fbpx

Czy korzystanie z Facebook Custom Audiences jest bezpieczne?

Facebook Custom Audiences to już w zasadzie podstawa, gdy chodzi o działania reklamowe na Facebooku. Niestandardowe grupy odbiorców pozwalają na zaplanowanie skutecznych działań marketingowych, ale nie o tej skuteczności i trickach reklamowych chciałbym dzisiaj z tobą porozmawiać.

Dzisiaj zapraszam cię do rozmowy na temat z pozoru nudny, ale gdy wgłębisz się w detale, piekielnie interesujący. Plus piekielnie niebezpieczny, bo okazuje się, że działania reklamowe na Facebooku to rzecz prosta, łatwa i przyjemna, ale jednocześnie obarczona sporym ryzykiem prawnym.

Bez obaw, nie będę namawiał cię do zrezygnowania z reklam na Facebooku. Nie jestem hipokrytą, sam z nich korzystam.

Chcę ci jednak pokazać obszary ryzyka, żebyś mógł podejmować świadome decyzje. Nie ma bowiem nic gorszego niż działanie na oślep. To się po prostu źle kończy, co potwierdzają historie klientów, których obsługujemy w kancelarii praKreacja.legal.

praKreacja.legal

Spis treści

BONUS: postanowienia do polityki prywatności

Czy korzystanie z Facebook Custom Audiences jest bezpieczne?

Dodatkiem do tego artykułu są przykładowe postanowienia do wykorzystania w polityce prywatności przy opisywaniu korzystania z Facebook Custom Audiences.

Jeżeli jesteś w gronie stałych czytelników bloga, dodatek powinien już być na twoim mailu.

Jeżeli jeszcze nie subskrybujesz newslettera, zapisz się teraz, a jako prezent powitalny otrzymasz wspomniany dodatek.

Dodatkowo, otrzymasz również nieodpłatny dostęp do mini-kursu mailowego na temat prawnych aspektów reklamy.

Prakreacja.pl

Podcast o prawnych aspektach Facebook Custom Audiences

O wyzwaniach prawnych związanych z wykorzystywaniem Facebook Custom Audiences możesz również posłuchać. Poniżej widzisz odtwarzacz, który pozwoli ci odsłuchać 56. odcinek podcastu Prawo dla kreatywnych poświęcony właśnie temu tematowi.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Na czym polegają problemy prawne z Facebook Custom Audiences?

Jest kilka pytań, na które warto sobie odpowiedzieć, zanim zaczniesz korzystać z Facebook Custom Audiences. Uśmiecham się szeroko, gdy klient przychodzi właśnie po to, żeby je zadać, ale często jest tak, że to ja muszę klientowi zwrócić na nie uwagę.

Możesz więc dzisiaj poczuć się jak klient kancelarii, bo poniżej widzisz listę tych pytań.

  • Czy mogę tak po prostu zaimportować adresy e-mail klientów do systemu reklamowego Facebooka?
  • Czy mogę tak po prostu zainstalować Facebook Pixel na swojej stronie i tworzyć w ten sposób grupy docelowe?
  • Czy mogę tak po prostu tworzyć grupy odbiorców na podstawie określonych aktywności w stosunku do moich treści w social media?

No dobra, będę szczery. Gdy chodzi o pytanie trzecie, to jeszcze żaden z klientów nie zapytał. Pewnie dlatego, że wydaje się to naturalne i oczywiste. Tymczasem również w tym zakresie będę miał dla ciebie kilka ciekawostek.

Znamienne jest w tych pytaniach sformułowanie „tak po prostu”. Intuicja podpowiada, że pewnie można to wszystko robić, ale pod pewnymi warunkami, które trzeba spełnić.

Czyli nie wystarczy „tak po prostu”, bo są jeszcze pewne zastrzeżenia. No i właśnie o tych zastrzeżeniach porozmawiamy sobie w dalszej części artykułu.

Prakreacja.pl
Początkowo chciałem opowiedzieć o wszystkich aspektach korzystania z Facebook Custom Audiences. Szybko jednak okazało się, że sam tylko wątek importowania adresów e-mail do Facebooka jest na tyle rozległy, że wygenerował obszerny artykuł.

Dlatego dzisiaj porozmawiamy o Facebook Custom Audiences wyłącznie w kontekście adresów e-mail, pozostałe kwestie, w szczególności Facebook Pixel, pozostawiając na inną okazję.

Jeżeli nie chcesz przegapić tej innej okazji, zapisz się do newslettera, a otrzymasz powiadomienie o kolejnym materiale bezpośrednio na swoją skrzynkę mailową.

Facebook Custom Audiences na podstawie adresów e-mail

Adresy e-mail to dane osobowe.

Wiem, możesz mi teraz powiedzieć, że przecież nie każdy mail pozwala ustalić tożsamość jego właściciela. Tak, to prawda, zgadzam się.

Adres e-mail to dana osobowa
Zdjęcie autorstwa Miguel Á. Padriñán z Pexels

Czy jesteś jednak w stanie zagwarantować, że w twojej bazie nie ma adresów, które jednak jednoznacznie identyfikują użytkownika? No właśnie. Dlatego lepiej założyć, że adresy e-mail to dane osobowe.

Adresy e-mail możesz gromadzić przy różnych okazjach, np.:

  • zapis do newslettera,
  • zakup w sklepie internetowym,
  • rejestracja konta użytkownika,
  • otrzymanie zapytania ofertowego,
  • udział w konkursie,
  • otrzymanie wizytówki.

Cele i podstawy przetwarzania danych osobowych

W każdej z tych sytuacji adres e-mail potrzebny jest ci do czegoś innego. W żargonie prawniczym mówimy w tym przypadku o celach przetwarzania danych osobowych.

Możesz przetwarzać czyjś adres e-mail by wysłać mu newsletter, ofertę, zrealizować zamówienie, założyć konto użytkownika, zarejestrować w konkursie itp.

Oprócz celu przetwarzania, mamy jeszcze podstawę prawną. Legalne przetwarzanie danych osobowych, w tym adresu e-mail, wymaga odpowiedniej podstawy prawnej.

Podstawy prawne w stosunku do tzw. danych zwykłych są wskazane w art. 6 RODO.

Prakreacja.pl
Art. 6 RODO

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Analizując podstawy prawne przetwarzania danych osobowych w kontekście korzystania z Facebook Custom Audiences, tak naprawdę wchodzą w grę tylko dwie podstawy spośród sześciu, które wymienia art. 6 RODO:

  • zgoda na przetwarzanie danych,
  • prawnie uzasadniony interes realizowany przez administratora (UIA).

Zgoda na Facebook Custom Audiences

Najpewniejszą podstawą przetwarzania danych osobowych pozwalającą na stworzenie Facebook Custom Audience w oparciu o listę adresów e-mail jest zgoda.

Zgoda na Facebook Custom Audiences
Zdjęcie autorstwa Pixabay z Pexels

Problem polega na tym, że nie jest to podstawa wygodna i praktyczna.

Dlaczego?

Zgoda musi być wyraźna, jasna, oddzielona od innych oświadczeń i niebudzącą wątpliwości. Jeśli zatem np. prowadzisz zapisy do newslettera, to oprócz zgody na wysyłkę newslettera musiałbyś odbierać dodatkową zgodę na Facebook Custom Audiences. Nie muszę chyba mówić, że to zabija UX, prawda?

Dlatego większość klientów mojej kancelarii poszukuje innego rozwiązania niż zgoda. Doskonale to rozumiem, więc i tobie opowiem o alternatywie.

Facebook Custom Audiences w oparciu o UIA

Prawnie uzasadniony interes realizowany przez administratora (UIA) to wytrych, który często używany jest tam, gdzie nie można znaleźć innej podstawy prawnej przetwarzania, a bardzo chce się dane przetwarzanie prowadzić.

Problem polega na tym, że do UIA trzeba podchodzić ostrożnie. To nie jest tak, że możesz po prostu powołać się na UIA i hulaj dusza, piekła nie ma.

Oparcie danej czynności przetwarzania na UIA wymaga przeprowadzenia uprzedniego testu równowagi. To jedna z takich czynności, która zawsze powinna być przeprowadzana w ramach wdrożenia RODO, a która często jest pomijana.

W razie kontroli PUODO (Prezes Urzędu Ochrony Danych Osobowych) takie zaniedbanie zostanie bezwzględnie wypunktowane. Wiadomo jednak jak to z tymi kontrolami jest. Nie da się skontrolować wszystkich przedsiębiorców w Polsce, więc wielu po prostu się upiecze.

Niemniej, jeśli chcesz działać w pełni poprawnie pod kątem RODO, pamiętaj o teście równowagi dla każdej czynności, którą opierasz o UIA.

Prakreacja.pl
Jeżeli potrzebujesz pomocy przy RODO w swojej firmie, napisz wiadomość na adres wojciech.wawrzak@prakreacja.pl. Sprawdzimy, co możemy dla ciebie zrobić.

Facebook Custom Audiences w kontekście regulacji szczególnych

RODO przewiduje, że prawnie uzasadnionym interesem administratora (UIA) może być marketing bezpośredni.

To niby świetna wiadomość, bo nie trzeba odbierać dodatkowej zgody od użytkownika, ale czy faktycznie jest tak pięknie, jak mogłoby się wydawać?

Niekoniecznie. Sprawę komplikuje dodatkowa polska regulacja, która wymaga uprzedniej zgody na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej.

Biorąc pod uwagę, że Facebook Custom Audiences wykorzystywane są do targetowania reklam, a definicja informacji handlowej jest szeroka, większość działań prowadzonych z ich zastosowaniem można uznać za wymagające uprzedniej zgody odbiorcy.

Nic nam zatem po UIA w postaci marketingu bezpośredniego na gruncie RODO, jeżeli regulacja szczególna i tak wymaga od nas dodatkowej zgody.

Czy można więc robić Facebook Custom Audiences legalnie?

Chcąc działać w 100% bezpiecznie, musiałbyś odbierać dodatkową zgodę od użytkowników / klientów na import ich adresów e-mail do systemu reklamowego Facebooka.

Paradoks polega na tym, że te adresy i tak tam najpewniej już są. Facebook ma taką ilość informacji na temat wszystkich, że naprawdę trudno zakładać, by nie miał już adresów e-mail, które do niego wgrywasz.

Facebook a dane osobowe
Zdjęcie autorstwa ThisIsEngineering z Pexels

Pazerność Facebooka na dane nie jest jednak dla ciebie żadnym ratunkiem. Wręcz odwrotnie, trend jest raczej taki, by karać za „kolaborację” z Facebookiem, patrz choćby orzecznictwo TSUE (Trybunał Sprawiedliwości Unii Europejskiej) w zakresie współadministrowania danymi z Facebookiem.

Jak to więc jest, że wszyscy korzystają z Facebook Custom Audiences i wgrywają tam posiadane dane?

Odpowiedź jest prosta. Jedno prawo, a drugie jego egzekwowanie.

Niezależnie od niedoskonałości w egzekwowaniu prawa, zachęcam cię do minimalizacji ryzyka. Nie nakłaniam cię do odbierania zgody na wgrywanie maili do Facebook Custom Audiences (choć to najbezpieczniejsza opcja), ale jeśli już korzystasz z takiej opcji, to dobrze byłoby chociaż zakomunikować o tym w polityce prywatności.

Jak uwzględnić Facebook Custom Audiences w polityce prywatności?

Polityka prywatności to jest taki magiczny dokumentów, który pozwala minimalizować ryzyko poprzez wykazywanie się należytą starannością. Im więcej tam powiesz, tym lepiej dla ciebie. Pod warunkiem oczywiście, że twoja słowa są prawdziwe i mają sens.

W kontekście Facebook Custom Audiences kluczowe jest uwzględnienie tego wątku w ramach obowiązku informacyjnego.

Najczęściej wgrywane są do Facebooka maile z listy subskrybentów newslettera lub z listy klientów, którzy dokonali w przeszłości określonych zakupów / skorzystali z określonych usług. Dlatego stosowną informację można przemycić właśnie w ramach szczegółowego opisu tych poszczególnych celów przetwarzania.

Klienci mojej kancelarii najczęściej nie chcą odbierać dodatkowej zgody na Facebook Custom Audiences. Świadomie, z akceptacją ryzyka, podejmują decyzję, że będą opierać się na UIA. Opisujemy im to wtedy fajnie w polityce prywatności i chociaż w tym zakresie klient jest „kryty”.

