KATARZYNA UŁASIUK kierownik Zespołu Ochrony Danych Osobowych iSecure Sp. z o.o.
Nie od dzisiaj dzięki Facebookowi marketingowcy mogą w prosty sposób rozszerzyć grono klientów. W pakiecie usług właściciela portalu znajdziemy narzędzie, które pozwala na wyświetlenie reklamy użytkownikom będącym naszymi klientami. Mowa o Custom Audience (CA).
W Custom Audience generujemy klientów, np. po posiadanym adresie e-mail, którzy stanowią niestandardową grupę naszych odbiorców. Wskazana grupa obecnych klientów trafia na Facebooka. Według wyjaśnień tego serwisu, na serwery trafiają jednak nie adresy e-mail pisane otwartym tekstem, lecz dane zamaskowane, „hashowane”, zmienione w ciąg znaków pozornie nie do odczytania i pozornie niestanowiące danych osobowych. Dlaczego pozornie?
Pamiętajmy, że dane osobowe to wszelkie informacje, które nawet pośrednio prowadzą do ustalenia tożsamości konkretnej osoby fizycznej, w tym identyfikatory, numery seryjne etc. Facebook nie otrzymuje od firmy korzystającej z CA np. e-maili jej klientów, lecz ciąg znaków, tzn. wynik przetworzenia tych adresów do formy symboli. Następnie te sekwencje znaków dopasowywane są przez Facebooka do konkretnego użytkownika. Mówiąc inaczej, Facebook, mając ciąg znaków, wie, którego konkretnego użytkownika ten zamaskowany wcześniej e-mail dotyczy.
Czy to nie oznacza, że jednak da się ustalić tożsamość konkretnej osoby fizycznej, której e-mail jest schowany pod symbolem czy zestawieniem znaków? Moim zdaniem tak, zważywszy, że docierając do profilu użytkownika Facebooka, można ustalić jeszcze inne jego dane, jak imię, nazwisko czy wizerunek. Uważam, że firmy korzystające z CA przetwarzają dane we współpracy z Facebookiem. W ramach tej współpracy Facebook może poznać po połączeniu ciągów znaków, którym dysponuje, czyje dane zostały przekazane przez firmę — nawet nie mając od tej spółki pełnej treści adresów e-mail. Dotyczy to tylko tych ustalonych, „zmatchowanych”, niestandardowych odbiorców.
Jakie są tego konsekwencje? Dochodząc do wniosku, że przekazanie Facebookowi wykazu z ciągiem znaków maskujących e-maile naszych klientów prowadzi do identyfikacji osoby fizycznej, potwierdza się, że mamy do czynienia z przetwarzaniem danych osobowych. W tym momencie warto pamiętać o ustawie o ochronie danych osobowych — w obszarze relacji z zewnętrznymi podmiotami uczestniczącymi w takim przetwarzaniu. Jeżeli inny podmiot, w tym Facebook, realizuje na naszą rzecz usługę związaną z przetwarzaniem danych, działa na naszą rzecz i w naszym imieniu, dochodzi więc do powierzenia ich przetwarzania.
To natomiast wymaga zawarcia na piśmie umowy powierzenia. W przypadku współpracy z Facebookiem prawdopodobne także jest to, że dane dostarczane temu serwisowi zostaną przekazane do tzw. państwa trzeciego w rozumieniu przepisów, czyli państwa nienależącego do Europejskiego Obszaru Gospodarczego. Wymagane tym samym będzie potwierdzenie, czy istnieje co najmniej jedna z podstaw prawnych wskazanych w ustawie o ochronie danych osobowych uprawniających do ich transferu do państwa trzeciego, np. czy państwo docelowe zapewnia odpowiednie gwarancje ochrony lub czy podpisane zostały standardowe klauzule umowne. © Ⓟ