Korzystanie z Facebook Custom Audience i Google Customer Match zgodnie z RODO

Korzystanie z Facebook Custom Audience i Google Customer Match zgodnie z RODO
USŁUGA FACEBOOK CUSTOM AUDIENCE (ODBIORCY NIESTANDARDOWI) - WYROK SĄDU

Sprawa sądowa nie jest świeża, jednak ze względu na brak opisanego podejścia na polskich stronach, na moment pisania tego posta, postanowiłem podać pewne wskazówki przy stosowaniu rozwiązania Facebook czy Google bazując na wyroku sądu i stanowiska holenderskiego organu ds. ochrony danych.

W przypadku reklamy za pośrednictwem Facebooka, Facebook działa zarówno jako podmiot przetwarzający dane, jak i kontroler danych. Facebook stwierdza, że jednym ze sposobów działania jako Podmiot Przetwarzający dane dla reklamodawców jest sytuacja, gdy „Facebook przetwarza dane w imieniu reklamodawcy w celu zmierzenia wydajności i zasięgu kampanii reklamowych i przekazuje informacje o ludziach, którzy widzieli i współdziałali z reklamami”. Zwróć uwagę, jak wąska jest ta definicja działalności – w szczególności zapewnienie analityki z powrotem do reklamodawcy, gdy prowadzą kampanię reklamową. Facebook stwierdza, że w większości scenariuszy jest Administratorem i wydaje się to logiczne. Facebook przy użyciu własnych decyzji o tym, kiedy i jak reklamuje do użytkowników, i jak będzie wykorzystywać wszystkie metadane wokół kampanii reklamowej w celu wzbogacenia własnego zbioru danych i decyzji z tym związanych. Jednakże, są usługi, w których Facebook jeszcze do niedawna stawiał się w tej roli, a jednak pod wpływem analiz organów postawił się w roli podmiotu przetwarzającego dla usługi Custom Audience. To dobrze.

PODSTAWA PRAWNA

Trzeba rozważyć legalną podstawę pozwalającą Facebookowi reklamować się z naszymi danymi, działając jako kontroler danych. Jak tylko używasz Facebooka, aby reklamować się przed audytorium niestandardowym, upoważniasz Facebook do wykorzystania Twoich danych do własnych celów i „uczenia się” na podstawie Twoich danych. Ponieważ jest mało prawdopodobne, aby był to cel, o którym mówisz użytkownikom, lub taki, którego by się spodziewali, prawdopodobnie nie zaliczysz testów przejrzystości czy testu równowagi. Owszem Facebook wskazuje, iż: „Facebook zobowiązuje się nie umożliwiać osobom trzecim ani innym reklamodawcom dostępu do grup niestandardowych odbiorców użytkownika, nie ujawniać im żadnych informacji na temat tych grup, a także nie wykorzystywać tych grup niestandardowych odbiorców do powiązania z posiadanymi informacjami na temat użytkowników, tworzenia profili opartych na zainteresowaniach (z wyjątkiem wykorzystywania ich do świadczenia usług na rzecz użytkownika), chyba że użytkownik udzieli nam na to zezwolenia lub będzie to wymagane przepisami prawa.” Jak donosi Business Insider z wewnętrznej komunikacji Facebooka wynika, iż nie wykorzystują oni tych danych do polepszania profili i sobie nie zostawiają tych informacji. Czy tak jest trzeba rozważyć poprzez zaufanie do Facebook’a analizując test równowagi.

Istnieje pogląd, że posiadając konto na Facebooku wraz z konfigurowalnymi ustawieniami reklamowymi, użytkownik wyraża zgodę na otrzymywanie retargetingu od Facebooka i wszystkich jego reklamodawców. Jest to tylko połowa prawdy, przy czym użytkownik zgadza się na otrzymanie retargetingu, ale nie zezwala po prostu każdemu reklamodawcy na dzielenie się tymi danymi z Facebookiem w pierwszej kolejności.

PROBLEMATYCZNY SCENARIUSZ

Nastolatka zakupiła produkt do testowania ciąży z firmy X. Być może zablokowała plik cookie Facebook Pixel na stronie internetowej tej firmy, ponieważ nie chciała, aby jej zakup na stronie internetowej był śledzony przez Facebook, mimo że jest dużą fanką Facebooka. Firma X używa jej emaila do stworzenia niestandardowej audiencji na Facebooku na podstawie prawnie uzasadnionego interesu. Następnie ta nastolatka otrzymuje reklamy na Facebooku dla większej ilości zestawów testujących ciążę. Wątpliwe by ta dziewczyna chciała, aby jej profil na Facebooku zawierał coś wrażliwego, takiego jak test ciążowy i na pewno nie chciała widzieć reklam na ten temat. Tyle, że Facebook poznał te wrażliwe informacje o niej, bo firma X tym się zajmuje i załadowała adres email do Custom Audience. Trudno tu winić Facebooka, ale dziewczyna jest nieszczęśliwa.

ZASTOSOWANIE UZASADNIONEGO INTERESU ADMINISTRATORA

Ponieważ uzasadniony interes może być trudny do wykazania tutaj, zgoda byłaby odpowiedzią na to, aby zapewnić użytkownikowi zadowolenie z reklam na Facebooku. No i tu trzeba by się zastanowić. Wiele udostępnia emaile swoich klientów bez zgody na prawnie uzasadnionym interesie. Jak wynika ze sprawy w Holandii (Holenderskie Stowarzyszenie Konsumentów), a co później potwierdził holenderski organ nadzorczy ds. ochrony danych osobowych (de Autoriteit Persoonsgegevens) takiej zgody nie było.

Podobnie w sprawie niemieckiej (organ z Bawarii) stwierdził podobnie, że sama podstawa z art 6.1.f RODO nie wystarczy. No i teraz dochodzimy do kwestii zgody na marketing oraz na kanał komunikacji. Ja mam podejście takie, że jednorazowi klienci (bez zakupu przez konto) są traktowani jako tacy, którzy muszą udzielić mi zgody na przetwarzanie na marketing oraz kanał komunikacji. Te osoby, które są już naszymi klientami, np. mają już konto w sklepie, da się zaliczyć do grona tych, do których marketing bezpośredni można kierować na podstawie art 6.1.f RODO. Ale nie możemy jeszcze zapominać o zgodzie na informację handlową. W przeciwnym wypadku powinniśmy zadbać o dodatkowe zgody. Ponadto Polityka prywatności powinna jasno precyzować, jakie technologie internetowe firma wykorzystuje. Do tego dochodzi jeszcze ePrivacy i cookiesy Pixelowe, gdyż to jest też ze sobą powiązane. Czyli znowu przepisy dotyczące komunikacji elektronicznej, takie jak przepisy dotyczące plików cookie i marketingu bezpośredniego.

CZY CUSTOM AUDIENCE LUB CUSTOMER MATCH TO JUŻ MARKETING BEZPOŚREDNI?

Zakładając, że mamy już zgodę na jakiekolwiek śledzenie plików cookie (np. przy użyciu piksela na Facebooku), powstaje pytanie, czy reklama na Facebooku jest formą marketingu bezpośredniego.
Tradycyjne retargetowanie, w którym reklama jest wyświetlana na urządzeniu śledzącym pliki cookie, praktycznie bez zrozumienia tożsamości użytkownika, nie jest generalnie postrzegane jako marketing bezpośredni. Ale Facebook jest zasadniczo inny. Dla odbiorców niestandardowych (czyli właśnie Custom Audience) tworzona jest lista znanych ludzi, których dane już posiadasz jako firma. Reklama do odbiorców niestandardowych jest praktycznie identyczna z marketingiem e-mailowym, gdzie wiadomość promocyjna jest wysyłana do znanych osób, z którymi masz relacje. Zatem zasady marketingu bezpośredniego mają zastosowanie do reklamy na Facebooku skierowanej do odbiorców niestandardowych.

FACEBOOK CUSTOM AUDIENCE KONTRA GOOGLE CUSTOMER MATCH

Podobną usługą do Facebook Custom Audience jest usługa Google Customer Match czyli za tłumaczeniem Google: Kierowanie reklam na listę klientów w kanałach takich jak wyszukiwarka, Gmail czy YouTube. Mechanika działania polega w zasadzie na tym samym tj. podaniu listy swoich klientów wraz z emailami do Google. Warto zatem omawiany tutaj wyrok i wytyczne zastosować również w przypadku korzystania z tej konkurencyjnej usługi i zadbać o zgodność w tym zakresie.

CZY KORZYSTANIE ZATEM Z CUSTOM AUDIENCE CZY CUSTOMER MATCH JEST LEGALNE?

Punkt widzenia niemieckiego sądu w Bawarii, jak i stanowisko holenderskiego organu ds. ochrony danych osobowych nie pozostawiają wątpliwości. Jako jedyny prawdziwy sposób na to, aby reklama na Facebooku była zgodna z oczekiwaniami klientów indywidualnych, jest potwierdzenie, świadome wyrażenie zgody na reklamę (wraz ze szczegółowymi informacjami na temat tego, co to oznacza dla dalszego przetwarzania przez Facebooka w polityce prywatności). Jeśli firma do tej pory realizowała tego typu kampanie wyłącznie na prawnie uzasadnionym interesie i nie posiada zgody użytkownika, takie działanie rodzi naruszenie i jest niebezpieczne dla administratorów danych z punktu widzenia odpowiedzialności.

 

Zródło:
1) Holenderskie Stowarzyszenie Konsumentów: https://www.consumentenbond.nl/online-kopen/data-delen-met-facebook
2) Korzystanie z serwisu Facebook Custom Audiences jest sprzeczne z ochroną prywatności danych. Sąd Administracyjny Bayreuth. Decyzja z dnia 08.05.2018 r. – Nr ref.: B 1 S 18.105 za sprawą organu BayLDA – Das Bayerische Landesamt für Datenschutzaufsicht

3) https://businessinsider.com.pl/firmy/facebook-wprowadza-narzedzie-custom-audience-do-kontroli-reklam/tnztg35?fbclid=IwAR2ryi17toSTh3EmvaZLXVJMMbVlvNgwHmFg8Ota0nZuFxsLqQ0S_9GOkvA

4) Zdjęcia neepix.com: ron2438, geralt.

Leave A Comment

Twój adres e-mail nie zostanie opublikowany.