BONUS: postanowienia do polityki prywatności

Czy korzystanie z Facebook Custom Audiences jest bezpieczne?

Dodatkiem do tego artykułu są przykładowe postanowienia do wykorzystania w polityce prywatności przy opisywaniu korzystania z Facebook Custom Audiences.

Jeżeli jesteś w gronie stałych czytelników bloga, dodatek powinien już być na twoim mailu.

Jeżeli jeszcze nie subskrybujesz newslettera, zapisz się teraz, a jako prezent powitalny otrzymasz wspomniany dodatek.

Dodatkowo, otrzymasz również nieodpłatny dostęp do mini-kursu mailowego na temat prawnych aspektów reklamy.

Prakreacja.pl

Co sam Facebook rekomenduje w sprawie Facebook Custom Audiences?

Na koniec naszego dzisiejszego spotkania chcę ci jeszcze pokazać, w jaki sposób sam Facebook podchodzi do tematu Facebook Custom Audiences. Niech to będzie taki mały dowód, że nie opowiadałem ci tutaj dzisiaj niestworzonych historii wyssanych z palca, ale opisane przeze mnie problemy prawne faktycznie istnieją.

Facebook posługuje się regulaminem grup niestandardowych odbiorców na podstawie listy klientów. Zachęcam cię do zapoznania się z nim w całości, ale dla twojej wygody zebrałem poniżej najważniejsze fragmenty.

Prakreacja.pl
Użytkownik oświadcza (bez ograniczenia innych postanowień niniejszych warunków), że posiada wszystkie prawa i zezwolenia oraz podstawę prawną wymagane do ujawniania Zahaszowanych danych zgodnie z obowiązującymi przepisami, regulacjami i wytycznymi branżowymi.

Użytkownik oświadcza i zapewnia, że Zhaszowane dane nie dotyczą żadnej osoby, która skorzystała z opcji braku zgody na ujawnianie i wykorzystywanie takich danych do tworzenia docelowych grup odbiorców na Facebooku, którą użytkownik bezpośrednio lub pośrednio udostępnił lub zobowiązał się respektować. O ile dana osoba skorzysta z takiej opcji rezygnacji po wykorzystaniu przez użytkownika danych dotyczących tej osoby w celu utworzenia Grupy odbiorców, użytkownik zobowiązuje się usunąć ją z Grupy odbiorców.

Jak widzisz, sam Facebook mówi o zezwoleniu, podstawie prawnej i zgodzie.

W mojej ocenie Facebook zdaje sobie sprawę z komplikacji związanych z tematem, stąd postanowienia regulaminu w tym zakresie są mocno zawoalowane. Niby zezwolenie, potem podstawa prawna, później brak zgody.

To wszystko pokrywa się z tym, co ci dzisiaj opowiedziałem. Że jeśli nie odbierasz zgody na Facebook Custom Audiences, to musisz przynajmniej dawać opcję sprzeciwu i respektować ten sprzeciw. Czyli taki model opt-out.

Facebook Custom Audiences z wykorzystaniem adresów e-mail – podsumowanie

Wgrywanie maili do systemu reklamowego Facebooka nikogo nie dziwi i nikogo nie oburza. Tak się po prostu robi w marketingowym świecie.

Niemniej jednak, prawne aspekty takich działań są dużo bardziej skomplikowane. Gdyby chcieć iść najbardziej bezpieczną drogą, należałoby odbierać oddzielną zgodę na tworzenie Custom Audience w oparciu o adresy e-mail.

Kompromisem jest oparcie się w tym zakresie na UIA i właściwe opisanie procesu w polityce prywatności z zapewnieniem użytkownikowi możliwości wyrażenia sprzeciwu.

Pomoc przy działaniach marketingowych

Prakreacja.pl
Potrzebujesz indywidualnej pomocy prawnej?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Szablon polityki prywatności

Jeśli szukasz szybkiego i prostego sposobu na ogarnięcie polityki prywatności dla twojej strony internetowej, sprawdź szablon, który przygotowałem.

Czy korzystanie z Facebook Custom Audiences jest bezpieczne?

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.