Pozyskiwanie leadów na Facebooku – aspekty prawne

Pozyskiwanie leadów na Facebooku, reklama kontaktowa, Facebook Lead Ads – gdy wpiszesz takie lub podobno hasło w Google, znajdziesz wiele artykułów poświęconych sposobom korzystania z formularzy kontaktowych bezpośrednio w obrębie Facebooka.

Ja nie będę dzisiaj wchodził dzisiaj w buty specjalistów od marketingu i dawał ci wskazówek, jak efektywnie generować leady w ramach imperium Marka Zuckerberga.

Jako prawnik kreatywnych opowiem ci natomiast o tym, o czym ludzie najczęściej nie chcą słuchać, czyli o prawie. Zmierzmy się zatem wspólnie z tematem prawnych aspektów pozyskiwania leadów na Facebooku.

Prakreacja.pl
Uwaga, RODO!
Ten materiał został przygotowany w oparciu o stan prawny obowiązujący przed rozpoczęciem stosowania RODO.

RODO to nie rewolucja, nie zmienia wszystkiego, ale pewne detale mogą wyglądać inaczej.

Z czasem artykuł na pewno doczeka się aktualizacji. Jeżeli chodzi o samo RODO, zapraszam cię tutaj: RODO – czy naprawdę trzeba się bać?

Spis treści

Podcast – artykuł do odsłuchu

Jeżeli wolisz słuchać niż czytać, poniżej znajdziesz dziesiąty odcinek podcastu „Prawo dla kreatywnych”, w którym opowiadam o prawnych aspektach pozyskiwania leadów na Facebooku.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Pozyskiwanie leadów na Facebooku

Sposób działania Facebook Lead Ads jest prosty:

  • użytkownik kilka w reklamę,
  • wyświetla mu się nęcąca propozycja,
  • propozycja ma skłonić do przesłania formularza zawierającego określone dane.

Idea jest zatem taka sama jak w przypadku landingu, tyle że użytkownik nie opuszcza Facebooka.

Właśnie w związku z tym, że wszystko dzieje się w obrębie Facebooka, możesz spotkać się z przekonaniem, że to Facebook jest za wszystko odpowiedzialny, a ty nie musisz się martwić o żadne obowiązki prawne.

To przekonanie jest błędne.

Informuje zresztą o tym sam Facebook w materiałach informacyjnych związanych z reklamą kontaktową, wskazując chociażby na konieczność podlinkowania do własnej polityki prywatności.

Również sam proces tworzenia Facebook Lead Ad pozwala domyśleć się, że korzystając z tej formy reklamy, ciążą na tobie jednak jakieś obowiązki. Nie bez powodu w jednym z kroków masz możliwość dodania własnych informacji prawnych, a nawet stworzenia checkboxów. Spokojnie, wszystko ci wytłumaczę.

Lead = dane osobowe = obowiązki

Gdy użytkownik przesyła formularz w wyniku kliknięcia w reklamę, to przekazuje ci swoje dane osobowe.

Skąd to wiem? Bo przecież o to chodzi w Facebook Lead Ads, by zdobyć dane pozwalające ci skontaktować się z użytkownikiem. Najczęściej będzie to adres e-mail lub numer telefonu połączony z imieniem i nazwiskiem. Czym są takie dane w myśl prawa? Oczywiście, że danymi osobowymi.

Pewnie już wiesz, że dane osobowe = upierdliwe obowiązki. Nie będę zaprzeczał, bo faktycznie tak jest. Nikt nie lubi checkboxów, klauzul informacyjnych i innych wątpliwych przyjemności.

Na kim ciążą te obowiązki?

Na Facebooku? Tak. Facebook realizuje te obowiązki poprzez rozbudowane informacje dotyczące prywatności i postępowania z danymi osobowymi dostępne do poczytania w serwisie.

Czy tylko na Facebooku? Nie tylko. Obowiązki związane z ochroną danych osobowych ciążą również na tobie.

Dlaczego również na tobie? Bo jesteś administratorem danych osobowych przekazywanych ci przez użytkowników.

Pewnie zaraz powiesz „ale zaraz, zaraz – przecież to Facebook fizycznie zbiera i przechowuje te dane”. Tak, to prawda. Nie zmienia to jednak faktu, że to ty korzystasz z tych danych i robisz to we własnych celach, o których samodzielnie decydujesz. To przesądza o tym, że w myśl prawa jesteś administratorem danych osobowych.

Zatem w przypadku działań marketingowych na Facebooku mamy dwóch administratorów danych osobowych:

  • Facebooka,
  • Ciebie.

To, że jesteś administratorem danych osobowych, pociąga za sobą liczne obowiązki.

Prowadzisz sklep internetowy? Konieczne sprawdź poniższe artykuły:

Polityka prywatności

Twoim najbardziej oczywistym obowiązkiem związanym z korzystaniem z Facebook Lead Ads jest posiadanie odpowiedniej polityki prywatności.

Dlaczego ten obowiązek jest najbardziej oczywisty? Bo wspomina o nim sam Facebook, nakazując ci w treści reklamy kontaktowej podlinkowanie do własnej polityki prywatności.

Co w takiej polityce prywatności powinno się znaleźć? To, czego wymagają od administratora danych osobowych przepisy prawa w ramach tzw. obowiązku informacyjnego.

Na gruncie unijnego rozporządzenia dot. ochrony danych osobowych (RODO), które rozpoczyna być stosowane od 25.05.2018 r., osobie, której dane przetwarzasz musisz przekazać następujące informacje:

  • swoje dane identyfikacyjne i kontaktowe,
  • dane kontaktowe inspektora ochrony danych osobowych – jeżeli takiego powołałeś,
  • cel i podstawę przetwarzania danych osobowych,
  • informacje o odbiorcach danych osobowych – jeżeli udostępniasz dane podmiotom trzecim,
  • informacje o przekazywaniu danych do państwa trzeciego – jeżeli takie przekazanie następuje,
  • okres przechowywania danych osobowych,
  • pouczenie o uprawnieniach użytkownika (dostęp do danych, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych, wniesienie skargi do organu nadzorczego),
  • dobrowolność lub obowiązkowość podania danych,
  • informacje o profilowaniu – jeżeli korzystasz z profilowania.

Sporo tego, prawda? Niestety (albo stety – w zależności od punktu widzenia) RODO wprowadza rozszerzony w stosunku do dotychczas obowiązujących przepisów obowiązek informacyjny.

Do 25.05.2018 r. możesz wprawdzie realizować ten obowiązek w mniejszym zakresie wynikającym z ustawy o ochronie danych osobowych, ale biorąc pod uwagę, że czas szybko leci, warto już teraz przygotować politykę prywatności, która będzie odpowiadała standardom obowiązującym od 25.05.2018 r.

RODO zwraca uwagę na jeszcze jedną ważną rzecz – obowiązek informacyjny musisz realizować w sposób:

  • zwięzły,
  • przejrzysty,
  • zrozumiały,
  • łatwo dostępny,
  • prostym i jasnym językiem.
Przygotowałem praktyczne i wyczerpujące kompendium wiedzy na temat RODO. Dostępna jest również wersja audio do wysłuchania. Poradnik RODO znajdziesz tutaj:

Zatem jeżeli będziesz samodzielnie przygotowywać politykę prywatności, to pamiętaj, by posługiwać się prostym i zrozumiałym językiem oraz zadbać o przejrzystość i zgrabną redakcję dokumentu.

Jest jeszcze jedna kwestia – RODO przewiduje, że obowiązek informacyjny masz wykonać podczas pozyskiwania danych osobowych.

Dlatego uważam, że najlepszą opcją jest zawarcie stosownych klauzul informacyjnych bezpośrednio pod formularzami, w których użytkownik podaje swoje dane osobowe.

O ile w przypadku normalnych stron internetowych nie powinno być z tym problemu, o tyle w ramach reklamy kontaktowej na Facebooku może być o to ciężko.

Jasne, możesz zamieścić wszystkie te informacje w ramach miejsca, które daje ci Facebook, ale już sobie wyobrażam minę użytkownika, który trafia na taki formularz.

Dlatego jestem zdania, że obowiązek informacyjny możesz zrealizować w treści polityki prywatności, a w samym formularzu wskazać najwyżej, że szczegóły związane z przetwarzaniem danych osobowych znajdują się właśnie w polityce.

Pytanie, jakie może ci się w tym momencie nasunąć, to co w sytuacji gdy już masz jedną politykę prywatności na swojej stronie internetowej.

No wiesz, tę, w której wskazujesz zasady dotyczące ochrony danych osobowych przesyłanych za pośrednictwem formularzy dostępnych na stronie, postępowania z plikami cookies, wykorzystywania innych technologii śledzących takich jak Pixel Facebooka czy Google Analytics, a w końcu informacje o logach serwera.

Jeżeli masz taką politykę prywatności, to ja mimo wszystko zachęcam do posiadania odrębnej na potrzeby pozyskiwania leadów na Facebooku. Dlaczego? Skoro RODO stawia na przejrzystość i transparentność, to odsyłanie użytkownika do jednego zbiorczego dokumentu, w którym znajdują się postanowienia dotyczące wielu różnych stanów faktycznych niekoniecznie będzie dla niego proste, łatwe i czytelne.

Oczywiście nie twierdzę, że mam monopol na prawdę. Ostateczną decyzję pozostawiam tobie. Posiadanie jednej zbiorczej polityki prywatności nie będzie jakimś wielkim błędem, ale jako dobrą praktykę ja wskazywałbym stworzenie odrębnego dokumentu na potrzeby Facebook Lead Ads. Tym bardziej, że to nie musi być żaden bardzo skomplikowany i sformalizowany dokumenty.

Checkbox

Zacząłem od polityki prywatności jako najbardziej oczywistego obowiązku związanego z Facebook Lead Ads, ale tak naprawdę to jest coś, o czym powinieneś pomyśleć jeszcze przed polityką prywatności.

Co to takiego? Podstawa przetwarzania danych osobowych. Brzmi tajemniczo? Już tłumaczę.

Jeżeli chcesz legalnie przetwarzać cudze dane osobowe, musisz mieć odpowiednią podstawę przetwarzania danych osobowych.

RODO przewiduje następujące podstawy przetwarzania danych osobowych:

  • zgoda użytkownika,
  • realizacja umowy z użytkownikiem,
  • podjęcie działań przed zawarciem umowy na żądanie użytkownika,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów użytkownika,
  • wykonanie zadania realizowanego w interesie publicznym,
  • prawnie uzasadnione interesy administratora.

Trochę tych podstaw jest, ale w działaniach marketingowych najczęściej korzysta się ze zgody użytkownika. Również w przypadku Facebook Lead Ads polecam opieranie się na zgodzie.

Skąd wziąć taką zgodę? Odebrać bezpośrednio od użytkownika.

W jaki sposób? Poprzez checkbox, który możesz dodać w ramach formularza reklamy kontaktowej.

Treść tego checkboxa powinna odpowiadać celowi, dla którego zbierasz dane osobowe. Jeżeli pozyskujesz adresy e-mail w celu przyszłego mailingu, checkbox może brzmieć np. tak:

Wyrażam zgodę na otrzymywanie na mój adres e-mail informacji o nowościach, promocjach, produktach i usługach XYZ Sp. z o.o. z siedzibą w Warszawie.

Jeżeli zbierasz numery telefonu, by realizować połączenia marketingowe, checkbox może wyglądać np. tak:

Wyrażam zgodę na kontakt telefoniczny realizowany przez XYZ Sp. z o.o. z siedzibą w Warszawie w celach marketingowych.

Pamiętaj, by checkbox zawsze odpowiadał rzeczywistemu celowi, w jakim planujesz wykorzystywać dane. Jeżeli odbierasz zgodę na mailing, to nie możesz potem dzwonić. Jeżeli użytkownik zgodził się na kontakt telefoniczny, to nie możesz następnie realizować mailingu.

Pamiętaj również o podstawowej zasadzie przy konstruowaniu zgód i checkboxów – jeden środek komunikacji to jeden checkbox. Nie możesz łączyć różnych środków komunikacji w ramach jednej zgody.

Na temat zgód marketingowych przeczytasz więcej tutaj:

Środki ochrony i dokumentacja

Wiesz już, że Facebook Lead Ads wymaga polityki prywatności i checkboxa. Czy to wszystko? Niestety nie.

Musisz pamiętać o jeszcze jednym obowiązku administratora danych osobowych, jakim jest wdrożenie odpowiednich środków bezpieczeństwa i ochrony danych osobowych. Odpowiednich ze względu na zakres, kontekst, charakter i cele przetwarzania danych osobowych oraz ze względu na ryzyko związane z przetwarzaniem danych osobowych.

Obowiązująca aktualnie ustawa o ochronie danych osobowych oraz rozporządzenie wykonawcze do niej przewidują katalog środków do zastosowania przez administratora.

RODO, które rozpoczyna być stosowne od 25.05.2018 r. postępuje w tej kwestii mądrzej i nie wymienia żadnych konkretnych środków, lecz nakłada na administratora obowiązek zastanowienia się, jakie środki będą odpowiednie, a następnie ich zastosowania.

Jakie mogą być to środki? Kilka przykładów:

  • zabezpieczenie dostępu do komputera z wykorzystanie którego przetwarzane są dane osobowe,
  • zastosowanie systemu Firewall do dostępu do sieci komputerowej,
  • zastosowanie środków ochrony antywirusowej,
  • przeszkolenie osób przetwarzających dane w zakresie ochrony danych osobowych,
  • ustalenie różnych zakresów dostępu do danych osobowych dla poszczególnych użytkowników,
  • zastosowanie drugiego faktora przy dostępie do systemów w których przetwarzane są dane osobowe,
  • wykonywanie kopii zapasowych danych osobowych i zabezpieczenie ich przed dostępem osób trzecich.

To tylko przykłady. Środków bezpieczeństwa może być dużo więcej. O ich zastosowaniu decydujesz na etapie wdrożenia ochrony danych osobowych.

Prakreacja.pl
O samym wdrożeniu ochrony danych osobowych można byłoby napisać oddzielną książkę. Ja staram się już zmierzać do końca w tym artykule, więc nie rozwijam wątku. Jeżeli chcesz porozmawiać na ten temat indywidualnie, to wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Powiem jeszcze tylko, że te wszystkie środki bezpieczeństwa oraz wszystkie inne informacje związane z przetwarzaniem danych osobowych w twojej firmie powinny zostać zawarte w tzw. wewnętrznej dokumentacji ochrony danych osobowych, na którą obecnie składają się:

  • polityka bezpieczeństwa przetwarzania danych osobowych,
  • instrukcja zarządzania systemami informatycznymi.

Posiadanie takiej dokumentacji jest obowiązkowe na gruncie aktualnej ustawy o ochronie danych osobowych. Wraz z rozpoczęciem stosowania RODO (od 25.05.2018 r.) obowiązek posiadania odpowiednich polityk będzie oceniany przez samego administratora w ramach podjęcia decyzji co do odpowiednich środków ochrony danych osobowych.

Ja uważam, że posiadanie takiej dokumentacji zawsze będzie dobrą praktyką i dowodem dołożenia należytej staranności w zakresie ochrony danych osobowych. Szczególne znaczenie ma to w większych organizacjach, gdzie stosowne polityki są również elementem edukacji i szkolenia pracowników, którzy muszą zostać poinformowani, w jaki sposób mają postępować z danymi osobowymi.

W ramach tego wątku zwracam twoją uwagę na jeszcze jeden ważny fakt – dokumentacja ochrony danych osobowych nie dotyczy wyłącznie Facebook Lead Ads. Jeżeli już korzystasz z tej formy reklamy, to prawdopodobnie masz również wiele innych zbiorów danych osobowych, takich jak np.:

  • użytkownicy,
  • klienci,
  • faktury,
  • akta pracownicze,
  • zbiory umów,
  • inne listy i rejestry.

Dane zbierane w ramach pozyskiwania leadów na Facebooku będą najczęściej częścią zbioru marketingowego, ale pamiętaj, że to nie jedyny zbiór w twojej firmie. Jeżeli jeszcze nie zainteresowałeś się ochroną danych osobowych u siebie, wdrożenie prawne Facebook Lead Ads może być dobrą okazją, by ogarnąć temat całościowo.

Podsumowanie

Zmęczony? Masz prawo. Ochrona danych osobowych nie jest rzeczą łatwą i przyjemną. Unia Europejska kładzie jednak coraz większy nacisk na tę dziedzinę prawa, o czym świadczy choćby unijne rozporządzenie stosowane od 25.05.2018 r.

Do ochrony danych osobowych coraz większą wagę zaczynają również przykładać sami użytkownicy świadomi swoich praw i twoich obowiązków w tym zakresie.

Dlatego jeżeli jeszcze nie robiłeś nic w tym temacie albo nie jesteś pewny, czy zrobiłeś wystarczająco dużo, to warto przysiąść do tematu.

Również w kontekście Facebook Lead Ads, które to narzędzie samo w sobie pociąga sporo obowiązków w zakresie ochrony danych osobowych. Oto najważniejsze z nich:

  • polityka prywatności,
  • checkbox ze zgodą na przetwarzanie danych,
  • środki bezpieczeństwa i ochrony,
  • dokumentacja ochrony danych osobowych,

Wszystkie te obowiązki opisałem w dzisiejszym artykule. Jest długi, ale myślę, że jego lektura będzie dla ciebie przydatna. W razie jakichkolwiek pytań, napisz w komentarzu lub na adres wojciech.wawrzak@prakreacja.pl.

Newsletter

Zapisz się na newsletter, by nie przegapić kolejnych artykułów.

Prakreacja.pl

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.