Sklepy internetowe coraz częściej korzystają z zaawansowanych narzędzi marketingowych i analitycznych. Retargeting, personalizacja reklam czy automatyczne dopasowywanie ofert do użytkowników stały się standardem w e-commerce. Problem polega na tym, że wdrożenie takich rozwiązań to nie tylko kwestia techniczna lub marketingowa. Bardzo często wiąże się ono również z przetwarzaniem danych osobowych.

I właśnie w tym miejscu pojawia się pytanie, które z perspektywy prawa bywa kluczowe: co tak naprawdę dzieje się z danymi użytkowników, gdy uruchamiamy takie narzędzie?

Zanim wdrożysz narzędzie marketingowe – sprawdź, jak działa

W praktyce często wygląda to tak: sklep internetowy decyduje się na wdrożenie rozwiązania marketingowego rekomendowanego przez agencję lub partnera technologicznego. Implementacja odbywa się poprzez dodanie odpowiedniego tagu lub skryptu na stronie.

Z perspektywy marketingu to szybki i skuteczny sposób na zwiększenie sprzedaży. Z perspektywy ochrony danych – dopiero początek analizy.

Kluczowe jest ustalenie m.in.:

• jakie dane są zbierane przez narzędzie,

• kto jest administratorem tych danych,

• czy dane są przekazywane innym podmiotom,

• czy dochodzi do transferów danych poza Europejski Obszar Gospodarczy,

• oraz jaka jest właściwa podstawa prawna przetwarzania.

Bez tej analizy łatwo przyjąć uproszczone założenie, że skoro użytkownik wyraził zgodę na cookies, to wszystko jest w porządku. W praktyce często okazuje się, że to dopiero jeden z elementów całej układanki.

Przykład: jak działa retargeting Criteo

Dobrym przykładem jest popularne w e-commerce narzędzie retargetingowe Criteo.

W podstawowym modelu część danych o użytkownikach jest zbierana poprzez pliki cookies Criteo, które umożliwiają identyfikowanie użytkownika w sieci i dopasowywanie reklam do jego wcześniejszej aktywności.

Jednocześnie z analizy dokumentacji i sposobu działania narzędzia wynika, że w niektórych konfiguracjach możliwe jest także przekazywanie dodatkowych danych o użytkownikach.

Mogą to być np.:

• haszowane adresy e-mail,

• haszowane numery telefonów,

• identyfikatory użytkowników z systemów CRM sklepu internetowego.

Takie dane mogą być przekazywane do systemów reklamowych w celu dopasowania użytkownika (matching) i jeszcze dokładniejszego targetowania reklam.

I właśnie w tym miejscu zaczyna się prawdziwa analiza prawna.

Zgoda na cookies to nie zawsze wszystko

Wiele organizacji wychodzi z założenia, że skoro użytkownik wyraził zgodę na cookies marketingowe w banerze cookies, to można na tej podstawie prowadzić wszystkie działania związane z retargetingiem.

Tymczasem zgoda na cookies wynika z przepisów dotyczących przechowywania i uzyskiwania dostępu do informacji w urządzeniu użytkownika – w Polsce regulowanych przez Prawo komunikacji elektronicznej. Przepisy te stanowią implementację art. 5 ust. 3 dyrektywy ePrivacy (dyrektywy 2002/58/WE).

Innymi słowy – taka zgoda dotyczy przede wszystkim samego wykorzystania technologii cookies.

Jeżeli jednak w ramach narzędzia marketingowego dochodzi do dodatkowego przekazywania danych osobowych poza tym, co zostało zebrane poprzez pliki cookies, np.:

• haszowanych adresów e-mail,

• numerów telefonów,

• identyfikatorów użytkowników z CRM,

może to stanowić odrębną operację przetwarzania danych osobowych, która wymaga oddzielnej podstawy prawnej na gruncie RODO.

Co na to organy ochrony danych?

W ostatnich latach organy ochrony danych w Europie coraz uważniej przyglądają się mechanizmom dopasowywania użytkowników w systemach reklamowych.

Dobrym przykładem jest Criteo, na które w 2023 r. francuski organ ochrony danych CNIL nałożył karę w wysokości 40 mln euro. Organ uznał m.in., że spółka nie była w stanie wykazać, iż posiada ważną podstawę prawną do przetwarzania danych użytkowników wykorzystywanych w systemie reklamowym, w tym danych pozyskiwanych w ramach mechanizmów retargetingu. CNIL wskazał również na problemy z realizacją praw osób, których dane dotyczą, oraz niewystarczającą transparentność przetwarzania. Sprawa ta pokazuje, że mamy do czynienia z technologią, która już dziś znajduje się pod lupą regulatorów, a jej wdrożenie powinno być poprzedzone rzetelną analizą prawną i techniczną.

Warto wspomnieć także o głośnej sprawie dotyczącej Facebook Custom Audiences. Niemiecki organ ochrony danych uznał, że przekazywanie do Facebooka list klientów zawierających np. adresy e-mail lub numery telefonów – nawet w formie zahaszowanej – wymaga uprzedniej zgody użytkownika.

Co istotne, sąd administracyjny podtrzymał to stanowisko, wskazując, że samo haszowanie danych nie eliminuje ich charakteru jako danych osobowych, ponieważ platforma nadal może przypisać je do konkretnego użytkownika.

Mechanizm działania takich narzędzi jest stosunkowo prosty: reklamodawca przesyła do platformy reklamowej listę klientów (np. adresy e-mail lub numery telefonów), a platforma dopasowuje je do swoich użytkowników i tworzy grupę odbiorców reklamy.

W praktyce oznacza to, że dochodzi do udostępnienia danych osobowych z bazy klientów sklepu internetowego do systemu reklamowego.

Jakie są ryzyka dla e-commerce?

Brak analizy prawnej przy wdrożeniu narzędzia marketingowego może prowadzić do kilku poważnych ryzyk.

Najczęstsze z nich to:

Przekazywanie danych bez podstawy prawnej

Jeżeli sklep przekazuje np. zahaszowane adresy e-mail lub numery telefonów klientów do systemu reklamowego bez odpowiedniej podstawy prawnej, może to zostać uznane za niezgodne z RODO udostępnienie danych osobowych.

Brak informacji dla użytkowników

Użytkownicy powinni być poinformowani nie tylko o cookies, ale również o tym, że ich dane mogą być wykorzystywane w systemach reklamowych do profilowania lub dopasowywania reklam.

Transfery danych poza EOG

W przypadku globalnych platform reklamowych często pojawia się również kwestia transferu danych do państw trzecich.

A co z karami?

RODO przewiduje bardzo wysokie sankcje za naruszenia przepisów dotyczących przetwarzania danych osobowych.

W przypadku poważniejszych naruszeń administracyjne kary pieniężne mogą sięgać nawet 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa.

Organy nadzorcze coraz częściej interesują się właśnie obszarem marketingu cyfrowego i technologii reklamowych, ponieważ to tam dochodzi do najbardziej złożonych przepływów danych.

Podsumowanie

Nowoczesne narzędzia marketingowe potrafią znacząco zwiększyć efektywność sprzedaży w e-commerce. Jednocześnie ich wdrożenie niemal zawsze wiąże się z przetwarzaniem danych osobowych.

Dlatego zamiast zakładać, że „baner cookies załatwia sprawę”, warto sprawdzić:

• jakie dane są faktycznie przetwarzane,

• czy przekazywane są identyfikatory z systemów sklepu (np. e-mail, telefon lub ID z CRM),

• kto odpowiada za przetwarzanie danych,

• czy dochodzi do transferów danych poza EOG,

• oraz czy potrzebna jest dodatkowa podstawa prawna przetwarzania.

Dobrze przeprowadzona analiza pozwala uniknąć wielu problemów – a przy okazji uporządkować dokumentację i komunikację z użytkownikami.

👉 Jeśli planujesz wdrożenie narzędzia marketingowego lub chcesz sprawdzić, czy obecne rozwiązania w Twoim sklepie są zgodne z RODO – skontaktuj się z nami. Chętnie pomożemy przeanalizować ich działanie i wskazać bezpieczne rozwiązania.