Jedną z istotnych zalet prowadzenia działań marketingowych w internecie jest możliwość precyzyjnego dotarcia z przekazem reklamowym do grupy docelowej. Pozwala to optymalnie wykorzystywać budżet reklamowy i ograniczyć sytuacje, w których przekaz jest adresowany do osób przypadkowych czy wręcz niezainteresowanych określonymi produktem lub usługą. Jedną z popularnych form takiego działania jest remarketing.

Remarketing polega na wyświetlaniu użytkownikom, którzy odwiedzili już naszą stronę internetową, komunikatu reklamowego w trakcie ich wizyt na innych stronach internetowych. W ten sposób „podążamy” za użytkownikiem z przekazem marketingowym. Przy czym, w ramach tego typu działań możemy określać jeszcze dodatkowe kryteria wyświetlania reklamy, jak przykładowo odpowiedni profil użytkownika, zainteresowania lub określony poziom aktywności na naszej stronie www.

Takie działania opierają się w dużej mierze na stosowaniu plików cookies oraz zbieraniu określonych informacji o internautach. Trzeba się w konsekwencji zastanowić, czy konieczne będzie zastosowanie przepisów o ochronie danych osobowych, czyli przede wszystkim RODO*. Jeśli tak, to na co zwrócić szczególną uwagę?

Dane osobowe a pliki cookies

RODO jest stosowane do przetwarzania, czyli wykonywania jakiejkolwiek operacji na danych osobowych. Dlatego w pierwszej kolejności trzeba przenalizować, czy informacje zbierane na potrzeby remarketingu i z wykorzystaniem plików cookies muszą być traktowane jako dane osobowe.

Należy sprawdzić, czy informacje zbierane na potrzeby remarketingu i z wykorzystaniem plików cookies muszą być traktowane jako dane osobowe.

Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Przy czym, osobą możliwą do zidentyfikowania jest taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Istotne jest, że zgodnie z powyższą definicją identyfikacja konkretnej osoby może nastąpić niekoniecznie poprzez określenie jej imienia i nazwiska lub przykładowo numeru PESEL. Taki sam skutek wywoła identyfikacja poprzez identyfikator internetowy. Ważne jest również, że identyfikacja ta nie musi następować. Wystarczy, że jest ona choćby pośrednio możliwa. Wyjaśnił to Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 19.10.2016 r. w sprawie C-582/14**.

Przenosząc przytoczoną definicję na grunt marketingu internetowego, trzeba zwrócić uwagę, że opiera się on w dużej mierze na plikach cookies i ich identyfikatorach (tzw. cookies-ID). Identyfikatory te są unikalne dla poszczególnych użytkowników, a ściśle dla urządzeń, z których oni korzystają. Do takiego identyfikatora przypisywane są następnie informacje dotyczące określonych działań, np. wejścia na stronę internetową o określonej treści. To z kolei pozwala na wyciąganie wniosków o zainteresowaniach danego użytkownika. Identyfikatory plików cookies są następnie przekazywane na tzw. listy remarketingowe i w oparciu o nie danemu użytkownikowi wyświetlana jest określona reklama. W ten sposób dochodzi do identyfikacji poszczególnych użytkowników, a identyfikatorem tym jest cookie-ID. Informacje zbierane poprzez pliki cookies i przypisywane do tego identyfikatora będą zatem informacjami o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, czyli użytkowniku internetu. To sprawia, że trzeba je kwalifikować jako dane osobowe.

Podstawa prawna dla przetwarzania danych osobowych

W konsekwencji uznania informacji zbieranych z wykorzystaniem plików cookies i cookie-ID za dane osobowe, trzeba odpowiedzieć na pytanie, na jakiej podstawie prawnej można je przetwarzać. Potencjalnie w grę wchodzi zgoda podmiotu danych (art. 6 ust. 1 lit. a RODO) oraz prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Problem, który pojawia się przy zgodzie, to konieczność jej dobrowolnego uzyskania. Może być to trudne, jeżeli administrator chce móc prowadzić swoje działania do wszystkich użytkowników, którzy są dla niego wartościowi. Działania polegające przykładowo na uzależnieniu wejścia na stronę od wyrażenia zgody na działania marketingowe będą naruszały dobrowolny charakter zgody, co wynika z art. 7 ust. 4 RODO. Z tego względu przy opieraniu się na zgodzie jako podstawie przetwarzania danych, administrator nie będzie mógł prowadzić swoich działań do wszystkich osób, na których mu zależy.

Alternatywą jest przesłanka prawnie uzasadnionego interesu administratora. Jej zastosowanie jest bardziej złożone i zawsze wymagać będzie oceny w konkretnej sytuacji. Jednak może być, w przypadku pozytywnego wyniku testu równowagi, podstawą dla przetwarzania danych osobowych całej grupy osób, na których zależy administratorowi.

Przesłankę prawnie uzasadnionego interesu stosuje się w czterech krokach:

1. W pierwszym analizuje się, czy planowane przez administratora przetwarzanie będzie następowało w celu, który wynika z prawnie uzasadnionego interesu administratora. Chodzi tu o interes, który jest zgodny z prawem. Jak wynika z RODO przykładem celu, który wynika z takiego właśnie interesu są działania marketingowe.
2. W drugim kroku trzeba odpowiedzieć na pytanie, czy przetwarzanie danych osobowych jest niezbędne dla realizacji założonego przez administratora celu.
3. Następnie trzeba zweryfikować, czy proces przetwarzania może naruszyć interesy, podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych. Przykładami takich praw podstawowych będą prawo do prywatności oraz prawo do autonomii informacyjnej. Na ich podstawie podmiot danych musi mieć kontrolę nad tym, kto i jakie informacje na jego temat wykorzystuje. Jeżeli w konkretnej sytuacji dochodzić będzie do takiej ingerencji w prawa i wolności, to koniczne jest przejście do kroku czwartego.
4. Krok czwarty to przeprowadzenie testu równowagi. Bada się w nim, co jest nadrzędne w danej sytuacji: prawnie uzasadniony interes administratora czy też interesy, podstawowe prawa i wolności podmiotu danych. Test ten prowadzi się w oparciu m.in. o następujące kryteria: charakter prawnie uzasadnionego interesu administratora, kategorie przetwarzanych danych osobowych, ryzyko związane z ich wykorzystaniem, łatwość zatrzymania procesu przetwarzania danych osobowych przez podmiot danych i najważniejsze kryterium, czyli to, czy podmiot danych ma podstawy, by przewidywać, że jego dane osobowe są przetwarzane w założony przez administratora sposób. Jeżeli test równowagi wykaże, że prawnie uzasadniony interes jest nadrzędny lub równorzędny względem podstawowych praw i wolności podmiotów danych, wówczas dane osobowe mogą być przetwarzane.

W przypadku remarketingu będzie on celem wynikającym z prawnie uzasadnionego interesu administratora. Konieczne będzie przetwarzanie danych osobowych użytkowników internetu, by działanie to zrealizować. Remarketing będzie jednak ingerował w podstawowe prawa i wolności podmiotów danych w postaci prawa do prywatności oraz autonomii informacyjnej. W pewnym bowiem stopniu działania remarketingowe będą oparte o obserwację zachowań użytkowników w internecie i wyciąganie z nich wniosków. W ramach testu równowagi kluczowe stanie się to, czy podmiot danych będzie wiedział o tym procesie przetwarzania jego danych osobowych oraz czy administrator będzie umożliwiał wyrażenie sprzeciwu, który wynika z art. 21 ust. 2 RODO. Dlatego tak ważne będzie przejrzyste zrealizowanie wymaganych przez RODO obowiązków informacyjnych wobec użytkowników. Jeżeli bowiem uzyskają oni jasne informacje o stosowaniu remarketingu, jeszcze zanim będzie on wobec nich wykorzystany, to w ten sposób zbudowana będzie świadomość takiej możliwości. W teście równowagi jest to najważniejsze kryterium. Informacje na ten temat można zamieścić w polityce prywatności dostępnej na stronie internetowej oraz link do niej zamieścić w komunikacie o wykorzystywaniu plików cookies. Uzupełnieniem musi być danie realnej możliwości wyrażenia sprzeciwu co do stosowania remarketingu. W takich przypadkach realne jest pozytywne przejście testu równowagi.

Prowadzenie działań remarketingowych z wykorzystaniem plików cookies wymaga analizy przez pryzmat RODO.

Trzeba jednak zwrócić uwagę, że w tych działaniach marketingowych, które będą wykorzystywały profilowanie lub podejmowanie zautomatyzowanych decyzji istotnie wpływających na podmiot danych w sposób podobny do skutków prawnych (np. wykorzystanie wiedzy o podatności danej osoby w postaci trudnej sytuacji finansowej dla wyświetlenia jej reklamy wysokooprocentowanej pożyczki), oparcie się na art. 6 ust. 1 lit. f RODO nie będzie możliwe. Wówczas konieczne stanie się przeanalizowanie innych przepisów RODO – art. 22. Jest to temat na odrębny artykuł.

Podsumowanie

Prowadzenie działań remarketingowych z wykorzystaniem plików cookies wymaga analizy przez pryzmat RODO. Możliwe jest oparcie prostych form remarketingu na prawnie uzasadnionym interesie administratora. Konieczne jest jednak wykonanie testu równowagi. Trzeba także pamiętać, że z przetwarzaniem danych osobowych związane są również dodatkowe obowiązki odnoszące się do zapewnienia bezpieczeństwa danych osobowych, czy przeprowadzenia tzw. analizy ryzyka.

Przypisy:

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO”.

** Choć wyrok był wydany jeszcze przed rozpoczęciem stosowania RODO, to nadal zachowuje on swoją aktualność.

Witold Chomiczewski - Radca prawny i wspólnik w Lubasz i Wspólnicy – Kancelarii Radców Prawnych sp.k. Lider specjalizacji e-Commerce. Pełnomocnik Izby Gospodarki Elektronicznej ds. legislacji. Specjalizuje się w prawie IT, danych osobowych i nowych technologii. Współautor komentarzy do: ustawy o świadczeniu usług drogą elektroniczną, ustawy o ochronie baz danych, ustawy o prawach konsumenta, rozporządzenia Parlamentu Europejskiego i Rady 2016/679 (RODO) oraz ustawy o ochronie danych osobowych.