square mask on article list

RODO w kampaniach reklamowych: jak pogodzić targetowanie z legalnością?

RODO w kampaniach reklamowych

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, to dziś fundament prawny wszelkich działań marketingowych prowadzonych w Europie. Jako prawnik specjalizujący się w ochronie danych osobowych, widzę, że RODO od momentu wejścia w życie w 2018 roku przekształciło marketing cyfrowy, w tym szczególnie działania reklamowe prowadzone w Internecie.

Co to jest RODO i dlaczego ma znaczenie w reklamie online?

RODO wprowadziło wiele kluczowych pojęć i obowiązków – od konieczności informowania użytkowników o celach przetwarzania, przez wymóg posiadania odpowiedniej podstawy prawnej, po prawa osób, których dane dotyczą. W kampaniach reklamowych, gdzie przetwarzanie danych odbywa się masowo i często automatycznie, przestrzeganie przepisów RODO to nie tylko obowiązek prawny – to również element budowania zaufania i przewagi konkurencyjnej.

Jakie dane osobowe są przetwarzane w kampaniach reklamowych?

W reklamie internetowej – zwłaszcza w branży e-commerce – przetwarza się nie tylko dane kontaktowe użytkowników (adres e-mail, numer telefonu), ale również dane behawioralne, techniczne i preferencyjne. Obejmują one m.in.:

  • adresy IP,
  • identyfikatory plików cookies,
  • dane geolokalizacyjne,
  • historię przeglądania i zakupów,
  • dane o kliknięciach w reklamy,
  • dane pozyskane z pikseli śledzących.

Zgodnie z definicją zawartą w RODO, dane osobowe to wszelkie informacje umożliwiające identyfikację osoby fizycznej, bezpośrednio lub pośrednio. Nawet dane z pozoru anonimowe, jak ID użytkownika w Google Analytics, mogą być uznane za dane osobowe, jeśli możliwe jest przypisanie ich do konkretnego użytkownika końcowego.

Dlatego też przetwarzanie tych danych – nawet jeśli odbywa się z udziałem zewnętrznych dostawców (np. Meta, Google) – musi spełniać wymogi RODO, a administrator danych musi zachować nad nimi realną kontrolę.

Zgoda użytkownika – kiedy jest wymagana i jak ją uzyskać?

Zgoda marketingowa to najczęściej stosowana podstawa przetwarzania danych osobowych w reklamie cyfrowej. Musi ona spełniać wszystkie warunki przewidziane w art. 4 pkt 11 oraz art. 7 RODO, czyli być dobrowolna, konkretna, świadoma i jednoznaczna.

Zgoda na przetwarzanie danych osobowych w celach marketingowych jest niezbędna w przypadku:

  • wysyłki newsletterów lub wiadomości SMS,
  • użycia ciasteczek m.in. analitycznych i marketingowych,
  • profilowania użytkownika w celach reklamowych,
  • personalizowania treści reklam w oparciu o np. historię aktywności.

Pozyskiwanie zgody powinno odbywać się za pomocą czytelnych i zrozumiałych checkboxów, z jednoznacznym opisem celu przetwarzania danych osobowych. Niedozwolone są domyślnie zaznaczone zgody, ukryte zgody w regulaminach, czy też łączenie zgód marketingowych z warunkiem korzystania z usługi.

Warto zadbać o to, by użytkownik mógł łatwo wycofać zgodę – i to w równie prosty sposób, w jaki ją wyraził. Powinno to być jasno wskazane w polityce prywatności lub klauzulach informacyjnych.

Targetowanie a profilowanie – gdzie leży granica legalności?

Targetowanie to kierowanie treści reklamowych do określonych grup użytkowników na podstawie ich cech demograficznych lub zachowań. Profilowanie natomiast to bardziej zaawansowana forma przetwarzania danych – polegająca na automatycznej analizie danych osobowych w celu oceny określonych cech osoby fizycznej.

Granica legalności targetowania przebiega tam, gdzie kończy się zwykła segmentacja, a zaczyna automatyczne podejmowanie decyzji oparte na analizie danych – szczególnie gdy prowadzi to do różnicowania warunków dostępu do oferty (np. cen dynamicznych). Wówczas mamy do czynienia z profilowaniem w rozumieniu art. 22 RODO, co niesie za sobą dodatkowe obowiązki:

  • informowanie o logice działania algorytmu,
  • uzyskanie wyraźnej zgody użytkownika,
  • możliwość zakwestionowania decyzji oraz uzyskania interwencji człowieka.

Wytyczne EROD wskazują jednoznacznie, że profilowanie do celów marketingowych zawsze powinno odbywać się na podstawie zgody, a nie uzasadnionego interesu administratora – jeśli jest ono złożone lub dotyczy wrażliwych aspektów życia prywatnego.

Jak prowadzić remarketing zgodny z RODO?

Remarketing, czyli kierowanie reklam do użytkowników, którzy już odwiedzili naszą stronę lub dokonali określonej akcji, jest niezwykle efektywnym narzędziem marketingowym. Jednak jego zgodność z RODO wymaga spełnienia kilku kluczowych warunków.

Po pierwsze, remarketing zwykle opiera się na plikach cookies lub identyfikatorach urządzenia – ich użycie wymaga uprzedniej zgody, zgodnie z dyrektywą ePrivacy i potwierdzone zostało w licznych orzeczeniach (np. C-673/17 – Planet49).

Po drugie, użytkownik musi zostać poinformowany o tym, że jego dane będą wykorzystywane do remarketingu. Informacja ta powinna znajdować się już na poziomie baneru cookies i rozwinięcia polityki prywatności.

Po trzecie, remarketing może wiązać się z profilowaniem – a więc dodatkowo wymaga analizy, czy nie wkraczamy w obszar automatycznego podejmowania decyzji.

Jak zabezpieczyć dane użytkowników w kampaniach reklamowych?

Bezpieczeństwo danych w marketingu cyfrowym wymaga kompleksowego podejścia. Obejmuje ono zarówno zabezpieczenia techniczne, jak i organizacyjne. W tym kontekście kluczowe działania to:

  • stosowanie szyfrowania danych wrażliwych,
  • wdrożenie kontroli dostępu do danych,
  • regularne aktualizacje polityk bezpieczeństwa,
  • ocena ryzyka związanego z profilowaniem (tzw. DPIA),
  • zawarcie umów powierzenia przetwarzania z dostawcami narzędzi marketingowych (Google, Meta, CRM-y),
  • prowadzenie rejestru czynności przetwarzania.

Pamiętajmy, że każdy wyciek danych – nawet pozornie „niewinny” – może prowadzić do konieczności zgłoszenia naruszenia do UODO w ciągu 72 godzin.

Audyt RODO w działaniach marketingowych – na co zwrócić uwagę?

Audyt zgodności z RODO w kampaniach reklamowych to narzędzie nieocenione – pozwala na wychwycenie luk i wdrożenie środków zaradczych zanim dojdzie do incydentu lub kontroli. Na co warto zwrócić szczególną uwagę?

  • Czy mechanizmy zgód są zgodne z RODO?
  • Czy dokumentacja (polityka prywatności, rejestr czynności) jest aktualna?
  • Czy wykorzystywane technologie są zgodne z prawem (np. Google Consent Mode, Meta Pixel)?
  • Czy dane są przekazywane poza EOG i czy zastosowano odpowiednie zabezpieczenia (SCC, TIA)?
  • Czy użytkownik ma realną możliwość skorzystania ze swoich praw?

Audyt powinien być okresowy i udokumentowany – szczególnie w firmach o dużej dynamice działań marketingowych.

Najczęstsze błędy w kampaniach reklamowych a ryzyko kar RODO

Z mojej praktyki wynika, że najczęstsze błędy w kampaniach reklamowych to:

  • brak zgody na wykorzystanie cookies,
  • łączenie zgód na marketing własnych i partnerów biznesowych;
  • przekazywanie danych partnerom biznesowych w celach marketingowych bez podstawy prawny 
  • łączenie zgód marketingowych z regulaminem,
  • brak transparentnej informacji o celach profilowania,
  • automatyczne profilowanie bez oceny ryzyka,
  • przekazywanie danych do USA bez odpowiednich zabezpieczeń.

Konsekwencje? Poza ryzykiem kary administracyjnej (do 20 mln euro lub 4% globalnego obrotu), warto pamiętać o kosztach utraty reputacji i zaufania konsumentów – a te, szczególnie w e-commerce, bywają trudniejsze do odbudowania niż jakakolwiek kara finansowa.

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter


    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form