Zgoda a uzasadniony interes: co wybrać w celach marketingowych?

Artykuł 6 RODO pozwala przetwarzać dane osobowe użytkowników na sześciu zgodnych z prawem podstawach, w tym Zgodzie i uzasadnionym interesie:

Art. 6 ust. 1 lit. a RODO – zgoda jako podstawa prawna przetwarzania danych: osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

art. 6 ust. 1 lit. f RODO – Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, ochronę danych osobowych, w szczególności gdy osobą, której dane dotyczą, jest dziecko.

Te dwie są również najczęściej dyskutowanymi podstawami prawnymi przetwarzania danych osobowych w celach marketingowych.

Spośród nich podstawa zgody działa dość prosto… ponieważ użytkownik „wyraził zgodę” na przetwarzanie Twoich danych.

Problem jednak ze zgodą polega na tym, że nie zawsze pasuje to do procesu marketingowego.

Co następnie pozostawia marketerom przepis dotyczący uzasadnionych interesów.

Na pierwszy rzut oka Uzasadnione Interesy to pojęcie zbiorcze, które pozwala na przetwarzanie wielu danych osobowych. Jednak wykorzystanie uzasadnionych interesów jako podstawy prawnej wymaga starannego rozważenia, ponieważ można je uznać za podstawę prawną przetwarzania danych tylko JEŚLI przetwarzanie danych jest rzeczywiście KONIECZNE.

Wybór między zgodą a uzasadnionymi interesami w celach marketingowych

Przetwarzanie danych osobowych na podstawie zgody jako podstawy prawnej jest uważane za dość bezpieczne, ponieważ zgoda jest „złotym standardem”.

Jest to również znacznie silniejsza podstawa przetwarzania danych niż podstawa uzasadnionych interesów, ponieważ jest jednoznaczna. Zapytałeś użytkownika, a on odpowiedział „Tak!”.

Jednak uzyskanie zgody za każdym razem, gdy chcesz przetworzyć określony rodzaj danych osobowych, oznacza skłonienie użytkowników do wyrażenia zgody na wiele różnych formularzy zgody.

W rzeczywistości RODO oferuje kilka bardzo jasnych i rygorystycznych dyrektyw dotyczących tego, w jaki sposób można legalnie ubiegać się o zgodę:

[…] wskazanie zgody musi być jednoznaczne i wiązać się z wyraźną akcją potwierdzającą (opt-in). W szczególności zakazuje wstępnie zaznaczonych pól do wyrażania zgody. Wymaga również odrębnych („szczegółowych”) opcji zgody dla różnych operacji przetwarzania. Zgoda powinna być oddzielona od innych warunków i generalnie nie powinna być warunkiem wstępnym rejestracji w usłudze.

Z drugiej strony podstawa prawna uzasadnionych interesów jest dość elastyczna.

Przede wszystkim RODO umożliwia marketerom poddanie przetwarzania danych osobowych w celach marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu:

…Przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za prowadzone w uzasadnionym interesie.

Ponadto ICO (Information Commissioner's Office, niezależny organ z siedzibą w Wielkiej Brytanii, który udziela firmom wskazówek, jak stosować brytyjskie przepisy dotyczące prywatności danych, takie jak RODO) wyjaśnia, w jaki sposób taki uzasadniony interes w marketingu (taki jak „zwiększanie sprzedaży”) może ustalić prawdziwy cel przetwarzania danych:

[Mamy prawnie uzasadniony interes w marketingu naszych towarów wśród obecnych klientów w celu zwiększenia sprzedaży.

ICO wyjaśnia również, w jaki sposób Uzasadnione Interesy mogą być najwłaściwszą podstawą w wielu przypadkach, takich jak:

• przetwarzanie nie jest wymagane przez prawo, ale przynosi wyraźną korzyść Tobie lub innym osobom;
• ma ograniczony wpływ na prywatność jednostki;
• osoba ta powinna racjonalnie oczekiwać, że wykorzystasz jej dane w ten sposób; oraz
• nie możesz lub nie chcesz dać osobie pełnej kontroli z góry (tj. zgody) lub zawracać jej głowę zakłócającymi prośbami o zgodę, gdy jest mało prawdopodobne, że sprzeciwią się przetwarzaniu.

W przypadku każdej potrzeby (lub celu) marketingowego marketer musi starannie wybrać różne zgodne z prawem podstawy, z których skorzysta (spośród sześciu zgodnych z prawem podstaw, na podstawie których RODO zezwala na przetwarzanie danych). Spośród tych sześciu, zgoda i uzasadnione interesy to dwie zgodne z prawem podstawy, które są często wykorzystywane do personalizacji strony internetowej dla zwykłych (lub niezalogowanych) użytkowników. (Ten artykuł koncentruje się na tym, jak można wykorzystać podstawę prawną Uzasadnione interesy do personalizacji doświadczeń w witrynie.)

Ogólnie rzecz biorąc, uwzględnienie sprawy na podstawie przepisu o uzasadnionych interesach wymaga dużo przemyślenia. Aby to nieco ułatwić, ICO zaprojektowało trzyczęściowy test, który pomoże Ci określić, czy cel, który masz pod ręką, rzeczywiście nadaje się do legalnej podstawy zgodnie z postanowieniem o uzasadnionych interesach.

Oto trzyczęściowy test ICO do określenia uzasadnionych interesów w ramach RODO:

1. Test celu – czy za przetwarzaniem stoi uzasadniony interes?
   Aby wykorzystać Uzasadnione interesy jako podstawę prawną do przetwarzania danych osobowych, musisz najpierw wyjaśnić swoją potrzebę przetwarzania danych osobowych, których to dotyczy. Potrzebujesz jasno wyartykułowanego celu, za którym chcesz go przetworzyć.
2. Test niezbędności – czy przetwarzanie jest w tym celu konieczne?
   Aby wykorzystać Uzasadnione interesy jako podstawę prawną do przetwarzania danych osobowych, musisz wykazać, że nie ma innego mniej inwazyjnego sposobu osiągnięcia celu, a Twoje przetwarzanie jest „ proporcjonalne i odpowiednio ukierunkowane, aby osiągnąć swoje cele… ”
3. Test równowagi – czy prawnie uzasadniony interes jest nadrzędny w stosunku do interesów, praw lub wolności jednostki?
   Po zakwalifikowaniu Twojej sprawy w pierwszych dwóch testach musisz upewnić się, że przetwarzanie danych osobowych nie narusza praw i wolności osoby, której dane osobowe będą przetwarzane.

W związku z tym przyjrzyjmy się teraz kilku bardzo powszechnym przykładom przetwarzania danych osobowych, które mogą podlegać przepisom RODO.

10 przykładów podstaw przetwarzania danych osobowych z wykorzystaniem uzasadnionych interesów

Zanim zobaczymy rzeczywiste przykłady, proszę zrozumieć, że każdy przykład wymieniony poniżej ma dużą listę zastrzeżeń. Te przykłady mają na celu jedynie przedstawienie sugestii dotyczących celów marketingowych, które można zbadać zgodnie z postanowieniem o uzasadnionych interesach.

Tutaj idzie …

1. Przetwarzanie danych adresu IP

W zależności od ilości przechwytywanych danych adres IP może wiele powiedzieć. Na przykład możesz go użyć, aby znaleźć lokalizację odwiedzającego, lub możesz również użyć go, aby dowiedzieć się, w jakiej firmie pracuje (przeczytaj więcej na ten temat w naszym artykule ABM 101).

Uzasadnione interesy to jedna z podstaw prawnych, która może być wykorzystywana do przetwarzania danych adresu IP użytkownika (klasyfikowanych jako dane osobowe). Przykładem celu marketingowego w ramach postanowienia o uzasadnionych interesach z wykorzystaniem adresu IP może być oferowanie zlokalizowanych ofert.

