Nawigacja

Pozyskiwanie leadów na Facebooku, reklama kontaktowa, Facebook Lead Ads – gdy wpiszesz takie lub podobno hasło w Google, znajdziesz wiele artykułów poświęconych sposobom korzystania z formularzy kontaktowych bezpośrednio w obrębie Facebooka.

Ja nie będę dzisiaj wchodził dzisiaj w buty specjalistów od marketingu i dawał ci wskazówek, jak efektywnie generować leady w ramach imperium Marka Zuckerberga.

Jako prawnik kreatywnych opowiem ci natomiast o tym, o czym ludzie najczęściej nie chcą słuchać, czyli o prawie. Zmierzmy się zatem wspólnie z tematem prawnych aspektów pozyskiwania leadów na Facebooku.

Podcast – artykuł do odsłuchu

Jeżeli wolisz słuchać niż czytać, poniżej znajdziesz dziesiąty odcinek podcastu “Prawo dla kreatywnych”, w którym opowiadam o prawnych aspektach pozyskiwania leadów na Facebooku.

Podobał ci się odcinek? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Podcastu “Prawo dla kreatywnych” możesz słuchać regularnie w następujących miejscach:

Wszystkie pozostałe odcinki podcastu “Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Pozyskiwanie leadów na Facebooku

Sposób działania Facebook Lead Ads jest prosty:

  • użytkownik kilka w reklamę,
  • wyświetla mu się nęcąca propozycja,
  • propozycja ma skłonić do przesłania formularza zawierającego określone dane.

Idea jest zatem taka sama jak w przypadku landingu, tyle że użytkownik nie opuszcza Facebooka.

Właśnie w związku z tym, że wszystko dzieje się w obrębie Facebooka, możesz spotkać się z przekonaniem, że to Facebook jest za wszystko odpowiedzialny, a ty nie musisz się martwić o żadne obowiązki prawne.

To przekonanie jest błędne.

Informuje zresztą o tym sam Facebook w materiałach informacyjnych związanych z reklamą kontaktową, wskazując chociażby na konieczność podlinkowania do własnej polityki prywatności.

Również sam proces tworzenia Facebook Lead Ad pozwala domyśleć się, że korzystając z tej formy reklamy, ciążą na tobie jednak jakieś obowiązki. Nie bez powodu w jednym z kroków masz możliwość dodania własnych informacji prawnych, a nawet stworzenia checkboxów. Spokojnie, wszystko ci wytłumaczę.

Lead = dane osobowe = obowiązki

Gdy użytkownik przesyła formularz w wyniku kliknięcia w reklamę, to przekazuje ci swoje dane osobowe.

Skąd to wiem? Bo przecież o to chodzi w Facebook Lead Ads, by zdobyć dane pozwalające ci skontaktować się z użytkownikiem. Najczęściej będzie to adres e-mail lub numer telefonu połączony z imieniem i nazwiskiem. Czym są takie dane w myśl prawa? Oczywiście, że danymi osobowymi.

Pewnie już wiesz, że dane osobowe = upierdliwe obowiązki. Nie będę zaprzeczał, bo faktycznie tak jest. Nikt nie lubi checkboxów, klauzul informacyjnych i innych wątpliwych przyjemności.

Na kim ciążą te obowiązki?

Na Facebooku? Tak. Facebook realizuje te obowiązki poprzez rozbudowane informacje dotyczące prywatności i postępowania z danymi osobowymi dostępne do poczytania w serwisie.

Czy tylko na Facebooku? Nie tylko. Obowiązki związane z ochroną danych osobowych ciążą również na tobie.

Dlaczego również na tobie? Bo jesteś administratorem danych osobowych przekazywanych ci przez użytkowników.

Pewnie zaraz powiesz “ale zaraz, zaraz – przecież to Facebook fizycznie zbiera i przechowuje te dane”. Tak, to prawda. Nie zmienia to jednak faktu, że to ty korzystasz z tych danych i robisz to we własnych celach, o których samodzielnie decydujesz. To przesądza o tym, że w myśl prawa jesteś administratorem danych osobowych.

Zatem w przypadku działań marketingowych na Facebooku mamy dwóch administratorów danych osobowych:

  • Facebooka,
  • Ciebie.

To, że jesteś administratorem danych osobowych, pociąga za sobą liczne obowiązki.

Prowadzisz sklep internetowy? Konieczne sprawdź poniższe artykuły:

Polityka prywatności

Twoim najbardziej oczywistym obowiązkiem związanym z korzystaniem z Facebook Lead Ads jest posiadanie odpowiedniej polityki prywatności.

Dlaczego ten obowiązek jest najbardziej oczywisty? Bo wspomina o nim sam Facebook, nakazując ci w treści reklamy kontaktowej podlinkowanie do własnej polityki prywatności.

Co w takiej polityce prywatności powinno się znaleźć? To, czego wymagają od administratora danych osobowych przepisy prawa w ramach tzw. obowiązku informacyjnego.

Na gruncie unijnego rozporządzenia dot. ochrony danych osobowych (RODO), które rozpoczyna być stosowane od 25.05.2018 r., osobie, której dane przetwarzasz musisz przekazać następujące informacje:

  • swoje dane identyfikacyjne i kontaktowe,
  • dane kontaktowe inspektora ochrony danych osobowych – jeżeli takiego powołałeś,
  • cel i podstawę przetwarzania danych osobowych,
  • informacje o odbiorcach danych osobowych – jeżeli udostępniasz dane podmiotom trzecim,
  • informacje o przekazywaniu danych do państwa trzeciego – jeżeli takie przekazanie następuje,
  • okres przechowywania danych osobowych,
  • pouczenie o uprawnieniach użytkownika (dostęp do danych, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych, wniesienie skargi do organu nadzorczego),
  • dobrowolność lub obowiązkowość podania danych,
  • informacje o profilowaniu – jeżeli korzystasz z profilowania.

Sporo tego, prawda? Niestety (albo stety – w zależności od punktu widzenia) RODO wprowadza rozszerzony w stosunku do dotychczas obowiązujących przepisów obowiązek informacyjny.

Do 25.05.2018 r. możesz wprawdzie realizować ten obowiązek w mniejszym zakresie wynikającym z ustawy o ochronie danych osobowych, ale biorąc pod uwagę, że czas szybko leci, warto już teraz przygotować politykę prywatności, która będzie odpowiadała standardom obowiązującym od 25.05.2018 r.

RODO zwraca uwagę na jeszcze jedną ważną rzecz – obowiązek informacyjny musisz realizować w sposób:

  • zwięzły,
  • przejrzysty,
  • zrozumiały,
  • łatwo dostępny,
  • prostym i jasnym językiem.
Przygotowałem praktyczne i wyczerpujące kompendium wiedzy na temat RODO. Dostępna jest również wersja audio do wysłuchania. Poradnik RODO znajdziesz tutaj:

Zatem jeżeli będziesz samodzielnie przygotowywać politykę prywatności, to pamiętaj, by posługiwać się prostym i zrozumiałym językiem oraz zadbać o przejrzystość i zgrabną redakcję dokumentu.

Jest jeszcze jedna kwestia – RODO przewiduje, że obowiązek informacyjny masz wykonać podczas pozyskiwania danych osobowych.

Dlatego uważam, że najlepszą opcją jest zawarcie stosownych klauzul informacyjnych bezpośrednio pod formularzami, w których użytkownik podaje swoje dane osobowe.

O ile w przypadku normalnych stron internetowych nie powinno być z tym problemu, o tyle w ramach reklamy kontaktowej na Facebooku może być o to ciężko.

Jasne, możesz zamieścić wszystkie te informacje w ramach miejsca, które daje ci Facebook, ale już sobie wyobrażam minę użytkownika, który trafia na taki formularz.

Dlatego jestem zdania, że obowiązek informacyjny możesz zrealizować w treści polityki prywatności, a w samym formularzu wskazać najwyżej, że szczegóły związane z przetwarzaniem danych osobowych znajdują się właśnie w polityce.

Pytanie, jakie może ci się w tym momencie nasunąć, to co w sytuacji gdy już masz jedną politykę prywatności na swojej stronie internetowej.

No wiesz, tę, w której wskazujesz zasady dotyczące ochrony danych osobowych przesyłanych za pośrednictwem formularzy dostępnych na stronie, postępowania z plikami cookies, wykorzystywania innych technologii śledzących takich jak Pixel Facebooka czy Google Analytics, a w końcu informacje o logach serwera.


Polityka prywatności i plików cookies

Jeżeli jeszcze nie masz ogólnej polityki prywatności, możesz kupić ode mnie szablon w cenie 79 zł brutto. Kliknij w przycisk poniżej, by zobaczyć ofertę.

Zobacz ofertę

Jeżeli masz taką politykę prywatności, to ja mimo wszystko zachęcam do posiadania odrębnej na potrzeby pozyskiwania leadów na Facebooku. Dlaczego? Skoro RODO stawia na przejrzystość i transparentność, to odsyłanie użytkownika do jednego zbiorczego dokumentu, w którym znajdują się postanowienia dotyczące wielu różnych stanów faktycznych niekoniecznie będzie dla niego proste, łatwe i czytelne.

Oczywiście nie twierdzę, że mam monopol na prawdę. Ostateczną decyzję pozostawiam tobie. Posiadanie jednej zbiorczej polityki prywatności nie będzie jakimś wielkim błędem, ale jako dobrą praktykę ja wskazywałbym stworzenie odrębnego dokumentu na potrzeby Facebook Lead Ads. Tym bardziej, że to nie musi być żaden bardzo skomplikowany i sformalizowany dokumenty.

Z myślą o tym artykule przygotowałem oddzielny wzór polityki prywatności na potrzeby działań reklamowych na Facebooku. Wzór możesz kupić w cenie 39 zł. Kliknij w przycisk poniżej, by dokonać zakupu. Za dokument zapłacisz szybkim przelewem elektronicznym lub kartą, a politykę otrzymasz natychmiast po dokonaniu płatności.

Checkbox

Zacząłem od polityki prywatności jako najbardziej oczywistego obowiązku związanego z Facebook Lead Ads, ale tak naprawdę to jest coś, o czym powinieneś pomyśleć jeszcze przed polityką prywatności.

Co to takiego? Podstawa przetwarzania danych osobowych. Brzmi tajemniczo? Już tłumaczę.

Jeżeli chcesz legalnie przetwarzać cudze dane osobowe, musisz mieć odpowiednią podstawę przetwarzania danych osobowych.

RODO przewiduje następujące podstawy przetwarzania danych osobowych:

  • zgoda użytkownika,
  • realizacja umowy z użytkownikiem,
  • podjęcie działań przed zawarciem umowy na żądanie użytkownika,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów użytkownika,
  • wykonanie zadania realizowanego w interesie publicznym,
  • prawnie uzasadnione interesy administratora.

Trochę tych podstaw jest, ale w działaniach marketingowych najczęściej korzysta się ze zgody użytkownika. Również w przypadku Facebook Lead Ads polecam opieranie się na zgodzie.

Skąd wziąć taką zgodę? Odebrać bezpośrednio od użytkownika.

W jaki sposób? Poprzez checkbox, który możesz dodać w ramach formularza reklamy kontaktowej.

Treść tego checkboxa powinna odpowiadać celowi, dla którego zbierasz dane osobowe. Jeżeli pozyskujesz adresy e-mail w celu przyszłego mailingu, checkbox może brzmieć np. tak:

Wyrażam zgodę na otrzymywanie na mój adres e-mail informacji o nowościach, promocjach, produktach i usługach XYZ Sp. z o.o. z siedzibą w Warszawie.

Jeżeli zbierasz numery telefonu, by realizować połączenia marketingowe, checkbox może wyglądać np. tak:

Wyrażam zgodę na kontakt telefoniczny realizowany przez XYZ Sp. z o.o. z siedzibą w Warszawie w celach marketingowych.

Pamiętaj, by checkbox zawsze odpowiadał rzeczywistemu celowi, w jakim planujesz wykorzystywać dane. Jeżeli odbierasz zgodę na mailing, to nie możesz potem dzwonić. Jeżeli użytkownik zgodził się na kontakt telefoniczny, to nie możesz następnie realizować mailingu.

Pamiętaj również o podstawowej zasadzie przy konstruowaniu zgód i checkboxów – jeden środek komunikacji to jeden checkbox. Nie możesz łączyć różnych środków komunikacji w ramach jednej zgody.

Na temat zgód marketingowych przeczytasz więcej tutaj:

Środki ochrony i dokumentacja

Wiesz już, że Facebook Lead Ads wymaga polityki prywatności i checkboxa. Czy to wszystko? Niestety nie.

Musisz pamiętać o jeszcze jednym obowiązku administratora danych osobowych, jakim jest wdrożenie odpowiednich środków bezpieczeństwa i ochrony danych osobowych. Odpowiednich ze względu na zakres, kontekst, charakter i cele przetwarzania danych osobowych oraz ze względu na ryzyko związane z przetwarzaniem danych osobowych.

Obowiązująca aktualnie ustawa o ochronie danych osobowych oraz rozporządzenie wykonawcze do niej przewidują katalog środków do zastosowania przez administratora.

RODO, które rozpoczyna być stosowne od 25.05.2018 r. postępuje w tej kwestii mądrzej i nie wymienia żadnych konkretnych środków, lecz nakłada na administratora obowiązek zastanowienia się, jakie środki będą odpowiednie, a następnie ich zastosowania.

Jakie mogą być to środki? Kilka przykładów:

  • zabezpieczenie dostępu do komputera z wykorzystanie którego przetwarzane są dane osobowe,
  • zastosowanie systemu Firewall do dostępu do sieci komputerowej,
  • zastosowanie środków ochrony antywirusowej,
  • przeszkolenie osób przetwarzających dane w zakresie ochrony danych osobowych,
  • ustalenie różnych zakresów dostępu do danych osobowych dla poszczególnych użytkowników,
  • zastosowanie drugiego faktora przy dostępie do systemów w których przetwarzane są dane osobowe,
  • wykonywanie kopii zapasowych danych osobowych i zabezpieczenie ich przed dostępem osób trzecich.

To tylko przykłady. Środków bezpieczeństwa może być dużo więcej. O ich zastosowaniu decydujesz na etapie wdrożenia ochrony danych osobowych.

O samym wdrożeniu ochrony danych osobowych można byłoby napisać oddzielną książkę. Ja staram się już zmierzać do końca w tym artykule, więc nie rozwijam wątku. Jeżeli chcesz porozmawiać na ten temat indywidualnie, to wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Powiem jeszcze tylko, że te wszystkie środki bezpieczeństwa oraz wszystkie inne informacje związane z przetwarzaniem danych osobowych w twojej firmie powinny zostać zawarte w tzw. wewnętrznej dokumentacji ochrony danych osobowych, na którą obecnie składają się:

  • polityka bezpieczeństwa przetwarzania danych osobowych,
  • instrukcja zarządzania systemami informatycznymi.

Posiadanie takiej dokumentacji jest obowiązkowe na gruncie aktualnej ustawy o ochronie danych osobowych. Wraz z rozpoczęciem stosowania RODO (od 25.05.2018 r.) obowiązek posiadania odpowiednich polityk będzie oceniany przez samego administratora w ramach podjęcia decyzji co do odpowiednich środków ochrony danych osobowych.

Ja uważam, że posiadanie takiej dokumentacji zawsze będzie dobrą praktyką i dowodem dołożenia należytej staranności w zakresie ochrony danych osobowych. Szczególne znaczenie ma to w większych organizacjach, gdzie stosowne polityki są również elementem edukacji i szkolenia pracowników, którzy muszą zostać poinformowani, w jaki sposób mają postępować z danymi osobowymi.

W ramach tego wątku zwracam twoją uwagę na jeszcze jeden ważny fakt – dokumentacja ochrony danych osobowych nie dotyczy wyłącznie Facebook Lead Ads. Jeżeli już korzystasz z tej formy reklamy, to prawdopodobnie masz również wiele innych zbiorów danych osobowych, takich jak np.:

  • użytkownicy,
  • klienci,
  • faktury,
  • akta pracownicze,
  • zbiory umów,
  • inne listy i rejestry.

Dane zbierane w ramach pozyskiwania leadów na Facebooku będą najczęściej częścią zbioru marketingowego, ale pamiętaj, że to nie jedyny zbiór w twojej firmie. Jeżeli jeszcze nie zainteresowałeś się ochroną danych osobowych u siebie, wdrożenie prawne Facebook Lead Ads może być dobrą okazją, by ogarnąć temat całościowo.

Zgłoszenie zbioru do GIODO

Uff… zbliżamy się ku końcowi. Tym końcem jest zgłoszenie zbioru danych osobowych do GIODO.

Zdziwiony, że mówię o tym dopiero na końcu? Jeżeli tak, to pewnie dotychczas byłeś przekonany, że w ochronie danych osobowych chodzi tylko o zgłoszenie do GIODO. To dość powszechne zjawisko. W dalszym ciągu otrzymuje wiele wiadomości z pytaniem, za ile wykonam zgłoszenie do GIODO.

Mówię o tym przy wielu okazjach i podkreślę to również tutaj – samo zgłoszenie do GIODO to jedynie czynność techniczna, kończąca cały proces wdrożenia ochrony danych osobowych. Zrobienie tylko zgłoszenia nic nie daje.

Problem z błędnym rozumieniem znaczenia zgłoszenia zbioru został rozwiązany przez RODO, które od 25.05.2018 r. eliminuje obowiązek zgłaszania zbiorów. Nie oznacza to jednak bynajmniej, byśmy od tej daty przestali chronić dane osobowe.

Wręcz przeciwnie, RODO skupia się na rzeczywistej, a nie formalnej ochronie danych osobowych. Czyli kładzie nacisk na te obowiązki administratora danych osobowych, które rzeczywiście zapewniają bezpieczeństwo danych oraz dają użytkownikom wiedzę, co z ich danymi osobowymi się dzieje.

Obowiązku zgłoszenia zbiorów wprawdzie nie będzie, ale część administratorów będzie musiała prowadzić rejestr czynności przetwarzania danych osobowych. RODO przewiduje kiedy taki rejestr będzie obowiązkowy, a kiedy dobrowolny, ale ja powiem to, co powiedziałem przy okazji dokumentacji – zawsze warto mieć takie dokumenty, bo to dobra praktyka i dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.

Tym bardziej, że taki rejestr to nic innego jak opis funkcjonujących zbiorów, a przecież wyodrębnienie zbiorów to jedna z podstaw wdrożenia ochrony danych osobowych.

Póki co, aktualnie obowiązująca ustawa o ochronie danych osobowych cały czas przewiduje obowiązek zgłoszenia zbiorów. Zatem mimo że ten obowiązek zniknie od 25.05.2018 r. i mimo że do tego czasu twój wniosek zgłoszeniowy nie zostanie rozpatrzony przez GIODO, to funkcjonujące u siebie zbiory powinieneś zgłosić, stosując się do obowiązujących przepisów prawa.

Nie będę teraz omawiał całej procedury zgłoszeniowej, bo nie skończylibyśmy do wieczora. Powiem ci tylko tyle, że gdy przejdziesz przez cały proces ochrony danych osobowych, czyli wyodrębnisz zbiory, wdrożysz odpowiednie środki ochrony, przygotujesz stosowną dokumentację, to samo zgłoszenie będzie bardzo proste.

Zgłoszenie to bowiem nic innego jak zadeklarowanie tego wszystkiego, co wykonałeś w zakresie ochrony danych osobowych przed zgłoszeniem.

Jeżeli potrzebujesz indywidualnej pomocy w zakresie ochrony danych osobowych, to wyślij do mnie wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Podsumowanie

Zmęczony? Masz prawo. Ochrona danych osobowych nie jest rzeczą łatwą i przyjemną. Unia Europejska kładzie jednak coraz większy nacisk na tę dziedzinę prawa, o czym świadczy choćby unijne rozporządzenie stosowane od 25.05.2018 r.

Do ochrony danych osobowych coraz większą wagę zaczynają również przykładać sami użytkownicy świadomi swoich praw i twoich obowiązków w tym zakresie.

Dlatego jeżeli jeszcze nie robiłeś nic w tym temacie albo nie jesteś pewny, czy zrobiłeś wystarczająco dużo, to warto przysiąść do tematu.

Również w kontekście Facebook Lead Ads, które to narzędzie samo w sobie pociąga sporo obowiązków w zakresie ochrony danych osobowych. Oto najważniejsze z nich:

  • polityka prywatności,
  • checkbox ze zgodą na przetwarzanie danych,
  • środki bezpieczeństwa i ochrony,
  • dokumentacja ochrony danych osobowych,
  • zgłoszenia do GIODO.

Wszystkie te obowiązki opisałem w dzisiejszym artykule. Jest długi, ale myślę, że jego lektura będzie dla ciebie przydatna. W razie jakichkolwiek pytań, napisz w komentarzu lub na adres wojciech.wawrzak@prakreacja.pl.

Podobał ci się ten artykuł? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Gotowy wzór polityki

Pamiętaj, że możesz kupić ode mnie wzór specjalnej polityki prywatności na potrzeby działań marketingowych na Facebooku. Wzór kosztuje 39 zł. Zapłacisz za niego szybkim przelewem elektronicznym lub kartą, a dokument otrzymasz na maila natychmiast po dokonaniu płatności. Kliknij w przycisk poniżej, by kupić politykę.

Chcesz wiedzieć więcej? Odwiedź strefę wiedzy.

Zapisz się na newsletter, by nie przegapić kolejnych artykułów.

Powyższych zgód udzielasz mi, czyli Wojciechowi Wawrzak, ul. Tatrzańska 91/51, 93-279 Łódź. Twoje dane będą przetwarzane wyłącznie w celu przesyłania newsletteru. W każdej chwili będziesz mógł uzyskać dostęp do swoich danych, poprawić je lub usunąć. Podanie danych jest dobrowolne, ale niezbędne do zapisu na newsletter.

  • Anet

    Czy “Wraz z rozpoczęciem stosowania RODO (od 25.05.2018 r.) obowiązek posiadania odpowiednich polityk będzie oceniany przez samego administratora” oznacza, że od dnia wejścia w życie postanowień RODO nie będzie przymusu prawnego prowadzenia tej dokumentacji? Czyżby ustawodawcy dostrzegli, że wymyślone przez nich skomplikowane i drogie w realizacji prawo dotyczyło w wiekszości małych podmiotów, firemek i blogerów, dla których cała ta biurokracja to wysoki koszt pieniężny oraz czasowy i postanowili im ułatwić prowadzenie biznesu?

    Poddam pomysł na nowy artykuł 🙂 Różnice między obowiązkami związanymi z przetwarzaniem danych przed i po 25.05.2018 🙂

    • Tak, polityka bezpieczeństwa przetwarzania danych osobowych i instrukcja zarządzania systemami informatycznymi nie będą już obowiązkowe tak jak teraz. Aczkolwiek tak jak napisałem w artykule – jakąś choćby podstawową dokumentację zawsze warto mieć. Jeżeli chodzi o pomysł na artykuł, to już się takowy tworzy – myślę, że publikacja za dwa tygodnie. 🙂

  • Jan

    Ma Pan bardzo praktyczne podejście. Widzę jednak, że nie poruszył Pan wątku umów powierzenia, a ten aspekt przy korzystaniu z sieci społecznościowych jest dla mnie dość ciekawy. Czy skoro fb daje nam narzędzie, a my nim realizujemy własne cele, to czy w ramach gromadzenia i przechowywania danych o leadach nie powinniśmy zawrzeć umowy powierzenia ? Czy podobnie nie powinno być z prowadzonymi czatami, rejestr czatów, też zapewne byłby częścią jakiegoś naszego zbioru.

    Jak Pan uważa? Czy tu występuje powierzenie, czy jest to zbiór udostępniany, czy może jeszcze jakoś inaczej to ocenić?

    • Dzień dobry, Panie Janie! Dziękuję za komentarz i ciepłe słowa oraz za zwrócenie uwagi na ważną kwestię. Uważam, że w tym przypadku nie jest konieczne zawieranie umowy powierzenia, ponieważ Facebook występuje jako niezależny, samodzielny administrator danych osobowych, który wypełnia swoje obowiązki informacyjne w stosunku do użytkowników poprzez obszerne polityki prywatności dostępne w serwisie.