GDPR: 9 vročih vprašanj (in odgovorov) za oglaševalce na Facebooku

Se ukvarjate s prodajo in/ali marketingom? Potem morate znati odgovoriti na spodnja vprašanja, povezana z oglaševanjem na največjem družbenem omrežju na svetu – Facebook in prihajajočo Splošno uredbo EU o varstvu podatkov oziroma GDPR, ki je v veljavo stopila 25. maja letos.

GDPR bo področje zakonodaje uredil z bistveno bolj specifičnimi predpisi, kot so veljali doslej, višje pa bodo tudi kazni. Med drugim bo uredba zahtevala izrecno privolitev posameznika za uporabo in obdelavo njegovih podatkov, razširila pa bo tudi posameznikove pravice do vpogleda, dostopa ter izbrisa. Kazni za kršitev in neupoštevanje uredbe se bodo povzpele vse do 4 % globalnega letnega prihodka podjetja, zato se uredbi »splača« posvetiti nekoliko več časa. Več o tem, kaj uredba določa, preberite v blogu Matije Jamnika.

Da bi vam olajšali delo, smo na Red Orbitu že pred meseci začeli z zbiranjem informacij, povezanih z GDPR, in pripravljanjem navodil, ki podjetja po korakih vodijo do pravilne ureditve zbiranja, hranjenja ter obdelave podatkov. Več o sami storitvi lahko preberete tukaj, v nadaljevanju pa preberite odgovore na najbolj vroča vprašanja, povezana z oglaševanjem na Facebooku in varstvom osebnih podatkov.

1. Kako bo GDPR vplival na oglaševanje podjetij in blagovnih znamk na Facebooku?

Podjetja oz. blagovne znamke bodo lahko še naprej oglaševale na Facebooku in koristile njegove storitve, pri tem pa so odgovorne za upoštevanje predpisov GDPR.

2. Je Facebook obdelovalec ali upravljavec podatkov?

Kadar vi kot podjetje določite namene in sredstva zbiranja osebnih podatkov, ste v vlogi upravljavca podatkov. Pri tem morate upoštevati določitve o tem, kako pravilno zbirati podatke, za kakšen namen jih lahko uporabljate in koliko časa jih lahko hranite. Kadar torej zbirate podatke uporabnikov (nagradne igre, natečaji, prijave na e-novice ipd.), morate poskrbeti, da imate za njihovo upravljanje (zbiranje in deljenje) zakonodajno podlago, ki je v skladu z GDPR.

Obdelovalec podatkov pa ste v primeru, če podatke, ki jih je zbral nekdo drug (upravljavec podatkov), prejmete v hrambo ali v obdelavo.

Facebook (in podjetja, ki so v njegovi lasti: Messenger, Instagram, Oculus, WhatsApp) v večini primerov deluje kot upravljavec podatkov, in sicer v skladu s pravilnikom o podatkih.

V določenih primerih Facebook deluje kot obdelovalec podatkov, kar pomeni, da v imenu oglaševalcev in podjetij obdeluje podatke. To velja za naslednje primere:

• Custom Audiences; kadar v svoj Facebook račun za oglaševanje uvozite bazo podatkov vaših strank (e-maili, telefonske številke, naslovi, ipd.) in kreirate Custom Audience oz. občinstvo po meri.
• Analitika in poročanje o podatkih; kadar za analiziranje podatkov in spremljanje rezultatov oglaševalskih kampanj uporabljate Facebook poročila ter analitiko.
• Workplace Premium by Facebook; če uporabljate Facebookovo orodje za interno komunikacijo v podjetju.

3. Ali je ciljanje uporabnikov na podlagi piškotkov na spletni strani (»remarketing«) regulirano s strani GDPR?

Da, vendar te podatke v primeru oglaševanja na Facebooku obdeluje Facebook sam, oglaševalec pa mu jih prek Facebook pixla zgolj »posreduje«. V tem primeru je upoštevanje GDPR-ja torej naloga Facebooka.

4. Kdo mora poskrbeti za skladnost z GDPR, če se oglas na Facebooku prikazuje uporabnikom na podlagi njihovih osebnih podatkov, ki jih je zagotovil oglaševalec?

Kadar Facebook prikazuje oglase uporabnikom na podlagi podatkov, ki jih je od uporabnikov prejel neposredno z uporabo njegove platforme, ali na podlagi podatkov, ki jih je prejel prek pixla, nameščenega na spletni strani oz. v aplikaciji, je v vlogi upravljavca podatkov. To pomeni, da je odgovoren za to, da so podatki zbrani v skladu z aktualno zakonodajo (GDPR).

Kadar pa Facebook oglase prikazuje uporabnikom na podlagi podatkov, ki jih je zbral in naložil na platformo oglaševalec (Custom Audience), pa mora oglaševalec sam poskrbeti za skladnost z zakonodajo in za to pridobiti izrecno dovoljenje tako za zbiranje podatkov kot tudi obdelavo podatkov, ki jo preda v roke tretji osebi (Facebooka).

5. Kako bo GDPR vplival na uporabo Facebook pixla?

Če imate na svoji spletni strani nameščen Facebook pixel, morate ravnati v skladu z zakonom o elektronskih komunikacijah (ZEKom-1).

Pri tem, kako urediti obvestilo za obiskovalce svoje spletne strani, pa si lahko pomagate s Facebookovim vodnikom.

6. Katere podatke zbira Facebook pixel?

Facebook pixel ob vsakršnem nalaganju zbira 3 vrste podatkov:

• Http naslove – vse, kar je v http naslovih, tudi IP naslove, informacije o brskalniku, lokacije strani, napotitelju in uporabniškem agentu.
• Pixel-specifične podatke, kar vključuje tudi pixlovo ID številko in Facebookov piškotek.
• Druge (opcijske) parametre – oglaševalci lahko z dogodki po meri (custom events) zbirajo tudi dodatne informacije o obiskovalcih na njihovi strani, na podlagi katerih jim nato prikazujejo specifične oglase. Pošiljajo lahko na primer vrednost posameznega nakupa, tip strani, produktno kategorijo itd. Več o možnostih kreiranja teh dogodkov preberite tukaj.

Podrobnejše informacije o piškotkih in podatkih, ki jih zbira ter uporablja Facebook, najdete tukaj.

7. Kako GDPR vpliva na uporabo občinstva po meri oz. »Custom Audience«?

Oglaševalci so bili in bodo tudi po uvedbi uredbe GDPR v primeru nalaganja baz s podatki uporabnikov v vlogi upravljavcev podatkov. To pomeni, da so sami odgovorni za to, da so podatki zbrani v skladu z zakoni (tudi z uredbo GDPR). Med drugim to pomeni tudi, da morajo za uporabo osebnih podatkov za namene ciljanja z oglasi na Facebooku uporabnikov pridobiti izrecno dovoljenje.

8. Kako poteka nalaganje baz s podatki oz. »Customer file«? Ali Facebook dostopa do teh podatkov?

Ko oglaševalec bazo naloži v svoj oglaševalski račun (pri tem mora potrditi, da je podatke, ki jih nalaga, zbral v skladu z aktualnimi zakoni – uredbo GDPR), so ti podatki v lokalnem brskalniku najprej prepisani v anonimizirano obliko in šele nato poslani Facebooku. Anonimizacija podatkov je ireverzibilen postopek, kar pomeni, da podatkov ni mogoče vrniti v prvoten zapis.

9. Kako bo GDPR vplival na uporabo kampanj za zbiranje kontaktov oz. »Lead ads campaigns«?

Tako oglaševalec kot Facebook sta v primeru kampanj za zbiranje kontaktov v vlogi upravljavca podatkov in zato odgovorna za skladnost z uredbo GDPR. To pomeni, da mora biti v pogojih zbiranja osebnih podatkov (vsaka Lead ads forma mora vsebovati povezavo do teh) jasno napisano, s kakšnim namenom se ti podatki zbirajo in za kaj vse bodo uporabljeni, koliko časa bodo hranjeni itd.

Naveden zapis ni veljaven pravni nasvet. Za skladnost z vsemi področji uredbe morate pridobiti ustrezno pravno mnenje.