Sortuj wg
Najnowszej
Najpopularniejszej
Autorzy:

Marketing osób trzecich

Z

Zgodnie z art. 6 ust. 1 lit. f) RODO administrator danych może powołać się na uzasadniony interes jako podstawę przetwarzania, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią(czyli podmiot inny niż osoba, której dane dotyczą, administrator oraz podmiot przetwarzający). To administrator musi posiadać podstawę prawną przetwarzania danych osobowych w związku z realizowaniem interesu strony trzeciej. Takie brzmienie przepisu daje możliwość do wyróżnienia dwóch rodzajów uzasadnionego interesu:

  • „uzasadnionego interesu przetwarzania danych osobowych” – który dla legalności działania musi występować po stronie administratora; oraz 
  • „uzasadnionego interesu biznesowego” – który może mieć administrator lub strona trzecia. Można mieć zatem interes w przetwarzaniu danych przez inny podmiot, samemu nie biorąc w nim udziału. 

Kiedy administrator może się powołać na uzasadniony interes strony trzeciej? Naszym zdaniem właśnie przy cudzym marketingu. Reklamodawca, który zleca – np. wydawcy serwisu lub innemu podmiotowi działającemu w ekosystemie programmatic - wyświetlenie reklamy grupie odbiorców dopasowanej do jej treści (odpowiednio sprofilowanej), zazwyczaj nie przetwarza i nawet nie ma żadnego interesu w przetwarzaniu danych zidentyfikowanych lub możliwych do zidentyfikowania osób. Jego uwaga jest skupiona na grupie docelowej i na tej grupie (a nie na konkretnych osobach) kończy się jego biznesowy interes. Taki zlecający często nie wie, do których konkretnie Kowalskich i Nowaków komunikacja marketingowa zostanie wysłana, bo z jego punktu widzenia to są anonimowe dla niego osoby spełniające określone kryteria (np. kobieta, 30-35 lat, zamieszkała w mieście pow. 500k mieszkańców). Taki reklamodawca ma natomiast interes biznesowy w przeprowadzeniu całej operacji: dotarcie ze swoim komunikatem do określonej grupy docelowej. Definiując to od strony ekonomicznej: reklamodawca chce tylko zwiększyć sprzedaż i w tym celu korzysta z odpowiednich narzędzi marketingowych, np. typu programmatic, których wykorzystanie może się wiązać z przetwarzaniem danych przez inne podmioty, które mogą mieć status administratora (domy mediowe, hurtownie danych, podmioty DSP, SSP itd.). Reklamodawca nie bierze więc udziału w przetwarzaniu danych (jest stroną trzecią w rozumieniu RODO), ale ma interes biznesowy uzasadniający przetwarzanie danych przez administratora, któremu zlecił realizację usługi. Czyli to „biznesowy interes” reklamodawcy, a własny cel administratora, pozwala administratorowi powołać się na podstawę z art. 6 ust. 1 lit. f) RODO. Jeżeli przyjęlibyśmy, że uzasadniony interes stron trzech nie może w tym przypadku stanowić podstawy dla przetwarzania danych przez administratora, to trudno sobie wyobrazić inne przykłady, które będą pasowały bardziej.

W opisanej powyżej sytuacji istnieją rzecz jasna pewne ograniczenia dotyczące swobody korzystania z przesłanki uzasadnionego interesu przy realizacji marketingu osób trzecich. W tym zakresie kluczowy jest motyw 47 RODO: podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Niezbędne jest więc istnienie „łącznika”, który sprawia, że podmiot danych spodziewa się, że jego dane osobowe zostaną wykorzystane w określonym celu (np. w celu kierowania do niego marketingu dotyczącego towarów i usług podmiotów trzecich). I tu dochodzimy do sedna problemu z reklamą behawioralną w Internecie. W naszej ocenie wystarczającym łącznikiem tego typu może być zgoda na cookies tych podmiotów (zgoda z art. 173 pt na przechowywanie oraz uzyskiwanie dostępu do informacji zbieranych przez cookies), o ile tylko zgoda ta jest odpowiednio „poinformowana” (informed consent). Z chwilą wyrażenia takiej zgody podmiot danych może rozsądnie oczekiwać i zdawać sobie sprawę, że po jej wyrażeniu nastąpi wykorzystanie plików cookies do celów personalizacji komunikacji do niego kierowanej, a w konsekwencji zostaną mu wyświetlone reklamy nie tylko administratora, ale i podmiotów trzecich. 

PROFILOWANIE MARKETINGOWE

W kontekście podejścia WP.PL do stosowania przepisów RODO naszą uwagę zwróciło też pozyskiwanie zgody na profilowanie marketingowe. W naszej ocenie możliwość oparcia takich działań na uzasadnionym interesie wynika bezpośrednio (choć nie wprost) z przepisów RODO. Art. 21 ust. 2 RODO nie pozostawia wątpliwości: Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciwwobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Prawo do sprzeciwu przysługuje, kiedy podstawą przetwarzania danych osobowych jest uzasadniony interes, a nie zgoda podmiotu danych. W przypadku zgody możliwe jest jej wycofanie, a nie sprzeciw. 

Dlaczego więc konieczne miałoby być zbieranie zgody? Czy znaczenie ma tu kanał komunikacji, czyli wyświetlenie banera z reklamą w Internecie i przekonanie, że profilowanie w tym zakresie zbyt mocno ingeruje w prywatność użytkowników, żeby opierać się na interesie administratora? Trudno się zgodzić, że w tym przypadku rzeczywiście tak bardzo – bardziej niż przy wysyłce emailingu czy telemarketingu – cierpi prywatność podmiotu danych. We wszystkich tych przypadkach potrzebna jest zgoda na kanał komunikacji (z UŚUDE, z art. 172 PT lub art. 173 PT), więc to argumentem być nie powinno. Szczególnie, że przy mailingu i telemarketingu administrator zazwyczaj zna naszą tożsamość lub może ją łatwo ustalić, a przy reklamie behawioralnej w Internecie zwykle zna tylko przypisany nam (albo naszemu urządzeniu) identyfikator (niekoniecznie identyfikując konkretnego Kowalskiego z imienia i nazwiska). I w efekcie wyświetla nam się tylko reklamowy baner (nikt nie zaśmieca nam skrzynki mailowej, nikt nie dzwoni na nasz telefon). W naszej ocenie uszczerbek dla prywatności w takim przypadku nie jest większy, niż przy mailingu czy telemarketingu, wręcz przeciwnie.

ZGODA NA COOKIES

Nie ulega natomiast wątpliwości, że wyświetlanie reklamy behawioralnej (przykład profilowania) wymaga korzystania z technologii śledzącej (tzw. trackerów), czyli głównie plików cookies. Na korzystanie z takiej technologii potrzebna jest zgoda przewidziana w Prawie Telekomunikacyjnym. Tyle, że przepisy PT nie wskazują, kto ma tę zgodę zebrać. W naszej ocenie wydawca może więc bez przeszkód zebrać zgodę zarówno samodzielnie na własne cookies, jak i w imieniu innych podmiotów na tzw. 3rd party cookies. Takie podejście było dotychczas akceptowane, a dopóki nie nastąpi zmiana legislacyjna (np. w ramach rozporządzenia e-Privacy), w naszej ocenie nie należy zmieniać praktyki stosowania tych przepisów. Co innego zgody na przetwarzanie danych osobowych. Jak wskazaliśmy w poprzednim tekście, sam fakt „łączenia” różnych zgód (zbieranych jednocześnie dla różnych administratorów, i dla różnych celów przetwarzania) jest potencjalnie krytycznym problemem. Dotychczasowe podejście GIODO było bardzo zachowawcze i nic nie wskazuje na to, że zmieni się ono po 25 maja 2018 r. 

BRZYTWA OCKHAMA

Próbując podsumować: skoro można zrobić mniej dla uzasadnienia legalności działania (zebrać tylko jedną zgodę na cookies, a w pozostałym zakresie oprzeć się na uzasadnionym interesie każdego z administratorów - tj. wydawcy serwisu oraz innych podmiotów zapisujących trackery, żeby sprofilować i dostarczyć odpowiednią treść reklamową, w tym dostarczoną przez reklamodawców) to nie należy zbierać dwóch odrębnych zgód w jednej klauzuli (na marginesie w naszej opinii wp nie zbiera w omawianym przypadku zgody na cookie). Oczywiście, żeby to zrobić, zgoda na cookies musi być „poinformowana”: konieczne jest wskazanie użytkownikom w miarę możliwości, czyje cookies są zapisywane na ich urządzeniach końcowych (narzędzia umożliwiające takie działanie powstają). To pozwoli nam uzyskać „łącznik” i zapewnić, że użytkownik będzie się spodziewał się, że inne podmioty wykorzystają jego dane osobowe w celach marketingowych. Zapewni także balans między interesem użytkownika i administratora. Co więcej, użytkownik będzie mógł się sprzeciwić takiemu działaniu (art. 21 ust. 2 RODO), o czym należałoby go poinformować. Takie rozwiązanie będzie dużo bardziej czytelne dla użytkownika (jedna zgoda i wyczerpująca informacja dostępna np. w polityce prywatności) i jednocześnie prostsze i bezpieczniejsze dla wydawców oraz innych podmiotów uczestniczących w łańcuchu reklamy behawioralnej (brak zbierania wielu zgód lub łączenia zgód na różne cele i dla różnych podmiotów w jednej klauzuli).