Artykuł pochodzi z raportu „Era post (third party) cookies. Pobierz bezpłatnie cały raport TUTAJ
O tym jakie wymagania powinna spełniać zgoda na działania marketingowe online z Witoldem Chomiczewskim, radcą prawnym, Wspólnikiem w Lubasz i Wspólnicy – Kancelaria Radców Prawnych rozmawia Joanna Blewąska, Digital Strategy Specialist, Bluerank:
Joanna Blewąska: Panie Macenasie, proszę przypomnieć, dlaczego potrzebujemy zgód?
Witold Chomiczewski: W wielu działaniach marketingowych w Internecie przetwarzane są dane osobowe. Zgodnie z RODO są to informacje o zidentyfikowanym lub możliwym do zidentyfikowania człowieku. Możliwa do zidentyfikowania z kolei jest osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie m.in. takich identyfikatorów, jak imię i nazwisko, dane o lokalizacji lub identyfikator internetowy. Takim identyfikatorem może być przykładowo cookie-ID lub user-ID. Następnie z identyfikatorem tym mogą być łączone informacje o działaniach użytkownika w sieci np. wejścia na określone strony internetowe. W ten sposób informacje te stają się danymi osobowymi na temat konkretnej osoby. To z kolei powoduje, że administratorzy takich danych muszą mieć podstawę prawną do ich przetwarzania. Jedną z nich jest właśnie zgoda.
Jakie wymagania musi spełniać zgoda?
RODO definiuje zgodę jako okazanie woli przez podmiot danych, w którym pozwala on na przetwarzanie jego danych osobowych. Przy czym, co niezwykle istotne takie okazanie woli musi spełniać cztery warunki. Musi być: dobrowolne, konkretne, świadome i jednoznaczne.
Co oznaczają te warunki?
Zgoda jest dobrowolna wówczas, gdy mamy autentyczną możliwość wyboru, czyli brak wyrażenia zgody nie niesie ze sobą negatywnych konsekwencji dla nas. Co ważne w RODO od jej udzielenia administrator uzależnia zawarcie przełożyło się to na dopuszczalność tzw. cookie-walls, czyli czy można uzależniać wejście na stronę www od wcześniejszej akceptacji przetwarzania danych osobowych w celach marketingowych związanych zwłaszcza z remarketingiem. Rozstrzygnięcia organów nadzorczych jednoznacznie wyjaśniły, że nie jest to prawidłowa praktyka, chyba że internauta ma wybór: darmowe wejście na stronę ze zgodą na cele marketingowe albo odpłatny dostęp do strony. Przy czym, opłata musi być rynkowa a nie zawyżona jedynie po to, by wpływać na decyzję podmiotu danych.
Konkretność zgody oznacza konieczność jednoznacznego wskazania celu przetwarzania, na który się zgadzamy. Brak jego wskazania lub zbyt ogólne ujęcie np. „cel marketingowy” bez wyjaśnienia, o jakie działania chodzi, sprawi, że zgoda nie będzie konkretna.
Świadomy charakter zgody jest zapewniony poprzez przekazanie podmiotowi danych informacji o wszystkich kluczowych kwestiach związanych z przetwarzaniem, w szczególności tożsamości administratora oraz celach przetwarzania. Wiąże się to zatem po części z wymogiem konkretności.
Jednoznaczność natomiast to wymóg, by nie było wątpliwości, czy dana osoba wyraziła zgodę na przetwarzanie jej danych osobowych. Treść oświadczenia lub okoliczności, w których wyrażana była zgoda nie mogą zatem rodzić wątpliwości. Przykładowo, jeżeli na stronie www znajduje się box z miejscem na podanie adresu e-mail i komunikatem na przycisku obok „zapisz się do naszego newslettera”, to nie będzie wątpliwości, że wpisując tam swój adres e-mail i klikając przycisk chcemy otrzymywać newsletter.
Kto musi udowodnić wyrażenie zgody?
To zadanie RODO wyraźnie tego wymaga. Po pierwsze, mamy zasadę rozliczalności, czyli administrator musi być zawsze w stanie wykazać, że przestrzega przepisów o ochronie danych osobowych.
Po drugie, RODO nakłada na administratora obowiązek, by był w stanie wykazać, że konkretna osoba, której dane osobowe przetwarza, wyraziła na to zgodę.
Czy na tym tle pojawiają się wyzwania w marketingu Internetowym?
Często pojawiają się trudności z wykazaniem, że dana osoba zgodziła się na przetwarzanie jej danych osobowych na potrzeby określonego działania marketingowego. Jest to zwłaszcza częste tam, gdzie wykorzystywane są pliki cookies. Część z administratorów, którzy opierają działania remarketingowe na podstawie zgody nie mieli wystarczających mechanizmów, które pozwalały im na przypisanie konkretnego oświadczenia zawierającego zgodę do danego użytkownika. To jest istotny problem, bo nawet posiadając zgodę, ale nie mogąc tego udowodnić administrator ryzykuje naruszenie ochrony danych osobowych.
Google uruchamia Consent Mode, a IAB TCF – Transparency & Consent Framework.
Na rynku pojawia się coraz więcej mechanizmów, które mają zapewniać rozliczalność udzielanych zgód. Mam nadzieję, że będą one pozwalały na przezwyciężenie trudności, z którymi w tym obszarze stykają się administratorzy. Ważnym testem będzie ocena zgód zbieranych z wykorzystaniem tych mechanizmów w toku postępowań prowadzonych przed organami nadzorczymi.
Jak interpretować inne poziomy zgody uzyskane różnymi kanałami np. zapisując się na newsletter pełna zgoda marketingowa, a na stronie www odkliknięte, czyli brak zgody na działania marketingowe?
Nie ma przeszkód, by w ramach jednego serwisu zbierać zgody na różnego rodzaju działania marketingowe. Mogą to być przykładowo: zgoda na newsletter, zgoda na działania remarketingowe czy zgoda na przedstawianie informacji marketingowych w trakcie rozmów telefonicznych. Zgody te są od siebie niezależne. Jeżeli więc zgodzę się na otrzymywanie newslettera, ale nie wyrażę zgody na pozostałe działania, to zgoda na otrzymywanie newslettera pozostaje skuteczna. Kluczem jest zatem cel przetwarzania, na który zgoda została wyrażona.
Lubasz i Wspólnicy – Kancelaria Radców Prawnych jest Partnerem Raportu.
Zapraszamy do zapoznania się z najnowszym Bluepaper – raportem, który w sposób przekrojowy odnosi się do wprowadzonych już zmian i regulacji oraz wynikających z nich obowiązków. W drugiej jego części staramy się też przewidzieć, jak rynek reklamy będzie się rozwijał i co czekające go zmiany, także w obszarze technologii, oznaczać będą dla reklamodawców i w jaki sposób kształtować będą dostępne dla nich możliwości.
Kliknij TUTAJ i pobierz bezpłatnie cały raport.