Na przykład sklep eCommerce może promować płaszcz przeciwdeszczowy osobie przeglądającej z obszaru, w którym jest pora monsunowa. Alternatywnie sklep internetowy może wykorzystać dane o lokalizacji odwiedzającego, aby zaoferować ograniczoną czasowo ofertę bezpłatnej wysyłki do obszaru odwiedzającego.

Podobnie firma B2B może wykorzystać firmę odwiedzającego (zidentyfikowaną na podstawie jego adresu IP), aby pokazać mu dynamiczną personalizację w postaci obrazu lub treści spersonalizowanej, powiedzmy, nazwą firmy lub branżą.

Uwaga: jeśli używasz adresów IP odwiedzających do personalizowania ich witryn, najlepiej nigdy nie przechowywać ich w swojej bazie danych, jeśli używałeś ich w usługach pogodowych lub lokalizacyjnych. W ten sposób dane te nie będą stanowić problemu podczas zbierania wielu punktów danych dotyczących osoby w tym samym miejscu.

2. Przetwarzanie danych analitycznych strony internetowej

Większość witryn zbiera dane przeglądania odwiedzających w celu optymalizacji wydajności. Zwykle jest to objęte przepisem o uzasadnionych interesach. Ogólnie rzecz biorąc, takie dane nie stanowią problemu, ponieważ są często anonimizowane, a większość narzędzi analitycznych, takich jak Google Analytics, zabrania przetwarzania/przechowywania informacji umożliwiających identyfikację osób (PII).

Trendy wynikające z takiego przetwarzania danych mogą stanowić podstawę szerokiej gamy spersonalizowanych doświadczeń ze strony internetowej.

Na przykład, korzystając z Google Analytics, możesz zidentyfikować strony w swojej witrynie, na których tracisz większość potencjalnych klientów. Możesz także skorzystać z niektórych zaawansowanych opcji segmentacji w Google Analytics, aby określić, które segmenty odbiorców są pomijane. Takie przetwarzanie danych może generować dla Ciebie wiele informacji na temat danych demograficznych i więcej na temat ruchu, który tracisz.

Korzystając z tych informacji, możesz również przetestować oferowanie tym segmentom bardziej spersonalizowanych doświadczeń z witryną.

Na przykład, jeśli sklep eCommerce stwierdzi, że dana strona produktu ma wysoki współczynnik porzuceń, może wykorzystać informacje demograficzne swoich odbiorców, aby dostosować komunikaty na stronie produktu.

Taka personalizacja jest nie tylko subtelna i znacząca, ale również przetwarzane dane osobowe nie są nachalne.

3. Przetwarzanie danych komunikacyjnych

Prowadzenie spersonalizowanej komunikacji marketingowej za pośrednictwem e-maili lub SMS-ów zawsze wymaga wyraźnej zgody.

Ponadto opublikuj RODO, dodawanie wiadomości e-mail osoby do swojego CRM i wysyłanie jej e-maili marketingowych tylko dlatego, że skontaktowała się z Tobą za pośrednictwem formularza kontaktowego z ich adresem e-mail, jest niezgodne z prawem. Musisz użyć pól zgody pod formularzem kontaktowym, które wyraźnie proszą o zgodę odwiedzającego na to.

Poza tym RODO nie działa w izolacji. Dlatego Twoje kampanie marketingowe e-mail (lub SMS) muszą być zgodne z odpowiednimi przepisami prawnymi, takimi jak oferowanie użytkownikom linku do rezygnacji z subskrypcji i nie tylko.

To powiedziawszy, jeśli uzyskałeś zgodę na taką komunikację od subskrybenta, możesz spersonalizować obsługę swojej witryny dla takiego subskrybenta na podstawie jego interakcji z Twoimi e-mailami marketingowymi lub SMS-ami. Powinno to być rozsądnie uwzględnione w przepisie o uzasadnionych interesach.

Na przykład biuro podróży może wykorzystać swoją historię komunikacji z subskrybentami, aby pokazać im spersonalizowane strony. Na przykład subskrybentowi, który wykazał zainteresowanie (np. klikając link) luksusowymi podróżami, może zostać wyświetlona strona promująca pakiet pobytowy w luksusowym hotelu. Alternatywnie, podróżujący z ograniczonym budżetem może zobaczyć kilka wybranych ofert tanich hoteli.

