28. 3.

GDPR a Reklama na Seznamu, 2. díl – odpovědi na vaše otázky

Předchozí článek k GDPR byl napsaný s úmyslem informovat s předstihem a přístupnou formou inzerenty Skliku o nakládání s osobními údaji v on-line reklamě po nabytí účinnosti GDPR. Cílem textu nebyla vyčerpávající právní analýza. Uvědomujeme si, že problematika osobních údajů a jejich ochrany přináší řadu unikátních situací s různými přístupy a řešeními. Za obsahem článku si stojíme a v případě, že došlo k výkladovým nejasnostem, upřesníme je v tomto článku.

Popsaný přístup k datům využívaným v on-line reklamě se vztahoval pouze ke službám společnosti Seznam.cz, a to zejména k behaviorálnímu cílení a službě Sklik retargeting.

Není sporu o tom, že IP adresy a cookies mohou za určitých okolností a ve vztahu ke konkrétním subjektům mohou být osobním údajem a v takových případech je potřeba k datům přistupovat v souladu s GDPR legislativou. Každý případ je nicméně potřeba posuzovat individuálně. V případě GDPR neexistuje univerzální řešení, pouze všeobecně platné zásady jejich zpracování.

Společnost Seznam.cz však deklarovala, že pro účely on-line reklamy bude po nabytí účinnosti GDPR využívat pouze taková data, která neidentifikují konkrétní fyzické osoby nebo prostřednictvím nichž není možné konkrétní fyzické osoby identifikovat. GDPR se aplikuje vždy ve vztahu k osobním údajům konkrétní fyzické osoby, jejíž práva tím mohou být dotčena.

Předmětem behaviorálního cílení či retargetingu v pojetí společnosti Seznam.cz však nejsou konkrétní fyzické osoby. Z těchto důvodů nebudou souhlasy uživatelů pro tyto účely vyžadovány. Společnost Seznam.cz z důvodu prevence přijala a přijme řadu opatření, přičemž dle jednoho z nich nebudou po nabytí účinnosti GDPR pro účely behaviorálního cílení a retargetingu Skliku využívány IP adresy uživatelů, byť by byly zpracovávány v anonymizované podobě.

Na rozdíl od reklamních systémů jako např. Google AdWords nebo Facebook Ads nepracuje retargeting Skliku žádným způsobem se jmény, adresami (e-mailovými ani poštovními) nebo telefonními čísly fyzických osob.

Každý poskytovatel služeb musí zanalyzovat a vyhodnotit svá vlastní řešení a provést analýzu toho, jakým konkrétním způsobem zpracovává a nakládá s daty, které mohou naplňovat znaky osobních údajů, a dle konkrétních výsledků rozhodnout, zda-li spadá pod režim GDPR, či nikoli, a pokud ano, zda-li přistoupí ke sběru souhlasů, či zvolí jiný způsob předvídaný právními předpisy.

Odpovědi na vaše dotazy a námitky

“Dle nařízení GDPR je nutný souhlas opt-in a toto potvrzuje i ÚOOÚ.”

Článek publikovaný na stránkách ÚOOÚ je z roku 2012 a reaguje na tehdy přijatou směrnici Evropského parlamentu a Rady 2009/136/ES, kterou Česká republika implementovala novelou zákona č. 127/2005 Sb., o elektronických komunikacích, s účinností, jehož § 89 odst. 3 uvádí:

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

Česká právní úprava v oblasti elektronické komunikace tedy nezavedla opt-in princip při ukládání cookies, ale zachovala přístup opt-out, který společnost Seznam.cz respektuje. Souhlas uživatelů může být povinný až dle připravovaného nařízení e-Privacy. Pokud však kdokoli propojí cookies s jinými údaji, které identifikují či jsou způsobilé identifikovat fyzickou osobu, pak se může dostat do režimu GDPR a je potřeba postupovat v souladu s tímto nařízením.

“Retargeting je v rozporu s GDPR, protože používá profilování podle uživatele.”

“Retargeting sice běží až od 30 cookie v publiku, ale když k těm cookies (IP adresám) máte navíc informace třeba o pohlaví nebo věku (nebo RTG jiných inzerentů), tak už se může jednat o zpracování osobních údajů.”

Pokud by šlo o konkrétního uživatele (ve smyslu fyzické osoby Jana Nováka z Žižkova) a byl zde dopad na uživatele, např. ve formě odmítnutí poskytnutí úvěru, dražšího povinného ručení, pak samozřejmě ano. Pokud se jedná o uživatele ve smyslu anonymního uživatele, který je skrze chování prohlížeče zařazen do sekce „muž, 30 až 50“ a není zde dopad na poskytované služby, pak takový přístup v rozporu s GDPR není.

“IP adresa je osobní údaj, proč nepotřebuji na jeho využití pro retargeting souhlas uživatele?”

Každý standardní webový server většinou loguje IP adresu, a stejně tak je tomu i u nás. Víme však, že IP adresa může být za jistých okolností považována za osobní údaj. V Skliku IP adresu nepotřebujeme pro behaviorální cílení ani retargeting, ale naopak je to pro nás důležitá informace při kontrole případných podvodných kliků, a tedy ochraně investic našich klientů. Proto jsme přijali taková technická opatření, která zamezují výskyt IP adresy tam, kde není pro další technické zpracování potřeba.

“Co když je uživatel, který se svou cookie spadá do retargetingového publika, zároveň přihlášený ke svému účtu na Seznamu, kde má své jméno uvedené?”

Data z retargetingu jsou ukládána do samostatného datového úložiště, které je zabezpečeno přísnými technickými a organizačními opatřeními, v důsledku čehož lze data zpracovávat pouze pro účely retargetingu a není možné je technicky propojit s daty jiných služeb.

“Je Seznam.cz zpracovatelem nebo správcem osobních údajů? Je potřeba mít podepsanou zpracovatelskou smlouvu?”

Jelikož Sklik nezpracovává osobní údaje (vizte odpovědi výše), zpracovatelská smlouva není potřeba.

Tým Sklik a tým ochrany osobních údajů