Az analitika ereje nem abban mérhető, hogy mennyi adatot gyűjtünk, hanem abban, hogy mennyit hagyunk ki – tudatosan. A „dark analytics” kifejezés alatt azt a gyakorlatot értem, amikor a mérés a felhasználó beleegyezése, érdeke vagy méltósága ellenében működik: feleslegesen részletes, burkoltan azonosít, életeket érintő döntésekbe tol be adatot úgy, hogy közben az érintett nem kapott valós, átlátható választási lehetőséget. A modern méréspolitika ellenpontja ezért nem az „adatéhség”, hanem az aszketikus pontosság: azt mérjük, amire üzleti és etikai okból szükség van, és nem mérjük azt, amihez nincs jogunk, beleegyezésünk, vagy értelmes döntési célunk. Ezt a cikket kifejezetten gyakorlati nézőpontból írom: nem a paragrafusokat ismétlem, hanem azt mutatom meg, hogyan néz ki egy olyan „negatív mérési stratégia”, amely leírja, mi az, amit nem mérünk. Először fogalmi rendet teszek: mi a „dark analytics”, és hogyan különül el a kockázatos, de még vállalható méréstől. Ezután üzleti szempontból határolok: milyen célok nem jogosítanak fel gyűjtésre, még akkor sem, ha technikailag megoldható. Majd technikai elveket adok: paraméter‑tiltólisták, PII‑tűzfal, szerveroldali szabályok, consent‑kapuk, retenció és maszkosítás. Kitérek a session replay és a billentyűlenyomat‑gyűjtés „csábítására”, a gyerekek és sérülékeny helyzetű csoportok külön védelmére, és arra, hogyan dokumentáljuk a nem gyűjtést ugyanazzal a fegyelemmel, mint a gyűjtést. A cikk célja nem valamiféle moralizálás. A cél az, hogy a vezetői szobában legyen egy közös, aláírt papír: „Ezeket a jeleket törvényesen és arányosan mérjük. Ezeket nem.” Ha ez megvan, nemcsak a jogi kockázat csökken. A márka bizalma nő, a csapat gyorsabban dönt, és a hirdetési algoritmusok is jobb jelet kapnak – mert a zajt és az etikátlan adatokat kiszűrtük a forrásnál.
Fogalmi keret
„Dark analytics” alatt mindazokat a mérési fogásokat értem, amelyek az átlátható, arányos és célhoz kötött adatkezelés elvét sértik, még ha a kód maga csinos is. Több fokozat van. A legdurvább, amikor személyes adatot gyűjtünk beleegyezés nélkül: e‑mail cím, telefonszám, pontos lakcím, állampolgárság, vagy a különleges kategóriák (egészségre vonatkozó adatok, vallási meggyőződés, politikai vélemény). Ide tartoznak a kódok, amelyek űrlapmezők tartalmát rögzítik „egérmozgás‑elemzés” címkéje alatt; a session replay rendszerek, amelyek maszk nélkül rögzítik a beviteli mezőket; az ujjlenyomat‑szerű azonosítás (canvas, font, audio fingerprinting) hozzájárulás nélkül; a „shadow ID” megoldások, amikor cookie‑tiltás mellett localStorage/ETag‑trükk tartja életben az azonosítást. A puhább zóna az, amikor elvileg lenne hozzájárulás, de a szöveg és az UI „sötét mintái” megvezetik a döntést: az elfogadás fél képernyő, az elutasítás halvány link; vagy a „folytatás” gomb valójában minden célt bekapcsol. Ezek az eljárások lehet, hogy rövid távon növelik az „igenek” arányát, de hosszú távon rombolják a márkahűséget és törékennyé teszik a mérést: az emberek egyre tudatosabbak, a böngészők és az ökoszisztémák pedig egyre szigorúbbak. A fogalmi különbség tehát nem az, hogy „mérünk‑e”, hanem az, hogy kinek az érdekében és milyen arányban. A „világos” analitika beavatkozás előtt kimondja: mire kell a jel, hogyan csökkentjük a kockázatot, és mikor törlünk. A „sötét” analitika egyszerűen mindent visz, és csak akkor fogja fel a kárt, amikor a grafikon szép, de a sajtó és a felhasználók már beszélnek róla. Az első lépés ezért fogalmi: készíts „negatív mérési nyilatkozatot”, amely felsorolja azokat a jeleket és eszközöket, amelyeket a szervezet akkor sem használ, ha a jogi minimum elvileg megengedné. Itt dől el, hogy a csapat milyen kultúrát gyakorol a kód fölött – és ez végül a bevételi sorokon is látszik.
Üzleti elvek: mit nem mérünk
Az, hogy mit nem mérünk, üzleti döntés, nem fejlesztői. Az alapelv egyszerű: minden jelnek legyen kimondott döntési célja és gazdája. Ahol nincs, ott a jel zaj. Az alábbi elveket következetesen tartom. Nem gyűjtünk személyes adatot eseményparaméterben – se e‑mailt, se telefonszámot, se beceneveket, se fizikai címeket, se egyéb azonosítókat (személyi, TAJ), még hash‑elve sem, ha nincs beleegyezés és nincsenek világos guardrail‑ek. Nem gyűjtünk különleges adatot semmilyen célra, ha nem a szolgáltatás létfontosságú része – marketing, termék‑optimalizáció és attribúció alól is kivétel. Nem mérjük a gyerekek viselkedését profilozási céllal; gyermek‑ vagy ifjúsági felületen az analitika a józan minimumra szűkül (funkcionális működés, aggregált forgalom). Nem mérünk „billentyűszintű” tevékenységet (keylogging, input‑szintű replay), nem készítünk teljes képernyős session videókat maszk nélkül, és nem küldünk olyan képernyő‑képeket, amelyeken érzékeny adat látható. Nem használunk fingerprinting technikát hozzájárulás helyettesítésére. Nem kötünk „sötét” kampányt: nem építünk olyan közönséget, amely sérülékeny helyzeteket céloz (gyász, egészségügyi krízis), még ha a platform technikailag engedné is. Nem importálunk harmadik féltől vett „adatbomba” listákat analitikába, és nem kapcsolunk be „bővített adatokat” anélkül, hogy a jogi és etikai kontroll végigment volna. Nem mérünk „örökre”: minden jel retencióhoz kötött, és a „minél tovább, annál jobb” elvet elhagyjuk. És ami talán a legfontosabb: nem keretezzük át a felhasználói döntést szoftvertrükkökkel. Ha a beállításban az „elfogadás” harsány, az „elutasítás” pedig elbújtatott, az nem mérés, hanem manipuláció. Rövid távon eredményesnek tűnhet; hosszú távon tönkreteszi a márkát, és mérhetetlenné teszi az analitikát – mert a felhasználók elszoknak a felületről, a böngészők pedig bezárják az ajtókat.
- Nem mérünk lista (részlet): személyes adatok eseményekben (e‑mail, telefon, lakcím), különleges adatok; űrlap‑tartalom rögzítése; beviteli mezők képernyőmentése; fingerprinting; „shadow ID” (ETag, cache); gyermekek profilozása; érzékeny helyzetre célzott remarketing; harmadik feles „gazdagítás” hozzájárulás nélkül; végtelen retenció.
Technikai elvek: PII‑higiéné és tűzfal
A jó szándék önmagában kevés; kell egy technikai tűzfal is, amely megakadályozza, hogy a tiltott adatok átcsússzanak. A megoldás háromrétegű. Az első a nevezéktan és a szerződés: világos, írásba foglalt esemény- és paraméter‑szótár, amelyben jelölöd, mi gyűjthető, és mi tiltott. A tiltott lista legyen aktív elem: „email”, „phone”, „address”, „name”, „zip”, „iban”, „ssn”, „taj”, „health”, „religion” – és minden, ami ezekre emlékeztet. A második a GTM/SDK‑szintű szűrés: változó‑szinten reguláris kifejezésekkel zárd ki a tipikus PII‑mintákat (e‑mail, telefonszám), állíts fel whitelist‑et (csak ezek a paraméterek mehetnek), és fordítsd az ismeretlen mezőket „drop” kimenetre. Ha szerveroldali címzést használsz, ott külön „PII‑firewall” szabály fut: semmi nem megy tovább, ami tiltott mintára illeszkedik. A harmadik a consent‑kapu: minden azonosító‑szintű jel (például user_id, bővített konverziós jel) csak hozzájárulás mellett mehet, és a hozzájárulás hiányában induló „cookieless” jelzéseket nem használd identitás‑alkotásra (tehát sem hash‑elt e‑mail, sem böngésző‑ujjlenyomat nem lesz „pótlék”). Mindezt kíséri a retenció és maszkosítás: rövid, célhoz kötött megőrzés; naplózott törlés; űrlap‑ és beviteli mezők maszkosítása; session replay esetén input‑mezők alapértelmezett maszkolása és form mezők kizárása. A PII‑védelem nem „egyszer beállítandó” funkció, hanem élő rendszer. Tegyél rá riasztást: ha bármely esemény paramétere e‑mail‑mintára illeszkedik, égjen a lámpa. Ha bármi „name” típusú mező felbukkan az analitikában, álljon meg a release, és menjen vissza a kód. Nem kell boszorkányüldözés: elég egy következetes, dokumentált folyamat, amelyben a hibákat gyorsan, átláthatóan javítjuk – és ahol a PII egyszerűen nem fér át a kapun.
- Tiltott paraméterek (példa): email, e_mail, mail, phone, tel, msisdn, name, fullname, first_name, last_name, address, city, zip, postcode, iban, ssn, taj, health, religion, politics.
