207
0
Marketing

Prawne aspekty remarketingu i retargetingu: kompleksowy przewodnik dla marketera

.Piotr Kantorowski
.Piotr Kantorowski
10 lutego, 2025 · 14 min read
207
0

Remarketing i retargeting to kluczowe narzędzia w strategii marketingowej, umożliwiające dotarcie do użytkowników, którzy wcześniej mieli interakcję z marką. Dzięki temu marketerzy mogą skuteczniej konwertować potencjalnych klientów na kupujących, bazując na analizie ich wcześniejszych działań online. Jednak te techniki, opierające się na zbieraniu, przetwarzaniu i analizie danych osobowych, muszą być zgodne z rygorystycznymi przepisami prawa, takimi jak RODO, Akt o usługach cyfrowych czy Prawo komunikacji elektronicznej, które niedawno weszło w życie.

Celem tego artykułu jest kompleksowe przedstawienie prawnych aspektów związanych z remarketingiem i retargetingiem, co pozwoli marketerom działać skutecznie i zgodnie z obowiązującymi regulacjami. Omówię w nim zarówno podstawowe pojęcia, jak i regulacje prawne, czy zasady, które należy stosować, by uniknąć ryzyka sankcji prawnych oraz zachować zaufanie użytkowników.

Kluczowe wnioski:

  • Przestrzeganie przepisów prawnych jest nieodzowne: Prawa użytkowników, takie jak prawo do informacji, zgody, sprzeciwu i bycia zapomnianym, muszą być szanowane. Uzyskiwanie zgody na przetwarzanie danych, transparentne komunikaty oraz możliwość łatwego opt-out to fundamenty zgodnych z prawem działań marketingowych.
  • Technologia i compliance muszą współgrać: Wdrażanie narzędzi zarządzania zgodami (CMP), eliminacja cookies stron trzecich oraz wykorzystywanie danych zero-party to kierunki rozwoju, które łączą innowacyjność z wymogami regulacyjnymi.
  • Transparentność buduje zaufanie: Jasne komunikowanie celów przetwarzania danych oraz otwarte podejście do użytkowników wzmacnia wizerunek firmy i zwiększa jej wiarygodność na rynku.
  • Przyszłość to zrównoważony marketing: Firmy, które postawią na etyczne praktyki oraz inwestowanie w nowoczesne, zgodne z prawem technologie, będą lepiej przygotowane do sprostania wyzwaniom wynikającym z dalszej ewolucji regulacji.

Definicje remarketingu i retargetingu

Remarketing i retargeting to terminy często używane zamiennie, choć wedle części definicji są to działania, które odnoszą się do różnych działań marketingowych. W tym drugim ujęciu:

  • Remarketing polega na ponownym dotarciu do osób, które wcześniej wchodziły w interakcje z marką, najczęściej poprzez e-mail marketing. Przykładem może być wysłanie wiadomości e-mail do użytkownika, który porzucił koszyk w sklepie internetowym.
  • Retargeting to działania reklamowe, które wyświetlają użytkownikom spersonalizowane treści reklamowe, bazując na ich wcześniejszych działaniach w internecie, np. przeglądaniu określonych produktów. Zwykle jest realizowany za pomocą plików cookies lub identyfikatorów reklamowych.

Oba narzędzia mają wspólny cel – zwiększenie konwersji poprzez przypomnienie użytkownikom o produktach, usługach lub treściach, którymi wcześniej się interesowali. Różnią się jednak podejściem i kanałami komunikacji.

Różnice między remarketingiem a retargetingiem

Chociaż oba pojęcia są zbliżone, warto zrozumieć, w jakich kontekstach każde z nich jest stosowane:

  1. Kanały komunikacji:
    • Remarketing wykorzystuje głównie e-mail jako formę kontaktu, często w oparciu o bazy danych klientów.
    • Retargeting wykorzystuje platformy reklamowe, takie jak Google Ads, Facebook Ads, lub inne sieci reklamowe, aby prezentować reklamy w przeglądarkach i aplikacjach.
  2. Technologia:
    • Remarketing wymaga wcześniejszej zgody użytkownika na komunikację, zwykle w ramach procesu rejestracji lub zakupu.
    • Retargeting opiera się na mechanizmach śledzenia użytkowników, takich jak cookies, co może wiązać się z dodatkowymi wymogami prawnymi dotyczącymi uzyskiwania zgody.
  3. Zakres personalizacji:
    • Remarketing często bazuje na bardziej ogólnych danych kontaktowych, np. wysyłając przypomnienia o porzuconym koszyku.
    • Retargeting pozwala na bardziej precyzyjne targetowanie, np. prezentowanie reklam konkretnego produktu przeglądanego przez użytkownika.

Te różnice mają kluczowe znaczenie z punktu widzenia zgodności z przepisami prawnymi, w tym w zakresie ochrony danych osobowych i prywatności. Zasady przetwarzania danych oraz obowiązki informacyjne są w tych przypadkach różne i zostaną omówione w dalszych częściach artykułu.

Odmiany remarketingu i retargetingu

W praktyce zarówno remarketing, jak i retargeting mogą być realizowane w różnych formach:

  • Dynamiczny retargeting: Wyświetlanie reklam dynamicznie dostosowanych do produktów, które użytkownik oglądał.
  • Remarketing w aplikacjach mobilnych: Docieranie do użytkowników, którzy korzystali z aplikacji, ale nie dokonali zakupu.
  • E-mail remarketing: Automatyczne wysyłanie e-maili z przypomnieniami lub ofertami promocyjnymi.
  • Retargeting w mediach społecznościowych: Wyświetlanie spersonalizowanych reklam użytkownikom korzystającym z platform takich jak Facebook czy Instagram.

Każda z tych form wymaga nie tylko skutecznej strategii marketingowej, ale także zgodności z obowiązującymi przepisami. Ze względu na fakt, że metody te są skuteczne warto skupić się nie tylko na tym jak robić je w sposób zapewniający najwyższą konwersję, ale też na tym jak robić je zgodnie z prawem.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną i ustalimy termin 15-minutowej konsultacji. Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu!

Bezpłatna konsultacja

Remarketing i retargeting w świetle RODO

Rozporządzenie Ogólne o Ochronie Danych (RODO) to kluczowy akt prawny regulujący przetwarzanie danych osobowych w Unii Europejskiej. Zarówno remarketing, jak i retargeting, opierają się na zbieraniu, przetwarzaniu i analizie danych użytkowników, dlatego muszą być zgodne z przepisami tego rozporządzenia. Ponieważ zagadnienie to jest wielowątkowe dla większej przejrzystości podzielę je na kilka mniejszych części

Podstawy prawne przetwarzania danych

Podstawą prawną do przetwarzania danych w celach remarketingowych i retargetingowych mogą być różne przepisy RODO, w zależności od charakteru i celu działań:

  1. Zgoda użytkownika (art. 6 ust. 1 lit. a RODO):
    • Jest to bodaj najczęściej stosowana podstawa prawna w przypadku działań marketingowych, zwłaszcza tych wymagających wykorzystania plików cookies lub identyfikatorów reklamowych.
    • Trzeba jednak pamiętać, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna​​. Z całą pewnością wszystkie te aspekty zgody niweczą najmniejsze nawet dark patterns w miejscu, w którym pozyskujemy takie zgody lub w miejscu, gdzie użytkowni może je wycofać
  2. Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO):
    • Może być stosowany w przypadkach, gdy przetwarzanie danych jest niezbędne do realizacji celów marketingowych, a jednocześnie nie narusza praw i wolności osób, których dane dotyczą. 
    • Wykorzystanie tej podstawy wymaga przeprowadzenia testu równowagi, aby upewnić się, że interesy administratora nie przeważają nad interesami lub prawami użytkowników​​.Co istotne, taki test trzeba realnie przeprowadzić i być w stanie go udokumentować. Co prawda w przypadku większości produktów, czy usług taki test wypadnie pomyślnie, ale jeśli sprzedajesz dla przykładu gadżety erotyczne, albo świadczysz usługi związane z rozwodami, detyktywistyczne, czy psychologa, albo psychiatry odpowiedź nie jest już tak oczywista.
    • Podstawa ta może być o tyle niewystarczająca o ile jedynie w przypadku RODO prawnie uzasadniony interes jest wystarczający do prowadzenia działań marketingowych. Jeśli wiec mają być one świadczone w środowisku cyfrowym i tak odrębnie będziemy musieli pozyskać zgodę z ustawy Prawo komunikacji elektronicznej.
  3. Wykonanie umowy (art. 6 ust. 1 lit. b RODO):
    • Rzadziej stosowana podstawa, np. gdy remarketing jest elementem realizacji usług oferowanych użytkownikowi (np. przypomnienia o porzuconym koszyku).
    • Pamiętajmy jednak, że ma być to realnie świadczona dla klienta usługa, a nie zaszyte w regulaminie postanowienie. W tym ostatnim przypadku z pewnoscią nie będziemy w stanie obronić tezy, że remarketing odbył się w ramach wykonania umowy.

Obowiązki informacyjne

RODO nakłada na administratorów danych obowiązek zapewnienia przejrzystości w procesach przetwarzania danych. W kontekście remarketingu i retargetingu oznacza to konieczność:

  • Informowania użytkowników o przetwarzaniu ich danych w celach marketingowych, np. w polityce prywatności, banerach cookies czy bezpośrednich komunikatach​​.
  • Zapewnienia dostępu do szczegółowych informacji, w tym celu przetwarzania, kategorii przetwarzanych danych, podstawy prawnej oraz czasu przechowywania danych.

Obowiązek ten obejmuje również informowanie o prawach przysługujących osobom, których dane są przetwarzane, takich jak prawo dostępu, sprostowania czy usunięcia danych​​. Co istotne, jest to tak samo ważne jak posiadanie podstawy prawnej do przetwarzania danych osobowych w celach marketingowych.

Prawa podmiotów danych

Osoby, których dane są przetwarzane w celach remarketingowych i retargetingowych, mają szereg praw na mocy RODO:

  1. Prawo do wyrażenia sprzeciwu (art. 21 RODO):
    • Jeśli dane przetwarzane są na podstawie prawnie uzasadnionego interesu administratora to użytkownik może w każdej chwili sprzeciwić się przetwarzaniu danych w celach marketingowych, a administrator musi natychmiast zaprzestać takich działań​​.
  2. Prawo dostępu do danych (art. 15 RODO):
    • Użytkownicy mogą zażądać informacji o tym, jakie dane są przetwarzane, w jakim celu oraz na jakiej podstawie, a administrato jest nie tylko zobowiązany do udzielenia tej informacji, ale powinien także czuwać, aby rodzaj i zakres danych był zgodny z tymi, o których zgromadzeniu wcześniej informował.
  3. Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO):
    • Użytkownik może zażądać usunięcia swoich danych, o ile nie ma nadrzędnych podstaw prawnych do ich dalszego przetwarzania. Prawo do bycia zapomnianym naczęściej będzie mogło być więc skutecznie wykorzystane w przypadku przetwarzania danych na podstawie zgody i uzasadnionego interesu prawnego administratora danych. Najrzadziej, gdy dane są przetwarzane na podstawie umowy.
  4. Prawo do przenoszenia danych (art. 20 RODO):
    • Użytkownicy mogą zażądać przeniesienia swoich danych do innego administratora w ustrukturyzowanym, powszechnie używanym formacie​. Trzeba liczyć się z tym, że administrator jest zobowiazany do przedstawienia takich danych i to nie tylko niezwłocznie, ale także w wymaganej prawem formie.

Zgoda na przetwarzanie danych w celach marketingowych

W kontekście remarketingu i retargetingu zgoda użytkownika jest szczególnie ważna, gdy działania te wymagają użycia technologii śledzenia, takich jak cookies. Zgodnie z RODO zgoda musi być:

  • Wyraźna i aktywna – użytkownik musi samodzielnie zaznaczyć odpowiednie pole wyboru (tzw. checkbox) lub wyrazić zgodę w inny świadomy sposób, choćby poprzez wpisanie jej w odpowiednim polu jeśli jest jasnym w jakim celu je tam podaje.
  • Dobrowolna – użytkownik powinien mieć możliwość korzystania z usługi bez konieczności wyrażenia zgody na działania marketingowe. Jeśli chcemy uzależnić daną usługę od udzielenia zgody powinniśmy dobrze zastanowić się, czy aby taka zgoda będzie danej dobrowolna, a najlepiej skonsultować to ze specjalistą.
  • Konkretnie określona – zgoda nie może być ogólna, musi wskazywać konkretne cele przetwarzania​​. Będzie to obecnie miało duże znaczenie na gruncie zgody na marketing bezpośedni i przesyłanie informacji handlowej w oparciu o nowe Prawo komunikacji elektronicznej.

Wdrożenie odpowiednich mechanizmów pozyskiwania i zarządzania zgodami jest kluczowe, aby uniknąć naruszeń prawa. Co istotne, te same mechanizmy dotyczą tak RODO, jak i zgód marketingowych w oparciu o przepisy Prawa komunikacji elektronicznej, więc raz błędnie skonstruowany zapis na newsletter, czy suwak w banerze cookies może doprowadzić do tego, że wszystkie pozyskane przez nas zgody będą nieważne.

Chcesz zwiększyć swoje kompetencje i działać legalnie w 2025 roku? Sprawdź naszą ofertę szkoleń prawnych dla biznesu!

Sprawdzam >>

Akt o usługach cyfrowych (DSA) a remarketing

Akt o Usługach Cyfrowych (Digital Services Act, DSA), jak również w pewnym zakresie także Akt o rynkach cyfrowych (Digital Markets Act, DMA) wprowadzają istotne zmiany dotyczące transparentności, ochrony użytkowników oraz ograniczeń w targetowaniu reklam. Jego przepisy mają szczególne znaczenie w kontekście remarketingu i retargetingu, które opierają się na wykorzystaniu danych użytkowników.

Nowe wymogi transparentności

DSA kładzie nacisk na zwiększenie transparentności działań reklamowych, co oznacza nowe obowiązki dla platform oraz marketerów:

  1. Obowiązek informacyjny:
    • Użytkownicy muszą być wyraźnie informowani, że widziane przez nich treści są reklamami.
    • Reklama musi wskazywać podmiot, który ją sponsoruje, oraz wyjaśniać, jakie dane zostały wykorzystane do targetowania​.
  2. Raportowanie reklamowe:
    • Duże platformy (np. media społecznościowe) muszą regularnie publikować raporty dotyczące działań reklamowych, zawierające dane o targetowaniu, zasięgu i wydatkach reklamowych.
    • Raporty mają być dostępne dla organów nadzorczych oraz, w niektórych przypadkach, dla użytkowników​.
  3. Zakaz ukrywania danych dotyczących reklam:
    • Algorytmy używane do personalizacji reklam muszą być przejrzyste i zgodne z zasadą wyjaśnialności, zwłaszcza w kontekście profilowania użytkowników.

Innymi słowy, nie dość że na etapie zbierania zgód wszystko musi być transparentnie to następnie na etapie wykorzystywania danych o użytkownikach każdy użytkownik powinien bez żadnych dodatkowych zabiegów dostać informacji dlaczego widzi właśnie Twoją reklamę.

Ograniczenia w targetowaniu reklam

DSA wprowadza ograniczenia dotyczące wykorzystania danych osobowych w działaniach reklamowych, które mają bezpośredni wpływ na remarketing i retargeting:

  1. Zakaz wykorzystywania danych wrażliwych:
    • Platformy nie mogą wykorzystywać danych dotyczących m.in. pochodzenia rasowego, przekonań religijnych, orientacji seksualnej czy poglądów politycznych do targetowania reklam​.
  2. Konieczność zgody na targetowanie:
    • Personalizacja reklam wymaga wyraźnej zgody użytkownika. Brak zgody powinien uniemożliwiać działania remarketingowe w oparciu o dane osobowe.
  3. Ograniczenie śledzenia dzieci:
    • Reklamy targetowane na dzieci są ściśle ograniczone, co oznacza, że platformy i marketerzy muszą podjąć szczególne środki, aby zapewnić ochronę danych małoletnich​.

Ochrona małoletnich użytkowników

Jednym z kluczowych założeń DSA jest wzmocnienie ochrony małoletnich w środowisku cyfrowym:

  1. Zakaz targetowania reklam na podstawie danych dzieci:
    • Platformy muszą wdrażać mechanizmy zapobiegające personalizacji reklam na podstawie danych dzieci.
  2. Wymóg dostosowania treści:
    • Wszystkie działania reklamowe skierowane do dzieci muszą być przejrzyste, zgodne z zasadami etyki oraz unikać wywierania nadmiernej presji.

Nie można też zapominać, że zbieranie jakichkolwiek zgód od dzieci poniżej 13 roku życia będzie nieważne, a w przypadku dzieci powyżej tego roku życia wszelkie utrudnienia, czy uproszczenia mające na celu zwiększenie szans na uzyskanie zgody będzie traktowane jako nadużycie i może być sankcjonowane. Dla przykładu, choć nie dotyczy to bezpośrednio tematu, TikTok otrzymał horrendalnie wysoką karę za brak dodatkowego pytania dla dzieci powyżej 13 roku życia, czy aby na pewno chcą, aby ich treści były publiczne. Co ważne, gdy małoletni zaznaczał, że treści mają być niepubliczne to TikTok zadawał pytanie małoletniego czy jest tego pewien.

Konsekwencje nieprzestrzegania przepisów DSA

DSA przewiduje surowe kary za niezgodność z przepisami, co sprawia, że marketerzy i platformy muszą wdrożyć odpowiednie mechanizmy zgodności:

  • Kary finansowe: Wysokie grzywny, które mogą sięgać do 6% rocznych globalnych przychodów firmy.
  • Blokada usług: W skrajnych przypadkach możliwe jest czasowe zablokowanie platformy na rynku UE.
  • Odpowiedzialność cywilna: Użytkownicy mogą dochodzić swoich praw, w tym odszkodowań, jeśli ich dane zostały wykorzystane niezgodnie z prawem.

DSA wprowadza nowe standardy odpowiedzialności i przejrzystości, które wymagają od marketerów przemyślenia strategii remarketingu i retargetingu. W kolejnym rozdziale omówimy wpływ Prawa komunikacji elektronicznej na te działania. Czy mogę kontynuować?

Prawo komunikacji elektronicznej i jego wpływ na remarketing

Prawo komunikacji elektronicznej (PKE), które zastąpiło dotychczasowe Prawo telekomunikacyjne, wprowadza nowe przepisy dotyczące wykorzystania plików cookies, komunikacji elektronicznej oraz wymogu zgody na użycie urządzeń końcowych w celach marketingowych. Zasady te mają bezpośredni wpływ na remarketing i retargeting, ponieważ te strategie opierają się na technologiach śledzenia użytkowników.

Regulacje dotyczące plików cookies

Pliki cookies są podstawowym narzędziem stosowanym w retargetingu, umożliwiającym śledzenie zachowań użytkowników w sieci. Nowe przepisy PKE wprowadzają szczególne wymogi:

  1. Zgoda użytkownika:
    • Zgodnie z przepisami, umieszczanie plików cookies na urządzeniu użytkownika wymaga jego uprzedniej, wyraźnej zgody​.
    • Banery cookies muszą być zgodne z zasadami RODO, czyli umożliwiać użytkownikowi świadomy wybór (np. przycisk „odrzuć” musi być tak samo widoczny jak „zaakceptuj”).
  2. Wyjątki od obowiązku uzyskiwania zgody:
    • Zgoda nie jest wymagana, jeśli cookies są niezbędne do świadczenia usługi, o którą wyraźnie prosił użytkownik (np. cookies sesyjne służące do przechowywania zawartości koszyka zakupowego).
  3. Czas przechowywania danych:
    • Pliki cookies muszą być przechowywane zgodnie z zasadą minimalizacji danych, tj. przez okres nie dłuższy niż konieczny do realizacji celu, dla którego zostały zebrane​​.

Zasady komunikacji elektronicznej w celach marketingowych

Nowe przepisy PKE określają szczegółowe zasady prowadzenia działań marketingowych za pomocą komunikacji elektronicznej:

  1. Zakaz wysyłania niezamówionych wiadomości (spam):
    • Rozsyłanie reklam lub innych form marketingu bez uprzedniej zgody użytkownika jest zabronione.
    • Dotyczy to zarówno wiadomości e-mail, SMS-ów, jak i automatycznych połączeń telefonicznych​​.
  2. Obowiązek umożliwienia rezygnacji:
    • Użytkownik musi mieć możliwość łatwego wycofania zgody na otrzymywanie komunikacji marketingowej w każdej chwili, np. poprzez kliknięcie linku w wiadomości e-mail​​.
  3. Rejestrowanie zgód:
    • Administratorzy danych muszą prowadzić rejestr zgód na komunikację marketingową, aby w razie potrzeby móc udowodnić ich uzyskanie.
  4. E-mail na informacje handlowe:
    • Każda firma, może podać specjalny, dedykowany adres e-mail na przesyłanie jej informacji handlowej (nie ma jednak jakiegokolwiek domniemania, że takim adresem jest adres biuro@ itp).

Zgoda na wykorzystanie urządzeń końcowych

W świetle przepisów PKE, zgoda na korzystanie z urządzeń końcowych w celach remarketingowych jest szczególnie istotna:

  1. Zakres zastosowania:
    • Dotyczy wszelkich działań polegających na odczytywaniu lub zapisywaniu informacji na urządzeniach końcowych użytkowników, w tym plików cookies i lokalnych baz danych przeglądarki​.
  2. Szczegółowe wymagania:
    • Zgoda musi być uzyskana przed rozpoczęciem przetwarzania danych z urządzeń końcowych.
    • Mechanizmy zgody muszą być zgodne z RODO – przejrzyste, wyraźne i umożliwiające łatwe jej wycofanie.
  3. Brak możliwości odbierania zgód po nawiązaniu połączenia:
    • W świetle zmian i dotychczasowego stanowiska UOKiK w zasadzie należy wykluczyć możliwość pozyskania zgód marketingowych po nawiązaniu połączenia telefonicznego..
  4. Kary za naruszenia:
    • Za nieprzestrzeganie przepisów dotyczących zgody na korzystanie z urządzeń końcowych grożą wysokie kary finansowe, zbliżone do tych przewidzianych w RODO.

Prawo komunikacji elektronicznej znacząco zwiększa odpowiedzialność marketerów za sposób prowadzenia działań remarketingowych i retargetingowych. Wdrożenie odpowiednich mechanizmów zgodności, takich jak transparentne banery cookies i rejestry zgód, jest kluczowe dla uniknięcia sankcji. Co istotne, choć tak też zakładano pod rządami poprzednich przepisów, wydaje się być teraz bezspornym, że nie można łączyć zgód na kontakt e-mail, ze zgodami na kontakt przez telefon, ewentualnie jeszcze przez komunikatory internetowe.

Profilowanie w kontekście remarketingu i retargetingu

Profilowanie to proces zautomatyzowanego przetwarzania danych osobowych, który pozwala ocenić pewne aspekty dotyczące osoby, takie jak jej preferencje, zainteresowania lub zachowanie. W przypadku remarketingu i retargetingu, profilowanie umożliwia personalizację treści reklamowych. Wymaga to jednak szczególnej uwagi ze względu na przepisy RODO, DSA i regulacje związane z AI Act, które być może nie czynią tu rewolucji, ale mają znaczenie także w przypadku profilowania.

Definicja profilowania według RODO

Zgodnie z art. 4 pkt 4 RODO, profilowanie to każda forma zautomatyzowanego przetwarzania danych osobowych polegająca na ich wykorzystywaniu do oceny określonych cech osoby fizycznej. Przykłady profilowania w kontekście remarketingu obejmują:

  • Analizę danych przeglądania stron internetowych w celu personalizacji reklam.
  • Ocenę historii zakupów użytkownika w celu dopasowania ofert promocyjnych.
  • Przewidywanie przyszłych preferencji zakupowych na podstawie poprzednich interakcji.

Rodzaje profilowania

Wyróżniamy dwa główne rodzaje profilowania:

  1. Profilowanie zwykłe – nie prowadzi do automatycznego podejmowania decyzji wywołujących skutki prawne wobec osoby9.
  2. Profilowanie kwalifikowane – prowadzi do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę4.

Zasady profilowania

Profilowanie, jeśli chodzi o zasady wynikające z RODO, musi opierać się na jednej z podstaw prawnych przetwarzania danych osobowych, takich jak:

  • Zgoda osoby, której dane dotyczą
  • Niezbędność do wykonania umowy
  • Uzasadniony prawnie interes administratora
  • Realizacja obowiązku prawnego.

Obowiązki informacyjne

Ponadto, administrator danych ma obowiązek poinformować osobę, której dane dotyczą, o:

  • Fakcie profilowania
  • Kryteriach i celach profilowania
  • Konsekwencjach profilowania
  • Prawie do sprzeciwu wobec profilowania

Prawa osób, których dane dotyczą

Osoby, których dane są profilowane, mają prawo do:

  • Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jeśli wywołują one skutki prawne lub podobnie istotnie wpływają na tę osobę
  • Uzyskania interwencji ludzkiej ze strony administratora
  • Wyrażenia własnego stanowiska
  • Zakwestionowania decyzji podjętej w wyniku profilowania

Dodatkowe wymogi

Warto jednak wiedzieć, że legalne profilowanie w świetle RODO wiąże się z obowiązkiem spełnienia dalszych wymagań, do których należą:

  1. Przeprowadzenie oceny skutków dla ochrony danych (DPIA) w przypadku systematycznego i kompleksowego profilowania
  2. Stosowanie odpowiednich procedur matematycznych lub statystycznych.
  3. Wdrożenie środków technicznych i organizacyjnych minimalizujących ryzyko błędów i zapewniających bezpieczeństwo danych.
  4. Przestrzeganie zasady minimalizacji danych – ograniczenie zakresu profilowanych danych do niezbędnego minimum.
  5. Uwzględnienie profilowania w Rejestrze Czynności Przetwarzania.
  6. Zapewnienie, że kryteria i cele profilowania nie prowadzą do dyskryminacji.

Przestrzeganie powyższych zasad jest kluczowe dla zgodnego z RODO stosowania profilowania w organizacji.

Ograniczenia w profilowaniu wprowadzone przez DSA

DSA wprowadza dodatkowe regulacje dotyczące profilowania użytkowników, które mają szczególne znaczenie dla działań remarketingowych i retargetingowych:

  1. Zakaz profilowania na podstawie danych wrażliwych:
    • DSA zabrania wykorzystywania danych dotyczących pochodzenia rasowego, zdrowia, przekonań religijnych lub politycznych do celów marketingowych​.
  2. Ochrona dzieci:
    • Profilowanie użytkowników poniżej 18. roku życia jest objęte szczególnymi ograniczeniami. Platformy muszą wdrożyć skuteczne mechanizmy weryfikacji wieku i unikać personalizacji reklam skierowanych do dzieci​.
  3. Wymóg zgody na zautomatyzowane podejmowanie decyzji:
    • Profilowanie w celach reklamowych wymaga uzyskania wyraźnej zgody użytkownika, zgodnie z zasadami RODO i DSA​​.

Profilowanie a AI Act

W kontekście działań opartych na sztucznej inteligencji (AI), profilowanie użytkowników w ramach remarketingu i retargetingu może podlegać nowym regulacjom wynikającym z proponowanego AI Act:

5.3.1. Systemy AI wysokiego ryzyka

Jeśli narzędzia do profilowania wykorzystywane w remarketingu są klasyfikowane jako „wysokiego ryzyka” (np. mają potencjał istotnego wpływu na użytkowników), muszą spełniać szczególne wymagania, takie jak:

  • Wdrażanie mechanizmów monitorowania i raportowania ich działania.
  • Zapewnienie zgodności z zasadami przejrzystości i wyjaśnialności algorytmów​​.

5.3.2. Zakazy i ograniczenia w profilowaniu

AI Act może wprowadzać zakaz stosowania systemów AI, które naruszają podstawowe prawa użytkowników, takie jak manipulacja ich wyborami lub wykorzystywanie wrażliwych danych bez zgody​​. Zakazuje natomiast stosowania technik podprogowych, które wykorzystują AI, choć ich użycie wydaje się i tak zakazane ze względu na fakt, że – o ile przyjąć, że są one skuteczne – wprowadzają one w błąd.

5.3.3. Prawo do wyjaśnienia decyzji AI

Użytkownicy mają prawo do informacji o logice stosowanej w algorytmach, które wpływają na ich decyzje lub wybory. Dotyczy to np. mechanizmów personalizacji treści reklamowych​​.

Profilowanie jest potężnym narzędziem w marketingu cyfrowym, ale wiąże się z ryzykiem prawnym, jeśli nie jest prowadzone zgodnie z przepisami. Wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak oceny skutków dla ochrony danych (DPIA), może pomóc w zapewnieniu zgodności z regulacjami.

PRAKTYCZNY E-BOOK: Dostępność e-commerce

Dzięki temu praktycznemu poradnikowi zyskasz kompletną i praktyczną wiedzę na temat wdrożenia dostępności zgodnie z dyrektywą EAA.

Zobacz więcej >>

Legalny remarketing i retargeting – najlepsze praktyki

Aby prowadzić remarketing i retargeting w sposób zgodny z prawem, należy wdrożyć szereg najlepszych praktyk, które pomogą zminimalizować ryzyko naruszenia przepisów oraz zwiększyć zaufanie użytkowników. Poniżej przedstawiono kluczowe zasady, które powinny być przestrzegane.

Uzyskiwanie i zarządzanie zgodami użytkowników

Uzyskanie zgody użytkownika jest jednym z fundamentalnych wymogów zgodności z przepisami RODO oraz Prawa komunikacji elektronicznej:

  1. Transparentne banery cookies:
    • Informacje o stosowanych plikach cookies i celu ich użycia powinny być jasno przedstawione.
    • Użytkownik musi mieć możliwość łatwego zaakceptowania lub odrzucenia plików cookies​​.
  2. Rejestr zgód:
    • Administrator powinien przechowywać dowody uzyskanej zgody, w tym informacje o czasie i zakresie udzielonej zgody.
  3. Opcje wycofania zgody:
    • Użytkownicy powinni mieć łatwy dostęp do mechanizmów umożliwiających wycofanie zgody w dowolnym momencie​​.

Implementacja mechanizmów opt-out

Zapewnienie użytkownikom prawa do rezygnacji z działań remarketingowych i retargetingowych to kolejny kluczowy element zgodności:

  • Link do opt-out w komunikatach marketingowych:
    • Każdy e-mail lub wiadomość marketingowa powinna zawierać widoczny link umożliwiający wypisanie się z listy mailingowej.
  • Centralny panel zarządzania preferencjami cookies:
    • Użytkownicy powinni mieć możliwość zarządzania swoimi preferencjami odnośnie cookies dotyczącymi targetowania reklam w jednym miejscu.

Przejrzystość działań marketingowych

Budowanie zaufania użytkowników wymaga pełnej transparentności w zakresie działań remarketingowych i retargetingowych:

  1. Polityka prywatności:
    • Dokument powinien jasno określać cele przetwarzania danych, rodzaje zbieranych informacji oraz podstawy prawne przetwarzania.
  2. Informowanie o profilowaniu:
    • W przypadku działań opartych na profilowaniu użytkownicy muszą być poinformowani o sposobie działania algorytmów personalizujących treści​​.

Minimalizacja danych i ograniczenie okresu ich przechowywania

Zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO), należy ograniczyć zbieranie danych do absolutnie niezbędnych celów:

  • Segmentacja danych:
    • Przechowuj dane w podziale na kategorie (np. dane kontaktowe, dane o aktywności) i ogranicz dostęp do nich na zasadzie „need-to-know”.
  • Automatyczne usuwanie danych:
    • Wdroż systemy usuwania danych po upływie określonego czasu, np. 6 miesięcy od ostatniej interakcji użytkownika​.

Audyt i dokumentacja procesów remarketingowych

Regularne audyty i dokumentacja procesów przetwarzania danych to podstawowe narzędzia zapewnienia zgodności:

  1. Oceny skutków dla ochrony danych (DPIA):
    • W przypadku działań o wysokim ryzyku, takich jak zaawansowane profilowanie, przeprowadź ocenę skutków dla ochrony danych​​.
    • Podobnie należy zrobić, jeśli reklamowane przez ciebie towary należy uznać za towary wrażliwe.
  2. Raportowanie działań:
    • Prowadź rejestry działań przetwarzania danych, aby łatwiej odpowiadać na pytania organów nadzorczych.
  3. Szkolenia zespołów marketingowych:
    • Zapewnij, że członkowie zespołu marketingowego znają aktualne przepisy oraz wiedzą, jak stosować najlepsze praktyki w swojej pracy.

Wdrożenie powyższych zasad pozwoli nie tylko spełnić wymogi prawne, ale również zbudować zaufanie użytkowników i poprawić skuteczność działań marketingowych. W następnym rozdziale przyjrzymy się wyzwaniom i przyszłości remarketingu w świetle nowych regulacji.

Wyzwania i przyszłość remarketingu w świetle nowych regulacji

Rozwój regulacji dotyczących ochrony danych oraz wymogów transparentności, takich jak RODO, DSA, AI Act czy Prawo komunikacji elektronicznej, znacząco zmienia krajobraz remarketingu i retargetingu. Marketerzy muszą zmierzyć się z wyzwaniami wynikającymi z rosnących wymagań prawnych, a jednocześnie dostosować się do nowych technologii i oczekiwań użytkowników.

Balansowanie między efektywnością a prywatnością

Jednym z największych wyzwań jest osiągnięcie równowagi między skutecznością działań remarketingowych a ochroną prywatności użytkowników:

  • Ograniczenia w targetowaniu: Coraz bardziej rygorystyczne przepisy, takie jak zakaz targetowania na podstawie danych wrażliwych czy ścisłe wymagania dotyczące zgody, mogą obniżyć efektywność kampanii​​.
  • Rosnąca świadomość użytkowników: Klienci coraz bardziej zwracają uwagę na prywatność swoich danych, co zmusza firmy do stosowania bardziej przejrzystych i etycznych praktyk​.

Strategią odpowiedzi na te wyzwania może być wykorzystanie alternatywnych metod targetowania, takich jak dane kontekstowe, które nie wymagają zbierania danych osobowych.

Adaptacja do zmieniającego się krajobrazu prawnego

Ewolucja przepisów wymaga ciągłego dostosowywania strategii marketingowych do nowych wymagań:

  1. Zarządzanie zgodami:
    • Konieczne jest wdrożenie rozwiązań ułatwiających zarządzanie zgodami użytkowników, takich jak zaawansowane systemy zarządzania preferencjami (Consent Management Platforms).
  2. Monitorowanie zmian regulacji:
    • Przepisy, takie jak AI Act czy nowe wytyczne dotyczące ochrony dzieci w środowisku cyfrowym, mogą wpłynąć na sposób prowadzenia kampanii remarketingowych​​.
  3. Współpraca z ekspertami prawnymi:
    • Firmy powinny konsultować swoje strategie z prawnikami specjalizującymi się w ochronie danych, aby upewnić się, że są zgodne z przepisami.

Innowacje technologiczne a compliance

Postęp technologiczny oferuje nowe możliwości w zakresie remarketingu i retargetingu, ale jednocześnie stawia wyzwania związane z zgodnością z regulacjami:

  • Przetwarzanie danych bez użycia cookies:
    • Wraz z odejściem od plików cookies stron trzecich, marketerzy muszą inwestować w alternatywne technologie, takie jak first-party data czy systemy ID opartych na zgodach​​.
  • Sztuczna inteligencja w personalizacji:
    • AI może zwiększyć efektywność działań remarketingowych, ale musi być stosowana w sposób transparentny i zgodny z zasadami etycznymi oraz regulacjami, takimi jak AI Act​​.
  • Rozwój rozwiązań zero-party data:
    • Zbieranie danych bezpośrednio od użytkowników, np. poprzez ankiety, quizy czy interaktywne formularze, pozwala uniknąć ryzyka naruszenia przepisów o ochronie danych.

Przyszłość remarketingu i retargetingu będzie zależała od zdolności marketerów do szybkiego adaptowania się do zmieniających się regulacji i technologii. Firmy, które postawią na zgodność z przepisami, transparentność oraz innowacyjność, zyskają przewagę konkurencyjną i zbudują większe zaufanie wśród swoich klientów.

Podsumowanie

Remarketing i retargeting to potężne narzędzia w arsenale nowoczesnego marketingu cyfrowego, umożliwiające efektywne docieranie do klientów i zwiększanie konwersji. Jednak dynamicznie zmieniające się otoczenie prawne, w tym przepisy RODO, DSA oraz Prawo komunikacji elektronicznej, nakładają na firmy liczne obowiązki, których nieprzestrzeganie może skutkować poważnymi sankcjami finansowymi i reputacyjnymi.

Doceniasz tworzone przeze mnie treści?

Postaw kawę 😉

Piotr Kantorowski
RADCA PRAWNY

Przedsiębiorcom służę pomocą w kwestiach związanych z prawem własności intelektualnej szczególnie w obszarze digital marketingu i IT. Tworzę też umowy tak, aby oddawały Twoje plany biznesowe i zabezpieczały firmę w najwyższym stopniu. Jeśli trzeba pomagam też poprowadzić spory korporacyjne lub z kontrahentami.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.