Uwagi wstępne
„Tradycyjna” reklama internetowa polega na zleceniu kampanii reklamowej przez Klienta (Reklamodawcę), realizowanej przez publikowanie treści reklamowych (tzw. kreacja) na powierzchni oferowanej przez Wydawcę (np. na stronie WWW lub w aplikacji mobilnej) lub prowadzonej w formie kampanii e-mail marketingowej, zawierającej reklamę Klienta. W przeciwieństwie do modelu reklamy typu programmatic udzielenie zlecenia nie odbywa się za pomocą platformy informatycznej, będącej w istocie giełdą ofert, lecz bezpośrednio poprzez działy handlowe poszczególnych pod- miotów zaangażowanych w proces.
Mimo że zdarzają się przypadki bezpośredniej współpracy pomiędzy Reklamodawcą i Wydawcą, to jednak w zdecydowanej większości przypadków w proces zaangażowani są liczni pośrednicy działający na rzecz Klienta lub Wydawcy. Pośrednicy ci mogą współpracować zarówno bezpośrednio z Wydawcą/Klientem, jak również zlecać realizację innym Pośrednikom, skutkiem czego liczba ogniw w łańcuchu zleceń może się znacznie wydłużać. Potrzeba angażowania Pośredników wynika przede wszystkim z ich wyspecjalizowania na danym etapie procesu, czego wynikiem jest optymalne przeprowadzenie kampanii marketingowej.
Tradycyjna reklama internetowa – kategorie podmiotów
Nazewnictwo kategorii podmiotów uczestniczących w realizacji kampanii może przyjąć różne formy w zależności od przyjętego kryterium, np. sposobu rozliczeń (np. sieci afiliacyjne), obszaru emisji (np. sieci mobile) czy zakresu zadań (np.agencje kreatywne, agencje interaktywne, firmy analityczne).
W niniejszym raporcie autorzy proponują następującą klasyfikację:
- Klient (Reklamodawca) – podmiot, na rzecz którego realizowana jest kampania
- Pośrednik Klienta (Pośrednik Reklamodawcy) – pośrednik działający na rzecz Reklamodawcy, dom mediowy, który odpowiedzialny jest za dobór i zakup mediów.
- Pośrednik Wydawcy (Pośrednik Dysponenta Bazy) – pośrednik działający na rzecz Wydawców, sieci reklamowe, brokerzy oferujący powierzchnie Wydawców lub – w przypadku e-mail marketingu – Pośrednik Dysponenta bazy sprzedający zasoby bazodanowe Dysponenta bazy.
- Wydawca (Dysponent Bazy) – Administrator serwisu WWW lub aplikacji, gdzie oferowana jest powierzchnia reklamowa lub – w przypadku e-mail marketingu – Dysponent Bazy adresów e-mail wykorzystywanych do wysyłki e-mail marketingowej.
W celu ustalenia statusu „administratora” lub „podmiotu przetwarzającego” w myśl art. 4 pkt 7 – 8 RODO trzeba ocenić, kto ustala cele i sposoby przetwarzania danych osobowych. Należy przy tym dokonać analizy, np. kto ma wpływ na ustalenie konkretnego zestawu danych, a nie opierać się na roli (nazwie), jaką ma dany podmiot w łańcuchu reklamowym.
W świetle powyższego, ten sam podmiot może być bowiem administratorem w stosunku do jednego zestawu danych i procesorem w stosunku do innego zestawu danych. Przykładowo, często spoty- kaną praktyką jest, że w kreacji reklamowej poszczególne podmioty umieszczają tzw. kody śledzące, co pozwala im mierzyć efektywność realizacji kampanii m.in. poprzez liczbę wyświetleń reklamy, ochrony danych, Tarsago Polska sp. z o. o. liczbę kliknięć czy liczbę unikalnych użytkowników. Zwykle administratorami poszczególnych zestawów danych są podmioty, które je umieściły w kreacji reklamy, w pewnych jednak sytuacjach status taki mogą mieć również inne podmioty. Bez znaczenia jest przy tym, czy dysponują one dostępem do zestawu danych wykorzystywanego w reklamie.
W opinii autorów wykładni, zgodnie z którą Klient jest administratorem każdego zestawu danych przetwarzanego w procesie tradycyjnej reklamy internetowej nie można stosować automatycznie i kwestia ta wymaga każdorazowo dokonania odpowiedniej analizy. Jak bowiem wskazano w opinii Grupy Roboczej Art. 29 (obecnie: Europejska Rada Ochrony Danych) „pojęcie administratora danych jest pojęciem funkcjonalnym, mającym na celu przypisanie obowiązków tam, gdzie występuje faktyczny wpływ, a zatem raczej w oparciu o analizę okoliczności faktycznych niż o analizę formalną. Określenie kontroli może zatem wymagać niekiedy szczegółowej i długiej analizy”19.
Administrator danych w reklamie internetowej – kryteria pomocnicze
W celu ustalenia statusu podmiotów z branży reklamy internetowej w odniesieniu do każdego zestawu danych zalecane jest użycie kryteriów pomocniczych20 wymienionych poniżej. Należy jednak mieć na uwadze, że spełnienie tych kryteriów przesądza o uznaniu danego podmiotu za administratora w sytuacjach typowych. W konkretnym stanie faktycznym możliwe będzie dokonanie innej kwalifikacji.
Tworzenie unikalnego identyfikatora użytkownika (UID)
Czy dany podmiot tworzy unikalny identyfikator użytkownika (UID) wyłącznie lub nawet częściowo dla własnych celów?
Spełnienie powyższego warunku oznacza zwykle pełnienie roli administratora, w stosunku dodanych przypisanych do wybranego identyfikatora. W przypadku jednak, gdy identyfikatora używa się wyłącznie do świadczenia usług innemu podmiotowi, to przeważnie przyjąć należy, że podmiot przetwarzający informacje przypisane do identyfikatora pełni rolę procesora.
Sposób korzystania z identyfikatora użytkownika i powiązanych z nim danych
Czy unikalny identyfikatory użytkownika jest współdzielony pomiędzy kampanie świadczone dla różnych klientów (identyfikator globalny)?
Użycie tego samego identyfikatora użytkownika w kampaniach realizowanych na rzecz różnych podmiotów może świadczyć o pełnieniu roli administratora z powodu faktycznej możliwości użycia danych do realizacji własnych celów.
W przypadku gdy ograniczona jest możliwość użycia identyfikatora do własnych celów, przykładowo poprzez:
- użycie różnych identyfikatorów dla tego samego użytkownika w różnych kampaniach (tj. w kampanii X użytkownik posiada identyfikator X1234, a w kampanii Y użytkownik posiada identyfikator Y1324),
- zapisy w umowie pomiędzy stronami wykluczające użycie identyfikatora do własnych celów,
- kryterium nie jest spełnione i zwykle oznacza to pełnienie roli procesora przetwarzającego dane osobowe na rzecz innego podmiotu.
Określenie zakresu i kategorii przetwarzanych danych
Czy dany podmiot określa, jakie dane (kategorie danych) o użytkowniku mają być zbierane i przypisane do unikalnego identyfikatora?
Określenie, jakie dane są zbierane i przypisanie ich do identyfikatora użytkownika, może świadczyć o fakcie decydowania o celach i sposobach przetwarzania danych, a w konsekwencji o statusie administratora danych. W przypadku gdy zakres zbieranych danych narzucony jest przez inny podmiot, np. zleceniodawcę i zbierane dane nie wykraczają poza określony przez niego zakres, kryterium nie jest spełnione i zwykle oznacza pełnienie roli podmiotu przetwarzającego (procesora) na rzecz pod- miotu, który określił zakres zbierania danych.
W świetle powyższego należy podkreślić zasadniczą różnicę pomiędzy emisją kampanii na powierzchniach reklamowych a realizacją kampanii e-mail marketingowych. W serwisie WWWużytkownik naj- pierw wyświetla stronę serwisu, a następnie występuje emisja reklamy. Natomiast w kampaniach e-mailingowych najpierw Wydawca (Dysponent Bazy) lub Pośrednik Wydawcy (Pośrednik Dysponenta Bazy) wysyła wiadomości e-mail, a dopiero następnie użytkownik może, aczkolwiek nie musi, wyświetlić treść reklamy. Powyższa kwestia, w opinii autorów, powoduje, że warto dokonać bardziej szczegółowej analizy roli podmiotów uczestniczących w kampanii w odniesieniu do adresów e-mail, które zostały użyte do wysyłki reklamowej.
E-mail marketing
W najprostszym wariancie realizacja e-mail marketingu (w założeniu, że Reklamodawca nie realizuje go w całości samodzielnie) opiera się na schemacie: Klient – Pośrednik Klienta (podmiot realizujący wysyłkę na bazie dostarczonej przez Reklamodawcę). Usługa polega zatem na tym, że Klient przekazuje Pośrednikowi Klienta bazę adresów e-mail w celu wysłania wiadomości e-mail marketingowych. Jednocześnie Klient jest administratorem danych w stosunku do przekazywanych adresów e-mail (tj. np. Klient zebrał od osób, których dane dotyczą, zgody na przesyłanie informacji handlowych drogą elektroniczną). Pośrednik Klienta pełni rolę kontrahenta odpowiedzialnego za techniczny aspekt wysyłki wiadomości e-mail marketingowych. W takim schemacie, z punktu widzenia przepisów RODO, Pośrednika Klienta uznać należy za podmiot przetwarzający (procesor) w imieniu Klienta.
Więcej wątpliwości wzbudza natomiast status poszczególnych podmiotów w bardziej złożonych relacjach związanych z prowadzeniem działań e-mail marketingowych. Relacja taka wyglądać może w sposób następujący: Klient – Pośrednik Klienta – Pośrednik Wydawcy (Pośrednik Dysponenta Bazy) – Wydawca (Dysponent Bazy). Dotyczy to w szczególności sytuacji, kiedy Klient nie dysponuje zasobami bazodanowymi umożliwiającymi mu dotarcie ze swoją informacją handlową do szerszego katalogu odbiorców (brak własnej bazy adresów e-mail) i w tym celu korzysta z podmiotu zapewniającego mu wsparcie w tym zakresie. W ocenie autorów typowy status prawny tych pod- miotów przedstawia się w sposób opisany poniżej.
Wydawca (Dysponent Bazy)
Wydawca (Dysponent Bazy) jest w opisanym procesie podmiotem, na rzecz którego została wyrażona zgoda na wysyłkę informacji handlowej drogą elektroniczną lub komunikacji marketingowej pochodzącej od administratora lub od podmiotów trzecich i który posiada podstawę prawną do przetwarzania danych osobowych w celu promocji towarów i usług podmiotów trzecich. Dysponent Bazy posiada dane umożliwiające mu wysłanie mailingu do odpowiednich segmentów odbiorców. Posiada on zatem nie tylko dane w postaci adresu e-mail, ale często również informacje dotyczące kategorii wiekowej czy geolokalizacji. Dysponent Bazy posiada pełne władztwo w procesie przetwarzania danych osobowych, podejmuje we własnym imieniu i na własną rzecz decyzje o procesach przetwarzania – o tym, w jakim celu i w jaki sposób dane są przetwarzane. Dysponent Bazy posiada kontrolę nad działaniami decyzyjnymi (może np. wykluczyć dany adres e-mail z wysyłki marketingowej). Jest również podmiotem właściwym do rozpatrywania wniosków osób, których dane dotyczą, o których mowa w rozdziale III RODO. Dysponent Bazy jest więc w omawianym procesie administratorem danych.
Klient (Reklamodawca)
Klient zleca przeprowadzenie kampanii e-mail marketingowej i dostarcza treść wiadomości handlowej (tj. kreację), która ma być wysłana. Nie decyduje, na które konkretnie adresy e-mail kierowany będzie mailing, określa jedynie segmenty odbiorców (np. jego celem jest, aby e-mail trafił do mężczyzn w wieku 30-50 lat, mieszkających w ośrodkach miejskich powyżej 500 tys. mieszkańców). W takim układzie to Dysponent Bazy decyduje, na które konkretnie adresy e-mail zostanie wysłana wiadomość. Klient nie ma dostępu do danych osobowych, nie decyduje o celach i sposobach przetwarzania. Dysponent Bazy (lub Pośrednik Dysponenta) oferuje Klientowi jedynie usługę wysyłki dostarczenia kreacji do kręgu określonych kategorii odbiorców.
W opinii autorów, w takiej sytuacji – co do zasady – uznać należy, że Klient nie jest w ramach opisanego procesu ani administratorem, ani podmiotem przetwarzającym (procesorem) bazy adresów e-mail – mówiąc inaczej – nie jest podmiotem, do którego w ramach opisanej kwestii stosuje się przepisy RODO.
Klient (Reklamodawca) – Dysponent Bazy – wątpliwości interpretacyjne
W praktyce można się również spotkać z opinią, że w opisanej powyżej sytuacji to Klient jest administratorem, a Dysponent Bazy podmiotem przetwarzającym w imieniu Klienta. Zwolennicy takiego stanowiska podnoszą, że gdyby nie zlecenie Klienta odnośnie wysłania wiadomości, dane osobowe z zasobu Dysponenta Bazy nie byłyby przetwarzane (tj. na adresy e-mail nie byłby wysłany mailing reklamowy z kreacją konkretnego Klienta). Wskazują ponadto, że Klient określa, do jakiego segmentu odbiorców ma zostać wysłany mailing marketingowy. W konsekwencji czynności te uznają za „ustalanie celów i sposobów przetwarzania”, czyniąc z Klienta administratora danych. Zwolennicy tego podejścia wskazują na decyzję GIODO (obecnie: PUODO) z dnia 19 sierpnia 2008 r. (DIS/DEC – 487/21468, 21472/08), w której GIODO uznał za administratora danych spółkę, która podjęła decyzję o organizacji loterii promocyjnej nie zaś spółkę, która faktycznie organizowała i obsługiwała tę loterię.
W opinii autorów doszukiwanie się analogii pomiędzy przetwarzaniem danych w celu organizacji loterii a przetwarzaniem danych związanym z realizacją mailingu jest jednak nietrafne. Czym innym jest bowiem powierzenie organizacji loterii i zbierania danych, a czym innym zlecenie wysyłki wiadomości marketingowych do określonego – dość ogólnie – segmentu odbiorców. Zdaniem autorów przyjęcie koncepcji, że Klient zlecający realizację działań mailingowych jest administratorem danych niesie ze sobą wiele trudnych do odpowiedzi pytań.
Po pierwsze, Dysponent Bazy posiada – najczęściej – jedynie podstawę prawną do przetwarzania danych w celu marketingu podmiotów trzecich, nie zaś do udostępnienia tych danych (pod czym autorzy rozumieją przekazanie danych w relacji administrator – administrator) podmiotom trzecim (podmiotom takim jak Klient). Wskazać przy tym należy, że cel w postaci marketingu podmiotów trzecich jest uznawany m.in. przez GIODO (obecnie: PUODO) jako oddzielny cel przetwarzania21. Wyodrębnienie tego celu już samo w sobie wskazuje, że promowanie towarów i usług innych pod- miotów nie czyni z nich automatycznie administratorów danych.
Przyjęcie koncepcji, że Klient jest administratorem, wiąże się z postawieniem pytania o jego podstawę prawną do przetwarzania tego rodzaju danych. Z racji braku zgody udzielonej Klientowi, musiałby to być art. 6 ust. 1 lit. f RODO (tzw. prawnie uzasadniony interes), co z kolei prowadzi do dalszych trudności, odnoszących się do tego, jak Klient miałby przeprowadzić test równowagi, nie mając dostępu do danych i nie znając nawet ich zakresu. Jak również miałby ująć ten proces w rejestrze czynności przetwarzania – o którym mowa w art. 30 ust. 1 RODO. Równie wątpliwa byłaby podstawa prawna do udostępnienia danych przez Dysponenta Bazy. W tym przypadku również należałoby opierać się na art. 6 ust. 1 lit. f) RODO, co w opinii autorów wydaje się równie kontrowersyjne.
Po drugie, przyjęcie konstrukcji, że Klient jest administratorem, sprawiałoby również problemy praktyczne. Jak bowiem Klient miałby realizować uprawnienia osób, których dane dotyczą, o których mowa w rozdziale III RODO? Istotą świadczonej usługi jest bowiem to, że Klient na żadnym etapie nie ma dostępu do danych osób, do których kierowany jest mailing. W stopce wysyłanej wiadomości jako podmiot właściwy do rozpatrywania ewentualnych reklamacji jest najczęściej wskazywany Dysponent Bazy – posiada on bowiem wszelkie informacje, aby takie reklamacje rozpatrywać. Nawet na etapie, gdy reklamacja spływa wprost do Klienta, nie otrzymuje on od Dysponenta Bazy danych pozwalających mu na udzielenie odpowiedzi, a jedynie wskazuje takiej osobie, że właściwym adresatem wniosku powinien być właśnie Dysponent Bazy. Z biznesowego punktu widzenia nie do zaakceptowania byłaby sytuacja, w której – w związku z realizacją zlecenia – Klientowi byłyby przekazywane adresy e-mail osób, do których kierowany jest mailing. W praktyce umowy zawierałyby postanowienia, z których wynikałoby, że Klient nie będzie otrzymywać od Dysponenta Bazy danych osobowych. Rodzi to z kolei pytanie, czy jeżeli uznać Klienta za administratora danych, takie postanowienia nie byłby jednak sprzeczne z RODO.
Reasumując, w ocenie autorów określanie statusu Klienta i Dysponenta Bazy na podstawie wskazywanej wcześniej decyzji GIODO z dnia 19 sierpnia 2008 r. jest nietrafne. Zapadła ona bowiem w odmiennym stanie faktycznym, w tym zanim wydana została jeszcze opinia z 16.02.2010 nr 1/2010 Grupy Roboczej Art. 29 w sprawie pojęć „administrator danych” i„przetwarzający”, a w której to opinii wskazano m.in., że dla oceny, czy podmiot jest administratorem danych, istotny jest „poziom faktycznej kontroli”22. W analizowanym przypadku faktyczną kontrolę nad procesem przetwarzania danych sprawuje Dysponent Bazy, a nie Klient. Na koniec wskazać należy, że pogląd, zgodnie z którym Klient nie jest w związku z realizacją opisywanej usługi administratorem, został zaakceptowany przez GIODO, który w decyzji z dnia 4 kwietnia 2013 r. (DOLiS/DEC-388/13/21087,21090,21093,21094, 21095) nie dopatrzył się, aby Klienci – na zlecenie których Dysponent Bazy realizował e-mailing, bez udostępniania danych tym podmiotom – byli administratorami danych odbiorców mailingu. Ufać należy, że regulator (PUODO) dokona ostatecznego wyjaśnienia statusu prawnego Klienta (Reklamo- dawcy) oraz Dysponenta Bazy, kwestia ta ma bowiem kluczowe znaczenie dla sposobu funkcjonowania rynku usług e-mailingowych.
E-mail marketing – status pośredników
Tak jak wyżej wskazano, najczęściej pomiędzy Wydawcą (Dysponentem Bazy) a Klientem funkcjonuje szereg pośredników, działających w imieniu Dysponenta Bazy lub Klienta. Ich status prawny, w typowych relacjach, przedstawia się zdaniem autorów w opisany poniżej sposób.
Pośrednik Wydawcy (Pośrednik Dysponenta Bazy)
Dysponent Bazy, posiadając podstawę prawną do przetwarzania danych osobowych w celu marketingu podmiotów trzecich, może powierzyć na podstawie umowy powierzenia, zgodnej z art.28 ust. 3 RODO, przetwarzanie danych, tj. np. adresów e-mail, innemu podmiotowi (Pośrednikowi Dysponenta Bazy). Ten ostatni podmiot pełni w tym procesie rolę podmiotu przetwarzającego dane osobowe w imieniu i na zlecenie Dysponenta Bazy. Najwięcej wątpliwości w związku z tym zagadnieniem wywołuje określenie zakresu swobody działania podmiotu przetwarzającego.
Zgodnie z opinią 1/2010 Grupy Roboczej Art. 29 podmiotowi przetwarzającemu może być pozostawiony pewien margines działania. W szczególności podmiot przetwarzający może działać zgodnie z ogólnymi wytycznymi administratora, które dotyczą przede wszystkim celów i nie określają szczegółowo kwestii sposobów23. „Administrator może przekazać określenie „sposobów” przetwarzania w odniesieniu do kwestii technicznych lub organizacyjnych”24. Pośrednik Dysponenta nie może wykroczyć poza ww. margines działania. W praktyce, Pośrednikowi Dysponenta jest często powierzona realizacja niektórych uprawnień osób, których dane dotyczą np. odnotowywanie sprzeciwu na przetwarzanie danych w celach marketingowych (art. 21 ust. 2 RODO).
Pośrednik Dysponenta Bazy jest również często stroną umowy z Klientem. W typowej kampanii e-mail marketingowej działa jako pośrednik, odsprzedając Klientowi lub PośrednikowiKlienta usługę wysyłki treści do kręgu wyspecyfikowanych kategorii odbiorców, których administratorem jest Dysponent Bazy.
Pośrednik Dysponenta pełni często rolę podmiotu kojarzącego potrzeby Klienta i zasoby Dysponenta Bazy w ramach usługi wysyłki e-mailingu marketingowego.
Pośrednik Klienta (Pośrednik Reklamodawcy)
Jeżeli chodzi natomiast o Pośrednika Klienta, to pełni on rolę podmiotu kojarzącego potrzeby Klienta i zasoby Dysponenta Bazy w ramach usługi wysyłki e-mailingu marketingowego. W praktyce Pośrednikowi Klienta sprzedawana jest przez Dysponenta Bazy lub Pośrednika Dysponenta Bazy usługa wysyłki dostarczonych treści do kręgu wyspecyfikowanych kategoriami odbiorców, a Pośrednik Klienta usługę tę odsprzedaje (refakturuje) Klientowi, który dostarcza ww. kreację do wysyłki.
W takim wariancie Pośrednik Klienta nie ma dostępu do danych, nie określa sposobów przetwarzania. Co do zasady będzie zatem w stosunku do wykorzystywanych w e-mail marketingu adresów podmiotem, do którego w ramach opisanego procesu nie stosuje się RODO.
W sytuacji jednak, gdy Klient pełni w ramach opisanego procesu rolę administratora (tj. np. mailing jest wysyłany do bazy jego klientów), wówczas Pośrednik Klienta może pełnić rolę podmiotu przetwarzającego dane osobowe na zlecenie Klienta (art. 28 ust. 3 RODO).
19 Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta dnia 16 lutego 2010 r., WP 169, s. 11.
20 Przy opracowywaniu kryteriów pomocniczych uwzględniono publikację IAB Europe GDPR Implementation Group Working, Paper 05/2018 „Controller-Processor Criteria”, Version 1.0, 19/07/2018, dostępną na stronie: https://www.iabeurope.eu/wp-content/upload-s/2018/07/20180719-IABEU-GIG-Working-Paper05_Controller-Processor-Criteria.pdf
21 Patrz np. zestawienie wyników sprawdzeń zgodności przetwarzania danych z przepisami o ochronie danych osobowych, które zostały przeprowadzone przez administratorów bezpieczeństwa informacji w bankach w zakresie marketingu kierowanego do klientów oraz osób niebędących klientami banków, Warszawa 2017, dostępne pod adresem: https://www.giodo.gov.pl/1520252/id_art/9848/j/pl
22 Opinia nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” 16.02.2010, WP 169 s. 13.
23 Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, 16.02.2010, WP 169 s. 14-15.
24 Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, 16.02.2010, WP 169 s. 16.
Podsumowanie
Ustalenie statusu poszczególnych podmiotów (potencjalnie) przetwarzających dane w procesie dostarczania „tradycyjnej” reklamy internetowej budzi istotne wątpliwości i z pewnością będzie się jeszcze kształtować w toku wykładni organu nadzoru, Europejskiej Rady Ochrony Danych i orzecznictwa sądów.
W związku z tym podkreślić należy, że przy dokonywaniu tej oceny kluczowa powinna być szczegółowa analiza, czy – i w jakim zakresie – podmioty te mają faktyczne władztwo na celami i sposobami przetwarzania danych osobowych, wykorzystywanych w kampanii reklamowej.
Katarzyna Ksionek, starszy prawnik, Grupa Wirtualna Polska
Ewa Nitkiewicz, starszy prawnik, specjalista w Grupie RAS Polska
Jakub Borkowski, inspektor ochrony danych, Netsprint S.A., Leadr sp. z o. o.
Jan Tyski, radca prawny, inspektor