iSecure logo
  • pl
  • en
    • Blog

    Co nowego o targetowanej reklamie w mediach społecznościowych?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom audience” oferowanych przez wiele dostawców usług mediów społecznościowych, jak Facebook czy Google. I chociaż „wytyczne EROD” mogą nie budzić większego entuzjazmu wśród nie-prawników, to w tym wpisie na konkretnym przykładzie postaram się przedstawić, dlaczego działy marketingu nie powinny ich ignorować i dlaczego trzeba raz jeszcze pochylić się nad narzędziami, które stosują (lub chcą stosować) w praktyce.

    Scenariusz

    Chcemy dotrzeć do naszych klientów z reklamą, która odpowiada ich (oszacowanych przez nas) preferencjom czy zainteresowaniom. Taką reklamę chcemy wyświelić na Facebooku, Google+, YouTube, Instagramie, czy w innych mediach. Poza określeniem kryteriów, jak lokalizacja, grupa wiekowa, rodzaj korzystanej usługi, zamierzamy przekazać także listę adresów e-mail. Nie będę pozostawiać pola do dyskusji, czy mamy do czynienia z przetwarzaniem danych osobowych, bo sprawa jest jasna – tak, mamy.

    Dostawca mediów społecznościowych na podstawie tych danych porównuje dane posiadane przez siebie z tymi, dostarczonymi przez reklamodawcę, aby wyłonić w ten sposób grupę docelową. I wyświetlić reklamę w mediach społecznościowych, z których korzystają nasi klienci.

    Przykład

    Zainteresowała mnie oferta firmy X, dotycząca usług tej firmy. Wyraziłam dla tej firmy zgodę na przetwarzanie mojego adresu e-mail w celu otrzymywania ofert. Mało tego, podpisaliśmy umowę i oprócz tego, że dostałam pełną informację, że moje dane będą przetwarzane w dwóch celach: otrzymania ofert (na podstawie wyrażonej zgody) i realizacji umowy, to dowiedziałam się, że administratorem moich danych jest firma X i znalazłam w podanej mi klauzuli wszystkie informacje, których wymaga RODO). Wygląda w porządku, prawda?

    Do czasu.

    Do czasu, kiedy firma X zdecyduje wykorzystać mój adres e-mail na potrzeby podania mi targetowanej reklamy w social mediach.

    Czego musi dopilnować Dział Marketingu?

    Wytyczne EROD co prawda zostały poddane konsultacjom społecznym (trwającym do 19.10.2020 r.) ale z wersji, która została opublikowana czytamy czarno na białym, w jakim kierunku zmierzamy. I tu uwaga specjaliści ds. marketingu – poniższe punkty dotyczą bezpośrednio Waszej działki biznesowej.

    Na co musicie zwrócić uwagę? Co musicie sprawdzić, żeby móc zgodnie z RODO korzystać z usług ukierunkowanej reklamy?

    • Ustalcie konkretne miejsca reklamowania. YouTube, Gmail, Facebook, inne – jakie?
    • Czy w wyniku akcji reklamowej będziecie pozyskiwać dodatkowe dane o klientach, których maile podawane mają być na liście odbiorców? Np. czy poznacie dodatkowe informacje o ich preferencjach, zainteresowaniach, lokalizacji, itp.?
    • Czy będziecie pozyskiwać od usługodawcy dane także innych osób, tj. z grupy o podobnych cechach? Jeżeli tak, to jakie?
    • Sprawdźcie, jakie adresy e-mail (jakich klientów, z jakiego okresu, z jakich źródeł zebrane w Waszej firmie) mają być wykorzystane
    • Czy wobec klientów, których adresy e-mail mają być wykorzystane do kampanii reklamowej, Wasza firma spełnia poniższe warunki:
      • klient został poinformowany o tym, że jego adres e-mail będzie wykorzystany do celów reklamy w social mediach w zakresie ofert Waszej firmy?
      • reklama dotyczyć będzie oferty Waszej firmy podobnej do tej, z której korzystał właściciel adresu e-mail?
      • właściciel adresu e-mail dostał informację o tym, że może wnieść sprzeciw wobec takiego przetwarzania w momencie zbierania danych lub zgodził się na to?

    Co ciekawe, musicie się dobrze zastanowić, czy wyświetlenie dopasowanej reklamy (czyli nic innego, jak wynik profilowania w social mediach) może się oprzeć jeszcze na podstawie prawnie uzasadnionego interesu (czyli bez zgody), czy może zgoda na taki cel przetwarzania danych będzie konieczna. Na to niestety nie ma jednej zbiorczej odpowiedzi, bo zależy od konkretnej sytuacji Twojej firmy, w tym sposobu wyświetlenia reklamy, jej „inwazyjności”. Podpowiadam, że im większe prawdopodobieństwo, że mamy do czynienia z „oznaczonym odbiorcą” czy „użytkownikiem końcowym”, do którego ma zostać skierowana informacja marketingowa w reklamie – a tak jest w omawianym przypadku, tym większa szansa na to, że na taki konkretny cel przetwarzania danych będzie potrzebna zgoda.

    Współadministratorzy

    Z omawianych wytycznych EROD wynika jeszcze jedna bardzo ciekawa rzecz. W przypadku współpracy z dostawcą usług mediów społecznościowych w celu targetowania użytkowników tych mediów Twoja firma będzie uznana nie tylko za niezależnego administratora zbierające e-maile we własnym zakresie, ale również współadministratora (razem z tym dostawcą). Współadministrowanie dotyczy danych podlegających targetowaniu w Internecie. Ciekawe, prawda? „Współadministrowanie”, to nie tylko słowo prowadzące nas do wniosku, że wspólnie określamy cele przetwarzania danych. Taka konstrukcja ma daleko idące konsekwencje, ponieważ bezpośrednio z RODO wynika, że:

    • Twoja firma musi poinformować klientów, że będzie współadministratorem danych razem z dostawcą usługi targetowania w mediach społecznościowych (np. Google czy Facebook)
    • w przypadku takiego współadministrowania potrzebne jest uzgodnienie, porozumienie zawarte z ww. dostawcą (tak, wiem jak to brzmi) dotyczące przetwarzania danych, w których trzeba zawrzeć przehrzysty podział obowiązków, np. uzgodnienie, który podmiot ma spełnić obowiązek informacyjny wobec targetowanych osób, czy który podmiot ma być punktem kontaktowym do realizacji uprawnień (np. wniesienia sprzeciwu, odwołania zgody) targetowanych osób. Na ten moment wydaje się, że o ile dostawcy będą gotowi na zawieranie tego typu porozumienia, to biorąc pod uwagę praktykę dotyczącą umów powierzenia raczej nie będziemy mieć realnych szans negocjowania jakichkolwiek uzgodnień.

     

    To nie jest tak, że wytyczne, które się pojawiły, dotyczące targetowania w Internecie nakładają zupełnie nowe obowiązki (przynajmniej nie wszystkie są nowe). Do tej pory różne formy reklamy w Internecie także powinny być zgłaszane do konsultacji pod kątem zgodności z RODO, najlepiej z Inspektorem Ochrony Danych. Jeżeli jednak jeszcze nie zdawałeś sobie z tego sprawy, to najwyższy czas to zmienić, bo każda kolejna akcja reklamowa może mnożyć ryzyko w Twojej firmie.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    O ochronie danych osobowych w Nowoczesnej Firmie
    Bartosz Migas

    Nieoczywiste korzyści z audytu RODO

    Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

    Czytaj więcej
    Audyt zgodności z RODO
    Michał Sztąberek

    Jak przygotować audyt RODO?

    Zanim przejdę do sedna tematu, najpierw – tytułem przypomnienia i wstępu – chciałbym przypomnieć naszym Czytelnikom jak definiowany jest audyt. Będzie to dobry punkt wyjścia do dalszych rozważań będących przedmiotem niniejszego wpisu. Cytując zatem normę ISO 27000, audyt jest to systematyczny, niezależny i dokumentowany proces uzyskiwania dowodu oraz jego obiektywnej oceny w celu określenia stopnia […]

    Czytaj więcej
    Wymiana doświadczenia
    Michał Sztąberek

    Twoja zgoda nie musi być taka formalna, czyli o sztuce pisania klauzul

    Niektórzy mówią, że zgoda to najważniejsza przesłanka przetwarzania danych. To oczywiście nieprawda, ponieważ RODO przewiduje sześć równorzędnych i w pełni autonomicznych „opcji” na bazie których można oprzeć działania na danych osobowych. Ale faktem jest, że zgoda jest dość często wykorzystywana – zwłaszcza w kontekście marketingowym. Czy słusznie tak często po nią sięgamy? Tu prostej odpowiedzi […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki