Se ukvarjate s prodajo in/ali marketingom? Potem morate znati odgovoriti na spodnja vprašanja, povezana z oglaševanjem na največjem družbenem omrežju na svetu – Facebook in prihajajočo Splošno uredbo EU o varstvu podatkov oziroma GDPR, ki je v veljavo stopila 25. maja letos.
GDPR bo področje zakonodaje uredil z bistveno bolj specifičnimi predpisi, kot so veljali doslej, višje pa bodo tudi kazni. Med drugim bo uredba zahtevala izrecno privolitev posameznika za uporabo in obdelavo njegovih podatkov, razširila pa bo tudi posameznikove pravice do vpogleda, dostopa ter izbrisa. Kazni za kršitev in neupoštevanje uredbe se bodo povzpele vse do 4 % globalnega letnega prihodka podjetja, zato se uredbi »splača« posvetiti nekoliko več časa. Več o tem, kaj uredba določa, preberite v blogu Matije Jamnika.
Da bi vam olajšali delo, smo na Red Orbitu že pred meseci začeli z zbiranjem informacij, povezanih z GDPR, in pripravljanjem navodil, ki podjetja po korakih vodijo do pravilne ureditve zbiranja, hranjenja ter obdelave podatkov. Več o sami storitvi lahko preberete tukaj, v nadaljevanju pa preberite odgovore na najbolj vroča vprašanja, povezana z oglaševanjem na Facebooku in varstvom osebnih podatkov.
Podjetja oz. blagovne znamke bodo lahko še naprej oglaševale na Facebooku in koristile njegove storitve, pri tem pa so odgovorne za upoštevanje predpisov GDPR.
Kadar vi kot podjetje določite namene in sredstva zbiranja osebnih podatkov, ste v vlogi upravljavca podatkov. Pri tem morate upoštevati določitve o tem, kako pravilno zbirati podatke, za kakšen namen jih lahko uporabljate in koliko časa jih lahko hranite. Kadar torej zbirate podatke uporabnikov (nagradne igre, natečaji, prijave na e-novice ipd.), morate poskrbeti, da imate za njihovo upravljanje (zbiranje in deljenje) zakonodajno podlago, ki je v skladu z GDPR.
Obdelovalec podatkov pa ste v primeru, če podatke, ki jih je zbral nekdo drug (upravljavec podatkov), prejmete v hrambo ali v obdelavo.
Facebook (in podjetja, ki so v njegovi lasti: Messenger, Instagram, Oculus, WhatsApp) v večini primerov deluje kot upravljavec podatkov, in sicer v skladu s pravilnikom o podatkih.
V določenih primerih Facebook deluje kot obdelovalec podatkov, kar pomeni, da v imenu oglaševalcev in podjetij obdeluje podatke. To velja za naslednje primere:
Da, vendar te podatke v primeru oglaševanja na Facebooku obdeluje Facebook sam, oglaševalec pa mu jih prek Facebook pixla zgolj »posreduje«. V tem primeru je upoštevanje GDPR-ja torej naloga Facebooka.
Kadar Facebook prikazuje oglase uporabnikom na podlagi podatkov, ki jih je od uporabnikov prejel neposredno z uporabo njegove platforme, ali na podlagi podatkov, ki jih je prejel prek pixla, nameščenega na spletni strani oz. v aplikaciji, je v vlogi upravljavca podatkov. To pomeni, da je odgovoren za to, da so podatki zbrani v skladu z aktualno zakonodajo (GDPR).
Kadar pa Facebook oglase prikazuje uporabnikom na podlagi podatkov, ki jih je zbral in naložil na platformo oglaševalec (Custom Audience), pa mora oglaševalec sam poskrbeti za skladnost z zakonodajo in za to pridobiti izrecno dovoljenje tako za zbiranje podatkov kot tudi obdelavo podatkov, ki jo preda v roke tretji osebi (Facebooka).
Če imate na svoji spletni strani nameščen Facebook pixel, morate ravnati v skladu z zakonom o elektronskih komunikacijah (ZEKom-1).
Pri tem, kako urediti obvestilo za obiskovalce svoje spletne strani, pa si lahko pomagate s Facebookovim vodnikom.
Facebook pixel ob vsakršnem nalaganju zbira 3 vrste podatkov:
Podrobnejše informacije o piškotkih in podatkih, ki jih zbira ter uporablja Facebook, najdete tukaj.
Oglaševalci so bili in bodo tudi po uvedbi uredbe GDPR v primeru nalaganja baz s podatki uporabnikov v vlogi upravljavcev podatkov. To pomeni, da so sami odgovorni za to, da so podatki zbrani v skladu z zakoni (tudi z uredbo GDPR). Med drugim to pomeni tudi, da morajo za uporabo osebnih podatkov za namene ciljanja z oglasi na Facebooku uporabnikov pridobiti izrecno dovoljenje.
Ko oglaševalec bazo naloži v svoj oglaševalski račun (pri tem mora potrditi, da je podatke, ki jih nalaga, zbral v skladu z aktualnimi zakoni – uredbo GDPR), so ti podatki v lokalnem brskalniku najprej prepisani v anonimizirano obliko in šele nato poslani Facebooku. Anonimizacija podatkov je ireverzibilen postopek, kar pomeni, da podatkov ni mogoče vrniti v prvoten zapis.
Tako oglaševalec kot Facebook sta v primeru kampanj za zbiranje kontaktov v vlogi upravljavca podatkov in zato odgovorna za skladnost z uredbo GDPR. To pomeni, da mora biti v pogojih zbiranja osebnih podatkov (vsaka Lead ads forma mora vsebovati povezavo do teh) jasno napisano, s kakšnim namenom se ti podatki zbirajo in za kaj vse bodo uporabljeni, koliko časa bodo hranjeni itd.
Naveden zapis ni veljaven pravni nasvet. Za skladnost z vsemi področji uredbe morate pridobiti ustrezno pravno mnenje.