iSecure logo
  • pl
  • en
    • Blog

    Co nowego o targetowanej reklamie w mediach społecznościowych?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom audience” oferowanych przez wiele dostawców usług mediów społecznościowych, jak Facebook czy Google. I chociaż „wytyczne EROD” mogą nie budzić większego entuzjazmu wśród nie-prawników, to w tym wpisie na konkretnym przykładzie postaram się przedstawić, dlaczego działy marketingu nie powinny ich ignorować i dlaczego trzeba raz jeszcze pochylić się nad narzędziami, które stosują (lub chcą stosować) w praktyce.

    Scenariusz

    Chcemy dotrzeć do naszych klientów z reklamą, która odpowiada ich (oszacowanych przez nas) preferencjom czy zainteresowaniom. Taką reklamę chcemy wyświelić na Facebooku, Google+, YouTube, Instagramie, czy w innych mediach. Poza określeniem kryteriów, jak lokalizacja, grupa wiekowa, rodzaj korzystanej usługi, zamierzamy przekazać także listę adresów e-mail. Nie będę pozostawiać pola do dyskusji, czy mamy do czynienia z przetwarzaniem danych osobowych, bo sprawa jest jasna – tak, mamy.

    Dostawca mediów społecznościowych na podstawie tych danych porównuje dane posiadane przez siebie z tymi, dostarczonymi przez reklamodawcę, aby wyłonić w ten sposób grupę docelową. I wyświetlić reklamę w mediach społecznościowych, z których korzystają nasi klienci.

    Przykład

    Zainteresowała mnie oferta firmy X, dotycząca usług tej firmy. Wyraziłam dla tej firmy zgodę na przetwarzanie mojego adresu e-mail w celu otrzymywania ofert. Mało tego, podpisaliśmy umowę i oprócz tego, że dostałam pełną informację, że moje dane będą przetwarzane w dwóch celach: otrzymania ofert (na podstawie wyrażonej zgody) i realizacji umowy, to dowiedziałam się, że administratorem moich danych jest firma X i znalazłam w podanej mi klauzuli wszystkie informacje, których wymaga RODO). Wygląda w porządku, prawda?

    Do czasu.

    Do czasu, kiedy firma X zdecyduje wykorzystać mój adres e-mail na potrzeby podania mi targetowanej reklamy w social mediach.

    Czego musi dopilnować Dział Marketingu?

    Wytyczne EROD co prawda zostały poddane konsultacjom społecznym (trwającym do 19.10.2020 r.) ale z wersji, która została opublikowana czytamy czarno na białym, w jakim kierunku zmierzamy. I tu uwaga specjaliści ds. marketingu – poniższe punkty dotyczą bezpośrednio Waszej działki biznesowej.

    Na co musicie zwrócić uwagę? Co musicie sprawdzić, żeby móc zgodnie z RODO korzystać z usług ukierunkowanej reklamy?

    • Ustalcie konkretne miejsca reklamowania. YouTube, Gmail, Facebook, inne – jakie?
    • Czy w wyniku akcji reklamowej będziecie pozyskiwać dodatkowe dane o klientach, których maile podawane mają być na liście odbiorców? Np. czy poznacie dodatkowe informacje o ich preferencjach, zainteresowaniach, lokalizacji, itp.?
    • Czy będziecie pozyskiwać od usługodawcy dane także innych osób, tj. z grupy o podobnych cechach? Jeżeli tak, to jakie?
    • Sprawdźcie, jakie adresy e-mail (jakich klientów, z jakiego okresu, z jakich źródeł zebrane w Waszej firmie) mają być wykorzystane
    • Czy wobec klientów, których adresy e-mail mają być wykorzystane do kampanii reklamowej, Wasza firma spełnia poniższe warunki:
      • klient został poinformowany o tym, że jego adres e-mail będzie wykorzystany do celów reklamy w social mediach w zakresie ofert Waszej firmy?
      • reklama dotyczyć będzie oferty Waszej firmy podobnej do tej, z której korzystał właściciel adresu e-mail?
      • właściciel adresu e-mail dostał informację o tym, że może wnieść sprzeciw wobec takiego przetwarzania w momencie zbierania danych lub zgodził się na to?

    Co ciekawe, musicie się dobrze zastanowić, czy wyświetlenie dopasowanej reklamy (czyli nic innego, jak wynik profilowania w social mediach) może się oprzeć jeszcze na podstawie prawnie uzasadnionego interesu (czyli bez zgody), czy może zgoda na taki cel przetwarzania danych będzie konieczna. Na to niestety nie ma jednej zbiorczej odpowiedzi, bo zależy od konkretnej sytuacji Twojej firmy, w tym sposobu wyświetlenia reklamy, jej „inwazyjności”. Podpowiadam, że im większe prawdopodobieństwo, że mamy do czynienia z „oznaczonym odbiorcą” czy „użytkownikiem końcowym”, do którego ma zostać skierowana informacja marketingowa w reklamie – a tak jest w omawianym przypadku, tym większa szansa na to, że na taki konkretny cel przetwarzania danych będzie potrzebna zgoda.

    Współadministratorzy

    Z omawianych wytycznych EROD wynika jeszcze jedna bardzo ciekawa rzecz. W przypadku współpracy z dostawcą usług mediów społecznościowych w celu targetowania użytkowników tych mediów Twoja firma będzie uznana nie tylko za niezależnego administratora zbierające e-maile we własnym zakresie, ale również współadministratora (razem z tym dostawcą). Współadministrowanie dotyczy danych podlegających targetowaniu w Internecie. Ciekawe, prawda? „Współadministrowanie”, to nie tylko słowo prowadzące nas do wniosku, że wspólnie określamy cele przetwarzania danych. Taka konstrukcja ma daleko idące konsekwencje, ponieważ bezpośrednio z RODO wynika, że:

    • Twoja firma musi poinformować klientów, że będzie współadministratorem danych razem z dostawcą usługi targetowania w mediach społecznościowych (np. Google czy Facebook)
    • w przypadku takiego współadministrowania potrzebne jest uzgodnienie, porozumienie zawarte z ww. dostawcą (tak, wiem jak to brzmi) dotyczące przetwarzania danych, w których trzeba zawrzeć przehrzysty podział obowiązków, np. uzgodnienie, który podmiot ma spełnić obowiązek informacyjny wobec targetowanych osób, czy który podmiot ma być punktem kontaktowym do realizacji uprawnień (np. wniesienia sprzeciwu, odwołania zgody) targetowanych osób. Na ten moment wydaje się, że o ile dostawcy będą gotowi na zawieranie tego typu porozumienia, to biorąc pod uwagę praktykę dotyczącą umów powierzenia raczej nie będziemy mieć realnych szans negocjowania jakichkolwiek uzgodnień.

     

    To nie jest tak, że wytyczne, które się pojawiły, dotyczące targetowania w Internecie nakładają zupełnie nowe obowiązki (przynajmniej nie wszystkie są nowe). Do tej pory różne formy reklamy w Internecie także powinny być zgłaszane do konsultacji pod kątem zgodności z RODO, najlepiej z Inspektorem Ochrony Danych. Jeżeli jednak jeszcze nie zdawałeś sobie z tego sprawy, to najwyższy czas to zmienić, bo każda kolejna akcja reklamowa może mnożyć ryzyko w Twojej firmie.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Adres IP daną osobową
    Damian Bielecki

    CZYM JEST MALWARE?

    Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

    Czytaj więcej
    Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
    Przemysław Siarka

    Jak stworzyć stronę internetową zgodną z RODO? Część 1 – regulaminy.

    Zajmując się doradztwem z zakresu ochrony danych osobowych na pewno weryfikowaliście klauzule informacyjne, opiniowaliście umowy powierzenia czy wykonywaliście audyt funkcjonującej strony internetowej. Co jednak możemy zrobić, gdy takiej strony nie ma, a dopiero powstaje? Mam nadzieję, że poniższy artykuł pozwoli uporządkować zawartość dokumentów, w których przedsiębiorca powinien zamieścić odpowiednie obowiązki informacyjne, nakazane przepisami prawa.   […]

    Czytaj więcej
    Maciej Łukaszewicz

    Szczepienia przeciw COVID-19 w zakładzie pracy

    Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki