Microsoft Clarity to potężne narzędzie analityczne, które oferuje darmowy wgląd w zachowania użytkowników na stronach internetowych. Jednak za darmową analityką kryje się możliwość wystąpienia ryzyka prawnego. Jakie są zagrożenia i jak ich unikać? Przeczytaj, zanim wdrożysz Clarity na swojej stronie.

Kto jest administratorem danych?

Microsoft w ramach Clarity przyjmuje rolę niezależnego administratora danych, a nie procesora, co jest nietypowym rozwiązaniem, ponieważ w dużej części Clarity generuje stosowne raporty na rzecz podmiotu wykorzystującego rozwiązania Clarity na swojej stronie internetowej. Oznacza to, że dane użytkowników Twojej strony są udostępniane Microsoft do własnych celów Microsoft, w tym poprawy usług, tworzenia profili użytkowników czy działań reklamowych w zamian za bezpłatną analitykę strony. W praktyce, gdyby pominąć kwestie uzyskiwania zgody użytkowników strony internetowej wykorzystującej analitykę Clarity, mogłoby być to porównywalne do sytuacji, w której Twoja agencja marketingowa oferuje Tobie darmowe usługi w zamian za dostęp do bazy danych Twoich klientów i możliwość wykorzystania jej do swoich własnych celów. W konsekwencji pojawia się pytanie w kwestii zgodności z RODO.

Zakres wykorzystania danych

Microsoft ma prawo wykorzystywać dane osobowe użytkowników zgodnie z własną polityką prywatności. Obejmuje to m.in. tworzenie profili użytkowników na potrzeby reklamowe. Taki szeroki zakres przetwarzania danych osobowych, co może być sprzeczne z zasadami minimalizacji danych i celowości przetwarzania wynikającymi z RODO.

Obowiązek uzyskania zgody

Przepisy RODO wymagają, aby zgoda na przetwarzanie danych była: świadoma, dobrowolna, konkretna i udzielona przed rozpoczęciem przetwarzania. Komunikaty sugerujące zgodę przez domniemanie („By using our site, you agree…”) nie spełniają tych wymogów.

Microsoft przerzuca odpowiedzialność za uzyskanie zgody użytkowników na właścicieli stron korzystających z Clarity. Zgodnie z postanowieniami Regulaminu korzystania z Microsoft Clarity (https://clarity.microsoft.com/terms): „You will obtain consent consistent with applicable Data Protection Law…”. Administratorzy muszą więc zadbać o:

• zgodę na instalację plików cookies związanych z Clarity,
• zgodę na przetwarzanie danych w celu „nagrywania” sesji użytkowników, jeśli nie znajdzie zastosowania uzasadniony interes administratora danych, czyli właściciela strony internetowej.
• zgodę na przekazywanie danych do Microsoft w szeroko zakreślonych celach, w tym marketingowych.

Nieprzestrzeganie tych obowiązków może skutkować dla właściciela strony internetowej korzystającej z Microsoft Clarity, w najmniej optymistycznym scenariuszu, nałożeniem na niego administracyjnej kary pieniężnej wynikającej z przepisów RODO.

Pułapki w sugerowanych treściach od Microsoft

Jednym z kluczowych zagadnień związanych z wykorzystaniem Microsoft Clarity są przykładowe sformułowania (tzw. “sample wording”), sugerowane przez Microsoft w celu spełnienia wymogów informacyjnych i uzyskania zgód użytkowników.

Microsoft udostępnia gotowe wzorce tekstów do umieszczenia w polityce prywatności oraz jako komunikaty na stronach internetowych, m.in.:

Przykładowy komunikat na stronie:

“We improve our products and advertising by using Microsoft Clarity to see how you use our website. By using our site, you agree that we and Microsoft can collect and use this data. Our privacy statement  has more details.”

Przykładowy zapis do polityki prywatności:

“We partner with Microsoft Clarity and Microsoft Advertising to capture how you use and interact with our website through behavioral metrics, heatmaps, and session replay to improve and market our products/services. Website usage data is captured using first and third-party cookies and other tracking technologies to determine the popularity of products/services and online activity. Additionally, we use this information for site optimization, fraud/security purposes, and advertising. For more information about how Microsoft collects and uses your data, visit the Microsoft Privacy Statement.”

Choć takie wzory mogą wydawać się pomocne, są one potencjalnie sprzeczne z przepisami RODO z powodu:

• Braku aktywnej i świadomej zgody użytkownika:

Proponowany komunikat sugeruje, że korzystanie z witryny oznacza zgodę na przetwarzanie danych, co jest niezgodne z wymogami RODO i Prawa Komunikacji Elektronicznej. Zgoda musi być wyrażona aktywnie, np. poprzez kliknięcie „Akceptuję” w odpowiednim komunikacie.

• Niejasnych relacji między administratorem danych a Microsoft:

Wzorce zaproponowane przez Microsoft nie wskazują jasno na rolę tej firmy jako niezależnego administratora danych. Może to wprowadzać użytkowników w błąd, sugerując, że Microsoft działa jedynie na zlecenie administratora strony.

Jak uniknąć pułapek?

Administratorzy stron korzystających z Microsoft Clarity powinni:

• Dostosować komunikaty do wymogów prawa:

Komunikaty o plikach cookies i polityce prywatności muszą być zgodne z przepisami UE, jasno wyjaśniać cel przetwarzania danych oraz umożliwiać aktywny wybór użytkownikowi.

• Unikać wzorów sugerujących zgodę przez domniemanie:

Frazy typu „By using our site, you agree…” są niedopuszczalne. Zgoda musi być wyraźna i dobrowolna.

• Dokładnie wyjaśnić rolę Microsoft jako niezależnego administratora:

Należy jasno określić, że dane są przekazywane Microsoftowi, który przetwarza je zgodnie ze swoją polityką prywatności.

• Zaktualizować politykę prywatności w sposób transparentny:

Polityka powinna uwzględniać szczegóły dotyczące przetwarzania danych w związku z korzystaniem z Microsoft Clarity, w tym opis technologii (heatmapy, replay sesji) oraz link do polityki prywatności Microsoft.

Brak powyższcyh informacji może skutkować naruszeniem obowiązku informacyjnego wynikającego z RODO.

Rekomendacje dla użytkowników

Aby zminimalizować ryzyko prawne, należy:

• Precyzyjnie definiować zakres zgód użytkowników, unikać ich łączenia.
• Skorzystać z funkcji maskowania w Microsoft Clarity, aby anonimizować dane osobowe (np. pola w formularzach).
• Regularnie weryfikować zgodność praktyk z przepisami ochrony danych osobowych.
• Współpracować z prawnikiem w celu przygotowania odpowiednich klauzul informacyjnych i zgód.

Korzystanie z Microsoft Clarity, choć atrakcyjne z punktu widzenia analityki, wiąże się z istotnymi zagrożeniami prawnymi. Administratorzy danych powinni być świadomi ryzyk i podejmować odpowiednie kroki, aby chronić prywatność użytkowników oraz unikać potencjalnych sankcji.

Jeśli masz pytania dotyczące przetwarzania danych osobowych w Microsoft Clarity lub potrzebujesz wsparcia w przygotowaniu treści polityki prywatności dla Twojej strony internetowej, lub też zastanawiasz się, czy w ramach prowadzenia Twojej strony internetowej przetwarzasz dane zgodnie z RODO, skontaktuj się z naszym zespołem specjalistów ds. ochrony danych.