Social media

Custom Audience – czy przekazywanie Facebookowi danych osobowych jest w każdym przypadku legalne?

Custom Audience jako jedna z możliwości poszerzenia kanałów dotarcia do klienta.

Nie od dziś wiadomo, że świat marketingu – w tym e-marketingu – za główny cel stawia sobie pozyskiwanie jak największej liczby potencjalnych klientów, starając się do nich dotrzeć wszystkimi możliwymi kanałami. Jedną z takich ścieżek jest funkcjonalność portalu społecznościowego Facebook (dalej, także „FB”), nazywana „Custom Audience” („CA”). Pozwala ona stworzyć grupę niestandardowych odbiorców reklam z wykorzystaniem takich danych, jak adresy e-mail oraz numery telefonów.

Podczas korzystania z funkcji CA, jak podaje w ogólnych warunkach FB, „dane są szyfrowane w systemie użytkownika przed przesłaniem ich do serwisu Facebook w celu utworzenia grupy niestandardowych odbiorców “zaszyfrowane dane”. W praktyce sprowadza się to do możliwości załadowania bazy danych zawierającej adresy e-mail oraz numery telefonów w serwisie FB i adresowania do tak utworzonej grupy wybranych reklam. Taki system działania rodzi przede wszystkim pytanie, w jakie zgody na przetwarzanie danych osobowych musi wyposażyć się podmiot dokonujący uploadowania bazy danych.

Ponadto, najpewniej, specjaliści od marketingu zastanawiają się:
– czy istnieją wyjątki od konieczności zbierania zgód;
– czy obowiązujące w Polsce prawo pozwala im na skorzystanie z Custom Audience oraz
– jak regulacja RODO wpływa na warunki ustalone przez FB w zakresie CA.

Co na to FB, czyli jakie oświadczenia musimy złożyć, aby móc korzystać z Custom Audience?

Z warunków dotyczących CA wynika, że każdy podmiot korzystający z tej funkcjonalności, musi zapewnić, iż poinformował (bezpośrednio lub przez podmiot dostarczający dane) podmioty, których dane posiada w bazie („Leady”), o takim sposobie ich wykorzystywania. Co więcej, jeśli ktokolwiek chce korzystać z Custom Audience, musi oświadczyć, że uzyskał odpowiednią zgodę na tego rodzaju działanie. Przez „odpowiednią zgodę” FB rozumie zgodę uzyskaną „zgodnie ze wszystkimi obowiązującymi przepisami prawa, regulacjami i wytycznymi branżowymi”. Jeśli dane pojedynczego Leadu nie zostały zebrane bezpośrednio przez podmiot, który korzysta z CA, musi on potwierdzić, że posiada wszystkie prawa i zezwolenia wymagane do korzystania z tych danych.

Dodatkowo, należy złożyć inne oświadczenia – np. potwierdzić, że zaszyfrowane dane nie dotyczą żadnego podmiotu, który skorzystał z opcji braku zgody na wykorzystywanie tych danych do kierowania reklam, a także zobowiązać się do usuwania z utworzonej grupy niestandardowych odbiorców dane podmiotów, które wycofają zgodę w późniejszym terminie.

Czy fakt, że FB szyfruje uploadowane dane ma jakiekolwiek znaczenie?

W związku z tym, że FB jasno stwierdza, że przekazywane mu informacje są szyfrowane, świat marketingu może zastanawiać się, czy takie twierdzenie sprawia, że informacje te tracą przymiot danych osobowych i przestają podlegać pod RODO (anonimizacja). Odpowiadając na tak postawione pytanie, należy zacząć od tego, że definicja danych osobowych jest niezwykle szeroka. Mianem danych osobowych określa się także informacje umożliwiające identyfikację określonej osoby w sposób pośredni. W przypadku Custom Audience sekwencja zdarzeń jest następująca: (i) FB otrzymuje bazę danych od podmiotu uploadującego; (ii) w dalszej kolejności FB przekształca bazę w ciąg znaków (szyfr); (iii) wreszcie- szyfr jest dopasowywany do konkretnego użytkownika. Tym samym, moim zdaniem, pomimo, że FB maskuje dane (pseudonimizacja), to i tak posiada możliwość (z której korzysta) dopasowania tych danych do konkretnego użytkownika w ramach swego portalu. W efekcie twierdzenie, że „przekazane informacje są szyfrowane” nie ma żadnego znaczenia dla ich klasyfikacji jako dane osobowe i konieczności stosowania właściwych przepisów o ochronie danych osobowych.

Prawne konsekwencje uploadowania danych w ramach funkcjonalności Custom Audience.

Jeśli mamy do czynienia z danymi osobowymi, operacja uploadowania danych do narzędzia CA stanowi przetwarzanie danych osobowych. FB nie decyduje o sposobie wykorzystywania takich danych, zatem nie stanie się administratorem, danych, a jedynie będzie klasyfikowany jako podmiot, któremu powierzono ich przetwarzanie (procesor). Taka klasyfikacja wynika z też warunków umownych udostępnianych przez FB: „zaszyfrowane dane dostarczane nam przez użytkownika będą używane wyłącznie w celu dopasowania danych, nie zostaną udostępnione stronom trzecim ani innym reklamodawcom i zostaną usunięte niezwłocznie po zakończeniu dopasowywania danych. (…) Facebook zobowiązuje się nie umożliwiać stronom trzecim ani innym reklamodawcom dostępu do grupy niestandardowych odbiorców użytkownika, nie ujawniać im żadnych informacji na jej temat, a także nie wykorzystywać tej grupy niestandardowych odbiorców do powiązania ich z posiadanymi informacjami na temat użytkowników, tworzenia profili opartych na zainteresowaniach (…)”. Słowem, FB przetwarza dane osobowe w imieniu reklamodawcy.

Rozstrzygając o legalności przetwarzania danych przez reklamodawcę, należy skoncentrować się na tym, czy reklamodawca pozyskał wcześniej zgodę na to, aby przetwarzać dane osobowe z pojedynczych Leadów w celu polegającym na wyświetlaniu reklam w ramach portalu FB. Przeważająca w tym zakresie będzie treść zgód, którymi dysponuje reklamodawca. W bazie powinny znaleźć się Leady podmiotów, które wyraziły zgodę na przetwarzanie, w tym udostępnienie, ich adresów e-mail oraz numerów telefonu w celu zbieżnym z funkcjonalnościami CA. Nie można przy tym zapomnieć o zgodach na marketing bezpośredni lub przesyłanie informacji handlowej, wymaganych na podstawie ustawy – Prawo telekomunikacyjne i ustawy o świadczeniu usług drogą elektroniczną. Treść tych zgód powinna być zatem tak sformułowana, aby wynikało z niej, że określony użytkownik życzy sobie, aby w oparciu o udostępniony przez niego adres e-mail lub numer telefonu dostarczać mu informacje handlowe, realizując cel marketingowy.

Istotne jest również, czy baza Leadów została stworzona przez reklamodawcę, czy – raczej – nabyta od osoby trzeciej. Wpływa to nie tylko na kwestię weryfikacji lub uzyskania zgody, ale też na realizację obowiązku informacyjnego. Co więcej, sama transakcja nabycia bazy Leadów może podlegać nie tylko pod RODO, ale także pod regulacje o ochronie baz danych (sui generis prawa własności intelektualnej). Co do zasady będzie tak wówczas, gdy sprzedawca może aspirować do statusu producenta, np. ze względu na nakład inwestycyjny poczyniony na stworzenie danej bazy.

Podsumowanie

Aktywowanie działań marketingowych za pośrednictwem funkcji Facebook Custom Audience jest zasadniczo dozwolone, pod warunkiem spełnienia wymienionych wcześniej wymogów. Przede wszystkim, podmioty wykorzystujące CA powinny dokonywać audytów zgód przypisanych do poszczególnych Leadów w bazie danych. Jeśli baza jest przedmiotem nabycia od podmiotów trzecich, należy pamiętać o konieczności spełnienia obowiązku informacyjnego oraz zawarciu odpowiedniej umowy. Zagadnienie jest obszerne, zaś analiza prawna powinna być dopasowana do pojedynczych przypadków.

Tekst powstał we współpracy z Kancelarią Radców Prawnych Brief&Case

Menu