Operacje przetwarzania danych osobowych na potrzeby dostosowania (personalizacji) reklamy do zainteresowań i potrzeb użytkowników wymagają odpowiedniej podstawy prawnej przetwarzania. Na każdym uczestniku rynku reklamy, w tym rynku reklamy programmatic, biorącym udział w spersonalizowanej kampanii reklamowej i będącym administratorem danych osobowych, spoczywa obowiązek dokonania wyboru odpowiedniej podstawy prawnej, np. zgody podmiotu danych osobowych (w modelu opt-in) lub prawnie uzasadnionego interesu administratora (w modelu opt-out). Przyjęcie zgody jako podstawy przetwarzania wymaga, aby użytkownik, będący odbiorcą spersonalizowanej reklamy internetowej, aktywnie „zdecydował się” (opt-in) na wykorzystanie jego danych w celach marketingowych przez uczestników rynku reklamy.
Ponadto, w przypadku niektórych działań reklamowych w internecie, legalność prowadzenia kampanii marketingowych wymaga spełnienia warunków określonych w innych niż RODO aktach prawnych, w szczególności w ustawie oświadczeniu usług drogą elektroniczną oraz Prawie Telekomunikacyjnym.
Rolą wydawcy na rynku reklamy jest informowanie użytkowników o tym, jakie ich dane, w jakim celu, na jakiej podstawie, jak długo i przez kogo będą przetwarzane, komu będą udostępniane. Oznacza to realizację obowiązków informacyjnych oraz umożliwienie wyrażenia zgody na cele marketingowe, w tym niezbędną analitykę, profilowanie, dla zaufanych partnerów wydawcy. Wydawcy są bowiem podmiotami wchodzącymi w bezpośrednią interakcję z użytkownikami, będącymi odbiorcami reklamy internetowej (zarówno bezpośredniej, jak i programatycznej) podmiotami, których użytkownicy „odwiedzają” w internecie, na stronach, a także w aplikacjach, łatwo ich identyfikują i którzy zapewniają pełną przejrzystość w procesie przetwarzania danych osobowych użytkowników w celu personalizacji reklamy internetowej.
Uzasadniony interes administratora – marketing bezpośredni
W branży internetowej, w celach marketingowych własnych i cudzych, jedną z podstaw przetwarzania danych osobowych użytkowników serwisów internetowych, jest prawnie uzasadniony interes administratora lub strony trzeciej – najczęściej wydawcy serwisów internetowych lub strony reklamodawcy (art. 6 ust. 1 lit. f) RODO). Zgodnie z motywem 47 preambuły RODO, za taki uzasadniony interes uznaje się marketing bezpośredni.
Marketing bezpośredni, w tym profilowanie czy niezbędna analityka, jako uzasadniony interes administratora danych osobowych, nie może być nadrzędny wobec podstawowych praw i wolności pod- miotu danych. Aby zbadać, czy w określonym kontekście tak jest, administrator przeprowadza test równowagi. Test taki pozwala zweryfikować, czy interes administratora jest konkretny, rzeczywisty, zgodny z prawem. Ocenia obiektywnie, czy użytkownik ma rozsądne przesłanki, aby spodziewać się przetwarzania jego danych osobowych w celu marketingowym, np. dopasowania reklamy do jego aktywności w serwisach, w aplikacjach mobilnych, dokonanych zakupów online, czytania treści o określonej tematyce. Ważnym elementem testu równowagi jest ocena zapewnienia użytkownikowi skutecznej realizacji prawa sprzeciwu wobec przetwarzania jego danych osobowych w celu marketingu bezpośredniego z profilowaniem.
Wydawcy serwisów internetowych podejmują wysiłki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, udzielić swoim użytkownikowi niezbędnych informacji o przetwarzaniu jego danych osobowych. Informacje są sformułowane jasnym, prostym językiem, wyróżnione w politykach prywatności, łatwo dostępne, a także prezentowane graficznie, np. jako infografiki.
Administratorzy chcą, aby użytkownik był jak najlepiej poinformowany o przetwarzaniu jego danych osobowych. Chcą, aby spodziewał się przetwarzania jego danych w celu marketingowym, rozumiał proces dopasowania reklam, treści, a tak żeby mógł się temu skutecznie sprzeciwić.
Zgoda jako podstawa przetwarzania danych osobowych w onlinemarketingu
Zgoda stanowi kolejną podstawę przetwarzania danych użytkowników usług internetowych, w szczególności dla podmiotów, które nie mogą oprzeć przetwarzania w celu marketingowym na swoim uzasadnionym interesie.
Wyzwaniem, przed jakim stanęli wydawcy, było zaprezentowanie uczestników rynku reklamy programmatic i ich roli w sposób przejrzysty, tak aby użytkownik nie był „zaskoczony” tym, że jego aktywność w sieci internet, a także w aplikacjach mobilnych, i inne dane, które go dotyczą, będą wykorzystywane przez szereg podmiotów w celu skierowania do tego użytkownika spersonalizowanej reklamy. „Wydawcy stosują różne rozwiązania, aby w jasny przejrzysty sposób przekazać użytkownikom ww. informacje, m.in.stosują „okienka informacyjne”, plansze informacyjne, wskazujące nazwy firm Zaufanych Partnerów, niektórzy prezentują listy Zaufanych Partnerów wraz z linkami do ich polityk prywatności, inni wspierają wdrożenie mechanizmu open source udostępnionego w ramach Transparency & Consent Framework (TCF)”.
Z powyżej wskazanych względów, od 25 maja 2018 r. na stronach internetowych i w aplikacjach mobilnych wydawców pojawiły się informacje o możliwości wyrażenia zgody na przetwarzanie danych osobowych użytkownika w celach marketingowych zaufanych partnerów wydawcy, zwane „chmurkami RODO”, „planszami RODO”, „mechanizmami zgód RODO” itp., udostępniając de facto platformę zarządzania zgodami CMP.
Na potrzeby zbierania, przechowywania i cofania zgód użytkowników, na działania uczestników rynku reklamy, w szczególności reklamy programmatic, w sposób zapewniający przejrzystość, wydawcy wykorzystują rozwiązania technologiczne, tzw. CMP, czyli Consent ManagementPlatforms. Rolą CMP jest zebranie i przechowywanie zgód oraz wygodne zarządzanie nimi przez użytkownika.
Niektórzy wydawcy samodzielnie zaprojektowali i wdrożyli indywidualne rozwiązania technologiczne tzw. CMP, czyli Consent Management Platforms. Część wydawców wybrała natomiast istniejące gotowe narzędzia CMP. W konsekwencji na rynku funkcjonują następujące rodzaje rozwiązań:
- narzędzia własne wydawców lub reklamodawców;
- narzędzia komercyjne, udostępniane przez firmy technologiczne,
- narzędzia firm dostarczających kompleksowe platformy
Rynek narzędzi CMP jest stale na etapie rozwoju, a wydawcy portali internetowych, serwisów społecznościowych i informacyjnych zazwyczaj korzystają z własnych CMP umożliwiających kompleksowe obsłużenie ich obowiązków w zakresie przetwarzania danych osobowych zgodnie z wymogami RODO.
Komunikat zawarty w ramach consent-wall wydawcy zazwyczaj zawiera szeroką informację o procesach, jakie zachodzą wobec danych osobowych użytkowników oraz zasadach działania rynku programmatic, a także informację o przetwarzaniu danych na potrzeby usług samego wydawcy i w innych celach, które wydawca chce osiągnąć, wykorzystując dane osobowe użytkowników. W praktyce często spotkać można jednak komunikaty o prostej strukturze, serwujące użytkownikom wyłącznie podstawowe informacje o korzystaniu z ich danych w celu personalizacji reklam.
Zgoda aktywna opt-in
Poniższe przykłady25 obrazują różne sposoby zbierania zgody (w modelu opt-in) uwzględniające wytyczne i wymagania dotyczące interfejsu użytkownika oraz UX (user experience, z ang. doświadczenia użytkownika), czyli wrażeń, jakich doświadcza użytkownik podczas wyrażania zgody.
Model opt-in musi przewidywać aktywne działanie użytkownika, którego dane mają być wykorzystane na potrzeby reklamy internetowej. Tym samym wydawca zwraca się do użytkownika,aby ten „zdecydował się”, czy chce otrzymywać spersonalizowane reklamy, poprzez wykonanie określonej akcji. Wydawcy wskazują użytkownikom, jaka akcja musi zostać podjęta, jaki ruch użytkownika jest niezbędny dla wyrażenia zgody, np. kliknięcie pola wskazanego w komunikacie, przesunięcie paska, scrollowanie, zamknięcie komunikatu, kliknięcie na elementy witryny poza komunikatem. Wydawcy dokonują bieżącej oceny, na ile zapewnione są jasne informacje i na ile jasne jest dla użytkownika, że dana akcja oznacza jego zgodę w odpowiedzi na konkretne zapytanie wydawcy. Użytkownicy, których dane dotyczą, muszą być w stanie wycofać zgodę tak łatwo, jak ją wyrazili. Wydawca musi być w stanie wykazać, że zgodę uzyskano w sposób opisany powyżej i że nie została cofnięta.
Warstwy komunikatów zawierających zgody (consent-wall)
Pierwsza warstwa komunikatu ze zgodą (consent-wall).
Dobrowolność zgody ocenia się, w jak największym stopniu uwzględniając, „czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy” (art.7 ust .4 w zw. z motywem 43 RODO).
Komunikaty zawierają proste instrukcje wskazujące użytkownikom, jak nie wyrazić zgody, jak zmienić jej zakres, np. dla poszczególnych zaufanych partnerów, jak wycofać zgodę. Usługi internetowe są świadczone użytkownikowi przez wydawców, bez względu na wyrażenie przez niego zgody lub jej brak. Wszystkie informacje, w tym możliwość zmiany ustawień zgód bądź wycofanie zgód, są stale dostępne dla użytkownika o 2 kliknięcia dalej (two taps away) zgodnie z Wytycznymi Grupy Art. 29 na temat transparentności (17/EN WP 260 rev.01).
Aby zgoda była świadoma, wydawca informuje, kto jest administratorem danych osobowych, jaki zakres danych i w jakim celu będzie przetwarzany oraz o prawie do wycofania zgody (zgodnie z Wytycznymi Grupy Art. 29 dotyczące zgody na mocy Rozporządzenia 2016/679, 17/ENWP259 rev.01 z dnia 28.11.2017, ostatnio zmienione i przyjęte dnia 10.04.2018 r.).
Zakres danych i cele przetwarzania danych użytkownika są określone na początku informacji prezentowanej w tzw. chmurce RODO i obejmuje dane osobowe udostępniane przez użytkownika w historii przeglądania stron i aplikacji internetowych oraz dane lokalizacyjne generowane przez urządzenie użytkownika w celach marketingowych (obejmujących zautomatyzowaną analizę aktywności użytkownika na stronach internetowych i w aplikacjach w celu ustalenia jego potencjalnych zainteresowań dla dostosowania reklamy i oferty) w tym na umieszczanie znaczników internetowych (cookies itp.).
„Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele” (motyw 32 preambuły RODO).
Wydawcy stosują warstwowe informowanie o odbiorcach danych (zaufanych partnerach) – przechodząc od ogólnej do granularnej (szczegółowej) informacji. W warstwie podstawowej, dostępnej bez- pośrednio np. na stronie internetowej, określona jest kategoria podmiotów, które będą przetwarzały dane osobowe na podstawie zgody (partnerzy biznesowi, zaufani partnerzy), natomiast w warstwie szczegółowej podmioty te są wymienione wraz z udostępnionym mechanizmem udzielania/ wycofania zgód dla poszczególnych odbiorców danych.
Model zgody prezentowanej warstwowo (stopniowo) na potrzeby reklamy internetowej wydaje się być właściwym rozwiązaniem, dzięki któremu w kolejnych warstwach zgody użytkownik może odrębnie zapoznać się z celami przetwarzania danych osobowych oraz podmiotami z rynku programmatic uzyskującymi dostęp do jego danych. Consent-wall jest jednym z możliwych skutecznych narzędzi zbierania zgód przez podjęcie określonej aktywności indywidualnego użytkownika oraz narzędziem do prostego cofnięcia udzielonej zgody, zmianą jej zakresu.
Wspieranie IAB Transparcency & Consent Framework
IAB Transparency & Consent Framework, który został opracowany w ubiegłym roku przez IABEurope, we współpracy z wieloma podmiotami rynku internetowego, określa technologiczne ramy tego, w jaki sposób wydawcy mogą pozyskiwać i zapisywać zgody na przetwarzanie danych osobowych w określonych celach przetwarzania danych od użytkowników. Wystandaryzowany w ramach IAB Transparency & Consent Framework sposób zapisu zgód umożliwia ich transmisję (udostępnienie) zaufanym partnerom uczestniczącym w procesach marketingowych, analitycznych, personalizacji, m.in. w całym zautomatyzowanym łańcuchu dostarczania treści reklamowych użytkownikom.
Wydawcy, w ramach IAB Poland, przeprowadzili wiele testów, różnych wariantów planszy służącej do informowania użytkowników o polityce prywatności, o tym, w jaki sposób mogą wyrazić, edytować lub wycofać zgodę na przetwarzanie ich danych osobowych, tak aby należycie spełnić obowiązek informacyjny wobec użytkowników wynikający z przepisów RODO, a jednocześnie nie uczynić go uciążliwym dla użytkownika. Dostosowano działanie planszy do środowiska desktop, mobile, jak również aplikacji mobilnych, aby zapewnić zgodność z wymogami prawa w całym ekosystemie reklamowym, a także wprowadzono szereg zmian, m.in. w systemach reklamowych, umożliwiających odpowiednie ich działanie w zależności od zakres uzgody udzielonej przez użytkownika, dostosowując się także do sytuacji wycofania przez użytkownika zgody w każdym momencie.
IAB TCF jest przedsięwzięciem otwartym na informacje zwrotne i komentarze od wydawców, regulatorów i innych podmiotów działających na rynku internetowym, co doprowadziło do jego aktualizacji, która została opublikowana w ostatnich tygodniach jako IAB TCF 2.0.
Cookies i podobne technologie
Oprócz kwestii związanych z przetwarzaniem danych osobowych użytkowników osobnym zagadnieniem jest problem dotyczący warunków stosowania przez wydawców i dostawców usług technologii umożliwiających zapisywanie informacji na urządzeniu użytkownika i odczytywanie tych informacji – tzw. cookies. Działanie to regulowane jest od strony prawnej przepisami ustawy Prawo Telekomunikacyjne, a docelowo ma być także przedmiotem unijnego rozporządzenia określanego roboczo jako „ePrivacy”.
Warunkiem stosowania u danego użytkownika technologii cookies jest co do zasady jego zgoda (nie dotyczy ona jedynie kilku wyjątkowych przypadków określanych jako cookies „techniczne”, np. cookie identyfikujące zalogowanie czy związane z bezpieczeństwem usługi). Zgoda ta wyrażana może być zgodnie z przepisami Prawa Telekomunikacyjnego poprzez odpowiednie ustawienia w przeglądarce (urządzeniu końcowym) dokonane przez użytkownika po poinformowaniu go o celu korzystania z cookies i przedstawieniu sposobu zarządzania tą technologią na własnym urządzeniu końcowym.
Taki model komunikacji zakłada powiązanie aspektu technologicznego z faktem wykorzystania technologii w procesie przetwarzania danych osobowych użytkowników i może tym samym nieść wymierne korzyści dla użytkownika, który jest lepiej poinformowany o działaniach branży programmatic. Samo bowiem mnożenie komunikatów i okien na witrynach nie jest dla użytkownika czytelne.
Opisana powyżej „chmurka RODO” doskonale spełnia warunki umożliwiające wyrażenie i pozy-skanie zgody na cookies. W jej zakresie użytkownik uzyskuje bowiem zarówno bardzo szeroką i jednocześnie czytelną informację o tym, jak działają cookies, do czego służą i jak są wykorzystywane przez danego wydawcę oraz szczegółową informację o tym, w jaki sposób należy dokonać zmian w ustawieniach urządzenia końcowego, by ograniczyć lub całkowicie zablokować funkcjonowanie cookies.
Magdalena Kogut- Czarkowska radca prawny, Baker McKenzie
25 https://www.quantcast.com/gdpr/; https://support.cookiebot.com/hc/en-us/articles/360007652694-Cookiebot-and-the-IAB-Consent-Framework;https://www.cookiechoices.org/