O zgodzie i braku zgody na marketing w Internecie cd.

Nasz poprzedni tekst opisywał przeciekawy przypadek Wirtualnej Polski, która zaczęła jako jeden z pierwszych podmiotów uzyskiwać zgody na przetwarzanie danych osobowych (nie należy mylić ze zgodą na cookies).

Zarówno model biznesowy jak i implementacja zdziwiły nas, a ponieważ przypadek ten jest świetną ilustracja problemów z wdrożeniem RODO, napisaliśmy to co napisaliśmy, wskazując na przewagę praktyczną powoływania się na prawnie uzasadniony interes w miejsce zgody na przetwarzanie danych osobowych przez administratorów prowadzących działalność marketingową w Internecie.

Sporo polubień, sporo pytań i dyskusji zarówno przez linkedin jak i bardziej prywatnych. Temat w naszej opinii powinien być dokładniej omówiony, stąd dalsza część rozważań. Kontynuujmy więc wątek – zgody na marketing (i nie tylko).

A MOŻE JEDNAK ZGODA?

W dotychczasowych dyskusjach nad wdrożeniem RODO w świecie marketingu internetowego padały przede wszystkim 2 argumenty za zbieraniem zgód na przetwarzanie danych osobowych:

  • Prawnie uzasadniony interes może być podstawą przetwarzania danych osobowych wyłącznie dla celów marketingu własnego (tj. promowania własnych towarów i usług administratora), cudzy marketing wymaga natomiast zgody podmiotu danych. Skąd takie przekonanie? Jest to prawdopodobnie konsekwencją brzmienia naszej krajowej regulacji, gdzie jako przykład uzasadnionego celu (art. 23 ust. 4 pkt 1 UODO) ustawodawca wskazał marketing własny (mimo że przecież nie wynikało to z dyrektywy 95/46) oraz dość zachowawczego podejścia GIODO w tym temacie.
  • Profilowanie w celach marketingowych na tyle ingeruje w prywatność podmiotów danych (użytkowników Internetu), że nie jest zachowany tzw. balans interesów, czyli zagrożone są podstawowe prawa i wolności użytkownika.

W naszej ocenie oba te argumenty w nowej rzeczywistości prawnej i w obliczu zmiany filozofii ochrony prywatności pod RODO przestają być aktualne.

MARKETING OSÓB TRZECICH

Zgodnie z art. 6 ust. 1 lit. f) RODO administrator danych może powołać się na uzasadniony interes jako podstawę przetwarzania, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (czyli podmiot inny niż osoba, której dane dotyczą, administrator oraz podmiot przetwarzający). To administrator musi posiadać podstawę prawną przetwarzania danych osobowych w związku z realizowaniem interesu strony trzeciej.

Takie brzmienie przepisu daje możliwość wyróżnienia dwóch rodzajów uzasadnionego interesu:

  • „uzasadniony interes przetwarzania danych osobowych” – który dla legalności działania musi występować po stronie administratora
  • „uzasadniony interes biznesowy” – który może mieć administrator lub strona trzecia. Można mieć zatem interes w przetwarzaniu danych przez inny podmiot, samemu nie biorąc w nim udziału.

Uzasadniony interes strony trzeciej

Kiedy administrator może powołać się na uzasadniony interes strony trzeciej?

Naszym zdaniem właśnie przy cudzym marketingu. Reklamodawca, który zleca (np. wydawcy serwisu lub innemu podmiotowi działającemu w ekosystemie programmatic) wyświetlenie reklamy grupie odbiorców dopasowanej do jej treści (odpowiednio sprofilowanej), zazwyczaj nie przetwarza i nie ma żadnego interesu w przetwarzaniu danych zidentyfikowanych lub możliwych do zidentyfikowania osób.

Jego uwaga skupiona jest na grupie docelowej i to właśnie na tej grupie (a nie na konkretnych osobach) kończy się jego biznesowy interes. Taki zlecający często nie wie nawet, do których konkretnie przysłowiowych Kowalskich i Nowaków zostanie wysłana komunikacja marketingowa, ponieważ z jego punktu widzenia są to anonimowe osoby spełniające określone kryteria (np. kobieta, 30-35 lat, zamieszkała w mieście pow. 500k mieszkańców). Taki reklamodawca ma natomiast interes biznesowy w przeprowadzeniu całej operacji: dotarcie ze swoim komunikatem do określonej grupy docelowej.

Definiując to od strony ekonomicznej: reklamodawca chce tylko zwiększyć sprzedaż i w tym celu korzysta z odpowiednich narzędzi marketingowych (np. typu programmatic), jednak ich wykorzystanie może wiązać się z przetwarzaniem danych przez inne podmioty mogące mieć status administratora (domy mediowe, hurtownie danych, podmioty DSP, SSP itd.).

Reklamodawca nie bierze więc udziału w przetwarzaniu danych (jest stroną trzecią w rozumieniu RODO), ale ma interes biznesowy uzasadniający przetwarzanie danych przez administratora, któremu zlecił realizację usługi. Czyli to „biznesowy interes” reklamodawcy, a własny cel administratora, pozwala administratorowi powołać się na podstawę z art. 6 ust. 1 lit. f) RODO. Jeżeli przyjęlibyśmy, że uzasadniony interes stron trzecich nie może w tym przypadku stanowić podstawy dla przetwarzania danych przez administratora, to trudno sobie wyobrazić przykład, które pasowałby lepiej.

Rozsądne oczekiwania podmiotów danych

W opisanej powyżej sytuacji istnieją rzecz jasna pewne ograniczenia dotyczące swobody korzystania z przesłanki uzasadnionego interesu przy realizacji marketingu osób trzecich.

W tym zakresie kluczowy jest motyw 47 RODO: podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Niezbędne jest więc istnienie „łącznika”, który sprawia, że podmiot danych spodziewa się wykorzystania jego danych osobowych w określonym celu (np. w celu kierowania do niego marketingu dotyczącego towarów i usług podmiotów trzecich). I tu dochodzimy do sedna problemu z reklamą behawioralną w Internecie.

W naszej ocenie wystarczającym łącznikiem tego typu może być zgoda na cookies tych podmiotów (zgoda z art. 173 pt na przechowywanie oraz uzyskiwanie dostępu do informacji zbieranych przez cookies), o ile tylko jest ona odpowiednio „poinformowana” (informed consent).

Z chwilą wyrażenia takiej zgody podmiot danych może rozsądnie oczekiwać i zdawać sobie sprawę, że po jej wyrażeniu nastąpi wykorzystanie plików cookies do celów teamalizacji komunikacji do niego kierowanej, a w konsekwencji zostaną mu wyświetlone reklamy nie tylko administratora, ale i podmiotów trzecich.

PROFILOWANIE MARKETINGOWE

W kontekście podejścia Wirtualnej Polski do stosowania przepisów RODO naszą uwagę zwróciło też pozyskiwanie zgody na profilowanie marketingowe. W naszej ocenie możliwość oparcia takich działań na uzasadnionym interesie wynika bezpośrednio (choć nie wprost) z przepisów RODO.

Art. 21 ust. 2 RODO nie pozostawia wątpliwości: Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Prawo do sprzeciwu przysługuje, kiedy podstawą przetwarzania danych osobowych jest uzasadniony interes, a nie zgoda podmiotu danych. W przypadku zgody możliwe jest jej wycofanie, a nie sprzeciw.

Dlaczego więc konieczne miałoby być zbieranie zgody? Czy znaczenie ma tu kanał komunikacji, czyli baner z reklamą w Internecie, i przekonanie, że profilowanie w tym zakresie zbyt mocno ingeruje w prywatność użytkowników, żeby opierać się na interesie administratora?

Trudno powiedzieć, by w tym przypadku rzeczywiście tak bardzo – bardziej niż przy wysyłce emailingu czy telemarketingu – cierpiała prywatność podmiotu danych. We wszystkich tych sytuacjach potrzebna jest zgoda na kanał komunikacji (z UŚUDE, z art. 172 PT lub art. 173 PT), więc to nie powinno być argumentem. Szczególnie że przy mailingu i telemarketingu administrator zazwyczaj zna naszą tożsamość lub może ją łatwo ustalić, podczas gdy przy reklamie behawioralnej w Internecie zwykle dysponuje wyłącznie przypisanym nam (albo naszemu urządzeniu) identyfikatorem (niekoniecznie identyfikując nas z imienia i nazwiska).

Efekt?

Wyświetla nam się tylko reklamowy baner; nikt nie zaśmieca nam skrzynki mailowej, nikt nie dzwoni na nasz telefon. W naszej ocenie uszczerbek dla prywatności w takim przypadku nie jest większy, niż przy mailingu czy telemarketingu – a wręcz przeciwnie.

ZGODA NA COOKIES

Nie ulega natomiast wątpliwości, że wyświetlanie reklamy behawioralnej (przykład profilowania) wymaga korzystania z technologii śledzącej (tzw. trackerów), czyli głównie plików cookies. Na korzystanie z takiej technologii potrzebna jest zgoda przewidziana w Prawie Telekomunikacyjnym. Tyle że przepisy PT nie wskazują, kto ma tę zgodę zebrać.

W naszej ocenie wydawca może więc bez przeszkód zebrać zgodę zarówno samodzielnie (na własne cookies), jak i w imieniu innych podmiotów (na tzw. 3rd party cookies).

Takie podejście było dotychczas akceptowane, a dopóki nie nastąpi zmiana legislacyjna (np. w ramach rozporządzenia e-Privacy), w naszej ocenie nie należy zmieniać praktyki stosowania tych przepisów. Co innego zgody na przetwarzanie danych osobowych. Jak wskazaliśmy w poprzednim tekście, sam fakt „łączenia” różnych zgód (zbieranych jednocześnie dla różnych administratorów i dla różnych celów przetwarzania) jest potencjalnie krytycznym problemem. Dotychczasowe podejście GIODO było bardzo zachowawcze i nic nie wskazuje na to, że zmieni się ono po 25 maja 2018 r.

BRZYTWA OCKHAMA

Spróbujmy podsumować. Skoro można zrobić mniej dla uzasadnienia legalności działania (zebrać tylko jedną zgodę na cookies, a w pozostałym zakresie oprzeć się na uzasadnionym interesie każdego z administratorów – tj. wydawcy serwisu oraz innych podmiotów zapisujących trackery, żeby sprofilować i dostarczyć odpowiednią treść reklamową), to nie należy zbierać dwóch odrębnych zgód w jednej klauzuli (na marginesie – w naszej opinii WP nie zbiera w omawianym przypadku zgody na cookies).

Żeby to zrobić, zgoda na cookies musi być „poinformowana”: konieczne jest wskazanie użytkownikom, w miarę możliwości, czyje cookies są zapisywane na ich urządzeniach końcowych (obecnie powstają narzędzia umożliwiające takie działanie). To pozwoli nam uzyskać „łącznik” i upewnić się, że użytkownik spodziewał się wykorzystywania jego danych osobowych w celach marketingowych przez inne podmioty. Zapewni także balans między interesem użytkownika i administratora.

Co więcej, użytkownik będzie mógł się sprzeciwić takiemu działaniu (art. 21 ust. 2 RODO), o czym należałoby go poinformować. Takie rozwiązanie będzie dużo bardziej czytelne dla użytkownika (jedna zgoda i wyczerpująca informacja dostępna np. w polityce prywatności), a jednocześnie prostsze i bezpieczniejsze dla wydawców oraz innych podmiotów uczestniczących w łańcuchu reklamy behawioralnej (brak zbierania wielu zgód lub łączenia zgód na różne cele i dla różnych podmiotów w jednej klauzuli).


Zobacz inne artykuły związane z tematyką RODO