iSecure logo
  • pl
  • en
    • Blog

    Co nowego o targetowanej reklamie w mediach społecznościowych?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom audience” oferowanych przez wiele dostawców usług mediów społecznościowych, jak Facebook czy Google. I chociaż „wytyczne EROD” mogą nie budzić większego entuzjazmu wśród nie-prawników, to w tym wpisie na konkretnym przykładzie postaram się przedstawić, dlaczego działy marketingu nie powinny ich ignorować i dlaczego trzeba raz jeszcze pochylić się nad narzędziami, które stosują (lub chcą stosować) w praktyce.

    Scenariusz

    Chcemy dotrzeć do naszych klientów z reklamą, która odpowiada ich (oszacowanych przez nas) preferencjom czy zainteresowaniom. Taką reklamę chcemy wyświelić na Facebooku, Google+, YouTube, Instagramie, czy w innych mediach. Poza określeniem kryteriów, jak lokalizacja, grupa wiekowa, rodzaj korzystanej usługi, zamierzamy przekazać także listę adresów e-mail. Nie będę pozostawiać pola do dyskusji, czy mamy do czynienia z przetwarzaniem danych osobowych, bo sprawa jest jasna – tak, mamy.

    Dostawca mediów społecznościowych na podstawie tych danych porównuje dane posiadane przez siebie z tymi, dostarczonymi przez reklamodawcę, aby wyłonić w ten sposób grupę docelową. I wyświetlić reklamę w mediach społecznościowych, z których korzystają nasi klienci.

    Przykład

    Zainteresowała mnie oferta firmy X, dotycząca usług tej firmy. Wyraziłam dla tej firmy zgodę na przetwarzanie mojego adresu e-mail w celu otrzymywania ofert. Mało tego, podpisaliśmy umowę i oprócz tego, że dostałam pełną informację, że moje dane będą przetwarzane w dwóch celach: otrzymania ofert (na podstawie wyrażonej zgody) i realizacji umowy, to dowiedziałam się, że administratorem moich danych jest firma X i znalazłam w podanej mi klauzuli wszystkie informacje, których wymaga RODO). Wygląda w porządku, prawda?

    Do czasu.

    Do czasu, kiedy firma X zdecyduje wykorzystać mój adres e-mail na potrzeby podania mi targetowanej reklamy w social mediach.

    Czego musi dopilnować Dział Marketingu?

    Wytyczne EROD co prawda zostały poddane konsultacjom społecznym (trwającym do 19.10.2020 r.) ale z wersji, która została opublikowana czytamy czarno na białym, w jakim kierunku zmierzamy. I tu uwaga specjaliści ds. marketingu – poniższe punkty dotyczą bezpośrednio Waszej działki biznesowej.

    Na co musicie zwrócić uwagę? Co musicie sprawdzić, żeby móc zgodnie z RODO korzystać z usług ukierunkowanej reklamy?

    • Ustalcie konkretne miejsca reklamowania. YouTube, Gmail, Facebook, inne – jakie?
    • Czy w wyniku akcji reklamowej będziecie pozyskiwać dodatkowe dane o klientach, których maile podawane mają być na liście odbiorców? Np. czy poznacie dodatkowe informacje o ich preferencjach, zainteresowaniach, lokalizacji, itp.?
    • Czy będziecie pozyskiwać od usługodawcy dane także innych osób, tj. z grupy o podobnych cechach? Jeżeli tak, to jakie?
    • Sprawdźcie, jakie adresy e-mail (jakich klientów, z jakiego okresu, z jakich źródeł zebrane w Waszej firmie) mają być wykorzystane
    • Czy wobec klientów, których adresy e-mail mają być wykorzystane do kampanii reklamowej, Wasza firma spełnia poniższe warunki:
      • klient został poinformowany o tym, że jego adres e-mail będzie wykorzystany do celów reklamy w social mediach w zakresie ofert Waszej firmy?
      • reklama dotyczyć będzie oferty Waszej firmy podobnej do tej, z której korzystał właściciel adresu e-mail?
      • właściciel adresu e-mail dostał informację o tym, że może wnieść sprzeciw wobec takiego przetwarzania w momencie zbierania danych lub zgodził się na to?

    Co ciekawe, musicie się dobrze zastanowić, czy wyświetlenie dopasowanej reklamy (czyli nic innego, jak wynik profilowania w social mediach) może się oprzeć jeszcze na podstawie prawnie uzasadnionego interesu (czyli bez zgody), czy może zgoda na taki cel przetwarzania danych będzie konieczna. Na to niestety nie ma jednej zbiorczej odpowiedzi, bo zależy od konkretnej sytuacji Twojej firmy, w tym sposobu wyświetlenia reklamy, jej „inwazyjności”. Podpowiadam, że im większe prawdopodobieństwo, że mamy do czynienia z „oznaczonym odbiorcą” czy „użytkownikiem końcowym”, do którego ma zostać skierowana informacja marketingowa w reklamie – a tak jest w omawianym przypadku, tym większa szansa na to, że na taki konkretny cel przetwarzania danych będzie potrzebna zgoda.

    Współadministratorzy

    Z omawianych wytycznych EROD wynika jeszcze jedna bardzo ciekawa rzecz. W przypadku współpracy z dostawcą usług mediów społecznościowych w celu targetowania użytkowników tych mediów Twoja firma będzie uznana nie tylko za niezależnego administratora zbierające e-maile we własnym zakresie, ale również współadministratora (razem z tym dostawcą). Współadministrowanie dotyczy danych podlegających targetowaniu w Internecie. Ciekawe, prawda? „Współadministrowanie”, to nie tylko słowo prowadzące nas do wniosku, że wspólnie określamy cele przetwarzania danych. Taka konstrukcja ma daleko idące konsekwencje, ponieważ bezpośrednio z RODO wynika, że:

    • Twoja firma musi poinformować klientów, że będzie współadministratorem danych razem z dostawcą usługi targetowania w mediach społecznościowych (np. Google czy Facebook)
    • w przypadku takiego współadministrowania potrzebne jest uzgodnienie, porozumienie zawarte z ww. dostawcą (tak, wiem jak to brzmi) dotyczące przetwarzania danych, w których trzeba zawrzeć przehrzysty podział obowiązków, np. uzgodnienie, który podmiot ma spełnić obowiązek informacyjny wobec targetowanych osób, czy który podmiot ma być punktem kontaktowym do realizacji uprawnień (np. wniesienia sprzeciwu, odwołania zgody) targetowanych osób. Na ten moment wydaje się, że o ile dostawcy będą gotowi na zawieranie tego typu porozumienia, to biorąc pod uwagę praktykę dotyczącą umów powierzenia raczej nie będziemy mieć realnych szans negocjowania jakichkolwiek uzgodnień.

     

    To nie jest tak, że wytyczne, które się pojawiły, dotyczące targetowania w Internecie nakładają zupełnie nowe obowiązki (przynajmniej nie wszystkie są nowe). Do tej pory różne formy reklamy w Internecie także powinny być zgłaszane do konsultacji pod kątem zgodności z RODO, najlepiej z Inspektorem Ochrony Danych. Jeżeli jednak jeszcze nie zdawałeś sobie z tego sprawy, to najwyższy czas to zmienić, bo każda kolejna akcja reklamowa może mnożyć ryzyko w Twojej firmie.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Nina Zacharska

    Rejestr czynności przetwarzania danych osobowych – w jaki sposób go prowadzić?

    Rejestr czynności przetwarzania (RCP) to podstawowe narzędzie wspierające administratorów, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych i pomagające wykazać przestrzeganie zasady rozliczalności. Jaki jest cel prowadzenia rejestru? Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: zachowanie przez administratora zgodności z RODO; umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Prowadzony przez administratorów RCP pozwala im […]

    Czytaj więcej
    Maciej Łukaszewicz

    Rozliczenie roczne PIT – jak uniknąć naruszenia ochrony danych osobowych?

    W Polsce roczne rozliczenia podatkowe, czyli PIT (Podatek dochodowy od osób fizycznych), przygotowuje się zazwyczaj po zakończeniu roku podatkowego, który w Polsce pokrywa się z rokiem kalendarzowym, czyli od 1 stycznia do 31 grudnia. Zgodnie z obowiązującymi przepisami, podatnicy mają obowiązek złożyć deklarację podatkową za poprzedni rok podatkowy do końca kwietnia roku następnego. Oznacza to, […]

    Czytaj więcej
    Kurs ochrony danych osobowych przez e-mail
    Olga Skotnicka

    Czy znasz prawa osób, których dane przetwarzasz ?

    Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki