oldal, mert azt 2018 májusától a GDPR előírja. A lap hozzáteszi: a Twitter adatkezelési gyakorlata nem teljesen felel meg a GDPR előírásainak. A felhasználó nevét, emailcímét vagy telefonszámát ugyan valóban nem osztja meg a partnereivel, de például mobileszközeinek azonosítóját igen, pedig a GDPR azt is személyes adatként értelmezi, mivel egyedi azonosítóként működik. Az azonosító birtokában mind a Twitter, mind partnerei képesek lesznek például nyomon követni a a felhasználó internethasználatát, így alkalmas a porfilozásra.

Egyelőre nem tudni, hogy a két hibából lesz-e bármiféle eljárás.

Jó, ha ezzel minden twitterező tisztában van

Az úgynevezett következtetéseken alapuló hirdetési célzást a Twitteren az teszi lehetővé, hogy a közösségi oldal megjegyzi, hogy az adott felhasználó milyen eszközről és milyen böngészőből vagy appból jelentkezett be a szolgáltatásába. Innen már viszonylag egyszerű a dolga az eszközazonosítókat összekapcsolni cookie-kon vagy a Twitter beépülő moduljain (mint a Facebook Like gombja) keresztül egyéb internetes tevékenységekkel.

Az európai felhasználóknak megvan az a lehetőségük, hogy a gyakorlat miatt panaszt tegyenek az adatvédelmi hatóságnál. A beépülő modulokon keresztül gyártott adatokkal kapcsolatban egyébként már született is az Európai Unió Bíróságán egy állásfoglalás, amely a közösségi oldal és a beépülő modult használó webhely közös felelősségévé teszi az így szerzett adatok GDPR-nek megfelelő kezelését. Emellett a weboldalnak, ahol a modul megjelenik, egyértelműen tájékoztatnia kell a felhasználót arról, hogy a modulon keresztül hozzáfér személyes adatokhoz.

A 2020 januárjától életbe lépő e-Privacy rendelet további szigorításokat vezet be. A rendelet már a metaadatokat is különleges személyes adatnak tekinti, és korlátozza a marketing cookie-k használatát. Mivel az e-Privacy szerint a cookie is személyes adat, a webhely csak akkor alkalmazhatja, ha abba a felhasználó aktívan beleegyezik.