Wróć do bloga

Prawidłowa (czyli jaka?) zgoda na działania marketingowe Internecie

Joanna Blewąska

Artykuł pochodzi z raportu „Era post (third party) cookies. Pobierz bezpłatnie cały raport TUTAJ

O tym jakie wymagania powinna spełniać zgoda na działania marketingowe online z Witoldem Chomiczewskim, radcą prawnym, Wspólnikiem w Lubasz i Wspólnicy – Kancelaria Radców Prawnych rozmawia Joanna Blewąska, Digital Strategy Specialist, Bluerank:

 

Joanna Blewąska: Panie Macenasie, proszę przypomnieć, dlaczego potrzebujemy zgód?

Witold Chomiczewski: W wielu działaniach marketingowych w Internecie przetwarzane są dane osobowe. Zgodnie z RODO są to informacje o zidentyfikowanym lub możliwym do zidentyfikowania człowieku. Możliwa do zidentyfikowania z kolei jest osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie m.in. takich identyfikatorów, jak imię i nazwisko, dane o lokalizacji lub identyfikator internetowy. Takim identyfikatorem może być przykładowo cookie-ID lub user-ID. Następnie z identyfikatorem tym mogą być łączone informacje o działaniach użytkownika w sieci np. wejścia na określone strony internetowe. W ten sposób informacje te stają się danymi osobowymi na temat konkretnej osoby. To z kolei powoduje, że administratorzy takich danych muszą mieć podstawę prawną do ich przetwarzania. Jedną z nich jest właśnie zgoda.

Jakie wymagania musi spełniać zgoda?

RODO definiuje zgodę jako okazanie woli przez podmiot danych, w którym pozwala on na przetwarzanie jego danych osobowych. Przy czym, co niezwykle istotne takie okazanie woli musi spełniać cztery warunki. Musi być: dobrowolne, konkretne, świadome i jednoznaczne.

Co oznaczają te warunki?

Zgoda jest dobrowolna wówczas, gdy mamy autentyczną możliwość wyboru, czyli brak wyrażenia zgody nie niesie ze sobą negatywnych konsekwencji dla nas. Co ważne w RODO od jej udzielenia administrator uzależnia zawarcie przełożyło się to na dopuszczalność tzw. cookie-walls, czyli czy można uzależniać wejście na stronę www od wcześniejszej akceptacji przetwarzania danych osobowych w celach marketingowych związanych zwłaszcza z remarketingiem. Rozstrzygnięcia organów nadzorczych jednoznacznie wyjaśniły, że nie jest to prawidłowa praktyka, chyba że internauta ma wybór: darmowe wejście na stronę ze zgodą na cele marketingowe albo odpłatny dostęp do strony. Przy czym, opłata musi być rynkowa a nie zawyżona jedynie po to, by wpływać na decyzję podmiotu danych.

Konkretność zgody oznacza konieczność jednoznacznego wskazania celu przetwarzania, na który się zgadzamy. Brak jego wskazania lub zbyt ogólne ujęcie np. „cel marketingowy” bez wyjaśnienia, o jakie działania chodzi, sprawi, że zgoda nie będzie konkretna.

Świadomy charakter zgody jest zapewniony poprzez przekazanie podmiotowi danych informacji o wszystkich kluczowych kwestiach związanych z przetwarzaniem, w szczególności tożsamości administratora oraz celach przetwarzania. Wiąże się to zatem po części z wymogiem konkretności.

Jednoznaczność natomiast to wymóg, by nie było wątpliwości, czy dana osoba wyraziła zgodę na przetwarzanie jej danych osobowych. Treść oświadczenia lub okoliczności, w których wyrażana była zgoda nie mogą zatem rodzić wątpliwości. Przykładowo, jeżeli na stronie www znajduje się box z miejscem na podanie adresu e-mail i komunikatem na przycisku obok „zapisz się do naszego newslettera”, to nie będzie wątpliwości, że wpisując tam swój adres e-mail i klikając przycisk chcemy otrzymywać newsletter.

