Najczęstsze błędy w profilowaniu w remarketingu w kontekście RODO

Remarketing to w ostatnich latach jeden z najpopularniejszych sposobów dotarcia do klientów w branży e-commerce. Istnieje wiele definicji remarketingu, ale w kilku słowach można stwierdzić, że jest to rodzaj kampanii reklamowej prowadzonej z wykorzystaniem programu Google AdWords w celu wyświetlenia reklamy użytkownikom, którzy odwiedzili stronę internetową danej firmy. Specjaliści od marketingu wskazują, że jest to bardzo skuteczne narzędzie sprzedażowe, gdyż pozwala dotrzeć do klientów, którzy już są zainteresowani daną usługą lub produktem, tylko z jakiś powodów zwlekają z zakupem, np. czekają na promocję albo konkretny model/wersję/kolor danego produktu.

Dzięki remarketingowi użytkownikowi po pewnym czasie od odwiedzenia strony sprzedawcy wyświetla się reklama oglądanego produktu/usługi, dzięki czemu może on sobie przypomnieć o ofercie sprzedawcy, np. widząc obniżoną cenę oglądanej wcześniej sukienki czy sprzętu elektronicznego i zdecydować się na zakup. W praktyce remarketing opiera się na tzw. ciasteczkach, czyli plikach cookies. W momencie, gdy użytkownik odwiedza stronę internetową sprzedawcy, przeglądarka Google umieszcza w przeglądarce użytkownika odpowiednie pliki cookies. Pliki te zawierają informację, że dany użytkownik odwiedził konkretną witrynę, a często też, co na niej oglądał. Informacje te zostają zapisane w jego przeglądarce i kiedy opuszcza on stronę sprzedawcy i wchodzi na inne strony internetowe, dzięki użyciu zapisanych plików cookies wyświetla mu się reklama uprzednio odwiedzonej witryny.

Co jednak istotne, opisany wyżej mechanizm działania programu wykorzystywanego do remarketingu opiera się na profilowaniu, w związku z czym w tym zakresie konieczna jest analiza tego procesu pod kątem przepisów RODO.

Czym jest profilowanie?

Zgodnie z definicją zawartą w art. 4 pkt 4 RODO: „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobis­tych preferencji, zainteresowań, wiarygodności, zachowania,
lokalizacji lub przemieszczania się.

Grupa Robocza w art. 29 swoich wytycznych dotyczących profilowania, wyróżniła jego trzy rodzaje:

  • profilowanie ogólne, czyli tzw. profilowanie zwykłe, które dotyczy sytuacji, gdy cały proces profilowania odbywa się z udziałem czynnika ludzkiego,
  • podejmowanie decyzji oparte na profilowaniu, są to przypadki, w których system/program dokonuje analizy danych, ale ostateczną decyzję podejmuje człowiek,
  • wyłącznie zautomatyzowane podejmowanie decyzji, w tym profilowanie, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę, której dane dotyczą (określone w art. 22 ust. 1 RODO), czyli
  • profilowanie zautomatyzowane, w którym cały proces oceny oraz podjęcie decyzji dokonują systemy/programy komputerowe, a wynikiem takiego profilowania jest podjęcie decyzji wobec osoby, której dane dotyczą, wywołanie wobec niej określonych skutków prawnych lub w podobny sposób istotnie na nią wpływające. W tym rodzaju profilowania nie bierze udział czynnik ludzki[1].

Podstawy prawne profilowania

W art. 22 ust. 1 RODO wskazano, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Wyjątki od powyższej zasady pozwalające na zastosowanie zautomatyzowanego przetwarzania danych, w tym profilowanie w celu podjęcia decyzji wobec osoby, której dane dotyc...

Dalsza część jest dostępna dla użytkowników z wykupionym planem