4. Przetwarzanie danych behawioralnych za pomocą plików cookie, sygnałów nawigacyjnych itp.

Przetwarzanie danych behawioralnych jest bardzo podobne do przetwarzania danych analitycznych witryny. Podobnie jak dane analityczne witryny, dane osobowe wykorzystywane do zasilania kampanii opartych na analizie behawioralnej również są anonimizowane. A RODO jest dość elastyczne w przetwarzaniu danych zanonimizowanych.

Informacje z interakcji odwiedzających z witryną (na przykład przeglądanych przez nich stron i danych o kliknięciach) mogą być wykorzystywane do dostarczania bogatych kontekstowo doświadczeń w witrynie.

Na przykład firma zajmująca się oprogramowaniem na poziomie korporacyjnym może śledzić dane behawioralne swoich odwiedzających i oferować im bardziej spersonalizowane doświadczenia podczas ich ponownych wizyt. Na przykład odwiedzający, który wydaje się badać pewne rozwiązanie, może zobaczyć stronę próbną tego samego rozwiązania lub formularz rejestracji podczas następnej wizyty w witrynie.

5. Przetwarzanie danych profilowych

Podobnie jak analityka witryny i przetwarzanie danych behawioralnych, firma może korzystać z podstawy uzasadnionego interesu, aby wykorzystywać anonimowe dane osobowe do tworzenia profili użytkowników (profilowania).

Na przykład witryna porównująca gadżety może wykorzystywać anonimowe dane osobowe użytkowników do identyfikowania głównych typów odbiorców. Następnie może wyświetlać każdemu spersonalizowane oferty i kampanie promocyjne (na przykład sugerować wysokiej klasy telefony komórkowe jego segmentowi odbiorców z najwyższej półki i pokazywać zniżki na tanie telefony komórkowe jego segmentowi, który jest przyjazny dla budżetu).

Dokument dotyczący wytycznych dotyczących korzystania z Uzasadnionych interesów nie tylko sugeruje taką podstawę jako podstawę prawną do przetwarzania danych osobowych w ramach Uzasadnionych interesów, ale także wspiera takie profilowanie użytkowników przy użyciu danych z mediów społecznościowych. Dokument stwierdza, że ​​firma może korzystać z:

[…] Algorytm dostarczony przez dostawcę mediów społecznościowych w celu lepszego kierowania reklam do „podobnych” – tj. innych osób, które mają cechy podobne do własnych klientów tej firmy. Firma przesyła minimalną wymaganą ilość danych osobowych swoich klientów, aby umożliwić targetowanie w mediach społecznościowych, ale wyklucza tych, którzy sprzeciwili się marketingowi. Profilowanie jest prowadzone w ramach platformy mediów społecznościowych, aby umożliwić targetowanie, jednak ma ono charakter wyłącznie marketingowy, a firma oceniła, że ​​nie wywołuje ono żadnych skutków prawnych lub podobnie istotnych dla tych osób.

6. Przetwarzanie danych stron trzecich i stron trzecich

Oprócz danych pierwszej strony (tj. danych, które firma zbiera samodzielnie — na przykład danych z konta Google Analytics), wiele firm korzysta również z danych stron trzecich i stron trzecich.

Dane te — pozyskiwane od partnerów i od wymiany danych — dają marketerom potężny wgląd w psychografię, technologię i dane demograficzne ich odbiorców. Zwykle służy do budowania szczegółowych profili klientów. Które z kolei są wykorzystywane do tworzenia bardziej odpowiednich treści i komunikatów oraz do dostarczania ich do kluczowych segmentów od ogółu odbiorców.

Na przykład firma B2B może wykorzystywać takie dane do identyfikowania kluczowych segmentów wśród swoich odbiorców i kierowania do każdego segmentu spersonalizowanych rekomendacji treści.

Jeśli musisz korzystać z takich danych pozyskiwanych, upewnij się, że współpracujesz wyłącznie z dostawcami danych i giełdami, które przestrzegają uczciwych i zgodnych z prawem praktyk gromadzenia i przetwarzania danych.

7. Przetwarzanie danych historii zakupów

Sklep eCommerce może oferować odwiedzającym spersonalizowane rekomendacje produktów na podstawie ich historii transakcji.

DPN (Sieć Ochrony Danych, organ z siedzibą w Wielkiej Brytanii, który oferuje porady ekspertów w zakresie ochrony danych i prywatności) oferuje wiele wskazówek dotyczących korzystania z uzasadnionych interesów. Sugeruje, że wykorzystanie przez sklep internetowy historii zakupów użytkownika w celu dokonywania spersonalizowanych rekomendacji produktów może być dobrą podstawą prawną przetwarzania danych osobowych:

Detalista o szerokim asortymencie przeprowadza zautomatyzowane przetwarzanie, które opiera się na historii transakcji klienta, w celu przewidzenia, jakimi innymi produktami i usługami może go zainteresować.

8. Przetwarzanie danych historii rachunku

Przetwarzanie danych konta może być traktowane jako odpowiednik przetwarzania danych historii zakupów, ale w przypadku konfiguracji B2B.

Firma B2B może wykorzystywać dane historii konta swoich użytkowników do dostarczania bogatszych kontekstowych doświadczeń związanych z treścią. Na przykład firma B2B może wykorzystać dane swoich klientów, aby zaoferować im trafniejsze i lepsze oferty uaktualnień lub sprzedaży krzyżowej.

9. Przetwarzanie danych cookies

Istnieje wiele sposobów, w jakie dane z plików cookie mogą pomóc w oferowaniu spersonalizowanych doświadczeń w witrynie, które są zarówno nieinwazyjne, jak i odpowiednie. Większość typów plików cookie, które mogą zapewnić efektywne doświadczenia, nie wymaga nawet wyraźnej zgody użytkownika, ponieważ instrukcje dotyczące ich użycia i rezygnacji można wyjaśnić na stronach dotyczących prywatności witryny.

Na przykład witryna biznesowa może wykorzystywać dane z plików cookie, aby określić, jakie treści dostarczyć potencjalnemu klientowi, aby przenieść go dalej na ścieżce sprzedaży. Istnieje nieskończona ilość sposobów na wykorzystanie danych z plików cookie, nawet w sposób przyjazny dla prywatności. W rzeczywistości wszystkie dane z powyższych przykładów są w większości gromadzone i przechowywane w niektórych formach plików cookie.

Aby uzyskać więcej przykładów przetwarzania danych w ramach klauzuli uzasadnionych interesów, zapoznaj się z Poradnikami dotyczącymi korzystania z uzasadnionych interesów zgodnie z ogólnym rozporządzeniem UE o ochronie danych.

Podsumowując…

Wybór jednej z dwóch opcji — Uzasadnione interesy lub Zgoda — do celów marketingowych wymaga rozważenia w każdym przypadku z osobna. Uzasadnione interesy mogą być (i są) najczęstszą podstawą prawną przetwarzania danych osobowych dla większości marketerów, jednak należy z nich korzystać ostrożnie.

Ponadto, chociaż przepis dotyczący uzasadnionych interesów może obejmować wiele taktyk personalizacji witryny, nadal należy wykonać ocenę uzasadnionych interesów i zwrócić się o pomoc do prawnika zajmującego się ochroną prywatności online, aby mieć podwójną pewność przed skorzystaniem z niej.

W Convert Experiences umożliwiamy marketerom takim jak Ty oferowanie użytkownikom spersonalizowanej witryny internetowej zgodnej z RODO i przyjaznej dla prywatności. Przeprowadziliśmy również dokładną LIA wszystkich danych, których używamy na podstawie przepisu o uzasadnionych interesach w celu zasilania takich personalizacji. Sprawdź to tutaj. A jeśli chcesz oferować personalizacje witryn, które domyślnie zapewniają prywatność i prywatność, sprawdź Konwertuj doświadczenia.