Enhanced Conversions (Konwersje rozszerzone) oraz Advanced Matching (Zaawansowane dopasowywanie) to zbliżone do siebie technologie, wprowadzone przez Google i Facebooka. Wspomagają one działanie kodów śledzących, zasilając je 1st party data. Naturalnie, rodzi się pytanie o legalność takich technologii w kontekście RODO.
Z radcą prawnym Agnieszką Grzesiek-Kasperczyk (Kancelaria MyLo) rozmawia Witold Wrodarczyk (Adequate).
[WW] Czy w przypadku stosowania Enhanced Conversions oraz Advanced Matching, które przesyłają do Google/Facebooka zaszyfrowane dane osobowe użytkownika, zgoda na pliki cookie Facebooka będzie wystarczająca, czy potrzebne są jakieś dodatkowe zgody?
[AG-K] Ustalmy najpierw, na czym polega ten proces przesyłania danych w przypadku omawianych technologii.
[WW] Przypomnijmy, jak działa piksel Facebooka:
- Przy kliknięciu na Facebooku linku do naszej strony (np. w reklamie lub w poście), do adresu URL doklejany jest identyfikator kliknięcia fbclid. Identyfikator ten pozwala Facebookowi zidentyfikować osobę, która kliknęła, a więc stanowi spseudonimizowane dane osobowe.
- Identyfikator ten czytany jest następnie przez naszą stronę poprzez znajdujący się na niej kod piksela Facebooka. Tym samym przypisywany jest on identyfikatorowi odpowiedniego ciasteczka 1st party (własnego ciasteczka naszej strony, do którego tylko nasza strona ma dostęp).
- Następnie, kiedy użytkownik wykona działanie w naszej witrynie (wejdzie na jakąś podstronę, kliknie jej element, który jest oznaczony jako event), to nasza strona, wykorzystując kod piksela, czyta dane ze wspomnianego ciasteczka 1st party i wysyła informację do Facebooka, że użytkownik związany z tym identyfikatorem ciasteczka i fbclid wykonał określone akcje (np. wszedł na stronę o danym adresie, kupił jakiś produkt itd).
- Facebook porównuje przesłany identyfikator ze swoją bazą i na tej podstawie wie, co jego użytkownicy robią w sieci oraz zlicza konwersje reklamodawców Facebook Ads.
Piksel Facebooka przesyła informacje o aktywności na stronie w powiązaniu z identyfikatorami, które stanowią spseudonimizowane dane osobowe, ponieważ Facebook może powiązać je z konkretnym użytkownikiem.
Tak więc każda strona, która ma zaimplementowany piksel Facebooka i wykorzystuje ciasteczka Facebooka, przetwarza identyfikatory, który stanowią spseudonimizowane dane osobowe, choć jedynie Facebook ma możliwość identyfikacji konkretnej osoby na podstawie tych identyfikatorów. Czy to jest zgodne z RODO?
[AG-K] W tym procesie, który opisałeś, nasza strona internetowa jest swego rodzaju „bramką”, przez którą dane osobowe wpływają do Facebooka. Wprawdzie tylko Facebook ma możliwość „odczytania” (odszyfrowania) tych danych, zatem dla właściciela tego serwisu społecznościowego stanowią one dane osobowe. Niemniej jednak zgodnie z orzeczeniem TSUE z 5 czerwca 2018 roku w tej sytuacji właściciel strony internetowej jest współodpowiedzialny za proces zbierania danych osobowych (ponieważ to jego strona www jest narzędziem do tego zbierania) i odpowiedzialny jest za to, że dane te są przekazywane do Facebooka.
Można przyjąć, że zgoda na cookie marketingowe wraz odpowiednią informacją o ciasteczkach stanowi wystarczającą podstawę prawną do wyżej opisanego procesu przetwarzania danych.
Pamiętajmy, że musi to być zgoda opt-in, czyli taka, w której piksel Facebooka nie przesyła danych powiązanych z identyfikatorem użytkownika, zanim nie uzyska się zgody. Drugim wymogiem jest odpowiednio klarowne (łatwym językiem, zrozumiałym dla przeciętnego internauty) opisanie całego procesu. Jeśli o to nie zadbamy, to zgoda nie będzie świadoma.
Z drugiej strony użytkownik akceptuje też regulamin Facebooka, więc stamtąd powinien mieć świadomość, że właściciel tego serwisu może zbierać informacje o jego aktywności w sieci nie tylko w obrębie samego portalu społecznościowego, ale też w innych miejscach w sieci. Przy czym tutaj także warunkiem jest zrozumiałe i w sposób łatwy poinformowanie użytkowników.
Ale Advanced Matching to nieco inny proces, prawda?
[WW] Jeśli wykorzystujemy Advanced Matching, to w momencie, gdy zachodzi konwersja, do Facebooka wysyłany jest dodatkowy identyfikator, stworzony na podstawie danych osobowych użytkownika, które przekazał naszej stronie, np. danych kontaktowych podanych przy składaniu zamówienia lub zalogowaniu.
Nie wysyłamy jednak do Facebooka ani samego adresu email czy numeru telefonu jako takich. Dane te są nieodwracalnie szyfrowane (przez tzw. hashowanie), skutkiem czego identyfikator ten jest anonimowy. Ale jeśli Facebook ma w swojej bazie taką osobę, to będzie w stanie go powiązać z użytkownikiem i z wszystkimi informacjami, jakie ma o tej osobie.
Tak więc mamy do czynienia z przekazaniem do Facebooka identyfikatora stanowiącego spseudonimizowane dane osobowe, które, w odróżnieniu od klasycznego działania piksela Facebooka, pochodzą nie z identyfikatora fbclid czy ciasteczka Facebooka, ale z danych podanych przez użytkownika na stronie.
Analogicznie działa Enhanced Conversions w Google:
[AG-K] Jeśli dobrze rozumiem, to za pomocą Advanced Matching Facebook zbiera tego samego rodzaju informacje (że dany jego użytkownik wykonał jakąś akcję na jakiejś stronie www), tylko że kolejność działań użytkownika jest po prostu inna?
Przy fbclid: użytkownik najpierw jest na Facebooku, klika tam jakiś link (w tym momencie uzyskuje identyfikator), przechodzi na naszą stronę www, a następnie Facebook uzyskuje informacje o akcjach tego użytkownika na naszej stronie.
Przy Advanced Matching: użytkownik posiada konto na Facebooku, ale mógł nie odwiedzać tego serwisu przez dłuższy czas, albo mógł nie mieć w ogóle kontaktu z naszą marką w tym portalu. Użytkownik wchodzi na naszą stronę www (na razie w ogóle bez związku z portalem Facebook), podaje adres e-mail, który jest adresem przypisanym do konta tego użytkownika w Facebooku. W tym momencie Facebook dowiaduje się o akcjach tego użytkownika na naszej stronie www.
Czy tak?
[WW] Tak. Podobieństw jest nawet więcej, bo dopasowanie fbclid i identyfikatora „klasycznego” cookie Facebooka może nastąpić również w przypadku, gdy użytkownik najpierw odwiedzi stronę www, a potem kolejny raz odwiedzi naszą stronę już klikając z Facebooka – i wtedy Facebook się dowie, że to już nie pierwsza wizyta.
Ponadto, piksel Facebooka tworzy też 3rd party cookie. O ile nasza przeglądarka go nie blokuje, ciastko to pozwoli po prostu skojarzyć naszą wcześniejszą wizytę na stronie z późniejszym zalogowaniem się do Facebooka, bez konieczności przekazywania identyfikatora fbclid.
Przy Advanced Matching, zaszyfrowane dane osobowe przesyłane są do Facebooka niezależnie od tego, czy dana osoba posiada konto na Facebooku. Nasza strona nie wie przecież, czy korzystamy z Facebooka. Natomiast, ponieważ szyfrowanie danych jest nieodwracalne, Facebook nie będzie w stanie tych danych odczytać, jeśli sam tych danych nie posiada. Ponadto, by przetwarzać te dane, Facebook będzie zobowiązany posiadać odpowiednie zgody, których udzielamy akceptując warunki Facebooka.
Jedynie Facebook – o ile ma w swojej bazie taką osobę – będzie mógł je powiązać z użytkownikiem i z wszystkimi posiadanymi informacjami na jego temat.
Advanced matching jest niejako niezależne od ciasteczek; pozwala w szczególności połączyć konwersje użytkownika korzystającego ze strony w trybie incognito – pod warunkiem, że do logowania na Facebooku używa tego samego adresu email, który podał na stronie www.
Natomiast natura obydwu procesów jest podobna – polega na przesłaniu do Facebooka unikalnego identyfikatora, który Facebook będzie mógł powiązać z naszymi danymi, pod warunkiem, że sami korzystamy z Facebooka.
[AG-K] Zatem można powiedzieć, że advanced matching i enhanced conversions realizują bardzo podobną funkcję, jak klasyczne śledzenie Facebooka. Dzięki identyfikatorowi, stanowiącemu spseudonimizowane dane osobowe, następuje przypisanie aktywności z naszej strony internetowej do konkretnego użytkownika Facebooka.
Tak jak powiedziałam wcześniej, na przetwarzanie takich danych konieczna jest aktywna zgoda użytkownika. Użytkownik powinien mieć też możliwość zapoznania się z zasadami przetwarzania jego danych przed wyrażeniem zgody. Moim zdaniem możemy to uzyskać stosując to samo okienko zbierające zgody, którym uzyskujemy zgodę na cookie Facebooka.
[WW] Tyle że Advanced Matching jako takie nie wykorzystuje cookie…
[AG-K] To nie ma w tym przypadku znaczenia. Zgody użytkownika dotyczą stosowania cookie lub „innych podobnie działających technologii”. Prawo telekomunikacyjne mówi, że potrzebna jest zgoda na „przechowywanie informacji na urządzeniu użytkownika” lub „uzyskiwanie dostępu do informacji” z urządzenia użytkownika. Zatem nie ma znaczenia jak działa technologia, tylko fakt, że uzyskuje się informacje. Zbieranie zgód opt-in nie dotyczy cookies jako takich, ale pozyskiwania informacji, a przy okazji także przetwarzania za ich pomocą danych osobowych.
Natura Advanced Matching i śledzenia cookie Facebooka jest podobna – polega na przesłaniu do Facebooka unikalnego identyfikatora, który Facebook będzie mógł powiązać z naszymi danymi, pod warunkiem, że sami korzystamy z Facebooka. Zgodę na to możemy odebrać stosując to samo okienko zbierające zgody, którym uzyskujemy zgodę na cookie Facebooka.
Nadmienię, że nawet jeśli nie zbieralibyśmy za pomocą cookies (czy innych technologii) danych osobowych, to i tak potrzebujemy uzyskać zgodę. Wynika to z prawa telekomunikacyjnego. Wymóg zgody nie dotyczy jedynie tzw. cookies (lub innych technologii) niezbędnych (do działania strony, do zapewnienia bezpieczeństwa, do świadczenia usługi, do wykonywania samego transferu danych itp.).
[WW] Mamy więc zbierać zgodę na cookies, czy na przetwarzanie danych osobowych?
[AG-K] W przypadku Advanced Matching? Zaryzykuję twierdzenie, że ani jedno ani drugie 😉 Nie zbieramy zgody na cookies, bo – jak powiedziałeś – ta technologia ich nie wykorzystuje. Możemy użyć słów „zgoda na przetwarzanie danych osobowych” – ale to nie będzie wystarczające.
Użytkownik musi wyrazić zgodę świadomą, czyli musi wiedzieć, na co dokładnie się zgadza. Wszystko jest więc kwestią właściwej informacji o sposobie przetwarzania tych danych. Ja rekomenduję używanie prostego języka, wręcz nieprawniczego, a także bez żargonu marketingowego i technologicznego. Powinniśmy wytłumaczyć użytkownikowi jak laikowi – jakie informacje o nim chcemy pozyskiwać i co dalej chcemy z nimi robić.
Np. dla Advanced Matching mogłabym zaproponować taki tekst:
Na naszej stronie www możesz czasem podać dane osobowe (np. adres email lub numer telefonu), np. podczas dokonywania zakupu w naszym sklepie. Możemy przekształcić te dane w nieodwracalnie zaszyfrowany identyfikator, który możemy przesłać firmie Meta Platforms (Facebook). Jeśli jesteś użytkownikiem tej platformy, Facebook przypisze Twoją aktywność na naszej stronie www do Twojej osoby. Następnie dane te mogą być wykorzystywane zgodnie z regulaminem Facebooka na cele statystyczne i marketingowe.
Strona musi też zapewnić, że w przypadku osób, które zgody nie wyrażą, funkcje Advanced Matching i Enhanced Conversions nie będą uruchamiane. Zakładam, że jest to technicznie możliwe?
[WW] Tak, najprostszym sposobem na to jest po prostu blokowanie przesyłania danych przez piksel Facebooka i kody Google w przypadku braku zgody. Innymi słowy, system zarządzania zgodami musi blokować uruchamianie skryptów śledzących, a nie same ciasteczka. Dokładnie tak działają dobrze skonfigurowane systemy zarządzania zgodami.
[AG-K] Podsumowując, Enhanced Conversions i Advanced Matching Facebooka są zgodne z RODO, pod warunkiem poprawnego wdrożenia systemu zgód na cookie i inne podobne technologie. Poprawność musi nastąpić zarówno od strony formalnej – spełnienie obowiązku informacyjnego i pozyskanie świadomej zgody, oraz – rzecz jasna, wymagana jest też techniczna poprawność wdrożenia systemu zarządzania zgodami. Osoba wdrażająca tzw. consent management platform musi zadbać o to, by system rzeczywiście respektował preferencje użytkownika.
Enhanced Conversions i Advanced Matching Facebooka są zgodne z RODO, pod warunkiem wdrożenia systemu zarządzania zgodami prawidłowego od strony formalnej i technicznej.
[WW] Dziękuję, myślę że rozwieje to wiele wątpliwości co do stosowania tych ważnych technologii.