Używasz różnych narzędzi do marketingu on-line, ale nie do końca wiesz, jakie przepisy prawne dotyczą Twojej działalności? Chcesz wiedzieć, jak zbierać leady zgodnie z prawem, bez żadnych checkboxów i skomplikowanych prawnych formułek? Czy musisz bać się słowa „profilowanie”, gdy personalizujesz treść maili? Dlaczego używanie web push jest RODO-friendly? Ty pytasz, prawnik odpowiada. Sama praktyka - konkretne wskazówki na przykładach i antyprzykładach z życia wziętych.
6. Dane osobowe
• Imię, nazwisko
• Adres e-mail – najłatwiej przyjąć, że e-mail zawsze jest daną
osobową (choć prawnicy mogą toczyć na ten temat spory)
• Numer telefonu
• PESEL
• Wizerunek
6
7. Dane osobowe
• Adres IP (niestety )
• numer ID smaprtphne’a, urządzenia
• Cookies – gdy możesz „wyłowić z tłumu” lub zestawić z innym
identyfikatorem
(np. zbieram dane anonimowo -> tworzę „historię tego cookies’a
-> gdy on zarejestruje się w mojej usłudze, mogę przypisać historię do użytkownika)
* Wyrok TSUE z 5.6.2018 – chociaż właściciel fanpage’a nie ma dostępu do danych
zbieranych przez pliki cookies Facebooka, to w celu ochrony prywatności należy
szeroko interpretować pojęcie przetwarzania danych
• Historia zakupów – dotycząca danej osoby
• Historia korespondencji, aktywności w social media – dotycząca danej osoby
7
8. Dane osobowe
• adres e-mail
• adres IP (niestety )
• numer ID smaprtphne’a, urządzenia
• cookies, jeśli w połączeniu z innymi danymi, możesz
zindywidualizować człowieka
(np. zbieram dane anonimowo -> tworzę „historię tego cookies’a
-> gdy on zarejestruje się w mojej usłudze, mogę przypisać historię
do użytkownika)
• historia otwieralności maili
• historia zakupów
9. Dane osobowe
• Szyfrowanie, hashowanie = pseudonimizacja
• Anonimizacja
Jan Kowalski 1.06.2018 „Ogniem i mieczem" 67 zł doręcz. 10.06.2018
Tomasz Złoty 5.06.2018 „Quo vadis" 55 zł doręcz. 14.06.2018
345789 1.06.2018 „Ogniem i mieczem" 67 zł doręcz. 10.06.2018
345790 5.06.2018 „Quo vadis" 55 zł doręcz. 14.06.2018
…. 1.06.2018 „Ogniem i mieczem" 67 zł doręcz. 10.06.2018
…. 5.06.2018 „Quo vadis" 55 zł doręcz. 14.06.2018
art. 4 pkt. 5 RODO
TO NADAL SĄ
DANE OSOBOWE
11. Odbierasz świadomą, dobrowolną
zgodę na powiadomienia
Web push zapewnia rozliczalność,
tzn. dowód pozyskania zgody
Jeśli uważasz adres IP za daną
osobową – możesz podpisać umowę
powierzenia
12. Doradzam:
Pytaj o zgodę na
powiadomienia w przeglądarce,
a nie tylko „powiadomienia”
Wspomnij o możliwości
rezygnacji z powiadomień
w każdej chwili
Wspomnij o web push w polityce prywatności
(tak jak o plikach cookies)
13. Zaawansowana wersja web push:
• Powiązanie subskrybenta z adresem e-mail
• Przetwarzanie danych osobowych
• Zadbaj o obowiązek informacyjny!
28. Jak spełnić?
28
• PRZY zbieraniu danych
Możliwe formy:
• tekst na landing page’u
Nie może być ukryty, np. w regulaminie,
ale może być rozwijalny (jedna linijka + link)
• w e-mailu potwierdzającym
• w stopce maila
• filmik
• polityka prywatności (ale nie przeładujmy jej)
32. Nie jest przetwarzaniem danych osobowych
• Maskowanie adresu IP
• Remarketing do grupy docelowej (a nie indywidualnego
odbiorcy)
• Może być domyślnie włączony
Ale..
• poinformujmy w polityce prywatności i dajmy wybór
45. Targetowanie reklam
Facebook / Google jest administratorem
– możesz korzystać bez obaw
– ustaw odpowiednio komunikat o cookies + napisz o
remarketingu w polityce prywatności
ale…
Wyrok Trybunału Sprawiedliwości UE z 5 czerwca 2018 roku!
Właściciel fanpage’a bierze udział w przetwarzaniu danych
osobowych trzeba poinformować o tym na swoim fanpage
46.
47. Wyrok Trybunału Sprawiedliwości UE z 5 czerwca 2018 roku
• Chodziło o to, że poprzez fanpage firmy XY Facebook zbiera dane z cookiesów
osób odwiedzających ten fanpage, nawet jeśli te osoby nie mają konta na FB
(patrz 2 slajdy dalej);
• Fanpage założony przez firmę XY jest „bramką” wpływu danych do FB;
• Firma XY korzysta w pewnym zakresie z tych danych – ponieważ Facebook
udostępnia jej je w ramach „Facebook Insights” w formie anonimowej;
• Niemiecki GIODO nakazał firmie XY likwidację fanpage’a, ponieważ do własnych
celów marketingowych korzysta z usług partnera „niegodnego”, nie spełniającego
wszystkich wymogów prawa niemieckiego, w tym nie informującego w
odpowiedni sposób o plikach cookies;
• Firma XY się odwołała, argumentując, że ona nie przetwarza danych (nie jest
administratorem), ponieważ dostaje tylko dane statystyczne;
• Sądy dwóch instancji przyznały firmie XY rację! Powiedziały, że nie przetwarza
ona danych osobowych w tym przypadku. Ale naczelny sąd powziął wątpliwość –
czy mimo że XY nie jest administratorem, to nie można zastosować przepisów
rozszerzająco w imię ochrony prywatności zadał pytanie do TSUE
48. Wyrok Trybunału Sprawiedliwości UE z 5 czerwca 2018 roku
• TSUE wyszedł dosyć poza pytanie i stwierdził, że właściciel fanpage’a bierze
udział w przetwarzaniu danych (fanpage jest „bramką”), a zatem można uznać go
za administratora.
• Jakie z tego konsekwencje?
powinna pojawić się polityka prywatności na fanpage’u
raczej nic szczególnego więcej, ale widać tendencję do ochrony
prywatności nawet jeśli nie jest to przetwarzanie danych osobowych
Polityka prywatności na naszej www musi obejmować piksel FB, Google
Analytics, Google Adwords, hotjar itp.
• Facebook od tego czasu zmienił nieco sposób informowania użytkowników, więc
może według stanu faktycznego z 2018 roku ten wyrok zapadłby inny;
• Widać tendencję, że UE chce „dobrać się Facebookowi za skórę”
(komentarz Anny Streżyńskiej)
• W wyroku TSUE chodziło też o uznanie jurysdykcji niemieckiego GIODO – czy
może orzekać wobec FB Ireland albo FB Germany
49. Ponadto… decyzja niemieckiego organu antymonopolowego
• Urząd ten stwierdził w decyzji z 7 lutego 2019 roku, że Facebook zbiera zbyt
dużą ilość danych o użytkownikach jego aplikacji i łączy je wszystkie razem (z
FB, Instgram’a i WhatsApp’a, a także ze stron, na których zainstalowane są
piksele FB)
oraz… decyzja francuskiego CNIL
• Nałożenie na Google kary w wysokości 50 mln EUR
za nie wystarczająco przejrzyste informowanie o tym, jak Google przetwarza dane
użytkowników,
za nieprawidłowo zbierane zgody (np. domyślnie zaznaczone okienko),
za niemożliwość korzystania z usług, jeśli nie wyrazi się pełnej zgody na wszystko
52. Definicja profilowania
Zautomatyzowane przetwarzanie,
wskutek którego z jednych czynników osobowych
wnioskujemy o innych cechach tej osoby
• Np. z informacji, jakie kosmetyki kupowała ostatnio kobieta, system wnioskuje, że jest ona w ciąży.
• Np. z faktu, że ktoś mieszka w Warszawie, wnioskujemy, że posiada lepszą sytuację majątkową
niż osoba zamieszkała w Suwałkach.
• Np. z faktu, że ktoś wcześniej zakupił w naszym e-sklepie czerwoną koszulkę i czerwony płaszcz,
wnioskujemy, że ta osoba lubi czerwony kolor.
art. 4 pkt 4 RODO
53. Co jest zakazane?
PRAWO, BY NIE PODLEGAĆ DECYZJI
OPARTEJ NA PROFILOWANIU,
KTÓRA WYWOŁUJE SKUTKI PRAWNE
LUB
W PODOBNY SPOSÓB
ISTOTNIE NA NAS WPŁYWA
art. 22 RODO
54. DECYZJA,
OPARTA WYŁĄCZNIE NA PROFILOWANIU,
KTÓRA WYWOŁUJE
SKUTKI PRAWNE
• Np. portal rezerwacyjny wyświetla inną cenę za nocleg w tym samym hotelu
i w tej samej dacie - w zależności od lokalizacji użytkownika
oraz historii wcześniejszych jego zakupów
• Np. na podstawie danych, które użytkownik wpisał w formularz na stronie WWW
firmy ubezpieczeniowej, firma ta wylicza różną wysokość składki
• Np. program, za pomocą którego prowadzi się rekrutację, automatycznie odrzuca
CV osób, które w ciągu ostatniego roku pracowały w więcej niż dwóch firmach
• Np. automatyczne proponowanie rabatu klientowi, który porzucił koszyk
w e-commerce
art. 22 RODO
55. • Np. agencje nieruchomości wyświetlają oferty zakupu domów
w luksusowej dzielnicy tylko osobom o białym kolorze skóry
– dyskryminacja
• Np. wyświetlamy reklamy pożyczek chwilówek osobie, o której wiemy,
że jest skłonna do hazardu
– wykorzystywanie słabości
DECYZJA,
OPARTA WYŁĄCZNIE NA PROFILOWANIU,
KTÓRA W PODOBNY SPOSÓB
ISTOTNIE NA NAS WPŁYWA
art. 22 RODO
56. Profilowanie dozwolone
• Gdy nie wywołuje poważnych skutków
– np. decyzja o tym, jakiej treści newsletter wyślemy,
w zależności od historii otwieralności poprzednich wiadomości
oraz historii zakupów
• Gdy w procesie podejmowania decyzji aktywny udział brał człowiek
(człowiek rzeczywiście podejmował merytoryczną decyzję,
a nie tylko potwierdzał kliknięciem to, co system mu podpowiedział)
57. Obowiązek informowania o profilowaniu
(np. jeśli powierzysz nam swój adres e-mail, będziemy gotowi wykorzystywać
go również do celu proponowania ci…)
– informacja powinna pojawić się przy składaniu zamówienia
• W polityce prywatności
• Przy wypełnianiu pól w koszyku w e-commerce
• W wiadomości potwierdzającej zapisanie się do newslettera
Ale...
58. • gdy osoba (której dane dotyczą) wyraziła zgodę na profilowanie
• gdy profilowanie jest niezbędne do wykonania umowy
lub do jej zawarcia,
np. umowa na korzystanie z aplikacji, która śledzi, jakiej muzyki słuchamy
– aplikacja uczy się naszych preferencji,
a następnie w abonamencie miesięcznym proponuje nam
taki zestaw piosenek, które pasują do naszego „stylu”
Profilowanie
(nawet to kwalifikowane)
jest dozwolone:
60. Sprzeciw
• Użytkownik ma zawsze
prawdo do sprzeciwu
wobec automatycznych decyzji
oraz samego profilowania
• Na wstępie powinno się
o tym poinformować
• Co zrobić jeśli sprzeciw zgłoszony
wobec personalizacji mailingu?
– nie można w stosunku do tej
konkretnej osoby wysłać
mailingu spersonalizowanego