EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Zobacz wszystkie wyniki dla
'
'
Brak wyników wyszukiwania
Ogólne
Zobacz wszystkoPeople
Zobacz wszystkoOstatnie wyszukiwania
W erze cyfrowej, kierowanie wobec użytkowników Internetu spersonalizowanych reklam (nazywane również reklamami targetowanymi lub behawioralnymi) stało się kluczowym narzędziem dla przedsiębiorców dążących do maksymalizacji skuteczności swoich kampanii marketingowych. Poprzez zbieranie informacji o użytkownikach, a następnie dostosowywanie komunikatów reklamowych do ich indywidualnych preferencji, firmy mogą z większym prawdopodobieństwem dotrzeć do właściwej grupy odbiorców. Jednak rosnąca świadomość konsumentów odnośnie prywatności i wykorzystywania danych osobowych skłoniła Unię Europejską do podjęcia działań regulacyjnych w tym zakresie.
Nowe regulacje unijne, takie jak akt o rynkach cyfrowych („DMA”) [1], akt o usługach cyfrowych („DSA”) [2] oraz akt w sprawie sztucznej inteligencji („AI Act”) [3], stanowią odpowiedź na niektóre wyzwania związane z reklamą behawioralną. Również na gruncie RODO [4] w ostatnich miesiącach dokonano kluczowych wykładni przepisów o ochrony danych osobowych i prywatności w kontekście reklamy behawioralnej, kształtując przyszłość reklamy targetowanej i profilowania klientów w Unii Europejskiej.
RODO jako punkt wyjścia dla regulacji reklamy behawioralnej
Przed rozważeniem wpływu najnowszych regulacji unijnych na praktykę targetowania użytkowników reklamami, należy zwrócić uwagę na przepisy RODO oraz ich kluczowego znaczenia w kontekście spersonalizowanych treści reklamowych. Wynika to z faktu, że reklama behawioralna opiera się przede wszystkim na przetwarzaniu dużej ilości danych osobowych. Aby kierować do konkretnego użytkownika spersonalizowane reklamy, konieczne jest zebranie informacji na jego temat np. o interakcjach z treściami dostępnymi w sieci, lokalizacji, zakupach online czy pozostałej aktywności w Internecie. W tym celu wykorzystuje się zautomatyzowane środki, takie jak pliki cookie czy web beacon. Na podstawie zebranych informacji tworzy się profil osoby fizycznej, który pozwala na przewidzenie potencjalnych preferencji użytkownika, aby przedstawić mu spersonalizowane reklamy. RODO definiuje takie zautomatyzowane przetwarzanie danych osobowych, którego celem jest ocena czynników osobowych osoby fizycznej, jako „profilowanie” [5].
Warto zwrócić uwagę, że w świetle ostatnich decyzji Europejskiej Rady Ochrony Danych („EROD”), przetwarzania danych osobowych w celach reklamy behawioralnej nie możemy oprzeć na niezbędności wyświetlania targowanych reklam do wykonania umowy (a więc podstawie z art. 6 ust. 1 lit. b) RODO), jeśli takie przetwarzanie nie jest obiektywnie niezbędne do świadczenia usługi, która jest przedmiotem umowy. Zgoda na przetwarzanie danych osobowych na potrzeby reklamy targowanej nie może być częścią regulaminu, jeśli jego akceptacja jest warunkiem świadczenia usługi. Użytkownik musi mieć możliwość odrębnego udzielenia bądź odmowy wyrażenia zgody na wykorzystanie jej danych do reklamy behawioralnej [6] .
Co więcej, EROD poddała krytycznej ocenie mechanizm "Consent or Pay", często stosowany przez duże platformy internetowe, który zmusza użytkowników do wyboru między zgodą na przetwarzanie danych w celach reklamy behawioralnej a opłatą za dostęp do treści. EROD argumentuje, że taki binarny wybór nie spełnia standardów ważnej zgody, zalecając wprowadzenie bezpłatnej alternatywy bez reklam behawioralnych, aby umożliwić użytkownikom rzeczywistą wolność wyboru. Opinia ta wywołała kontrowersje, zwłaszcza w kontekście wprowadzenia wymogu bezpłatnej alternatywy dla profilowania w celach reklamy behawioralnej, jak i niejasnych kryteriów definiujących "duże platformy internetowe" [7].
Opisane w dalszej części artykułu DMA, DSA i AI Act pozostają bez uszczerbku dla unijnych zasad ochrony danych osobowych i prywatności oraz odsyłają w tym zakresie do przepisów RODO. Tym samym, RODO oraz ww. regulacje powinny być rozpatrywane łącznie jako regulacje wzajemnie się uzupełniające.
Newsletter Prawny
Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.
Szczególne zasady dla gigantów technologicznych
W stosunku do internetowych gigantów technologicznych, kwestia reklamy behawioralnej została ujęta w przepisach DMA. DMA reguluje praktyki wąskiej grupy dużych platform cyfrowych o przeważającej pozycji rynkowej, które zostały uznane przez Komisję Europejską za tzw. „strażników dostępu”, świadczących m. in. usługi chmurowe, mediów społecznościowych, czy udostępniania treści wideo.
Strażnik dostępu nie może wykorzystywać danych osobowych użytkowników w celu dostarczania reklam internetowych, jeśli dane te pochodzą z usług oferowanych przez inne firmy korzystające z ich platform. Ponadto, nie mogą łączyć danych osobowych z różnych usług platformowych ani wykorzystywać ich w innych, oddzielnych usługach, które oferują. Takie praktyki są dozwolone jedynie w przypadku, gdy użytkownik wyraził zgodę na te działa, przy czym zgoda musi spełniać warunki jej ważności w rozumieniu art. 4 pkt 11 i art. 7 RODO [8]. DMA nakłada na strażników dostępu również obowiązki wobec reklamodawców i wydawców, którzy umieszczają na ich platformach treści reklamowe. Strażnicy dostępu muszą m. in. zapewnić, że reklamodawcy i wydawcy mogą bezpłatnie korzystać z narzędzi i danych strażnika dostępu, aby samodzielnie sprawdzać i mierzyć efektywność reklam [9]. W zakresie technik profilowania konsumentów, strażnicy dostępu zobowiązani są poddać się niezależnemu audytowi, a jego wyniki przedłożyć Komisji Europejskiej
Reklamy na platformach internetowych
Z przyjętych w ostatnim czasie regulacji unijnych, znaczne zmiany w zakresie uregulowania reklamy targowanej wprowadził DSA. Poprzez uregulowanie działalności pośredników usług cyfrowych i platform internetowych (np. usługi chmurowe, serwisy społecznościowe, platformy e-commerce) DSA, potocznie nazywany „Konstytucją Internetu”, ma na celu stworzenie bezpiecznej przestrzeni cyfrowej dla jej użytkowników.
DSA wprowadził dwa nowe ograniczenia w zakresie targowania reklamami. Po pierwsze, aby zapewnić należytą ochronę małoletnich w Internecie, dostawcy platform internetowych nie mogą wykorzystywać danych osobowych do profilowania małoletnich odbiorców, aby prezentować im na tej podstawie dopasowane reklamy [10]. Taki zakaz został już wcześniej wprowadzony wobec dostawców usług medialnych na gruncie Dyrektywy o audiowizualnych usługach medialnych [11], która została implementowana do polskiego porządku prawnego w drodze zmiany ustawy z dnia 29 grudnia 1992 r. o radiofonii i telewizji. Po drugie, DSA zabrania dostawcom platform internetowych wyświetlania reklam opartych na profilowaniu użytkowników, które bazują na szczególnych kategoriach danych określonych w RODO, takich jak orientacja seksualna, pochodzenie etniczne, przekonania religijne, czy dotyczących zdrowia [12][13].
DSA kładzie duży nacisk na przejrzystość platform internetowych. Tym samym, DSA wprowadził obowiązek transparentnego informowania użytkowników w zakresie reklam prezentowanych na platformie internetowej, co ma pozwolić im na podejmowanie świadomych decyzji dotyczących oglądanych reklam. Każdy użytkownik musi być jasno i wyraźnie poinformowany dlaczego i na jakiej podstawie stał się celem konkretnej reklamy oraz kto za nią zapłacił. Treści sponsorowane muszą być teraz wyraźnie oznaczone, tak aby użytkownicy mogli odróżnić je od postów organicznych tj. treści, które nie są wynikiem płatnej promocji [14]. Na tę kwestię zwracał już także uwagę Prezes UOKiK szczegółowo analizując kwestię współpracy twórców internetowych z przedsiębiorcami.
Dodatkowe obowiązki w zakresie reklamy targowanej muszą spełnić bardzo duże platformy internetowe oraz bardzo duże wyszukiwarki internetowe (odpowiednio: „VLOP” i „VLOSE”), które zostały wyznaczone przez Komisję Europejską. Dostawcy VLOP i VLOSE, którzy tworzą profil preferencji użytkownika i na tej podstawie rekomendują mu treści („system rekomendacji”), muszą zapewnić co najmniej jedną opcję rekomendacji, która nie opiera się na profilowaniu użytkownika [15]. Dodatkowo, dostawcy VLOP i VLOSE są zobowiązani do prowadzenia publicznie dostępnego repozytorium reklam prezentowanych na ich interfejsach, które musi zawierać m. in. informacje o tym, czy reklama miała być pokazana specjalnie wybranej grupie odbiorców, i jeśli tak, to jakie główne kryteria zostały użyte do wyboru tej grupy, a także do ewentualnego wykluczenia innych grup [16].
Reklamy z wykorzystaniem sztucznej inteligencji
1 sierpnia 2024 r. wszedł w życie AI Act, który jest pierwszą regulacją prawną dla systemów i modeli sztucznej inteligencji (ang. artificial intelligence,”AI”). Prace nad ostatecznym brzmieniem przepisów budziły dużo kontrowersji oraz zainteresowania co do wpływu AI Act na działalność przedsiębiorstw, które korzystają ze sztucznej inteligencji, w tym również w kontekście marketingu i targowanej reklamy.
AI Act dzieli systemy AI na kilka kategorii na podstawie stwarzanego przez nie ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych (m. in. niedyskryminacji, czy prawa do prywatności). W AI Act nie znajdziemy bezpośrednich odwołań do korzystania z rozwiązań AI, aby tworzyć i kierować wobec konsumentów spersonalizowane reklamy. Jednakże, każdy przedsiębiorca powinien ocenić, czy wykorzystywanie przez niego systemu AI do celów reklamy targetowanej jest dopuszczalne w świetle przepisów AI Act, dokonać klasyfikacji systemu w oparciu o stopień stwarzanego przez niego ryzyka oraz określić, jakie obowiązki będzie musiał w związku z tym spełnić.
Można przyjąć, że podstawowe systemy AI służące do celów reklamy behawioralnej, np. rekomendacje produktów na stronie internetowej na podstawie przeglądanych treści, będą co do zasady systemami AI niskiego ryzyka. W takim przypadku, przedsiębiorca wykorzystujący systemy AI będzie musiał przede wszystkim zadbać o zapewnienie w ramach organizacji odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu [17]. Należy jednak pamiętać, że klasyfikacja AI powinna zostać dokonana osobno dla każdego systemu AI, z którego ma zamiar korzystać przedsiębiorca.
Trzeba jednak pamiętać, że AI Act zawiera katalog praktyk AI, które są bezwzględnie zakazane. Tym samym, reklama behawioralna oraz targowanie konsumentów nie może być oparte na systemach AI, które stosują techniki podprogowe, celowe techniki manipulacyjne lub wprowadzające w błąd w celu nakłonienia osoby do zakupu danego produktu, czy usług. Nie można również korzystać z systemów AI wykorzystujących słabości osób ze względu na ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną [18][19].
Podsumowanie
Nowe regulacje unijne, w tym DMA, DSA i AI Act, w połączeniu z RODO, stanowią zintegrowany zestaw narzędzi prawnych mających na celu uregulowanie praktyk reklamy behawioralnej i profilowania klientów. Te regulacje zwiększają ochronę danych osobowych i prywatności użytkowników, wprowadzając jednocześnie nowe wymogi dla przedsiębiorstw, które muszą teraz dostosować swoje strategie marketingowe do bardziej restrykcyjnego środowiska regulacyjnego. Krytyczna ocena mechanizmu "Consent or Pay" przez EROD, czy wprowadzenie przez DSA ograniczeń dotyczących profilowania małoletnich i wykorzystywania szczególnych kategorii danych osobowych, pokazują skierowanie się przez Unię Europejską w stronę większej transparentności reklamy behawioralnej. W rezultacie, przedsiębiorstwa działające w Unii Europejskiej muszą być gotowe na konieczność zapewnienia zgodności z nowymi standardami dotyczącymi personalizowanych treści reklamowych.
Jak EY może pomóc
-
Kancelaria EY Law zapewnia profesjonalną obsługę prawną w zakresie prawa bankowego i prawa finansowego m.in. bankom, domom maklerskim, ubezpieczycielom. Doradza rządom i agencjom rządowym.
Przeczytaj więcej -
Kancelaria EY Law świadczy kompleksowe doradztwo z zakresu prawa nieruchomości. Doradztwo inwestycyjne – obsługa prawna transakcji – umowy najmu. Dowiedz się więcej.
Przeczytaj więcej -
Zmienne otoczenie gospodarcze, konieczność dostosowywania działalności do coraz to nowych regulacji prawnych i podatkowych przy jednoczesnym dążeniu do wzrostu to codzienne wyzwania jakie stoją przed przedsiębiorcami indywidualnymi oraz firmami rodzinnymi.
Przeczytaj więcej
Polecane
Choć AI Act i RODO będą funkcjonować jako odrębne ramy prawne, ich wzajemne uzupełnianie się w kontekście przetwarzania danych osobowych za pomocą systemów AI może w pewnych przypadkach stwarzać po stronie instytucji finansowych konieczność zapewnienia zgodności z dwoma obowiązkami w zakresie danych osobowych. Będzie to szczególnie ważne dla instytucji finansowych, które w swojej działalności wykorzystują systemy AI klasyfikowane jako stwarzające wysokie ryzyko. Należy jednak pamiętać, że RODO wciąż będzie wyznaczać główne obowiązki w kontekście przetwarzania danych osobowych w systemie AI i związanej z tym ochrony praw osób, których dane dotyczą.
Prawo i AI: Legalne labirynty sztucznej inteligencji
Jakie są prawne wyzwania związane z wdrożeniem sztucznej inteligencji (AI)? Dlaczego prawidłowe zabezpieczenie implementacji rozwiązań AI jest kluczowe dla bezpiecznego funkcjonowania przedsiębiorstw? O czym warto pamiętać przekształcając biznes z AI?
Sztuczna inteligencja (AI) w compliance
AI może budować przewagę konkurencyjną oraz znacznie redukować koszty prowadzenia działalności. Co warto wiedzieć o AI compliance? Od czego zacząć?