A Facebook készített egy új oldalt kifejezetten a cégek számára, ahol a GDPR-rel kapcsolatos részleteket közöl. Az oldal magyar nyelvi beállítások esetén magyarul jelenik meg, de inkább az angol eredetit használjátok, mert a fordítás néhány helyen hibás, és fő fogalmakat kever bizonyos helyeken.
Az új oldal első része gyakorlatilag ugyanaz, mint amiről az előző GDPR-rel foglalkozó közlemény kapcsán írtunk. Vannak viszont új részletek egy Gyakran Ismételt Kérdések blokkban, ahol új információkat tudunk meg. Érdemes elolvasni az egész szöveget, mert sok érdekes dolog van benne. A következőkben én kiemeltem pár elemet elsősorban a hirdetések oldaláról megközelítve.
Előtte pár gyors alap emlékeztetőnek:
- Adatkezelő: aki meghatározza az adatkezelés célját. Az ő feladata és felelőssége többek között a hozzájárulások begyűjtése.
- Adatfeldolgozó: aki elvégzi az adatkezelő által rábízott feladatokat.
Alap Facebook célzások
Amikor a Facebook által gyűjtött adatok alapján célozzuk meg a felhasználókat (pl, érdeklődés alapú célzás, demográfiai célzás), ilyenkor a Facebook az adatkezelő.
Remarketing és a GDPR
„A Facebook adatkezelőként jár el, amikor az emberek által közvetlenül a Facebooknak megadott információk alapján jelenít meg hirdetéseket az embereknek, illetve olyan adatok kapcsán is, amelyeket a Facebook akkor kap, amikor különböző webhelyek és alkalmazások a Facebook képpontját és SDK-ját telepítik. Ilyen esetekben mi vagyunk a felelősek az előírások betartásáért, többek között az értesítés biztosítása és az adatfeldolgozási jogalap kijelölése útján.”
Vagyis a remarketingnél (weboldal látogatás alapú egyéni célközönség) a Facbook az adatkezelő, az ő dolga a hozzájárulások begyűjtése.
Saját adat alapú egyéni célközönség
„Ha a Facebook „adatfájl alapján létrehozott egyéni célközönség” termékét használod ügyfeleid elérésére, vagy a Facebook mérési és analitikai szolgáltatásait veszed igénybe, és EU-s felhasználók személyes adatait adod meg számunkra, akkor a Facebook adatfeldolgozóként* jár el, és te vagy köteles biztosítani annak megfelelőségét, hogy mi feldolgozzuk a személyes adatokat abból a célból, hogy szolgáltatásokat biztosítsunk neked.”
Vagyis ha személyes adatot viszünk be saját adatbázisból a Facebookba, nekünk kell ehhez begyűjteni a hozzájárulásokat. Ahogy eddig.
Azonban furcsa ebben a megközelítésben az, hogy beemelték ide a mérési és analitikai részt. Mármint az, hogy ezt külön kiemelték ide, máshova nem. Mi ezt úgy értelmezzük, hogy ez azt jelenti, hogy ebben az esetben, vagyis amikor beviszünk saját adatokat, és ezeket használjuk mérésre és elemzésre, ebben az esetben vagyunk mi adatkezelők. Ha a Facebook által gyűjtött adatok elemzéséről van szó, vagy weboldal alapú egyéni célközönségekből származó adatokra, akkor a Facebook az adatkezelő.
*a magyar fordításban adatkezelő van, de az angol szövegből kiderül, hogy itt természetesen adatfeldolgozóról beszél a szöveg
Lead hirdetések és a GDPR
„Az érdeklődőkeresési hirdetések esetében a Facebook és a vállalkozás egyaránt adatkezelőként jár el, és mindkét fél felelős a megfelelőség biztosításáért az értesítés biztosítása és a felhasználó által megadott adatok feldolgozási jogalapjának kijelölése útján. Jelenleg is vizsgáljuk a jogi nyilatkozatainkat, hogy megállapítsuk, szükség van-e bármilyen változtatásra annak kapcsán, ahogyan a felhasználó hozzájárul adatai hirdetőnek való elküldéséhez, illetve további feldolgozásához a hirdető által. A GDPR-rel foglalkozó csapatunk rendszeresen tájékoztat arról, ha a vizsgálat nyomán bármilyen változtatás történne.”
A lead hirdetéseknél most is két adatkezelési szabályzat jelenik meg az egyik a Facebooké a másik az, amit nekünk be kell linkelnünk. Lehet, hogy ezen a rendszeren kell még finomítaniuk a következőkben.
Offline konverziók és a GDPR
„A termék használati feltételei jelenleg átdolgozás alatt állnak annak érdekében, hogy egyértelmű legyen, hogy az offline konverziók kapcsán a hirdető mikor jár el adatkezelőként, illetve mikor adatfeldolgozóként. Általánosságban elmondható, hogy amikor az offline konverziós adataid feldolgozásával készítünk mérési vagy analitikai jelentéseket, a Facebook adatfeldolgozóként jár el, a hirdetőnek pedig megfelelő jogalapot kell szereznie az adatok általunk történő feldolgozásához.”
Ahogy írják, ezen még finomítanak, de mivel az offline konverziókövetésnél minden személyes adatot (elérhetőségek és vásárlási információk) mi küldünk be a Facebooknak, itt mi vagyunk az adatkezelők.
Akkor megmenekült a remarketing?
Főleg a remarketing kapcsán merült fel az utóbbi időben az, hogy kell-e előzetes hozzájárulást kérni ahhoz, hogy a Facebook pixel adatokat gyűjtsön és továbbítson. Ha kellenne, akkor az nagyjából ennek a technológiának a végét jelentené. De szerencsére egyre több jel és értelmezés mutat abba az irányba, hogy erre nem lesz szükség.
Ha ugyanis a weboldal látogatás alapú egyéni célközönségnél a Facebook az adatkezelő, akkor neki kell hozzájárulást gyűjteni. Másrészről a GDPR-ben van egy ún. szükségesség-arányosság teszt, aminek a keretében összevethetjük, hogy a felhasználhatók érdekei és a cég jogos érdeke alapján hogyan járunk el. Sok esetben egy ilyen szükségesség-arányosság teszt eredménye lehet az, hogy nincs szükség előzetes engedélyt kérni a felhasználótól ahhoz, hogy a Facebook pixel segítségével kövessük, majd ezután hirdetést jelenítsünk meg neki.
De…
Ez a cikk természetesen nem jogi tanács, mindenkinek erősen javasolt, hogy egyeztessen egy adatvédelmi szakértővel, hiszen nagyon sok speciális szempont merül fel a GDPR-ben aminek meg kell felelni (és nem csak marketingben!).
Persze a Facebook láthatóan még dolgozik az ügyön. A közzétett kérdések között több olyan van, amelyiknél még nincs konkrét válasz. Sok idejük nincs már, és még jó pár eszközt, szabályzatot és folyamatot be kell még mutatniuk, május 25-re, ahhoz, hogy tudjuk, mihez kell igazodnunk hirdetőként vagy adatkezelőként.
Ettől függetlenül érdekes a kérdés: mit gondoltok a jelenlegi állásról? Megnyugtatóbb szerintetek, vagy továbbra is káosz?