Kto musi udowodnić wyrażenie zgody?

To zadanie RODO wyraźnie tego wymaga. Po pierwsze, mamy zasadę rozliczalności, czyli administrator musi być zawsze w stanie wykazać, że przestrzega przepisów o ochronie danych osobowych.

Po drugie, RODO nakłada na administratora obowiązek, by był w stanie wykazać, że konkretna osoba, której dane osobowe przetwarza, wyraziła na to zgodę.

Czy na tym tle pojawiają się wyzwania w marketingu Internetowym?

Często pojawiają się trudności z wykazaniem, że dana osoba zgodziła się na przetwarzanie jej danych osobowych na potrzeby określonego działania marketingowego. Jest to zwłaszcza częste tam, gdzie wykorzystywane są pliki cookies. Część z administratorów, którzy opierają działania remarketingowe na podstawie zgody nie mieli wystarczających mechanizmów, które pozwalały im na przypisanie konkretnego oświadczenia zawierającego zgodę do danego użytkownika. To jest istotny problem, bo nawet posiadając zgodę, ale nie mogąc tego udowodnić administrator ryzykuje naruszenie ochrony danych osobowych.

Google uruchamia Consent Mode, a IAB TCF – Transparency & Consent Framework.

Na rynku pojawia się coraz więcej mechanizmów, które mają zapewniać rozliczalność udzielanych zgód. Mam nadzieję, że będą one pozwalały na przezwyciężenie trudności, z którymi w tym obszarze stykają się administratorzy. Ważnym testem będzie ocena zgód zbieranych z wykorzystaniem tych mechanizmów w toku postępowań prowadzonych przed organami nadzorczymi.

Jak interpretować inne poziomy zgody uzyskane różnymi kanałami np. zapisując się na newsletter pełna zgoda marketingowa, a na stronie www odkliknięte, czyli brak zgody na działania marketingowe?

Nie ma przeszkód, by w ramach jednego serwisu zbierać zgody na różnego rodzaju działania marketingowe. Mogą to być przykładowo: zgoda na newsletter, zgoda na działania remarketingowe czy zgoda na przedstawianie informacji marketingowych w trakcie rozmów telefonicznych. Zgody te są od siebie niezależne. Jeżeli więc zgodzę się na otrzymywanie newslettera, ale nie wyrażę zgody na pozostałe działania, to zgoda na otrzymywanie newslettera pozostaje skuteczna. Kluczem jest zatem cel przetwarzania, na który zgoda została wyrażona.

Lubasz i Wspólnicy – Kancelaria Radców Prawnych jest Partnerem Raportu.

Zapraszamy do zapoznania się z najnowszym Bluepaper – raportem, który w sposób przekrojowy odnosi się do wprowadzonych już zmian i regulacji oraz wynikających z nich obowiązków. W drugiej jego części staramy się też przewidzieć, jak rynek reklamy będzie się rozwijał i co czekające go zmiany, także w obszarze technologii, oznaczać będą dla reklamodawców i w jaki sposób kształtować będą dostępne dla nich możliwości.

Kliknij TUTAJ i pobierz bezpłatnie cały raport.

 

Wróć do bloga

Tags: , ,

Zobacz także:


Era post (third party) cookies – Bluepaper Bluerank

Artykuł pochodzi z raportu „Era post (third party) cookies. Pobierz bezpłatnie cały raport TUTAJ
Od ponad 20 lat pliki cookies (ciasteczka) są podstawą funkcjonowania reklamy internetowej. Dzięki ich wykorzystaniu reklamodawcy mogą precyzyjnie kierować p…

Dziękujemy za wysłanie wiadomości.

Skontaktuj się z nami


Więcej informacji o zasadach przetwarzania danych przez Bluerank sp. z o.o. znajdziesz w polityce prywatności.

Kto jest administratorem Twoich danych?
Administratorem Twoich danych jest Bluerank sp. z o.o., kliknij i dowiedz się więcej m.in. po co nam Twoje dane i jakie masz prawa..

Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, kapitał zakładowy 100 000 zł, NIP 727-272-57-03.

Jak możesz się z nami skontaktować?
listownie: al. Piłsudskiego 87, 92-332 Łódź,
e-mailem na adres: kontakt@bluerank.pl

Jakie masz prawa?

  1. dostępu do Twoich danych,
  2. ich poprawiania,
  3. żądania ich usunięcia,
  4. ograniczenia przetwarzania,
  5. przenoszenia Twoich danych.

Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?
Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Generalny Inspektor Ochrony Danych Osobowych http://www.giodo.gov.pl/

Po co nam Twoje dane, czyli w jakim celu je przetwarzanym?

  1. w celu udzielenia odpowiedzi na zapytanie oferty Bluerank
  2. w celu korespondencji związanej ze złożonym zapytaniem
  3. na podstawie Twojej dodatkowej zgody, w celu marketingowym polegającym na przesyłaniu ofert usług świadczonych przez Bluerank sp. z o.o. oraz innych wydarzeń organizowanych przez Bluerank sp. z o.o. - za pomocą wiadomości wysyłanych na Twój adres e-mail lub numer telefonu,
  4. na podstawie Twojej dodatkowej zgody, przekażemy Twoje dane do naszego Partnera – Prowly.com sp. z o.o.

Czy musisz podawać nam swoje dane?
Jest to dobrowolne. Bez ich podania nie będziemy mogli jednak skontaktować się z Tobą w celu udzielenia Ci odpowiedzi i nie będziemy mogli przesłać Ci oferty

Na jakiej podstawie prawnej przetwarzamy Twoje dane?

  1. Art. 6 ust. 1 lit. a RODO, czyli tego rozporządzenia.
  2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail i numer telefonu, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.

Komu przekażemy Twoje dane?

  1. Dostawcom usług związanych z przygotowaniem oferty
  2. Kurierom oraz poczcie.
  3. Operatorom płatności dostępnych na naszej stronie.
  4. Podmiotom zajmującym się hostingiem (przechowywaniem) portalu stronie internetowej bluerank.pl oraz danych osobowych dla nas.
  5. na podstawie Twojej dodatkowej zgody, przekażemy Twoje dane do naszego Partnera – Prowly.com sp. z o.o. w celu marketingowym polegającym na przesyłaniu ofert usług świadczonych przez Prowly.com sp. z o.o. - za pomocą wiadomości wysyłanych na mój adres e-mail lub numer telefonu. Wówczas administratorem Twoich danych będzie Prowly.com sp. z o.o. z siedzibą w Warszawie, przy ul. Antoniego Józefa Madalińskiego 71 lok. 1, 02-549 Warszawa, (KRS: 0000462787), której akta prowadzi Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy KRS, kapitał zakładowy: 15 500 zł, NIP: 5213649218

Jak długo będziemy przetwarzać Twoje dane?
Przez czas:

  1. przygotowywania odpowiedzi na zapytanie ofertowe oraz czas niezbędny do przedawnienia roszczeń związanych z przygotowaniem oferty;
  2. prowadzenia działań marketingowych przez nas albo do czasu odwołania zgody na wysyłanie wiadomości na Twój adres e-mail oraz numer telefonu. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.

Czy Twoje dane osobowe będą przekazywane poza Europejski Obszar Gospodarczy?
Tak.

Do jakich państw?
Do Stanów Zjednoczonych. Masz prawo otrzymania kopii Twoich danych, które zostaną tam przekazane.
Na jakiej podstawie przekażemy dane?
Decyzji Wykonawczej Komisji Europejskiej z dnia 12.07.2016 r. wprowadzającej Tarczę Prywatności (tzw. Privacy Shield). Dane będą przekazywane tylko do podmiotów certyfikowanych w ramach tej decyzji.

Zwiń

 

Interesuje Cię nasza oferta?
Daj znać, czego potrzebujesz.
WYPEŁNIJ BRIEF