RODO potwór (w skrócie: RODOtwór) wyjdzie z głębin oceanu już 25 maja. Czy masz powody, aby się go bać, prowadząc działania na Facebooku? 😰
Nie jestem prawnikiem. Nie chcę też przepisywać tego, co inni gdzieś napisali. Na różnego rodzaju blogach i grupach dyskusyjnych znajdziesz odpowiedzi na niemal każde pytanie, zwykle nawet 3-4 różne odpowiedzi na to samo pytanie (zerknij choćby tutaj).
We wpisie poniżej wskazuję jedynie obszary, na które moim zdaniem powinieneś zwrócić uwagę w kontekście ochrony danych osobowych pozyskiwanych przez Facebooka. Nie powiem Ci, co konkretnie musisz zmienić pod RODO. Skonsultuj to z prawnikiem lub kancelarią. Nie zamierzam udawać eksperta w tym temacie.
W większości przypadków to Facebook jest administratorem danych. Na firmy nakłada jednak obowiązek ich przetwarzania za pomocą narzędzi biznesowych Facebooka (API, SDK, piksela Facebooka, wtyczek społecznościowych, produktów analitycznych i pozostałych integracji), zgodnie z przepisami RODO (więcej w materiałach Facebooka na temat RODO).
1. Reklamy leadowe (lead ads)
Służą do tworzenia baz danych użytkowników, którzy kliknęli w reklamę, a następnie wyrazili zgodę na kontakt. Bazy te możesz pobrać w formacie CSV lub XLS i przetwarzać w celach marketingowych. Za pomocą formularzy w tego typu reklamach możesz pozyskiwać nie tylko standardowe dane użytkowników (np. imię, nazwisko, e-mail, nr telefonu, miejscowość, nazwę pracodawcy), ale także te wrażliwe, jeśli wykorzystujesz pytania niestandardowe (np. o poglądy polityczne czy stan zdrowia).
W materiałach facebookowych znalazłem informację: W przypadku reklam kontaktowych zarówno Facebook jak i firmy pełnią rolę administratorów danych. W związku z tym obie strony są odpowiedzialne za zapewnienie zgodności z przepisami – poprzez poinformowanie użytkownika i ustanowienie podstawy prawnej do przetwarzania danych dostarczonych przez osobę korzystającą z naszej platformy.
2. Facebookowe aplikacje
Logując się do aplikacji, użytkownicy przekazują swoje dane osobowe jej twórcom. Po aferze z Cambridge Analytica danych tych można wyciągnąć mniej, ale wciąż jest ich sporo. Sam Facebook informuje: Gdy instalujesz aplikację, przyznajesz jej dostęp do profilu publicznego, który zawiera takie informacje jak Twoje imię i nazwisko, zdjęcia profilowe, nazwa użytkownika, identyfikator użytkownika (numer konta), sieci i wszystkie informacje, które udostępniasz publicznie.
3. Chatboty w Messengerze
Działają na podobnej zasadzie jak aplikacje. W ich przypadku masz do czynienia z bazą danych użytkowników bota (wszystkie osoby, które go uruchomiły, klikając przycisk „Rozpocznij”). Za pomocą najpopularniejszych platform do tworzenia chatbotów (Chatfuel i ManyChat) możesz tę bazę nie tylko przeglądać, ale także eksportować.
Administratorem danych z Messengera także jest Facebook, choć w niektórych przypadkach może nim się stać także Twoja firma (zobacz materiały o RODO w kontekście Messengera).
4. Narzędzia zewnętrzne (np. Sociograph)
Narzędzia typu Sociograph umożliwiają przeglądanie użytkowników zaangażowanych w treści opublikowane na Twoim profilu lub w Twojej grupie dyskusyjnej. Widzisz ich z imienia i nazwiska, obok jest ich zdjęcie i jednym kliknięciem możesz przejść do ich profilu. Tego typu narzędzia są często wykorzystywane np. do nagradzania najaktywniejszych fanów. Płatna wersja Sociographu umożliwia dodatkowo eksport listy wszystkich zaangażowanych użytkowników. Pytanie, czy w ogóle korzystasz z tego typu rozwiązań? Jeśli tak, to do czego wykorzystujesz dane z tych narzędzi?
5. Konkursy
Organizując konkurs, często tworzy się bazę danych ze wszystkimi uczestnikami, choćby po to, aby wybrać zwycięzcę. Zwykle po wyłonieniu zwycięzców musisz od nich zebrać dodatkowe dane, które umożliwią im odbiór nagrody. Problematyczne jest też publiczne ogłoszenie listy zwycięzców oraz późniejsze wykorzystywanie danych uczestników w celach marketingowych. Pamiętaj o tym wszystkim, tworząc regulamin konkursu.
6. Grupy remarketingowe
Za pomocą piksela Facebooka zbierasz dane dotyczące użytkowników Twojej witryny, a konkretnie ich zachowania w niej. Dzięki tym danym tworzysz potem niestandardowe grupy odbiorców w facebookowym Menedżerze reklam. Piksel odpala się w Twojej witrynie automatycznie i nie daje użytkownikowi żadnego wyboru.
Inną kwestią jest tworzenie grup niestandardowych odbiorców na podstawie pliku z danymi klientów (najczęściej adresów e-mail). Wówczas Facebook zakłada, że pozyskałeś je w sposób zgodny z prawem.
Na marginesie: wcześniej na Facebooku można było kierować reklamy do grup liczących zaledwie 20 użytkowników. Facebook straszy, że w związku z RODO wkrótce nie będzie można nawet sprawdzić, ilu członków liczą Twoje grupy niestandardowych odbiorców (informacja z pewnego źródła).
7. Wiadomości prywatne
Klienci często piszą do firm poprzez wiadomości prywatne na Facebooku. W przypadku B2B czasem prosi się kogoś o podanie dodatkowych danych kontaktowych (np. adresu e-mail albo numeru telefonu), które następnie wprowadza się do CRM-a lub przekazuje działowi sprzedaży.
Dodalibyście jeszcze jakieś obszary, na które trzeba zwrócić uwagę w kontekście ochrony danych osobowych na Facebooku? 🔐