Arányosság, beleegyezés és modellezés
A „nem mérünk” stratégia nem működik anélkül, hogy világosan kezelnénk a beleegyezést és a modellezést. A hozzájárulás hiányában két lehetőségünk van: vagy semmit nem futtatunk (blokkoló üzem), vagy a jogszabályok által engedett nem azonosító jelzéseket (cookieless ping) küldünk statisztikai becslésre. Ez utóbbi azonban nem kiskapu: a modell nem lehet azonosítás; nem fűzhetünk össze „ártatlan” jeleket ujjlenyomattá, és nem pótolhatjuk hozzájárulás hiányát e‑mail hash‑szel. Az arányosság a kulcselv: csak annyi jel, amennyi a döntéshez kell; a ritkább és kisebb minták sokszor többet érnek, mint a mindenre kiterjedő logolás. Például a session replayt defaultban nem futtatjuk, csak izolált funkciótesztre és rövid időablakra, maszkosítva; a teljes képernyőmentés helyett strukturált „hibaeseményeket” küldünk (űrlaphiba‑kód, betöltési idő, resource error), mert ez sokkal tisztább, és elég a fejlesztői döntéshez. A user_id csak bejelentkezéskor és hozzájárulással megy; ahol nincs user_id, ott a „felhasználó‑vadászat” helyett a tölcsér‑szakaszokat erősítjük. A retenció itt is döntés: nincs „örök” megőrzés; a jel addig marad, amíg értelmes döntéshez kell, és addig sem megy több rendszerbe, mint ami feltétlenül szükséges. Végül: a modellezéshez tartozik a kimondás. A vezetői riportok elején szerepeljen, mekkora részt látunk determinisztikusan, és mekkora a becsült rész. Az őszinte bizonytalanság nem gyengeség; bizalom‑építés. A „mindent tudunk” illúziója az, ami a sötét eszközök felé tol – és ott ritkán van visszaút.
Session replay, input‑naplózás és a „csábítás” kezelése
A „mindent látni akarok” a remek mérnöki eszközök kora előtt is veszélyes mondat volt; ma pedig különösen az. A session replay és a beviteli mezők rögzítése fejlesztői szemmel vonzó: gyorsan megvan a hiba oka, látjuk, hol esik szét az űrlap, mi zavarja a felhasználót. De árát kell adni: megfelelő maszkosítás nélkül személyes és különleges adatokat visz a rögzítés; a felhasználó pedig nem azzal a szándékkal írta be az orvosi időpontját vagy a számlacímét, hogy letölthető videóban keringjen. A korrekt gyakorlat ezért így néz ki. Alapértelmezésben nincs globális session replay. Ha kell, „sebészkés” legyen: időben és terjedelemben korlátozott, kifejezett hibaelhárítási célra, input‑maszkosítással és beviteli mezők kizárásával (beleértve a szövegmezőket). Üzletkritikus vagy érzékeny folyamatokon (pénzügy, egészség, oktatás) teljes tiltás – ott strukturált eseményeket gyűjtünk: mezőazonosító + hibakód, nem pedig tartalom. Ha a replay fut, a jelölés látható (adatvédelmi tájékoztatóban és a felületen), és az export defaultban le van tiltva (nincs „letölt későbbre” pdf). Input‑szinten beállítunk „no‑record” jelöléseket: minden input mező tiltott, kivéve, ha kifejezetten engedélyezzük (whitelist). Külön szabály a képernyőképekre: érzékeny oldalakon nincs screenshot; a hibaállapotokat kóddal és szöveggel írjuk le. Ha valaki a csapatból úgy érvel, hogy „egy hétig vegyünk fel mindent, majd töröljük”, a válasz egyszerű: mindent fölvenni olcsó – de a hibák fele attól jön, amit mi hozunk be. A strukturált jel drágábbnak tűnik az első napon, de a negyedév végére kevesebb téves riasztást és kisebb kockázatot jelent. És a felhasználó is így jár jól: nem kell attól tartania, hogy a „hibaelhárítás” jelszó alatt olyasmi is rögzül, aminek nincs helye az adatbázisban.
Döntési mátrix: „nem mérjük” helyzetek
Az alábbi táblázat nem jogi tanács, hanem vezetői eszköz. Azokat a tipikus helyzeteket sorolja fel, amikor a csapat ösztönösen mérne – de a szervezeti álláspont szerint nem mérjük, és helyette más, arányos megoldást választunk. A mátrix a mindennapi viták rövid lezárója: nem kell újra és újra érvelni, elég elővenni, és ellenőrizni, hogy a helyzet szerepel‑e. Ha igen, tartjuk magunkat hozzá; ha nem, felvesszük, és legközelebb már nem rögtönzünk. A jelnyelv így válik vállalati nyelvvé – és ez az a pont, ahol az analitika végre nem „külön szakma”, hanem irányítás.
| Helyzet | Mit nem mérünk | Miért nem | Mivel helyettesítjük | Felelős |
|---|---|---|---|---|
| Űrlap hibakeresése | Mezőtartalom, billentyűleütés | PII kockázat, aránytalanság | Hibakód + mezőazonosító + időbélyeg | Termék + Fejlesztés |
| Hozzájárulás hiánya | Azonosító jel (user_id, e‑mail hash) | Nincs jogalap, bizalomvesztő | Nem azonosító mintajel (cookieless) modellezéshez | Marketing |
| Gyermekeknek szóló felület | Profilozás, remarketing jel | Különleges védelem, etikátlan | Funkcionális mérés, aggregált forgalom | Jog + Termék |
| Érzékeny kategóriájú tartalom | Képernyőkép, session replay | Személyes/különleges adatok kockázata | Strukturált esemény (hiba, betöltés, idők) | Fejlesztés |
| Fingerprinting tiltott pótlékként | Canvas/audio/font ujjlenyomat | Hozzájárulás helyettesítése | Beleegyezés szerzése, kevesebb jel | Marketing + Jog |
| Harmadik feles „gazdagítás” | Személyes lista analitikába | Jog és reputációs kockázat | Aggregált, nem azonosító insight | Adatközpont |
| Végtelen tárolás | Retenció nélküli log | Aránytalan, célhoz nem kötött | Időzített törlés és archívum | IT + Jog |
Runbook és audit: a „nem gyűjtés” dokumentálása
A méréspolitika akkor működik, ha a „nem gyűjtés” ugyanúgy dokumentált, mint a gyűjtés. Erre való a runbook és az audit. A runbook rövid, száraz, de életmentő: ki, milyen lépésekkel állítja meg a kódot, ha PII kerül az analitikába; hogyan kapcsoljuk vissza „biztonságos” állapotba a konténert; kinek szól a riasztás; mik a kommunikációs minták ügyfél, vezetés és partner felé. A runbook társa a tiltólista: paraméternevek, reguláris kifejezések, tiltott források, és egy „szürke zóna” – ide írjuk azokat a jelölteket, amelyekről vita folyik, és egy ideig külön figyelmet kapnak. Az audit három részből áll. Technikai audit: GTM és szerveroldali szabályok, whitelist/blacklist, maszkosítás, consent‑kapuk működése, DebugView és logok. Jogi/etikai audit: hozzájárulási szövegek, döntési UI, célok és jogalapok párosítása, érzékeny felületek külön szabályai. Vezetői audit: retenciós lista, törlési jegyzőkönyvek, „nem mérjük” kivételek és az ezekhez kapcsolt döntések. A riportok elején jelenjen meg két szám: a hozzájárulási arány és a modellezett részarány – ez őszintén jelzi a bizonytalanságot, és védi a döntéseket a „modell mondta” típusú félreértésektől. Végül: a szervezet tanuljon a hibákból. Ha PII jutott be, ne bűnbakot keressünk, hanem okot és megoldást: miért csúszott át, hol hiányzott szabály, és hogyan tesszük lehetetlenné, hogy újra megtörténjen. A „nem gyűjtés” kultúrája így lesz nemcsak jogilag tiszta, hanem üzletileg is kifizetődő: kevesebb magyarázkodás, több döntés; kevesebb kockázat, több bizalom.
Dajka Gábor marketingszakértő, business coach és befektető szerint
A méréspolitika bátorságpróba. A bátorság nem abban áll, hogy „mindent látok”, hanem abban, hogy kimondom: „ezt nem akarom látni, mert nincs hozzá jogom, értelme vagy méltósága”. A „dark analytics” csábítása gyors eredményt ígér, de rossz irányba húz: az a szervezet, amelyik mindent mér, végül semmit sem ért, és senkinek sem hisz – a felhasználóinak sem. Én a szűk mérést választom: kevés, de tiszta jel; világos beleegyezés; rövid megőrzés; dokumentált tiltólista; maszkosítás; és őszinte modell‑arányok a riport elején. Nem azért, mert így „szép”, hanem mert így jó döntések születnek, és így marad meg a bizalom. A bizalom pedig nem PR‑szó: az a tőke, amelyik visszahozza az ügyfelet, csökkenti a költséget, és átviszi a márkát a következő válságon is. Ha meg akarod tudni, mennyire egészséges a méréspolitikád, ne azt számold, hány eseményed van. Azt nézd meg, hányról tudod becsülettel kimondani: „ezt nem mérjük.” Ott kezdődik a felnőtt analitika.
PII tiltólista és reguláris kifejezések – gyakorlati minta
A „nem mérjük” stratégia akkor él, ha technikailag is be van betonozva. Az első betonréteg a tiltólista és a reguláris kifejezések (regex), amelyek megfogják a személyes adatokat még azelőtt, hogy bármelyik platform felé kirepülnének. Nem elég jó szándékból „figyelni”. A forgalom nagy és zajos; a hibák nem rosszindulatból születnek, hanem sietségből, pluginekből és „ideiglenes” tesztkódokból. Én ezért a név‑ és paraméterfegyelmet egy whitelist + blacklist kettőssel tartom egyben. A whitelist a megengedett mezők rövid listája (ennél több nem mehet), a blacklist a tiltott mintáké (ezek bármelyikére illeszkedő karakterlánc esetén a paraméter azonnal „drop”). Külön kezelem a mintákat (regex) és a nyers kulcsneveket: hiába hívják „user_mail”-nek, ha a tartalma valójában nem e‑mail; és hiába hívják „comment”-nek, ha a felhasználó beírta az e‑mailjét. A regex‑ek nem lesznek tökéletesek (sose azok), de a találatok döntő részét kiszűrik, és a maradékot gyorsan lehet incidensként kezelni. A csapatom kap egy „személyes adatok mintái” táblát, amit kéthetente felülvizsgálunk: a webes valóság változik, a mintáknak is követniük kell. Az alábbi minta magyar környezetre készült: benne vannak az e‑mailek, telefonok, magyar IBAN, TAJ‑szám, irányítószám, nevekre hasonlító kulcsnevek és egy sor „gázos” paraméternév, ami tipikusan bekeveredik. A döntés egyszerű: ami illeszkedik, nem megy tovább; ami nem illeszkedik, és nincs a whitlisten, az sem megy tovább. Ez a fajta „aszketikus” szemlélet elsőre szigorúnak tűnik, cserébe megszünteti a legtöbb PII‑incidens forrását, és az analitika reputációját a csapaton belül rövid idő alatt rendbe teszi. A táblát nem dísznek adom; ez a kód melletti szerződés, amit minden release előtt aláírunk – tényleg, nem metaforikusan. Ha ez a lap a falon van, kevesebb a vita, több a döntés, és feltűnően ritkább a „jaj, becsúszott egy e‑mail” típusú magyarázat.
| Kategória | Tipikus kulcsnevek (tiltott) | Regex minta (case‑insensitive) | Példa | Művelet |
|---|---|---|---|---|
| E‑mail | email, e_mail, mail, usermail, newsletter_email | \b[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,}\b | valaki.kovacs@example.hu | DROP + riasztás |
| Telefon | phone, tel, mobile, msisdn, telefon | (\+?36|06)\s?\d{1,2}[\s\-]?\d{3}[\s\-]?\d{3,4} | +36 30 123 4567 | DROP |
| IBAN (HU) | iban, bank_account, szamlaszam | \bHU\d{26}\b | HU12 12345678 12345678 12345678 | DROP |
| TAJ‑szám | taj, social_id, national_id | \b\d{9}\b | 123456789 | DROP + manuális ellenőrzés |
| Irányítószám | zip, postcode, irsz, iranyitoszam | \b[1-9]\d{3}\b | 1027 | Engedélyezett önmagában, címmezőben DROP |
| Nevek | name, fullname, first_name, last_name, keresztnev, vezeteknev | N/A (kulcsnév alapján tiltás) | Kovács Péter | DROP |
| Cím | address, street, city, lakcim, utca, hazszam | N/A (kulcsnév alapján tiltás) | Fő utca 10. | DROP |
| Különleges adatok | health, religion, politics, diagnosis, betegseg | N/A (kulcs/útvonal alapján tiltás) | „cukorbeteg” űrlapmező | DROP + audit |
Szerveroldali „PII‑firewall” és transzformációs szabályok
A második betonréteg a szerveroldali tűzfal: az a végpont (például GTM szerver konténer vagy saját proxy), ahol minden bejövő esemény átmegy egy szűrőn, mielőtt bármely célrendszer felé továbbítanánk. Ennek két célja van. Először is a „biztonsági háló”: ha egy kliensoldali script mégis átküld valami tiltottat (mert plugin, mert A/B, mert manuális kód), a szerver itt még meg tudja fogni. Másodszor a „szabványosítás”: ugyanaz a kulcs ugyanazt jelenti minden forrásból (web, app, backend), és a deduplikáció/ időzítés is egy kézben van. A tűzfal csak akkor működik jól, ha szigorú: jobb egy ártalmatlan false positive (amit látunk a logban), mint egy beengedett PII (amiből incidens lesz). A logika egyszerű szabályokból áll össze: 1) input validáció (JSON séma és méretkorlát); 2) whitelist mezők (minden más drop); 3) blacklist regex (ha illeszkedik, drop + riasztás); 4) transzformáció (nem PII, hanem normalizálás, például currency kódrendezés); 5) consent kapu (ad_user_data/ad_personalization nélkül nincs identitás‑jel); 6) routing (mely platformok kapják meg, milyen kulccsal és milyen sorrendben); 7) audit‑nyom (milyen szabály „harapott”, mikor és miért). A jó hír, hogy ez nem „rakétatudomány”. Az alábbi táblázat egy működő szabályrendet foglal össze – szervezeti mintának tökéletes. A csapat felé mindig azt mondom: a tűzfal nem az analitika kreativitásának ellensége, hanem a minőség barátja. A kreativitás ott kezdődik, hogy bátran eldobjuk, ami kockázatos és nem ad döntést; és ott folytatódik, hogy szilárd alapon építünk kísérleteket. Ahol ez a rend megvan, a „dark analytics” csábítása nem is csábítás többé: értelmetlen kerülőút. Ahol nincs meg, ott a rendszer előbb‑utóbb „ketyegő bombává” válik – és jellemzően nem a jogászok, hanem a felhasználók húzzák ki a biztosítékot.
| Szabály | Feltétel / minta | Művelet | Naplózás | Megjegyzés |
|---|---|---|---|---|
| JSON séma | Nincs kötelező mező / túlméretes payload | REJECT | request_id + hiba‑kód | Botok és hibák ellen |
| Whitelist | Paraméter nem a megengedett listában | DROP paraméter | param_név + forrás | „Ismeretlen” mezők megfogása |
| Blacklist (regex) | E‑mail/telefon/IBAN/TAJ minta | DROP event vagy param + ALERT | payload kivonat + minta neve | Azonnali riasztás Slack/Email |
| Consent kapu | ad_user_data=denied vagy ismeretlen | IDENT jel (hash, user_id) törlése | decision=consent_block | Advanced módban mehet cookieless |
| Deduplikáció | transaction_id/event_id ütközés | IGNORE duplikátum | első vs. ismétlő érkezés | Időablak (pl. 72 óra) |
| Routing | Platform kompatibilitás | FORWARD csak kompatibilis mezőkkel | cél + státusz | Ads/Meta/GA4 eltérő kulcsok |
- Riasztási küszöbök: 1 PII‑találat = inform; 3/óra = warning; 10/óra = critical + release freeze.
- Maszkolt napló: a riasztás tartalmazzon kivonatot, de soha ne a teljes értéket (pl. „ko***@ex***.hu”).
Bevezetési ellenőrzőlista: a „nem gyűjtés” gyakorlatba fordítása
Az elvek és a szabályok addig érnek valamit, amíg a csapat tényleg végigviszi őket egy bevezetésen. A „nem gyűjtés” bevezetése a megszokott mérési rituálé szigorított változata. Először döntési dokumentum: mire kell a jel, milyen guardrail, milyen retenció. Másodszor nevezéktan: esemény/paraméter szótár, tiltott kulcsok, regex‑lista, whitelist. Harmadszor consent‑út: CMP szöveg és időzítés (default denied → update a kattintáskor), Consent Mode v2 jelnyelv (ad_storage, analytics_storage, ad_user_data, ad_personalization). Negyedszer kliens‑szűrők: GTM‑változók és trigger‑feltételek, amelyek a PII‑mintákat már a böngészőben kiszűrik. Ötödször szerveroldali tűzfal: input validáció, whitelist/blacklist, transzformáció, dedup, routing, naplózás. Hatodszor QA: DebugView/Tag Assistant próbák, mesterséges űrlaphibák, „rosszindulatú” tesztek (e‑mail a kommentbe, TAJ szám az üzenetbe), és a riasztások kipróbálása. Hetedszer go/no‑go: ha bármely PII‑teszt átment, nincs kiadás. Nyolcadszor kommunikáció: fejlesztői és marketing csatornákon rövid memo arról, mi változott; jog felé jegyzőkönyv; vezetői összefoglaló két számmal (hozzájárulási arány, modell‑arány). Kilencedszer monitorozás: első 72 óra dedikált figyelés (consent arány, cookieless rész, PII találatok, ismeretlen referral). Tizedszer tanulás: egy hét után rövid retro – mi működött, mi volt zaj, mit egyszerűsítünk. A lista hosszú, de nem bonyolult: ugyanaz a fegyelem, mint bármely komoly release‑nél, csak most a fókusz az adat‑etikán és a jelminőségen van. Ahol ezt a 10 lépést rituáléként futtatják, ott nem lesz „dark analytics”. És ami még fontosabb: nem lesz „halvány gyanú”, ami aláássa a csapat bizalmát a számokban. A bizalom nem luxus, hanem termelőeszköz: gyorsítja a döntést, csökkenti a vitát, és kiviszi a fókuszt a kódszintű tűzoltásból az üzleti eredményre.
- Gyors check: whitelist él; blacklist él; CMP időzítés rendben; Consent Mode default denied; riasztás jön PII‑mintára; DebugView tiszta; tűzfal logol; rollback terv kész.
Incidenskezelési minták: rövid, tiszta, vállalható kommunikáció
Nem az a felnőtt csapat, amelyik sosem hibázik, hanem az, amelyik gyorsan és tisztán kezeli a hibát. PII‑incidensnél az első óra dönt. A runbook három csatornát fed: 1) belső technikai (mit kapcsolunk le és hogyan), 2) belső vezetői/jogi (mi történt, kinek szólunk), 3) külső (kiket érint és mit mondunk). A kommunikációs minták célja, hogy ne a pánik írja a levelet. Rövid, tényszerű, emberi hang. Nem dramatizálunk, nem kicsinyítünk. Megnevezzük, mi történt, mi a hatás, mit tettünk, és mi várható. Két dolgot mindig beleírok: 1) mit nem gyűjtünk (hogy értse az olvasó, mi NEM került veszélybe), 2) mit teszünk, hogy ne ismétlődjön. A technikai közleményhez tartozik a „fegyelmi” hatás is: freeze van‑e a release‑re, ki és mikor oldja fel, mik a „zöld jelzések”. Alább három rövid minta: belső technikai jelzés Slack/Teamsre, vezetői összefoglaló e‑mail, és ügyfél/partner tájékoztató váz.
Belső technikai jelzés (azonnali)
„Riasztás: PII‑minta észlelve a szerveroldali tűzfalon (minta: email). Érintett esemény: generate_lead, forrás: web, idő: 10:42. Művelet: esemény DROP, Ads/GA4 felé továbbítás letiltva. Release freeze érvényben. Kérem a GTM és az űrlap kód felelőseit a log átnézésére. Következő update: 30 perc múlva.”
Vezetői/jogi összefoglaló (60 percen belül)
„Ma 10:42‑kor a PII‑tűzfal e‑mail mintát jelzett egy űrlap eseményben. Az esemény nem ment ki külső rendszerbe, a szerveroldal dropolta. Ok: új űrlap plugin egy nem whitelistelt mezőt küldött. Intézkedés: plugin visszaállítva, whitelist frissítve, QA bővítve. Érintett személyes adatot nem tároltunk, törlés nem szükséges. Jogi teendő: nincs bejelentési kötelezettség. Utóintézkedés: két hétig emelt riasztási szint.”
Ügyfél/partner tájékoztató váz (ha releváns)
„Röviden: ma délelőtt az egyik űrlapunk egy beállítás miatt olyan mezőt is elküldött volna, amelyet nem kérünk és nem tárolunk. A rendszerünk ezt felismerte, és az adatot nem fogadta el. Külső rendszer felé semmi nem került. A hibát kijavítottuk, a szabályokat szigorítottuk. Azért szólunk, mert fontosnak tartjuk az átláthatóságot: amit nem kérünk, azt nem is gyűjtjük. Ha kérdése van, válaszolunk.”
Szürke zóna és döntési fa: amikor nem egyértelmű a válasz
A „dark analytics” elkerülése nem csak tiltólistákból áll; vannak helyzetek, ahol a válasz nem fekete‑fehér. Például session replay egy kritikus hibára; e‑mail hash küldése bővített konverzióhoz; belső keresőkifejezések gyűjtése, amelyek néha érzékeny fogalmakat tartalmaznak. Ilyenkor a döntési fa az, ami kiment a díszletekből a valóságba. A fa első kérdése: van‑e beleegyezés és érthető tájékoztatás? Ha nincs, nincs mérés. Második: van‑e arányos, kevésbé kockázatos alternatíva? Például replay helyett strukturált hibakód; e‑mail hash helyett consent‑arány növelése; teljes kifejezés helyett „tematika” (kategória). Harmadik: van‑e kontrollált időablak és maszkosítás? Ha igen, korlátozott mértékben indokolható – ha nem, marad a „nem gyűjtjük”. Negyedik: ki a tulajdonos és mi a retenció? Gazda nélkül minden adat árvává válik, és az árvák hozzák a bajt. Ötödik: milyen a reputációs kockázat, ha címlap lesz belőle? Ha a válasz „vállalhatatlan”, nem mérjük. A fa segít gyorsan megállni, és papíron rögzíteni, miért így döntöttünk. Az alábbi táblázatban a három leggyakoribb szürke helyzetre adok mintát: replay, bővített konverzió, keresőkifejezés. Nem jogi tanács, hanem operatív döntéssegéd. A tapasztalat az, hogy ahol a „szürke” kérdésekre előre van közös nyelv, ott ritkán csúszik át valami sötétbe – mert nem a launch reggelén próbálunk etikai elvet írni, hanem hónapokkal korábban.
| Helyzet | Kérdések a fán | Döntés | Feltételek | Retenció |
|---|---|---|---|---|
| Session replay hibaelhárításra | Beleegyezés? Alternatíva van? Maszkosítás? | Korlátozott igen | Maszk minden inputon; kizárt érzékeny oldalak; 1 hétig | 7 nap, export tiltva |
| Bővített konverzió (hash‑elt e‑mail) | Beleegyezés? Átlátható szöveg? Ad_user_data=granted? | Igen | Csak hozzájárulással; hash a kliensen; tűzfal ellenőrzés | Platform szabály szerint |
| Belső keresések gyűjtése | Érzékeny kifejezések? Kategorizálható? | Igen, kategóriára | Teljes szöveg helyett tematika; tiltólista „érzékeny” szavakra | 90 nap |
Mutatók és riasztások: hogyan mérjük a „nem gyűjtést”
Ha komolyan vesszük, amit nem mérünk, akkor ezt is mérni kell – metaszinten. A vezetői riport elején két szám kötelező: hozzájárulási arány és a modellezett konverziók részaránya. Ezek együtt adják a döntésbiztonság peremét. De a „nem gyűjtés” működtetéséhez további három jel kell. 1) PII‑találati ráta: hány tiltott minta fut bele a tűzfalba egységnyi forgalomra vetítve. Ha ez nő, baj van (új plugin, új űrlap, fegyelem lazulása). 2) Whitelist találati arány: a bejövő paraméterek hány százaléka van a megengedett listán. Ha sok az „ismeretlen”, a mérés szétszóródik, nő a zaj és a kockázat. 3) Consent‑út idők: mennyi idő telik el a banner megjelenése és a döntés között, és mekkora arányban „visszaugrik” a döntés a következő oldalon (rossz implementációs jel). Ezekre aktív riasztás kell, különben a negyedéves grafikonig nem látjuk, hogy a rend megcsúszott. A jó hír: ezek a számok nem „plusz adminisztráció”, hanem a csapat idegrendszere. Ha a PII‑ráta hetekig nullán van, a csapat nyugodtabb; ha megugrik, mindenki tudja, hogy most ez az első. A jelzések nem megbélyegeznek, hanem figyelmeztetnek. És ettől lesz a „nem gyűjtés” nem csak etikai poszter, hanem üzemi valóság. Az alábbi kis táblázat riasztási küszöböket ajánl; nem szentírás, de kiindulásnak működik. A lényeg: legyen küszöb, legyen csatorna, legyen felelős. Ami mindenkinek dolga, az senkinek sem.
| Jel | Küszöb | Riasztás | Felelős | Első lépés |
|---|---|---|---|---|
| PII‑találat | >=3/óra | „Warning” Slack/Email | Fejlesztés | Utolsó release visszanézése |
| Whitelist arány | < 95% | „Info” heti összefoglaló | Marketing | Ismeretlen mezők listázása |
| Consent döntési idő | > 8 másodperc medián | „Info” – UX felülvizsgálat | Termék/UX | Banner szöveg/időzítés teszt |
| Consent visszaugrás | > 5% első landoláson | „Warning” – implementáció | Fejlesztés | Consent Initialization ellenőrzés |
Vezetői ritmus és kultúra: a „nem gyűjtés” beégetése a működésbe
A „dark analytics” elleni rend nem projekt, hanem kultúra. A kultúrát pedig ritmus tartja fenn. Nálam három szint fut. Heti vezetői ritmus (WBR): három perc etika/PII blokk a teljesítmény után – „PII‑ráta, whitelist arány, incidensek”. Nem hosszú vita, csak állapotjelentés és ha kell, döntés. Negyedéves ritmus (QBR): mérési terv és tiltólista felülvizsgálata; mi került be a whitlistre, mit vettünk ki, milyen új minták jöttek; CMP és Consent Mode diagnosztika; replay‑szabályok; retenció lista. Éves ritmus: hozzáférések, partnerek, DPA‑k, audit jegyzőkönyvek, törlési jelentések – és egy rövid „etikai poszt‑mortem”: hol csúsztunk, mit tanultunk, mit változtatunk. Mindezt nem „megfelelésből” csináljuk, hanem reputációból és pénzből: a tiszta mérés gyors döntést ad, a gyors döntés pedig pénzt. A ritmus azt is jelenti, hogy helyére tesszük a konfliktusokat: a marketing célja nem írhatja felül az etikát; a jog célja nem fullaszthatja meg a terméket; a fejlesztés célja nem „átcsúsztatni” valamit a tűzfalon, hanem tisztán futtatni. Ez nem finomkodás: így lesz élhető a csapatmunka. És még valami: tarts rövid, érthető oktatásokat. A „nem gyűjtés” nem szakzsargon, hanem szemlélet. Ha mindenki érti, hogy miért jó nekünk (nem csak „nekik”), könnyebb tartani a szabályt. Ebben segít egy 10 soros „Miért mérünk kevesebbet?” memo: gyorsabb döntések; kevesebb zaj; erősebb márka; kevesebb tűzoltás; jobb jel a hirdetési algoritmusoknak. Ennyi elég ahhoz, hogy a „nem gyűjtés” ne legyen külön ügy – csak természetes része a napi munkának.
Dajka Gábor marketingszakértő, business coach és befektető szerint
A sötét mérést nem kóddal győzzük le, hanem tartással. A tartás azt jelenti, hogy kimondjuk: a hasznos adat kevesebb, mint a mérhető adat; és a márka tőkéje többet ér, mint egy plusz százalék a grafikonon. A jó analitika nem tolakodik, hanem segít. Ahhoz pedig nem kell mindent látnunk, csak azt, ami döntést visz. Ha ezt komolyan vesszük, a tiltólista nem béklyó, hanem iránytű; a tűzfal nem akadály, hanem biztonsági öv; a riasztás nem pánik, hanem éberség. Sokan azt gondolják, a „nem gyűjtés” luxus. Az én tapasztalatom ennek az ellenkezője: aki nem gyűjt felesleget, az gyorsabban halad, kevesebbet vitatkozik, és ritkábban hibázik nagyot. A „dark analytics” kora rövid. A bizalomé hosszú. Én az utóbbira építek: kevés, tiszta jel; kimondott határok; dokumentált döntések; és fegyelem a káprázatos grafikonok helyett. Ez a rend nem dísz – ez az üzlet. És ez az, amit ma a legjobban érdemes mérni.
Források:
European Data Protection Board – Guidelines 3/2022 on Dark Patterns
EUR‑Lex – General Data Protection Regulation (EU) 2016/679 (PDF)
Google Tag Platform – Consent Mode v2 útmutató
