Firmy z branży e-commerce w dużym stopniu opierają się dziś na narzędziach cyfrowych – analizują zachowania użytkowników, optymalizują konwersję i precyzyjnie targetują reklamy. Retargeting, analityka, sieci reklamowe czy mechanizmy antybotowe stały się standardem.

Z perspektywy technologicznej ich wdrożenie jest zwykle proste. Dodajemy tag lub skrypt i narzędzie zaczyna działać.

Z perspektywy prawnej – to dopiero początek.

W praktyce wiele z tych rozwiązań funkcjonuje w ramach rozbudowanych ekosystemów przetwarzania danych, które wykraczają daleko poza samą stronę internetową. To, co wygląda jak prosta integracja marketingowa, często oznacza faktyczne udostępnianie danych globalnym platformom, współadministrowanie, transfery poza EOG i profilowanie użytkowników.

To właśnie ta „niewidoczna warstwa” powoduje, że organy nadzorcze coraz uważniej przyglądają się technologiom marketingowym.

Dla e-commerce to dziś jeden z najbardziej wrażliwych obszarów zgodności z RODO.

Ukryta złożoność narzędzi marketingowych

W wielu projektach widzimy podobny schemat: sklep wdraża narzędzie rekomendowane przez agencję lub dostawcę technologii. Integracja jest szybka i bezproblemowa.

Problem zaczyna się później.

Jedno narzędzie marketingowe może oznaczać jednocześnie:

– kilku administratorów danych,
– współadministrowanie,
– profilowanie i śledzenie zachowań,
– transfery danych poza EOG,
– wykorzystanie danych w zewnętrznych ekosystemach reklamowych.

Co istotne, te elementy nie zawsze są widoczne na etapie wdrożenia.

Przykładowo, narzędzia retargetingowe nie zawsze opierają się wyłącznie na cookies. W praktyce mogą wykorzystywać także haszowane adresy e-mail, numery telefonów czy identyfikatory z CRM, które służą dopasowywaniu użytkowników do kont reklamowych.

Z punktu widzenia RODO oznacza to często odrębne przetwarzanie danych, wymagające własnej podstawy prawnej i dodatkowej transparentności.

Audience matching – gdzie zaczyna się realne ryzyko

Szczególnie wrażliwym obszarem są narzędzia typu Google Customer Match czy Meta Custom Audiences.

Ich mechanizm jest prosty: firma przesyła do platformy identyfikatory klientów (np. e-mail lub telefon), a platforma dopasowuje je do swoich użytkowników i tworzy grupy reklamowe.

Z marketingowego punktu widzenia – bardzo skuteczne.

Z punktu widzenia RODO – problematyczne.

Kluczowe pytanie dotyczy podstawy prawnej. W praktyce coraz częściej podważa się możliwość opierania takich działań na uzasadnionym interesie.

Organy wskazują, że użytkownik, który podaje swoje dane przy zakupie czy rejestracji, nie oczekuje, że będą one wykorzystywane do targetowania reklam w zewnętrznych ekosystemach reklamowych.

W konsekwencji takie działania mogą wymagać odrębnej, wyraźnej zgody.

Jej brak to realne ryzyko uznania, że dochodzi do nieuprawnionego udostępnienia danych osobowych.

Organy nadzorcze już reagują

To nie jest ryzyko teoretyczne.

W 2023 r. francuski CNIL nałożył na Criteo karę 40 mln euro, wskazując m.in. brak właściwej podstawy prawnej oraz niewystarczającą transparentność.

Podobnie oceniane są narzędzia typu Facebook Custom Audiences – niemieckie organy uznały, że nawet przesyłanie danych w formie haszowanej może wymagać zgody.

To pokazuje wyraźny kierunek: ekosystemy reklamowe są traktowane jako obszar podwyższonego ryzyka.

Identyfikatory online to nadal dane osobowe

W praktyce często pojawia się argument: „to przecież nie są dane osobowe, nie mamy imienia ani nazwiska”.

RODO mówi coś innego.

Motyw 30 jasno wskazuje, że identyfikatory internetowe (np. cookie ID, identyfikatory reklamowe) mogą prowadzić do identyfikacji osoby poprzez profilowanie jej zachowań.

Jeśli użytkownik ogląda produkt na jednej stronie, a potem widzi tę samą reklamę w innych miejscach – oznacza to, że został rozpoznany w systemie.

Nie trzeba znać jego imienia, żeby skutecznie go zidentyfikować.

Zgodność to nie tylko dokumenty

Zgodność z RODO w tym obszarze nie sprowadza się do polityki prywatności.

Wymaga spójnego podejścia techniczno-prawnego.

Oznacza to w szczególności:

– jasną informację dla użytkownika (co, po co i komu przekazujemy),
– prawidłowe określenie ról (administrator, współadministrator),
– właściwą podstawę prawną,
– kontrolę nad momentem uruchomienia narzędzi (np. zgody),
– oraz transparentność w zakresie transferów danych i okresów przechowywania.

Innymi słowy – compliance musi być „wbudowane” w sposób działania narzędzia, a nie dodane na końcu.

RODO chroni prywatność także w środowisku cyfrowym – tam, gdzie dane powstają poprzez zachowanie użytkownika, a nie tylko poprzez formularz.

Jak pracujemy z klientami e-commerce

W JLSW Janaszczyk Lis & Wspólnicy regularnie wspieramy firmy e-commerce w analizie narzędzi marketingowych i analitycznych.

Pracujemy m.in. nad:

– kwalifikacją ról dostawców technologii,
– analizą umów z platformami (Google, Meta i inne),
– projektowaniem mechanizmów zgód,
– oceną transferów danych,
– oraz ograniczaniem ryzyk w ekosystemach adtech.

Nie chodzi o to, żeby nie korzystać z tych narzędzi.

Chodzi o to, żeby korzystać z nich świadomie i zgodnie z prawem.