5 min. czytania 11 wrz 2024
AI SLA

Reklama targetowana i profilowanie klientów w świetle regulacji unijnych

Autorzy
Alicja Guzy

EY Polska, Kancelaria EY Law, Manager

Alicja zajmuje stanowisko Managera w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law

Weronika Judka

EY Polska, Kancelaria EY Law, Junior Associate

Weronika Judka jest Junior Associatem w Kancelarii EY Law i specjalizuje się w prawie ochrony danych osobowych oraz prawie nowych technologii.

5 min. czytania 11 wrz 2024
Powiązane tematy Doradztwo prawne AI
Polub

Pokaż załączniki

W erze cyfrowej, kierowanie wobec użytkowników Internetu spersonalizowanych reklam (nazywane również reklamami targetowanymi lub behawioralnymi) stało się kluczowym narzędziem dla przedsiębiorców dążących do maksymalizacji skuteczności swoich kampanii marketingowych. Poprzez zbieranie informacji o użytkownikach, a następnie dostosowywanie komunikatów reklamowych do ich indywidualnych preferencji, firmy mogą z większym prawdopodobieństwem dotrzeć do właściwej grupy odbiorców. Jednak rosnąca świadomość konsumentów odnośnie prywatności i wykorzystywania danych osobowych skłoniła Unię Europejską do podjęcia działań regulacyjnych w tym zakresie.

Nowe regulacje unijne, takie jak akt o rynkach cyfrowych („DMA”) [1], akt o usługach cyfrowych („DSA”) [2] oraz akt w sprawie sztucznej inteligencji („AI Act”) [3], stanowią odpowiedź na niektóre wyzwania związane z reklamą behawioralną. Również na gruncie RODO [4] w ostatnich miesiącach dokonano kluczowych wykładni przepisów o ochrony danych osobowych i prywatności w kontekście reklamy behawioralnej, kształtując przyszłość reklamy targetowanej i profilowania klientów w Unii Europejskiej.

RODO jako punkt wyjścia dla regulacji reklamy behawioralnej

Przed rozważeniem wpływu najnowszych regulacji unijnych na praktykę targetowania użytkowników reklamami, należy zwrócić uwagę na przepisy RODO oraz ich kluczowego znaczenia w kontekście spersonalizowanych treści reklamowych. Wynika to z faktu, że reklama behawioralna opiera się przede wszystkim na przetwarzaniu dużej ilości danych osobowych. Aby kierować do konkretnego użytkownika spersonalizowane reklamy, konieczne jest zebranie informacji na jego temat np. o interakcjach z treściami dostępnymi w sieci, lokalizacji, zakupach online czy pozostałej aktywności w Internecie. W tym celu wykorzystuje się zautomatyzowane środki, takie jak pliki cookie czy web beacon. Na podstawie zebranych informacji tworzy się profil osoby fizycznej, który pozwala na przewidzenie potencjalnych preferencji użytkownika, aby przedstawić mu spersonalizowane reklamy. RODO definiuje takie zautomatyzowane przetwarzanie danych osobowych, którego celem jest ocena czynników osobowych osoby fizycznej, jako „profilowanie” [5].

Warto zwrócić uwagę, że w świetle ostatnich decyzji Europejskiej Rady Ochrony Danych („EROD”), przetwarzania danych osobowych w celach reklamy behawioralnej nie możemy oprzeć na niezbędności wyświetlania targowanych reklam do wykonania umowy (a więc podstawie z art. 6 ust. 1 lit. b) RODO), jeśli takie przetwarzanie nie jest obiektywnie niezbędne do świadczenia usługi, która jest przedmiotem umowy. Zgoda na przetwarzanie danych osobowych na potrzeby reklamy targowanej nie może być częścią regulaminu, jeśli jego akceptacja jest warunkiem świadczenia usługi. Użytkownik musi mieć możliwość odrębnego udzielenia bądź odmowy wyrażenia zgody na wykorzystanie jej danych do reklamy behawioralnej [6] . 

Co więcej, EROD poddała krytycznej ocenie mechanizm "Consent or Pay", często stosowany przez duże platformy internetowe, który zmusza użytkowników do wyboru między zgodą na przetwarzanie danych w celach reklamy behawioralnej a opłatą za dostęp do treści. EROD argumentuje, że taki binarny wybór nie spełnia standardów ważnej zgody, zalecając wprowadzenie bezpłatnej alternatywy bez reklam behawioralnych, aby umożliwić użytkownikom rzeczywistą wolność wyboru. Opinia ta wywołała kontrowersje, zwłaszcza w kontekście wprowadzenia wymogu bezpłatnej alternatywy dla profilowania w celach reklamy behawioralnej, jak i niejasnych kryteriów definiujących "duże platformy internetowe" [7].

Opisane w dalszej części artykułu DMA, DSA i AI Act pozostają bez uszczerbku dla unijnych zasad ochrony danych osobowych i prywatności oraz odsyłają w tym zakresie do przepisów RODO. Tym samym, RODO oraz ww. regulacje powinny być rozpatrywane łącznie jako regulacje wzajemnie się uzupełniające.

Newsletter Prawny

Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.

Zapisz się

Szczególne zasady dla gigantów technologicznych

W stosunku do internetowych gigantów technologicznych, kwestia reklamy behawioralnej została ujęta w przepisach DMA. DMA reguluje praktyki wąskiej grupy dużych platform cyfrowych o przeważającej pozycji rynkowej, które zostały uznane przez Komisję Europejską za tzw. „strażników dostępu”, świadczących m. in. usługi chmurowe, mediów społecznościowych, czy udostępniania treści wideo.

Strażnik dostępu nie może wykorzystywać danych osobowych użytkowników w celu dostarczania reklam internetowych, jeśli dane te pochodzą z usług oferowanych przez inne firmy korzystające z ich platform. Ponadto, nie mogą łączyć danych osobowych z różnych usług platformowych ani wykorzystywać ich w innych, oddzielnych usługach, które oferują. Takie praktyki są dozwolone jedynie w przypadku, gdy użytkownik wyraził zgodę na te działa, przy czym zgoda musi spełniać warunki jej ważności w rozumieniu art. 4 pkt 11 i art. 7 RODO [8]. DMA nakłada na strażników dostępu również obowiązki wobec reklamodawców i wydawców, którzy umieszczają na ich platformach treści reklamowe. Strażnicy dostępu muszą m. in. zapewnić, że reklamodawcy i wydawcy mogą bezpłatnie korzystać z narzędzi i danych strażnika dostępu, aby samodzielnie sprawdzać i mierzyć efektywność reklam [9]. W zakresie technik profilowania konsumentów, strażnicy dostępu zobowiązani są poddać się niezależnemu audytowi, a jego wyniki przedłożyć Komisji Europejskiej

Reklamy na platformach internetowych

Z przyjętych w ostatnim czasie regulacji unijnych, znaczne zmiany w zakresie uregulowania reklamy targowanej wprowadził DSA. Poprzez uregulowanie działalności pośredników usług cyfrowych i platform internetowych (np. usługi chmurowe, serwisy społecznościowe, platformy e-commerce) DSA, potocznie nazywany „Konstytucją Internetu”, ma na celu stworzenie bezpiecznej przestrzeni cyfrowej dla jej użytkowników. 

DSA wprowadził dwa nowe ograniczenia w zakresie targowania reklamami. Po pierwsze, aby zapewnić należytą ochronę małoletnich w Internecie, dostawcy platform internetowych nie mogą wykorzystywać danych osobowych do profilowania małoletnich odbiorców, aby prezentować im na tej podstawie dopasowane reklamy [10]. Taki zakaz został już wcześniej wprowadzony wobec dostawców usług medialnych na gruncie Dyrektywy o audiowizualnych usługach medialnych [11], która została implementowana do polskiego porządku prawnego w drodze zmiany ustawy z dnia 29 grudnia 1992 r. o radiofonii i telewizji. Po drugie, DSA zabrania dostawcom platform internetowych wyświetlania reklam opartych na profilowaniu użytkowników, które bazują na szczególnych kategoriach danych określonych w RODO, takich jak orientacja seksualna, pochodzenie etniczne, przekonania religijne, czy dotyczących zdrowia [12][13].

DSA kładzie duży nacisk na przejrzystość platform internetowych. Tym samym, DSA wprowadził obowiązek transparentnego informowania użytkowników w zakresie reklam prezentowanych na platformie internetowej, co ma pozwolić im na podejmowanie świadomych decyzji dotyczących oglądanych reklam. Każdy użytkownik musi być jasno i wyraźnie poinformowany dlaczego i na jakiej podstawie stał się celem konkretnej reklamy oraz kto za nią zapłacił. Treści sponsorowane muszą być teraz wyraźnie oznaczone, tak aby użytkownicy mogli odróżnić je od postów organicznych tj. treści, które nie są wynikiem płatnej promocji [14]. Na tę kwestię zwracał już także uwagę Prezes UOKiK szczegółowo analizując kwestię współpracy twórców internetowych z przedsiębiorcami.

Dodatkowe obowiązki w zakresie reklamy targowanej muszą spełnić bardzo duże platformy internetowe oraz bardzo duże wyszukiwarki internetowe (odpowiednio: „VLOP” i „VLOSE”), które zostały wyznaczone przez Komisję Europejską. Dostawcy VLOP i VLOSE, którzy tworzą profil preferencji użytkownika i na tej podstawie rekomendują mu treści („system rekomendacji”), muszą zapewnić co najmniej jedną opcję rekomendacji, która nie opiera się na profilowaniu użytkownika [15]. Dodatkowo, dostawcy VLOP i VLOSE są zobowiązani do prowadzenia publicznie dostępnego repozytorium reklam prezentowanych na ich interfejsach, które musi zawierać m. in. informacje o tym, czy reklama miała być pokazana specjalnie wybranej grupie odbiorców, i jeśli tak, to jakie główne kryteria zostały użyte do wyboru tej grupy, a także do ewentualnego wykluczenia innych grup [16].

Reklamy z wykorzystaniem sztucznej inteligencji

1 sierpnia 2024 r. wszedł w życie AI Act, który jest pierwszą regulacją prawną dla systemów i modeli sztucznej inteligencji (ang. artificial intelligence,”AI”). Prace nad ostatecznym brzmieniem przepisów budziły dużo kontrowersji oraz zainteresowania co do wpływu AI Act na działalność przedsiębiorstw, które korzystają ze sztucznej inteligencji, w tym również w kontekście marketingu i targowanej reklamy.

AI Act dzieli systemy AI na kilka kategorii na podstawie stwarzanego przez nie ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych (m. in. niedyskryminacji, czy prawa do prywatności). W AI Act nie znajdziemy bezpośrednich odwołań do korzystania z rozwiązań AI, aby tworzyć i kierować wobec konsumentów spersonalizowane reklamy. Jednakże, każdy przedsiębiorca powinien ocenić, czy wykorzystywanie przez niego systemu AI do celów reklamy targetowanej jest dopuszczalne w świetle przepisów AI Act, dokonać klasyfikacji systemu w oparciu o stopień stwarzanego przez niego ryzyka oraz określić, jakie obowiązki będzie musiał w związku z tym spełnić.

Można przyjąć, że podstawowe systemy AI służące do celów reklamy behawioralnej, np. rekomendacje produktów na stronie internetowej na podstawie przeglądanych treści, będą co do zasady systemami AI niskiego ryzyka. W takim przypadku, przedsiębiorca wykorzystujący systemy AI będzie musiał przede wszystkim zadbać o zapewnienie w ramach organizacji odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu [17]. Należy jednak pamiętać, że klasyfikacja AI powinna zostać dokonana osobno dla każdego systemu AI, z którego ma zamiar korzystać przedsiębiorca. 

Trzeba jednak pamiętać, że AI Act zawiera katalog praktyk AI, które są bezwzględnie zakazane. Tym samym, reklama behawioralna oraz targowanie konsumentów nie może być oparte na systemach AI, które stosują techniki podprogowe, celowe techniki manipulacyjne lub wprowadzające w błąd w celu nakłonienia osoby do zakupu danego produktu, czy usług. Nie można również korzystać z systemów AI wykorzystujących słabości osób ze względu na ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną [18][19].

Make AI Clear

Chcesz wiedzieć więcej o kwestiach prawnych związanych z AI?

Odwiedź nasz portal: Make AI Clear 

Podsumowanie

Nowe regulacje unijne, w tym DMA, DSA i AI Act, w połączeniu z RODO, stanowią zintegrowany zestaw narzędzi prawnych mających na celu uregulowanie praktyk reklamy behawioralnej i profilowania klientów. Te regulacje zwiększają ochronę danych osobowych i prywatności użytkowników, wprowadzając jednocześnie nowe wymogi dla przedsiębiorstw, które muszą teraz dostosować swoje strategie marketingowe do bardziej restrykcyjnego środowiska regulacyjnego. Krytyczna ocena mechanizmu "Consent or Pay" przez EROD, czy wprowadzenie przez DSA ograniczeń dotyczących profilowania małoletnich i wykorzystywania szczególnych kategorii danych osobowych, pokazują skierowanie się przez Unię Europejską w stronę większej transparentności reklamy behawioralnej. W rezultacie, przedsiębiorstwa działające w Unii Europejskiej muszą być gotowe na konieczność zapewnienia zgodności z nowymi standardami dotyczącymi personalizowanych treści reklamowych.

  • Pokaż przypisy#Ukryj przypisy

    1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych).
    2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych)
    3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)
    4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
    5. Art. 4 ust. 4 RODO.
    6. EROD, wiążąca decyzja 3/2022 w sprawie sporu przedłożonego przez irlandzki organ nadzorczy dotyczącego Meta Platforms Ireland Limited i jej serwisu Facebook (art. 65 RODO), 5 grudnia 2022 r.
    7. EROD, opinia 08/2024 w sprawie ważnej zgody w kontekście modeli zgody lub płacy wdrażanych przez duże platformy internetowe, 17 kwietnia 2024 r.
    8. Art. 5 ust. 2 DMA.
    9. Art. 6 ust. 8 DMA.
    10. Art. 28 ust. 2 DSA.
    11. Art. 6a ust. 2 Dyrektywy Parlamentu Europejskiego i Rady 2010/13/UE z dnia 2010 roku w sprawie koordynacji niektórych przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich dotyczących świadczenia audiowizualnych usług medialnych (dyrektywa o audiowizualnych usługach medialnych)
    12. Art. 26 ust. 3 DSA.
    13. Art. 9 ust. 1 RODO
    14. Art. 26 ust. 1 DSA.
    15. Art. 3 lit. s) i art. 38 DSA.
    16. Art. 39 ust.1 i ust. 2 lit. e) DSA.
    17. Art. 4 AI Act.
    18. Art. 5 ust. 1 lit. a) AI Act
    19. Art. 5 ust. 1 lit. b) AI Act.

Kontakt

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami.

LinkedIn Twitter

Informacje

Autorzy
Alicja Guzy

EY Polska, Kancelaria EY Law, Manager

Alicja zajmuje stanowisko Managera w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law

Weronika Judka

EY Polska, Kancelaria EY Law, Junior Associate

Weronika Judka jest Junior Associatem w Kancelarii EY Law i specjalizuje się w prawie ochrony danych osobowych oraz prawie nowych technologii.

Powiązane tematy Doradztwo prawne AI
  • Facebook
  • LinkedIn
  • X (formerly Twitter)
  • Link został skopiowany
Polub