iSecure logo
Blog

Co nowego o targetowanej reklamie w mediach społecznościowych?

Kategorie

Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom audience” oferowanych przez wiele dostawców usług mediów społecznościowych, jak Facebook czy Google. I chociaż „wytyczne EROD” mogą nie budzić większego entuzjazmu wśród nie-prawników, to w tym wpisie na konkretnym przykładzie postaram się przedstawić, dlaczego działy marketingu nie powinny ich ignorować i dlaczego trzeba raz jeszcze pochylić się nad narzędziami, które stosują (lub chcą stosować) w praktyce.

Scenariusz

Chcemy dotrzeć do naszych klientów z reklamą, która odpowiada ich (oszacowanych przez nas) preferencjom czy zainteresowaniom. Taką reklamę chcemy wyświelić na Facebooku, Google+, YouTube, Instagramie, czy w innych mediach. Poza określeniem kryteriów, jak lokalizacja, grupa wiekowa, rodzaj korzystanej usługi, zamierzamy przekazać także listę adresów e-mail. Nie będę pozostawiać pola do dyskusji, czy mamy do czynienia z przetwarzaniem danych osobowych, bo sprawa jest jasna – tak, mamy.

Dostawca mediów społecznościowych na podstawie tych danych porównuje dane posiadane przez siebie z tymi, dostarczonymi przez reklamodawcę, aby wyłonić w ten sposób grupę docelową. I wyświetlić reklamę w mediach społecznościowych, z których korzystają nasi klienci.

Przykład

Zainteresowała mnie oferta firmy X, dotycząca usług tej firmy. Wyraziłam dla tej firmy zgodę na przetwarzanie mojego adresu e-mail w celu otrzymywania ofert. Mało tego, podpisaliśmy umowę i oprócz tego, że dostałam pełną informację, że moje dane będą przetwarzane w dwóch celach: otrzymania ofert (na podstawie wyrażonej zgody) i realizacji umowy, to dowiedziałam się, że administratorem moich danych jest firma X i znalazłam w podanej mi klauzuli wszystkie informacje, których wymaga RODO). Wygląda w porządku, prawda?

Do czasu.

Do czasu, kiedy firma X zdecyduje wykorzystać mój adres e-mail na potrzeby podania mi targetowanej reklamy w social mediach.

Czego musi dopilnować Dział Marketingu?

Wytyczne EROD co prawda zostały poddane konsultacjom społecznym (trwającym do 19.10.2020 r.) ale z wersji, która została opublikowana czytamy czarno na białym, w jakim kierunku zmierzamy. I tu uwaga specjaliści ds. marketingu – poniższe punkty dotyczą bezpośrednio Waszej działki biznesowej.

Na co musicie zwrócić uwagę? Co musicie sprawdzić, żeby móc zgodnie z RODO korzystać z usług ukierunkowanej reklamy?

  • Ustalcie konkretne miejsca reklamowania. YouTube, Gmail, Facebook, inne – jakie?
  • Czy w wyniku akcji reklamowej będziecie pozyskiwać dodatkowe dane o klientach, których maile podawane mają być na liście odbiorców? Np. czy poznacie dodatkowe informacje o ich preferencjach, zainteresowaniach, lokalizacji, itp.?
  • Czy będziecie pozyskiwać od usługodawcy dane także innych osób, tj. z grupy o podobnych cechach? Jeżeli tak, to jakie?
  • Sprawdźcie, jakie adresy e-mail (jakich klientów, z jakiego okresu, z jakich źródeł zebrane w Waszej firmie) mają być wykorzystane
  • Czy wobec klientów, których adresy e-mail mają być wykorzystane do kampanii reklamowej, Wasza firma spełnia poniższe warunki:
    • klient został poinformowany o tym, że jego adres e-mail będzie wykorzystany do celów reklamy w social mediach w zakresie ofert Waszej firmy?
    • reklama dotyczyć będzie oferty Waszej firmy podobnej do tej, z której korzystał właściciel adresu e-mail?
    • właściciel adresu e-mail dostał informację o tym, że może wnieść sprzeciw wobec takiego przetwarzania w momencie zbierania danych lub zgodził się na to?

Co ciekawe, musicie się dobrze zastanowić, czy wyświetlenie dopasowanej reklamy (czyli nic innego, jak wynik profilowania w social mediach) może się oprzeć jeszcze na podstawie prawnie uzasadnionego interesu (czyli bez zgody), czy może zgoda na taki cel przetwarzania danych będzie konieczna. Na to niestety nie ma jednej zbiorczej odpowiedzi, bo zależy od konkretnej sytuacji Twojej firmy, w tym sposobu wyświetlenia reklamy, jej „inwazyjności”. Podpowiadam, że im większe prawdopodobieństwo, że mamy do czynienia z „oznaczonym odbiorcą” czy „użytkownikiem końcowym”, do którego ma zostać skierowana informacja marketingowa w reklamie – a tak jest w omawianym przypadku, tym większa szansa na to, że na taki konkretny cel przetwarzania danych będzie potrzebna zgoda.

Współadministratorzy

Z omawianych wytycznych EROD wynika jeszcze jedna bardzo ciekawa rzecz. W przypadku współpracy z dostawcą usług mediów społecznościowych w celu targetowania użytkowników tych mediów Twoja firma będzie uznana nie tylko za niezależnego administratora zbierające e-maile we własnym zakresie, ale również współadministratora (razem z tym dostawcą). Współadministrowanie dotyczy danych podlegających targetowaniu w Internecie. Ciekawe, prawda? „Współadministrowanie”, to nie tylko słowo prowadzące nas do wniosku, że wspólnie określamy cele przetwarzania danych. Taka konstrukcja ma daleko idące konsekwencje, ponieważ bezpośrednio z RODO wynika, że:

  • Twoja firma musi poinformować klientów, że będzie współadministratorem danych razem z dostawcą usługi targetowania w mediach społecznościowych (np. Google czy Facebook)
  • w przypadku takiego współadministrowania potrzebne jest uzgodnienie, porozumienie zawarte z ww. dostawcą (tak, wiem jak to brzmi) dotyczące przetwarzania danych, w których trzeba zawrzeć przehrzysty podział obowiązków, np. uzgodnienie, który podmiot ma spełnić obowiązek informacyjny wobec targetowanych osób, czy który podmiot ma być punktem kontaktowym do realizacji uprawnień (np. wniesienia sprzeciwu, odwołania zgody) targetowanych osób. Na ten moment wydaje się, że o ile dostawcy będą gotowi na zawieranie tego typu porozumienia, to biorąc pod uwagę praktykę dotyczącą umów powierzenia raczej nie będziemy mieć realnych szans negocjowania jakichkolwiek uzgodnień.

 

To nie jest tak, że wytyczne, które się pojawiły, dotyczące targetowania w Internecie nakładają zupełnie nowe obowiązki (przynajmniej nie wszystkie są nowe). Do tej pory różne formy reklamy w Internecie także powinny być zgłaszane do konsultacji pod kątem zgodności z RODO, najlepiej z Inspektorem Ochrony Danych. Jeżeli jednak jeszcze nie zdawałeś sobie z tego sprawy, to najwyższy czas to zmienić, bo każda kolejna akcja reklamowa może mnożyć ryzyko w Twojej firmie.

Pobierz wpis w wersji pdf

Podobne wpisy:

Wytyczne organów – przypadkowe ujawnienie danych

Komunikacja elektroniczna jest dziś podstawowym sposobem przesyłania informacji. Wiążą się z nią jednak pewne ryzyka, zwłaszcza jeśli przekazywane komunikaty i dokumenty załączane do wiadomości elektronicznych zawierają dane osobowe. Dane osobowe mogą być również przesyłane pocztą tradycyjną i również ta forma komunikacji nie jest pozbawiona zagrożeń.  Główne ryzyko polega na przypadkowym przesłaniu danych osobowych przez administratora […]

Awaria serwera

Papierowe wdrożenie RODO w obszarze IT

Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, […]

RODO w HR – jak zapewnić rozliczalność?

Dział HR to miejsce w organizacji, w którym niezależnie od profilu działalności firmy przetwarzany jest szeroki zakres danych osobowych. Zapewnienie zgodności z RODO i innymi przepisami dotyczącymi ochrony danych osobowych w dużej mierze spoczywa więc właśnie na tej jednostce organizacyjnej firmy. Jak wynika z naszego doświadczenia, mimo że dział HR posiada zazwyczaj największą świadomość w […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki