Marketing osób trzecich

Zgodnie z art. 6 ust. 1 lit. f) RODO administrator danych może powołać się na uzasadniony interes jako podstawę przetwarzania, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (czyli podmiot inny niż osoba, której dane dotyczą, administrator oraz podmiot przetwarzający).

To administrator musi posiadać podstawę prawną przetwarzania danych osobowych w związku z realizowaniem interesu strony trzeciej. Takie brzmienie przepisu daje możliwość do wyróżnienia dwóch rodzajów uzasadnionego interesu:

  • „uzasadnionego interesu przetwarzania danych osobowych” – który dla legalności działania musi występować po stronie administratora; oraz
  • „uzasadnionego interesu biznesowego” – który może mieć administrator lub strona trzecia. Można mieć zatem interes w przetwarzaniu danych przez inny podmiot, samemu nie biorąc w nim udziału.

Kiedy administrator może się powołać na uzasadniony interes strony trzeciej?

Naszym zdaniem właśnie przy cudzym marketingu. Reklamodawca, który zleca – np. wydawcy serwisu lub innemu podmiotowi działającemu w ekosystemie programmatic – wyświetlenie reklamy grupie odbiorców dopasowanej do jej treści (odpowiednio sprofilowanej), zazwyczaj nie przetwarza i nawet nie ma żadnego interesu w przetwarzaniu danych zidentyfikowanych lub możliwych do zidentyfikowania osób. Jego uwaga jest skupiona na grupie docelowej i na tej grupie (a nie na konkretnych osobach) kończy się jego biznesowy interes. Taki zlecający często nie wie, do których konkretnie Kowalskich i Nowaków komunikacja marketingowa zostanie wysłana, bo z jego punktu widzenia to są anonimowe dla niego osoby spełniające określone kryteria (np. kobieta, 30-35 lat, zamieszkała w mieście pow. 500k mieszkańców). Taki reklamodawca ma natomiast interes biznesowy w przeprowadzeniu całej operacji: dotarcie ze swoim komunikatem do określonej grupy docelowej. Definiując to od strony ekonomicznej: reklamodawca chce tylko zwiększyć sprzedaż i w tym celu korzysta z odpowiednich narzędzi marketingowych, np. typu programmatic, których wykorzystanie może się wiązać z przetwarzaniem danych przez inne podmioty, które mogą mieć status administratora (domy mediowe, hurtownie danych, podmioty DSP, SSP itd.). Reklamodawca nie bierze więc udziału w przetwarzaniu danych (jest stroną trzecią w rozumieniu RODO), ale ma interes biznesowy uzasadniający przetwarzanie danych przez administratora, któremu zlecił realizację usługi. Czyli to „biznesowy interes” reklamodawcy, a własny cel administratora, pozwala administratorowi powołać się na podstawę z art. 6 ust. 1 lit. f) RODO. Jeżeli przyjęlibyśmy, że uzasadniony interes stron trzech nie może w tym przypadku stanowić podstawy dla przetwarzania danych przez administratora, to trudno sobie wyobrazić inne przykłady, które będą pasowały bardziej.

W opisanej powyżej sytuacji istnieją rzecz jasna pewne ograniczenia dotyczące swobody korzystania z przesłanki uzasadnionego interesu przy realizacji marketingu osób trzecich. W tym zakresie kluczowy jest motyw 47 RODO: podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

„Łącznik”

Niezbędne jest więc istnienie „łącznika”, który sprawia, że podmiot danych spodziewa się, że jego dane osobowe zostaną wykorzystane w określonym celu (np. w celu kierowania do niego marketingu dotyczącego towarów i usług podmiotów trzecich). I tu dochodzimy do sedna problemu z reklamą behawioralną w Internecie. W naszej ocenie wystarczającym łącznikiem tego typu może być zgoda na cookies tych podmiotów (zgoda z art. 173 pt na przechowywanie oraz uzyskiwanie dostępu do informacji zbieranych przez cookies), o ile tylko zgoda ta jest odpowiednio „poinformowana” (informed consent). Z chwilą wyrażenia takiej zgody podmiot danych może rozsądnie oczekiwać i zdawać sobie sprawę, że po jej wyrażeniu nastąpi wykorzystanie plików cookies do celów teamalizacji komunikacji do niego kierowanej, a w konsekwencji zostaną mu wyświetlone reklamy nie tylko administratora, ale i podmiotów trzecich.

Profilowanie marketingowe

W kontekście podejścia WP.PL do stosowania przepisów RODO naszą uwagę zwróciło też pozyskiwanie zgody na profilowanie marketingowe. W naszej ocenie możliwość oparcia takich działań na uzasadnionym interesie wynika bezpośrednio (choć nie wprost) z przepisów RODO. Art. 21 ust. 2 RODO nie pozostawia wątpliwości: Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciwwobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Prawo do sprzeciwu przysługuje, kiedy podstawą przetwarzania danych osobowych jest uzasadniony interes, a nie zgoda podmiotu danych. W przypadku zgody możliwe jest jej wycofanie, a nie sprzeciw.

Dlaczego więc konieczne miałoby być zbieranie zgody? Czy znaczenie ma tu kanał komunikacji, czyli wyświetlenie banera z reklamą w Internecie i przekonanie, że profilowanie w tym zakresie zbyt mocno ingeruje w prywatność użytkowników, żeby opierać się na interesie administratora? Trudno się zgodzić, że w tym przypadku rzeczywiście tak bardzo – bardziej niż przy wysyłce emailingu czy telemarketingu – cierpi prywatność podmiotu danych. We wszystkich tych przypadkach potrzebna jest zgoda na kanał komunikacji (z UŚUDE, z art. 172 PT lub art. 173 PT), więc to argumentem być nie powinno. Szczególnie, że przy mailingu i telemarketingu administrator zazwyczaj zna naszą tożsamość lub może ją łatwo ustalić, a przy reklamie behawioralnej w Internecie zwykle zna tylko przypisany nam (albo naszemu urządzeniu) identyfikator (niekoniecznie identyfikując konkretnego Kowalskiego z imienia i nazwiska). I w efekcie wyświetla nam się tylko reklamowy baner (nikt nie zaśmieca nam skrzynki mailowej, nikt nie dzwoni na nasz telefon). W naszej ocenie uszczerbek dla prywatności w takim przypadku nie jest większy, niż przy mailingu czy telemarketingu, wręcz przeciwnie.

Zgoda na cookies

Nie ulega natomiast wątpliwości, że wyświetlanie reklamy behawioralnej (przykład profilowania) wymaga korzystania z technologii śledzącej (tzw. trackerów), czyli głównie plików cookies. Na korzystanie z takiej technologii potrzebna jest zgoda przewidziana w Prawie Telekomunikacyjnym. Tyle, że przepisy PT nie wskazują, kto ma tę zgodę zebrać. W naszej ocenie wydawca może więc bez przeszkód zebrać zgodę zarówno samodzielnie na własne cookies, jak i w imieniu innych podmiotów na tzw. 3rd party cookies. Takie podejście było dotychczas akceptowane, a dopóki nie nastąpi zmiana legislacyjna (np. w ramach rozporządzenia e-Privacy), w naszej ocenie nie należy zmieniać praktyki stosowania tych przepisów. Co innego zgody na przetwarzanie danych osobowych. Jak wskazaliśmy w poprzednim tekście, sam fakt „łączenia” różnych zgód (zbieranych jednocześnie dla różnych administratorów, i dla różnych celów przetwarzania) jest potencjalnie krytycznym problemem. Dotychczasowe podejście GIODO było bardzo zachowawcze i nic nie wskazuje na to, że zmieni się ono po 25 maja 2018 r.

Brzytwa Ockhama

Próbując podsumować: skoro można zrobić mniej dla uzasadnienia legalności działania (zebrać tylko jedną zgodę na cookies, a w pozostałym zakresie oprzeć się na uzasadnionym interesie każdego z administratorów – tj. wydawcy serwisu oraz innych podmiotów zapisujących trackery, żeby sprofilować i dostarczyć odpowiednią treść reklamową, w tym dostarczoną przez reklamodawców) to nie należy zbierać dwóch odrębnych zgód w jednej klauzuli (na marginesie w naszej opinii wp nie zbiera w omawianym przypadku zgody na cookie). Oczywiście, żeby to zrobić, zgoda na cookies musi być „poinformowana”: konieczne jest wskazanie użytkownikom w miarę możliwości, czyje cookies są zapisywane na ich urządzeniach końcowych (narzędzia umożliwiające takie działanie powstają). To pozwoli nam uzyskać „łącznik” i zapewnić, że użytkownik będzie się spodziewał się, że inne podmioty wykorzystają jego dane osobowe w celach marketingowych. Zapewni także balans między interesem użytkownika i administratora. Co więcej, użytkownik będzie mógł się sprzeciwić takiemu działaniu (art. 21 ust. 2 RODO), o czym należałoby go poinformować. Takie rozwiązanie będzie dużo bardziej czytelne dla użytkownika (jedna zgoda i wyczerpująca informacja dostępna np. w polityce prywatności) i jednocześnie prostsze i bezpieczniejsze dla wydawców oraz innych podmiotów uczestniczących w łańcuchu reklamy behawioralnej (brak zbierania wielu zgód lub łączenia zgód na różne cele i dla różnych podmiotów w jednej klauzuli).


Zobacz też inne artykuły Marcina Maruty: