Zbliżenie na kostki z napisem PRIVACY na czerwonym tle
Źródło: Pexels | Autor: Miguel Á. Padriñán
Rate this post

Nawigacja po artykule:

Profilowanie reklam – o czym tak naprawdę mówimy

Czym różni się reklama targetowana od „zwykłej”

Profilowane reklamy to nie po prostu „reklama w internecie”. Kluczowe jest to, na ile przekaz jest dopasowany do konkretnej osoby i na jakiej podstawie się to dzieje. Tradycyjna reklama masowa – np. billboard przy drodze czy spot w radiu – trafia do szerokiej, anonimowej grupy. Reklama targetowana próbuje wybrać konkretny wycinek odbiorców: użytkowników o określonych cechach lub zachowaniach.

W praktyce można rozróżnić kilka podstawowych pojęć, które w marketingu bywają wrzucane do jednego worka, a dla RODO mają różne konsekwencje:

  • Profilowanie – zautomatyzowane przetwarzanie danych osobowych, którego celem jest ocena niektórych czynników dotyczących osoby fizycznej, w szczególności analizowanie lub przewidywanie jej zachowań, preferencji czy zainteresowań. To dokładnie definicja z RODO – obejmuje zarówno proste segmentacje, jak i skomplikowane modele oparte na machine learning.
  • Reklama behawioralna – rodzaj profilowania, który bazuje przede wszystkim na zachowaniach użytkownika online (odwiedzane strony, kliknięte reklamy, wyszukiwane hasła). To ona jest zwykle „podejrzana” z punktu widzenia prywatności.
  • Remarketing/retargeting – kierowanie reklam do osób, które podjęły już jakieś działanie (np. odwiedziły stronę produktu, dodały coś do koszyka, ale nie kupiły). Z prawnego punktu widzenia to również profilowanie, bo opiera się na zachowaniu konkretnej osoby.
  • Look-alike (podobni odbiorcy) – tworzenie grup odbiorców podobnych do aktualnych klientów na podstawie ich cech lub zachowań. Dane „wzorcowe” często są danymi osobowymi, nawet jeśli końcowa grupa odbiorców jest już anonimowa dla reklamodawcy.

Inaczej wygląda natomiast targetowanie kontekstowe. Tu reklama dopasowana jest do treści strony, a nie do konkretnego użytkownika. Jeśli ktoś czyta blog o bieganiu i widzi reklamę butów do biegania, nie musi to oznaczać, że ktoś śledził jego wcześniejsze kliknięcia. Z punktu widzenia RODO targetowanie kontekstowe może obyć się bez przetwarzania danych osobowych, o ile nie wykorzystuje się do tego identyfikatorów powiązanych z osobą (cookies, ID urządzenia, historia przeglądania).

Granica między statystyką a danymi osobowymi nie przebiega więc po linii „czy reklama jest dopasowana do treści”, tylko czy da się powiązać dane z konkretną osobą lub przynajmniej z identyfikowalnym użytkownikiem. Jeżeli system reklamowy wie, że ten sam przeglądający pojawił się tu pięć razy, kliknął trzy reklamy butów i jedną reklamę roweru, to nawet bez imienia i nazwiska mamy do czynienia z przetwarzaniem danych osobowych w rozumieniu RODO – bo to konkretna, możliwa do wyodrębnienia osoba.

Gdzie przebiega granica między „anonimową statystyką” a danymi osobowymi

RODO definiuje dane osobowe bardzo szeroko: to każda informacja, która pośrednio lub bezpośrednio może zidentyfikować osobę fizyczną. Już sama możliwość odróżnienia jednej osoby od drugiej, nawet bez znajomości nazwiska, może wystarczyć. Dlatego w kampaniach reklamowych trudno mówić o pełnej anonimowości.

Przykładowo, zbiorcze statystyki typu „10 000 wizyt na stronie w marcu” czy „30% użytkowników kliknęło reklamę” nie są danymi osobowymi, bo nie da się z nich wyodrębnić konkretnej osoby. Jednak jeśli narzędzie analityczne trzyma indywidualne identyfikatory sesji lub użytkowników (cookies, client ID) i umożliwia analizę ścieżek poszczególnych osób, to takie dane są już danymi osobowymi, nawet jeśli dla marketera są „tylko numerkami”.

Za granicę między „anonimową statystyką” a danymi osobowymi można przyjąć pytanie: czy jestem w stanie, samodzielnie lub z pomocą innego podmiotu, wyróżnić tę samą osobę w czasie? Jeśli tak – działam w reżimie RODO. Jeśli nie, pracuję na danych zagregowanych, które są poza zakresem rozporządzenia.

W praktyce większość narzędzi reklamowych i analitycznych bazuje na identyfikatorach powtarzalnych (ID przeglądarki, konta, urządzenia), więc profilowanie reklam prawie zawsze oznacza przetwarzanie danych osobowych. Konstrukcja procesu – w tym decyzja, czy identyfikator jest przechowywany, jak długo i czy można go powiązać z dodatkowymi informacjami – ma więc kluczowe znaczenie, jeśli chodzi o zgodność z prawem.

Jak działa typowa kampania profilowana (schemat przepływu danych)

Techniczny łańcuch przetwarzania w kampanii profilowanej jest bardziej złożony niż zwykłe „strona – użytkownik – reklama”. Standardowy przepływ w modelu programmatic czy retargetingu można uprościć do kilku kroków:

  1. Użytkownik wchodzi na stronę internetową (wydawcy lub reklamodawcy).
  2. Na stronie uruchamiają się skrypty (piksele, tagi) dostawców reklamowych i analitycznych.
  3. Skrypty wysyłają informacje o wizycie i identyfikatorze użytkownika do zewnętrznych systemów (DSP, SSP, DMP, adserver, systemy analityczne).
  4. System reklamowy zestawia dane o użytkowniku z kryteriami kampanii (segmenty, listy remarketingowe, look-alike).
  5. Reklama jest wyświetlana w czasie rzeczywistym na podstawie aukcji (real-time bidding) lub wcześniej zdefiniowanych reguł.
  6. Dalsze zachowania użytkownika (kliknięcia, konwersje) są znów rejestrowane i dopisywane do profilu.

W każdym z tych etapów dochodzi do przetwarzania danych osobowych, jeśli wykorzystywane są identyfikatory online. Adres IP, ID cookies, identyfikator reklamowy urządzenia mobilnego, identyfikator logowania do konta – wszystko to może zostać uznane za dane osobowe. Szczególnym momentem jest przekazywanie danych pomiędzy podmiotami (np. wydawca – sieć reklamowa – DSP – reklamodawca). Tu wchodzą w grę umowy powierzenia przetwarzania oraz jasne ustalenie, kto jest administratorem danych, a kto tylko przetwarzającym.

Model real-time bidding dość dobrze pokazuje, jak rozproszone jest to przetwarzanie: w kilkanaście milisekund informacja o konkretnym użytkowniku trafia do wielu podmiotów biorących udział w aukcji. Każdy z nich jest potencjalnym odbiorcą danych osobowych. Z punktu widzenia RODO to nie jest „magiczna czarna skrzynka”, tylko łańcuch, który musi być zmapowany i objęty odpowiednimi umowami oraz oceną ryzyka.

Drewniane klocki układające się w napis encryption jako symbol ochrony danych
Źródło: Pexels | Autor: Markus Winkler

Co RODO uważa za dane osobowe w marketingu cyfrowym

Identyfikatory online i profilowanie zachowań

RODO wprost wymienia identyfikatory online jako potencjalne dane osobowe. Nie chodzi wyłącznie o imię, nazwisko czy e-mail. W praktyce:

Na tym tle wyróżniają się systemy, które starają się minimalizować dane, np. reklama kontekstowa bez identyfikatorów użytkownika lub modele „on-device” (profilowanie wykonywane lokalnie na urządzeniu, bez wysyłania danych do chmury). Tego typu rozwiązania, opisywane w serwisach takich jak praktyczne wskazówki: prawo, mogą znacząco ograniczyć zakres RODO, ale wymagają innego podejścia technologicznego i biznesowego.

  • Cookies – unikalne identyfikatory zapisane w przeglądarce, pozwalające odróżnić jednego użytkownika od innego i śledzić go w czasie.
  • Adres IP – zwłaszcza statyczny, powiązany stale z tym samym łączem internetowym; również adresy dynamiczne mogą być uznane za dane osobowe, jeśli da się je powiązać z konkretnym użytkownikiem.
  • Identyfikator reklamowy urządzenia mobilnego (np. IDFA, GAID) – kluczowy w aplikacjach mobilnych do śledzenia zachowań i targetowania reklam.
  • Fingerprinting – kombinacja informacji o urządzeniu/przeglądarce (typ, rozdzielczość ekranu, język, wtyczki), która tworzy dość unikalny „odcisk palca” użytkownika.

Jeżeli dany identyfikator jest używany do odróżnienia jednego użytkownika od drugiego oraz budowania jego profilu, to w świetle RODO jest to informacja dotycząca osoby fizycznej. Tym bardziej, gdy można ją powiązać z innymi danymi (np. adresem e-mail, historią zakupów, danymi CRM).

W praktyce trudno dziś znaleźć rozwiązania reklamowe, które w ogóle nie dotykają takich identyfikatorów. Nawet jeśli reklamodawca nie „widzi” tych danych w panelu (widzi tylko agregaty), to dostawca adtech je przetwarza. To oznacza, że administrator danych odpowiada również za wybór dostawców oraz za to, w jakim modelu te dane są wykorzystywane.

Dane zdepersonalizowane a pseudonimizacja – istotna różnica

Częsty mit w marketingu głosi, że „jak usuniemy imię i nazwisko, to już nie są dane osobowe”. To nieprawda. RODO rozróżnia:

  • Dane zanonimizowane (zdepersonalizowane) – nie da się ich powiązać z konkretną osobą, nawet przy użyciu dodatkowych informacji posiadanych przez administratora lub inne podmioty. Przykład: statystyka liczby odsłon po zsumowaniu wszystkich identyfikatorów i usunięciu oryginalnych logów.
  • Dane pseudonimizowane – zastąpienie identyfikatorów danymi pośrednimi (np. numerem, skrótem). Sama nazwa nie identyfikuje osoby, ale administrator ma „klucz” pozwalający powiązać numer z konkretną osobą. To nadal dane osobowe, tylko przetwarzane w bezpieczniejszy sposób.

W profilowaniu reklamowym większość rozwiązań opiera się na pseudonimizacji, a nie na pełnej anonimizacji. Jeśli można zidentyfikować tę samą osobę w kolejnych sesjach, kliknięciach i konwersjach, to dane mają charakter osobowy. Z biznesowego punktu widzenia to zaleta (można mierzyć ścieżkę klienta), ale z perspektywy RODO oznacza wyższe obowiązki.

Dopiero wtedy, gdy nie ma możliwości „odwrócenia” identyfikatora ani powiązania informacji z konkretną osobą, można mówić o danych anonimowych. Przykład: zamiast trzymać identyfikatory użytkowników, system od razu przelicza wizyty na statystyki agregowane i usuwa logi. W takim modelu zaawansowane profilowanie jest jednak znacznie utrudnione, co dobrze pokazuje napięcie między skutecznym marketingiem a ochroną prywatności.

Jak profilowanie podpada pod definicję RODO

RODO definiuje profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej”. W marketingu cyfrowym profilowanie występuje na kilku poziomach:

  • Przypisanie użytkownika do segmentu (np. „zainteresowany elektroniką”, „klient premium”).
  • Przyznanie punktacji leadowi (lead scoring) w CRM na podstawie zachowań i danych.
  • Automatyczne dobieranie kreacji reklamowych na podstawie profilu.
  • Dynamiczne ustalanie częstotliwości wyświetleń (frequency capping w oparciu o zachowanie).

RODO idzie jednak dalej i wyróżnia zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub w podobny sposób istotnie na nią wpływające (art. 22). To poziom, gdzie z samego profilowania wynikają decyzje wpływające np. na zdolność kredytową, wysokość składki ubezpieczenia czy dostęp do określonej usługi.

Większość kampanii reklamowych nie wywołuje takich skutków. Odbiorca widzi inną reklamę niż ktoś inny, ale nie traci prawa do usługi, nie zmienia się cena, nie są ograniczane jego uprawnienia. Dlatego standardowe reklamowe profilowanie zwykle nie podpada pod art. 22, choć nadal jest profilowaniem w rozumieniu art. 4 RODO. To oznacza, że trzeba mieć odpowiednią podstawę prawną, zapewnić przejrzystość, umożliwić sprzeciw i zadbać o bezpieczeństwo, ale nie są konieczne dodatkowe wymogi z art. 22 (np. szczególne prawo do uzyskania interwencji człowieka).

Kłopot zaczyna się w momentach, gdy wynik profilowania wpływa np. na to, jakie oferty cenowe użytkownik widzi, czy w ogóle widzi możliwość wzięcia pożyczki, albo jaką limit kredytowy mu się wyświetla. Wtedy granica między „reklamą” a „decyzją wywołującą skutki prawne” zaczyna się rozmywać i warto zrobić dodatkową analizę ryzyka oraz konsultacje prawne.

Podstawy prawne przetwarzania danych w reklamie profilowanej

Zgoda – popularne rozwiązanie, które często jest źle używane

W marketingu internetowym pierwsza intuicja bywa taka: „zróbmy zgodę i po problemie”. Problem w tym, że źle zorganizowana zgoda nie jest ważna, a źle dobrana podstawa prawna potrafi skomplikować życie bardziej niż pomóc.

W dwóch płaszczyznach zgoda jest kluczowa:

  • ePrivacy (cookies) – instalowanie i odczytywanie plików cookies lub podobnych technologii służących celom marketingowym wymaga zgody użytkownika (z wyjątkami, np. cookies techniczne). Baner cookies i zarządzanie preferencjami to właśnie realizacja tego obowiązku.
  • RODO (przetwarzanie danych osobowych) – zgoda może być jedną z podstaw przetwarzania danych osobowych do celów marketingowych, ale nie jedyną i nie zawsze najlepszą.

Inne podstawy niż zgoda – uzasadniony interes i umowa

Jeśli profilowanie odbywa się wyłącznie „na zgodzie”, system staje się kruchy: wystarczy spadek wskaźnika akceptacji banera i cała analityka oraz retargeting stają się ślepe. Dlatego część organizacji szuka innych podstaw prawnych, zwłaszcza gdy komunikacja ma charakter bardziej relacyjny niż masowy.

Najczęściej rozważa się tutaj:

  • Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – np. własny marketing bez agresywnego śledzenia między serwisami.
  • Wykonanie umowy (art. 6 ust. 1 lit. b) – gdy reklama lub rekomendacje są elementem usługi, za którą użytkownik płaci (albo której sens opiera się na personalizacji).

Uzasadniony interes nie jest „pustym koszykiem”, do którego wrzuca się wszystko, na co trudno uzyskać zgodę. Punktem wyjścia jest konkretne działanie, które można w rozsądny sposób obronić jako potrzebne do prowadzenia działalności, przy jednoczesnym nienaruszaniu praw i wolności użytkowników.

Dobrym uzupełnieniem będzie też materiał: Co oznacza wynik FibroScan wątroby? Interpretacja — warto go przejrzeć w kontekście powyższych wskazówek.

Kiedy uzasadniony interes może mieć sens przy reklamie profilowanej

Są scenariusze, w których profilowanie na podstawie uzasadnionego interesu jest realnie do obrony, a TSUE i organy nadzorcze nie traktują ich jak nadużycie. Zwykle chodzi o działania o ograniczonym zasięgu i wpływie na użytkownika, np.:

  • Własny remarketing w obrębie jednego serwisu – przypomnienie porzuconego koszyka na stronie sklepu, pod warunkiem że nie używasz krzyżowego śledzenia między domenami.
  • Segmentacja istniejącej bazy klientów – np. dzielenie aktywnych klientów na segmenty zainteresowań w celu dopasowania treści newslettera.
  • Ograniczona analityka marketingowa – mierzenie skuteczności kampanii, ale z mocną agregacją danych i krótkimi okresami przechowywania.

Typowy błąd polega na tym, że firma najpierw wdraża pełny ekosystem adtech (śledzenie między serwisami, zewnętrzne DMP, łączenie danych CRM z danymi zewnętrznymi), a dopiero potem próbuje to przykryć formułką „uzasadniony interes marketingowy”. W takim układzie trudno przekonująco przejść test równowagi interesów.

Rozsądny punkt graniczny: jeśli dane są wykorzystywane głównie w relacji „firma – jej własny użytkownik” (bez masowego dzielenia się profilami z partnerami), a wpływ na użytkownika jest raczej miękki (inny baner, inna kolejność ofert), wtedy uzasadniony interes można realnie rozważyć – oczywiście pod warunkiem rzetelnego udokumentowania analizy.

Test równowagi interesów – jak go zrobić praktycznie

Test równowagi brzmi w teorii prosto, ale w praktyce bywa odhaczany jednym zdaniem w polityce prywatności. Sensowna analiza powinna obejmować co najmniej trzy grupy pytań:

  • Natura interesu administratora – co dokładnie chcesz osiągnąć (np. zwiększenie konwersji poprzez dopasowanie rekomendacji produktowych), czy możesz to zrobić mniej inwazyjnie, czy to „nice to have”, czy warunek rentowności usługi.
  • Zasięg i intensywność profilowania – jak dużo danych zbierasz, z ilu źródeł, jak długo je przechowujesz, czy łączysz profile z danymi zewnętrznymi (np. brokerzy danych, sieci reklamowe).
  • Oczekiwania użytkownika i jego kontrola – czy osoba w ogóle może się spodziewać takiego profilowania (np. klient zalogowany w e-sklepie vs. anonimowy gość strony contentowej), czy ma łatwą możliwość sprzeciwu, zmiany ustawień, rezygnacji.

Rezultatem powinien być dokument (wewnętrzna notatka, niekoniecznie publikowana), w którym opisujesz scenariusz, dane, użytych dostawców, przewidywany wpływ oraz przyjęte „bezpieczniki” (m.in. retencja, minimalizacja, brak wrażliwych kategorii). W razie kontroli to właśnie ten dokument pokazuje, że uzasadniony interes nie jest jedynie wyświechtanym hasłem.

Kiedy lepiej zrezygnować z uzasadnionego interesu

Są obszary, w których próba zastosowania uzasadnionego interesu zwykle kończy się źle – albo w warstwie prawnej, albo wizerunkowej:

  • Cross-site tracking z udziałem wielu partnerów – gdy profilowanie opiera się o dane z kilku domen, brokerów danych, platform DMP/DSP, a użytkownik nie ma świadomości, jak szeroko krąży jego profil.
  • Łączenie danych offline i online – spięcie historii zakupów stacjonarnych (np. z karty lojalnościowej) z identyfikatorem online to jakościowo inny poziom ingerencji niż zwykłe cookies.
  • Tworzenie profili mogących ujawniać wrażliwe cechy – np. wnioski co do zdrowia, poglądów, orientacji wynikające z zachowań w sieci (nawet bez zbierania tych informacji wprost).

Jeżeli któryś z tych elementów jest obecny w Twoim modelu biznesowym, lepiej od razu przyjąć, że potrzebujesz mocniejszych zabezpieczeń: jasnej zgody, twardszej segmentacji danych, skróconej retencji, a czasem wręcz rezygnacji z części funkcji profilowania.

Zgoda na cookies vs. zgoda z RODO – dwie różne decyzje

Popularne banery „Akceptuj wszystkie / Odrzuć wszystkie” mieszają ze sobą dwa porządki prawne. Użytkownik klika jeden przycisk, a pod spodem dzieją się równocześnie dwie rzeczy:

  • instalowane są (lub nie) pliki cookies i podobne technologie – to materia ePrivacy,
  • rozpoczyna się (lub nie) przetwarzanie danych osobowych w konkretnych celach – to materiał dla RODO.

Jeżeli w konfiguracji narzędzia CMP (Consent Management Platform) cel „analityka” obejmuje zarówno proste statystyki odwiedzin, jak i budowę bardzo szczegółowych profili behawioralnych, zgoda użytkownika jest zbyt ogólna. Formalnie wyraził zgodę, ale trudno mówić o jej „konkretnym” charakterze.

Praktyczniejszy model opiera się na wyraźnym rozróżnieniu celów:

  • analityka podstawowa – z silną agregacją danych i minimalnym wpływem na prywatność (czasem możliwa bez zgody, przy odpowiedniej konfiguracji),
  • personalizacja treści i reklam – osobny cel, jasno nazwany, opisany i powiązany z profilowaniem,
  • udostępnianie danych partnerom reklamowym – odrębny cel, bo inny jest krajobraz ryzyka.

W efekcie użytkownik ma realny wybór: może zgodzić się na podstawową analitykę, a zrezygnować z udostępniania danych sieciom reklamowym. Z punktu widzenia marketingu jest to mniej wygodne, ale z perspektywy zgodności znacznie łatwiejsze do obrony niż pojedynczy, „łączony” checkbox.

Zbliżenie na kostki Scrabble układające się w napis data breach
Źródło: Pexels | Autor: Markus Winkler

Zgoda na cookies i profilowanie – jak ją ułożyć, żeby była ważna

Elementy ważnej zgody w praktycznym wydaniu

Formalne kryteria zgody (dobrowolna, konkretna, świadoma, jednoznaczna) są znane. Problem pojawia się przy ich przekładzie na projekt banera i realne zachowania użytkowników. Kilka elementów, które decydują o tym, czy zgoda ma szansę obronić się w praktyce:

  • Realna możliwość odmowy – użytkownik musi widzieć opcję odrzucenia lub konfiguracji bez ukrywania jej za kilkoma kliknięciami. Jeśli przycisk „Akceptuj wszystkie” jest neonowy, a „Odrzuć” w bladym tekście na szarym tle, trudno mówić o równowadze.
  • Brak „przymusu funkcjonalnego” – jeśli po odmowie witryna staje się praktycznie nieużywalna (np. zasłonięta warstwą, której nie da się zamknąć), zgoda jest wątpliwie dobrowolna.
  • Jasny język – opis celu „marketingowego profilowania w sieciach reklamowych, obejmującego przekazywanie danych partnerom” nie musi być poetycki, ale nie może być też zawoalowany jako „usprawnianie doświadczenia użytkownika”.

W praktyce dobrze sprawdza się dwustopniowy model: krótki, konkretny komunikat na pierwszym ekranie (z równoważnymi przyciskami „Akceptuj” / „Odrzuć” / „Ustawienia”) oraz szczegółowy panel preferencji, gdzie użytkownik może dookreślić swoje wybory.

Jeśli chcesz pójść krok dalej, pomocny może być też wpis: Remarketing a RODO: jak zbierać zgody zgodnie z prawem.

Granica między „paywall” a „cookie wall”

Coraz częstszy model biznesowy mediów i serwisów o wysokiej jakości treści to wybór: „albo płacisz subskrypcją, albo udostępniasz dane do celów reklamowych”. Z prawnego punktu widzenia nie każdy taki scenariusz jest „cookie wallem” zakazanym przez organy.

Różnicę robi konstrukcja oferty:

  • jeśli subskrypcja jest realną alternatywą (nie symbolicznie drogą, nie ukrytą, z takim samym zakresem treści), a użytkownik może wybrać między pieniędzmi a danymi – trudniej mówić o braku dobrowolności,
  • jeśli „alternatywa” istnieje tylko formalnie (np. astronomicznie droga opcja bez reklam, której nikt rozsądny nie wybierze), regulator może uznać, że zgoda jest wymuszona ekonomicznie.

Kontrariański element: czasem lepiej uczciwie pokazać użytkownikowi koszt usługi i zaproponować wybór (płatna wersja bez profilowania vs darmowa z profilowaniem), niż utrzymywać wersję „darmową”, ale opartą o agresywne, słabo opisane śledzenie, maskowane w ogólnych formułkach o „personalizacji doświadczenia”.

Projekt interfejsu a ważność zgody

Na poziomie makiet UX decyzje pozornie estetyczne stają się decyzjami prawnymi. Kilka częstych pułapek:

  • Domyślnie zaznaczone checkboxy – jeśli użytkownik musi odznaczać zgody marketingowe, nie ma mowy o jednoznacznym działaniu potwierdzającym.
  • „Ciemne wzorce” (dark patterns) – odliczanie czasu, komunikaty straszące utratą funkcji, mylące nazwy przycisków („OK” oznaczające pełną akceptację).
  • Nadmierna fragmentacja – 20 oddzielnych przełączników zgody, każdy opisany prawniczym żargonem, w praktyce skłania użytkownika do „kliknięcia w ciemno”.

Lepszy balans: kilka logicznych kategorii (np. „Analityka”, „Personalizacja”, „Reklama zewnętrzna”), równoważne przyciski globalne (włącz/wyłącz wszystko w danej kategorii) oraz zwięzłe opisy. Taka struktura daje użytkownikowi realną kontrolę, a jednocześnie nie zabija współczynników akceptacji tak mocno, jak radykalnie rozdrobnione ustawienia.

Okres ważności zgody i ponowne pytanie użytkownika

Prawo nie definiuje sztywnego okresu ważności zgody na cookies, ale organy nadzorcze krytykują „wieczne” zgody, zwłaszcza przy silnie zmieniających się ekosystemach reklamowych. Rozsądne podejście obejmuje dwa elementy:

  • czasu trwania zgody – np. ponowne zapytanie po 6–12 miesiącach, szczególnie gdy zmienia się lista dostawców lub zakres przetwarzania,
  • łatwość jej wycofania – widoczny link „Ustawienia prywatności” w stopce lub menu, bez konieczności „szukania igły w stogu siana”.

W praktyce zbyt częste pytanie o zgodę irytuje użytkowników i obniża jej wartość. Z drugiej strony całkowite uzależnienie się od jednorazowego kliknięcia sprzed kilku lat jest słabym argumentem w razie kontroli – szczególnie gdy w międzyczasie zmieniłeś dostawców adtech kilkukrotnie.

Transparencja – co i jak komunikować użytkownikowi

Informacja o profilowaniu, która ma sens dla laika

Obowiązek informacyjny z art. 13–14 RODO bywa realizowany ścianą tekstu w polityce prywatności, której nikt poza działem prawnym nie czyta. Da się to zrobić inaczej, łącząc wymogi formalne z czytelnością:

  • krótki opis na pierwszym poziomie – np. sekcja „Jak wykorzystujemy dane do reklam” wprost mówiąca: jakie kategorie danych, do jakich typów kampanii, z jakimi narzędziami,
  • szczegóły w rozwinięciu – tabele z kategoriami danych, celami, podstawami prawnymi, kategoriami odbiorców (np. „sieci reklamowe”, „dostawcy analityki”).

Kontrariański akcent: nie trzeba opisywać każdego pliku cookie osobno w głównym tekście polityki. Lepszym rozwiązaniem jest przejrzysta matryca lub osobny dokument (np. „lista cookies i dostawców”), aktualizowany technicznie, do którego prowadzi link. Ważne, aby opis nie był oderwany od faktycznej konfiguracji narzędzi.

Jak opisać cele marketingowe bez frazesów

„Usprawnianie doświadczenia użytkownika” to wygodne, ale puste zdanie. Użytkownik nie dowiaduje się z niego niczego konkretnego. Dużo uczciwsze (i prawnie bezpieczniejsze) są komunikaty tego typu:

  • „Na podstawie historii przeglądanych produktów pokazujemy Ci reklamy podobnych ofert na naszej stronie i w innych serwisach.”
  • „Udostępniamy zanonimizowane identyfikatory partnerom reklamowym, aby mierzyć skuteczność naszych kampanii.”
  • „Tworzymy segmenty (np. ‘części motocykli’, ‘akcesoria kuchenne’) i przypisujemy użytkowników do takich grup na podstawie odwiedzanych podstron.”

Najczęściej zadawane pytania (FAQ)

Czy profilowane reklamy są w ogóle zgodne z RODO?

Tak, profilowane reklamy mogą być zgodne z RODO, ale tylko pod warunkiem spełnienia kilku konkretnych wymogów: jasno określonej podstawy prawnej (zgoda lub prawnie uzasadniony interes), przejrzystej informacji dla użytkownika oraz kontroli nad tym, kto i w jakim celu przetwarza dane. Samo „profilowanie” nie jest zakazane – problem pojawia się, gdy odbywa się ono po cichu, bez kontroli i bez realnego wyboru po stronie użytkownika.

Popularna rada „weź zgodę na wszystko” często nie działa, bo użytkownicy klikają „OK” bez czytania, a zgody są nieważne, jeśli są wymuszone lub niekonkretne. Alternatywą bywa powołanie się na prawnie uzasadniony interes, ale wymaga to rzetelnego testu równowagi i ograniczenia zakresu profilowania (np. brak danych wrażliwych, krótsze retencje, mniejsza liczba partnerów).

Jakie dane w reklamie internetowej RODO uznaje za dane osobowe?

RODO za dane osobowe uznaje nie tylko imię i nazwisko, ale praktycznie każdy identyfikator, który pozwala odróżnić jedną osobę od drugiej. W marketingu cyfrowym będą to m.in. cookies, adresy IP, identyfikatory reklamowe urządzeń mobilnych (IDFA, GAID), identyfikatory analityczne (client ID, user ID) oraz fingerprinting urządzenia. Nawet jeśli marketer widzi tylko „numerki”, prawo traktuje je jak dane osobowe, jeśli da się śledzić tę samą osobę w czasie.

Jeśli jednak pracujesz wyłącznie na zagregowanych danych, których nie da się rozbić na ścieżki konkretnych użytkowników (np. jedynie raport „1000 wizyt dziennie, CTR 3%” bez możliwości „zejścia” do poziomu jednostki), wtedy takie informacje wypadają z zakresu RODO. Większość komercyjnych systemów reklamowych i analitycznych przechowuje jednak indywidualne identyfikatory, więc w praktyce masz do czynienia z danymi osobowymi.

Czym różni się profilowanie od reklamy kontekstowej w świetle RODO?

Profilowanie polega na analizie danych konkretnego użytkownika (jego zachowań, preferencji, historii wizyt) i budowaniu jego profilu, który później wykorzystuje się do wyświetlania reklam. Reklama kontekstowa działa inaczej: opiera się na treści strony, a nie na tym, kim jest użytkownik. Reklama butów na blogu o bieganiu może być całkowicie „bezprofilowa”, jeśli system nie używa żadnych identyfikatorów użytkownika.

Granica jest prosta: jeśli system musi rozpoznać, że „to ta sama osoba co wcześniej”, wchodzisz w reżim RODO. Jeśli dobiera reklamę wyłącznie na podstawie kontekstu strony, bez cookies, ID urządzenia i fingerprintingu – możesz działać poza RODO lub z mocno ograniczonym zakresem obowiązków. Z tego powodu wiele firm wraca dziś do kontekstu albo łączy go z bardzo ograniczonym profilowaniem on-site.

Kiedy statystyki z kampanii przestają być anonimowe i podlegają RODO?

Dane są anonimowe dopóty, dopóki nie pozwalają wyróżnić konkretnej osoby, nawet w formie „użytkownik 123”. Prosty raport „40% ruchu z mobile, 60% z desktopu” nie jest danymi osobowymi. Problem zaczyna się wtedy, gdy narzędzie pozwala śledzić pojedynczego użytkownika w czasie – np. widzisz jego kolejne wizyty, ścieżkę kliknięć, listę kampanii, które na niego zadziałały. Nawet jeśli nie znasz jego nazwiska, profilujesz konkretną osobę.

Częsta pułapka brzmi: „my nie mamy danych osobowych, tylko ID sesji”. Jeśli ten ID pozwala zidentyfikować powracającego użytkownika lub połączyć dane z innymi systemami (np. CRM, platformą zakupową), to w rozumieniu RODO przetwarzasz dane osobowe. Prawdziwa anonimizacja jest trudna – zazwyczaj firmy stosują jedynie pseudonimizację, która RODO nadal obejmuje.

Czy do profilowania reklam zawsze potrzebna jest zgoda użytkownika?

Nie zawsze, ale w typowych scenariuszach – zwłaszcza przy reklamie behawioralnej i remarketingu – zgoda bywa najbezpieczniejszą podstawą. Zgoda jest wymagana w szczególności, gdy:

  • korzystasz z cookies/identyfikatorów do śledzenia zachowań w wielu serwisach (cross-site tracking),
  • przekazujesz dane do szerokiej sieci partnerów (RTB, sieci reklamowe),
  • budujesz szczegółowe profile zachowań i zainteresowań.

Istnieją jednak scenariusze, w których profilowanie można oprzeć na prawnie uzasadnionym interesie, np. ograniczony remarketing tylko na własnej stronie, z krótkim okresem retencji i bez udostępniania danych kolejnym podmiotom. Wymaga to jednak solidnej dokumentacji (test równowagi, analiza ryzyka) oraz prawdziwej możliwości sprzeciwu po stronie użytkownika, a nie ukrytego linku w stopce.

Jak legalnie korzystać z remarketingu i look‑alike’ów zgodnie z RODO?

Remarketing i look-alike to formy profilowania, więc zawsze wiążą się z przetwarzaniem danych osobowych. Legalność opiera się na kilku filarach:

  • jasna informacja w polityce prywatności, jakie dane wykorzystujesz do tych celów (np. historia zakupów, wizyty na stronie),
  • odpowiednia podstawa prawna – zwykle zgoda na cookies/marketing lub dobrze uzasadniony interes z możliwością łatwego sprzeciwu,
  • umowy z dostawcami (np. Meta, Google, sieci DSP/SSP) określające role: administrator–współadministrator–podmiot przetwarzający,
  • ograniczenie zakresu danych wejściowych (np. nie używanie danych wrażliwych, brak przesadnie szczegółowych segmentów typu „problemy zdrowotne”).

Częsta rada „wgraj całą bazę klientów do platformy reklamowej i zrób look-alike” jest ryzykowna, jeśli nie masz odpowiedniej podstawy prawnej i nie poinformowałeś o tym wprost w klauzulach informacyjnych. Alternatywą może być model, w którym dane są pseudonimizowane już po stronie nadawcy lub look-alike budujesz na danych zachowań on-site, bez pełnych danych identyfikujących klienta.

Jak ograniczyć ryzyko naruszenia RODO w kampaniach profilowanych?

Największy efekt dają trzy proste kroki: minimalizacja danych, ograniczenie liczby podmiotów oraz skrócenie czasu przechowywania. Zamiast gromadzić wszystko „na wszelki wypadek”, przemyśl, które dane faktycznie poprawiają skuteczność kampanii. Często okazuje się, że szczegółowe śledzenie na poziomie pojedynczych użytkowników przez wiele miesięcy wcale nie wnosi istotnej wartości biznesowej.

Co warto zapamiętać

  • Profilowanie w rozumieniu RODO obejmuje większość nowoczesnych formatów reklamowych (remarketing, look‑alike, reklama behawioralna), nawet jeśli marketer „widzi” tylko ID użytkownika, a nie jego imię i nazwisko.
  • Targetowanie kontekstowe (dopasowanie reklamy do treści strony, a nie do konkretnej osoby) może działać całkowicie poza RODO – pod warunkiem że nie używa się żadnych identyfikatorów użytkownika ani historii jego zachowań.
  • Granica między „anonimową statystyką” a danymi osobowymi przebiega tam, gdzie można odróżnić jedną osobę od drugiej w czasie; jeśli narzędzie pozwala śledzić ścieżkę konkretnego użytkownika, to jest to już przetwarzanie danych osobowych.
  • Nawet proste identyfikatory online (cookies, ID przeglądarki, identyfikator reklamowy urządzenia, login) są danymi osobowymi, jeśli umożliwiają ponowne rozpoznanie użytkownika – „anonimowy numer” zwykle przestaje być anonimowy z perspektywy RODO.
  • Typowa kampania profilowana to łańcuch wielu podmiotów (wydawca, sieć reklamowa, DSP, adserver, systemy analityczne), w którym na każdym etapie dochodzi do przetwarzania danych osobowych – a więc trzeba jasno zdefiniować role (administrator vs. podmiot przetwarzający) i podpisać odpowiednie umowy.
  • Popularne podejście „przecież to tylko statystyki w analityce” zawodzi wtedy, gdy narzędzie przechowuje powtarzalne identyfikatory i pozwala analizować zachowania pojedynczych użytkowników; naprawdę poza RODO są tylko dane trwale zagregowane, których nie da się „rozbić” na jednostki.

Zobacz także: