RODO, ePrivacy & Awin

Dla firm działających w branżach cyfrowych kluczowe jest zrozumienie meandrów RODO i ePrivacy. W tej BIałek Księdze staramy się wyjaśnić jakie są ich konsekwencje dla marketingu afiliacyjnego i zaoferować praktyczne wskazówki dla wydawców i reklamodawców.

Awin & RODO
RODO w skrócie
Pełny obraz ePrivacy
Jaki wpływ ma RODO na branżę marketingu afiliacyjnego?
Przygotowania Awin do RODO
Wykorzystanie danych osobowych
Dane konsumentów
Administrator czy procesor danych?
A co z sieciami i wydawcami? Czy są one procesorami, czy współadministratorami razem z reklamodawcą?
Jak to się różni od pozycji innych sieci?
Jakie są zasady prywatności w Awin?
Uzasadniony interes i test równoważenia
Dlaczego nie wyrazić zgody?
Przestrzeganie zgody
Dyrektywa ePrivacy
Więc dlaczego znowu rozmawiamy o Cookie Consent?
Jaki wpływ ma RODO na zgodę na pliki cookie?
Więc jak różni się zgoda na Cookie Consent od Data Consent?
Jak to wpływa na sposób, w jaki wydawcy i reklamodawcy współpracują z Awin?
Pozycja Awin w skrócie
Co to wszystko oznacza, jeśli jestem reklamodawcą lub wydawcą współpracującym z Awin?
Gdzie mogę dowiedzieć się więcej?

Awin & RODO

Rozporządzenie o Ochronie Danych Osobowych (RODO) weszło w życie 25 maja 2018 roku. Stanowiło to znaczącą zmianę w sposobie regulacji danych osobowych w UE, zastępując istniejące już ramy prawne. Stało się tak, gdyż nie przewidywały one gwałtownego wzrostu wykorzystania danych osobowych przez firmy, co stało się powszechne w ciągu ostatnich 20 lat.

RODO stanowiło znaczącą zmianę w regulacjach dotyczących danych osobowych w UE

W okresie poprzedzającym wejście w życie RODO, każda sieć marketingu afiliacyjnego i platforma SaaS przeprowadziła własną analizę ryzyka i szukała porad prawnych dotyczących swojej pozycji prawnej w zakresie przetwarzania danych oraz tego, jak widzą swoje miejsce w ekosystemie reklamodawcy/wydawcy.

Ponieważ nie ma spójności w sposobie, w jaki sieci partnerskie wykorzystują dane, nadal nie ma konsensusu, co nieuchronnie może powodować zamieszanie w całej branży. Ten dokument ma na celu przedstawienie logiki stojącej za stanowiskiem Awin oraz naszych oczekiwań wobec firm, z którymi współpracujemy.

1. RODO w pigułce

RODO, w tym brytyjskie RODO, zostało stworzone, aby umocnić prawa konsumentów z UE/Wielkiej Brytanii i zagwarantować im prawa dotyczące sposobu wykorzystywania ich danych. Dla branż cyfrowych ma to szczególne znaczenie, ponieważ definicja tego, co jest uważane za dane osobowe, została rozszerzona o wszystko, co może  zidentyfikować osobę, ale niekoniecznie jest jawnie identyfikowalne osobiście. Więc, podczas gdy adresy e-mail są oczywistymi danymi osobowymi, zakres RODO obejmuje również identyfikatory pseudonimizowane, takie jak adres IP czy numer zamówienia.

Aby przetworzyć te dane, firmy muszą wybrać podstawę prawną, których do wyboru jest sześć. Dla niektórych działań jest to oczywiste, ale wiele firm zajmujących się cyfrowym marketingiem zazwyczaj wybiera ‘zgodę’ lub ‘uzasadniony interes’. Więcej na ten temat później.

Prywatność przez projektowanie wymaga od firm gruntownego przemyślenia sposobu tworzenia nowych narzędzi i technologii, gwarantując, że prywatność i kontrola danych są częścią DNA wszelkich aktualizacji.

Minimalizacja danych wymaga od firm śledzenia tylko tych danych, które są im potrzebne do wykonania określonej funkcji przetwarzania.

Dodatkowo, szkolenie pracowników i powołanie osób odpowiedzialnych za egzekwowanie przepisów to dwie ważne kwestie.

Oprócz podstawy prawnej, w RODO zapisane są również pewne podstawowe zasady.

Nieprzestrzeganie zasad może skutkować najwyższą karą; znaczącymi grzywnami.

RODO ma zatem daleko idące i wszechstronne zastosowanie. Ale poza tym aktem prawnym, należy również dokładnie rozważyć istniejące zasady dotyczące marketingu cyfrowego, zawarte w aktach wdrożeniowych państw członkowskich dotyczących dyrektywy ePrivacy.

2. Pełny obraz ePrivacy

Dyrektywa ePrivacy (lub krótko ePrivacy) zapewnia ludziom konkretne prawa do prywatności w odniesieniu do komunikacji elektronicznej, najważniejszym obszarem dla marketingu partnerskiego jest stosowanie plików cookies i podobnych technologii. W Wielkiej Brytanii, te zasady są określone w PECR, czyli Rozporządzeniach o Prywatności i Komunikacji Elektronicznej. Tutaj będziemy odnosić się do Dyrektywy ePrivacy dla spójności.

Dyrektywa ePrivacy uzupełnia ogólne przepisy o ochronie danych i określa bardziej szczegółowe prawa do prywatności w komunikacji elektronicznej. Zrozumienie, co ePrivacy oznacza dla Awin i każdego przedsiębiorstwa działającego w UE, jest skomplikowane ze względu na charakter prawa.

Podczas gdy RODO, jak sama nazwa wskazuje, jest rozporządzeniem i jako takie jest bezpośrednio stosowane w jednolitej formie. ePrivacy w obecnej formie jest jedynie dyrektywą, pozostawiającą kwestię implementacji do państw członkowskich. Ostateczna treść ePrivacy została więc ustalona przez poszczególne państwa członkowskie i w rezultacie, wymagania dotyczące plików cookies (i podobnych technologii) podlegają różnym wymaganiom w całej Europie.

Dlatego, mimo że RODO jest przyjęte powszechnie, ePrivacy podlega lokalnej interpretacji.

Ta prawna niepewność zostanie rozwiązana, gdy w końcu wejdzie w życie długo oczekiwane Rozporządzenie ePrivacy. Do tego czasu jednak firmy działające w wielu jurysdykcjach powinny rozważyć zasięgnięcie lokalnych porad, aby zapewnić zgodność z prawem.

Aby jeszcze bardziej skomplikować sprawę, nie można interpretować RODO i ePrivacy oddzielnie.

W niektórych jurysdykcjach ePrivacy może wymagać zgody na poziomie RODO na pliki cookie (niezależnie od tego, czy przez ten plik cookie są zbierane dane osobowe, czy nie). Próbowaliśmy wyraźnie rozróżnić te dwa aspekty podczas omawiania zgody na przetwarzanie danych i zgody na pliki cookie poniżej.

Dlatego, chociaż ten przewodnik ma na celu poradzenie sobie z wpływem RODO na marketing afiliacyjny, będziemy również odnosić się do ePrivacy, aby poradzić sobie z regulacją danych w całości.

3. Jaki wpływ ma RODO na branżę marketingu afiliacyjnego?

Zwiększony zakres i zastosowanie RODO do różnych typów danych osobowych oznaczało, że w zależności od kontekstu, pewne rodzaje danych, które wcześniej mogły nie być regulowane przez prawa dotyczące prywatności, stały się przedmiotem regulacji. Obejmuje to identyfikatory urządzeń, identyfikatory członków cashback, numery referencyjne klientów i inne techniczne identyfikatory. Ponadto, RODO nakłada surowsze wymagania dotyczące uzyskiwania zgody użytkowników na przetwarzanie danych osobowych.

Ważne by zauważyć, że w najczystszej formie w odniesieniu do specyficznych usług Awin, charakter przetwarzanych danych osobowych dla marketingu partnerskiego nie zawiera danych wrażyliwych i w dużej mierze ma charakter techniczny.

Porównaj kanał afiliacyjny z innymi, które wykorzystują dane osobowe do tworzenia profili konsumentów w celu targetowania reklam; zazwyczaj marketing afiliacyjny nie angażuje się w techniki remarketingu czy programatic.

Jednak niektóre marki będą współpracować z partnerami afiliacyjnymi, którzy prowadzą tego typu działalność na zasadach CPA za pośrednictwem kanału afiliacyjnego. W niektórych przypadkach reklama behawioralna i inne formy performance marketingu, które polegają na profilowaniu użytkowników w celu wysyłania targetowanej reklamy, podlegają większym obowiązkom regulacyjnym.

Niektóre inne sieci partnerów afiliacyjnych korzystają z danych generowanych przez partnerów afiliacyjnych do tworzenia profili w celu personalizacji i remarketingu. W związku z tym mogą czuć, że potrzebują innej podstawy prawnej niż uzasadniony interes, co z kolei wiąże się z różnymi obowiązkami regulacyjnymi, których muszą przestrzegać partnerzy afiliacyjni.

Dlatego wydawcy nieuchronnie znajdą się w sytuacji, gdy zobowiązania jednej sieci są różne od innych. Gdy RODO weszło w życie w marcu 2018 roku, sieci partnerskie, na czele z Awin, próbowały stworzyć konsensus w branży i uzgodnić spójne podejście. Mimo że nie było to w pełni możliwe, wszyscy uczestnicy zgodzili się podpisać oświadczenie branżowe.

Zaleceniem Awin dla wydawców jest skontaktowanie się ze wszystkimi sieciami, z którymi współpracują, i jasne zrozumienie, jakie są wymagania tych sieci w zakresie prywatności i dlaczego.

4. Przygotowania Awin do RODO

Jednym z głównych skutków wprowadzenia RODO było to, że wszystkie firmy zostały zobowiązane do zbadania procesów wykorzystania danych osobowych w kontekście zakresu, zasad i praw zawartych rozporządzeniu. Awin przeprowadził to ocenę w ramach szczegółowej Oceny Skutków dla Ochrony Danych Osobowych (PIA). PIA Awin ma wiele celów, między innymi:

1. Przeprowadzenie szczegółowego przeglądu wszystkich danych zebranych przez tracking Awin
2. Ocena, czy Awin działa jako administrator, czy procesor w odniesieniu do tych danych
3. Ocena celu i podstawy prawnej każdej aktywności związanej z przetwarzaniem danych
4. Przeprowadzenie "testu równowagi", gdy zidentyfikowano prawnie uzasadniony interes jako podstawę przetwarzania danych.*
5. Zidentyfikowanie zabezpieczeń niezbędnych do ochrony danych
6. Zminimalizuj używanie danych osobowych, gdziekolwiek to możliwe

*Ten test służy do oceny, czy założenia Awin dotyczące wyboru prawnie uzasadnionego interesu są prawidłowe.

W interpretacji pozycji Awin w kontekście RODO, ważne jest zrozumienie, jak Awin przetwarza dane osobowe i jaki wpływ ma to na prywatność poszczególnych osób.

5. Wykorzystanie danych osobowych

W ramach regularnej działalności, Awin przetwarza dane następujących kategorii osób:

1. Zespół Awin, Personel wydawców, reklamodawców i dostawców
2. Wydawcy, gdzie wydawcą jest jednostka
3. Klienci, których zakupy są trackowane przez Awin

W ramach niniejszego artykułu skupimy się tylko na opisie działalności trackingowej, w ramach której przetwarzane są dane osobowe konsumentów. Jest to spowodowane tym, że wszystkie inne działania związane z przetwarzaniem danych są jedynie elementem administracji biznesowej i, zgodnie z wytycznymi regulacyjnymi, uważa się, że takie dane prawdopodobnie nie spowodują dużego ryzyka dla osób fizycznych.

6. Dane konsumentów

Awin głównie wykorzystuje dane konsumenckie do monitorowania ich aktyności związanych z zakupami. Śledzenie umożliwia Awin zrozumienie ścieżki konsumenta po konkretnych stronach internetowych, która odbyła się po wyświetleniu lub kliknięciu w reklamę. Jego celem jest przypisanie aktywności wydawcy do określonej transakcji. Pozwala to reklamodawcom nagradzanie wydawców w oparciu o liczbę wygnerowanych przez nich transakcji. Tracking pozwala również Awin dostarczyć wydawcom i reklamodawcom związane z tym raporty.

Tracking między urządzeniami umożliwia Awin zrozumienie ścieżki klienta, która zaczyna się na jednym urządzeniu, a transakcja kończy się na innym.

Do przeprowadzania trackingu, Awin używa ciasteczek domeny mierzenia, tagów ścieżki oraz identyfikacji urządzenia. Oto krótkie wyjaśnienie, jak działają te technologie:

• Tracking plików cookie domeny: Ciasteczka serwowane przez domenę Awin, kiedy konsument kliknie na reklamę wyświetlaną na stronie wydawcy. Kod JavaScript zintegrowany z witryną reklamodawcy, aby umożliwić Awin odbieranie informacji transakcyjnych. Metoda, dzięki której Awin jest w stanie jednoznacznie zidentyfikować urządzenie, biorąc pod uwagę pewne atrybuty (w tym rozmiar/rozdzielczość ekranu i konfiguracje użytkownika).
• Tagi podróży: Kod JavaScript zintegrowany z witryną reklamodawcy, aby umożliwić Awin odbieranie informacji transakcyjnych.
• Identyfikacja urządzenia: Metoda, dzięki której Awin jest w stanie jednoznacznie zidentyfikować urządzenie, biorąc pod uwagę pewne atrybuty (w tym rozmiar/rozdzielczość ekranu i konfiguracje użytkownika).

Tracking między urządzeniami wykorzystuje ciasteczka domeny trackingowej oraz tag podróży w ten sam sposób i do tych samych celów, co tracking. Dodatkowo, tracking między urządzeniami tworzy pseudonimowe profile konsumentów, które następnie są wykorzystywane do przypisania wielu urządzeń do jednego konsumenta.

Wszystkie dane, które Awin wykorzystuje do śledzenia, są pseudonimowe, niewrażliwe, w dużej mierze techniczne i nie są związane z zachowaniem, przewidywaniami czy ocenami zainteresowań lub osobowości konsumentów.

7. Administrator danych czy proces?

Każda firma, która przetwarza dane, musi zdecydować, jaką rolę pełni w ich przetwarzaniu.

To jest ważna decyzja, ponieważ różne są konsekwencje w zależności od pełnionej roli. Decyzja, czy jesteś 'kontrolerem' czy 'procesorem' danych, jest logicznie powiązana z tym, co robisz z monitorowanymi danymi i jakie decyzje podejmujesz na ich temat.

Będziesz kontrolerem, jeśli zdecydujesz:

• Dlaczego dane powinny być przetworzone; i/lub
• Jak powinno to być przetworzone, aby osiągnąć zamierzony cel.

Procesorzy natomiast nigdy nie decydują, dlaczego przetwarzają dane, pozostawiają to administratorowi, któryich wskazał. Procesorzy mogą podejmować ograniczone decyzje dotyczące sposobu przetwarzania danych dla celów określonych przez administratora, ale mogą to być tylko decyzje "niekluczowe".

To oznacza, że kluczowe decyzje powinny zawsze pozostawać w gestii administratora, w tym decyzje o tym, jakie dane przetwarzać, aby osiągnąć cel lub ekonomiczny model realizowanego celu.

Najważniejsze jest to, że role są przydzielane na podstawie faktów.

Nie jest możliwe zawarcie umowy, która mówi, na przykład, „X będzie administratorem, Y będzie procesorem”, jeśli w rzeczywistości Y podejmował decyzje o tym, jakie dane przetwarzać dla celów X; w takim przypadku Y stanie się współadministratorem obok X. Jeśli Y zdecyduje się przetwarzać dane dla swoich własnych celów, stanie się jedynym administratorem dla tego nowego celu.

W marketingu afiliacyjnym, reklamodawca zawsze jest administratorem, ponieważ tylko reklamodawca może zdecydować 'dlaczego' przetwarzać dane; tylko reklamodawca może zdecydować, na przykład "Zróbmy trochę marketingu online i płaćmy prowizje na zasadzie CPA".

8.A co z sieciami i wydawcami? Czy są one procesorami czy współadministratorami z reklamodawcą?

Stanowisko Awin jest takie, że Awin jest wspólnym administratorem razem z reklamodawcą i wydawcami. W rzeczywistości, istnieje relacja wspólnego administrowania między wszystkimi trzema stronami.

Jest to spowodowane tym, że Awin zdecydował o modelu ekonomicznym, a zarówno Awin, jak i wydawcy decydują, jakie dane przetwarzać, aby zrealizować kampanię marketingową afiliacyjną reklamodawcy.

To wynika ze sposobu, w jaki transakcje są trackowane, przeszukiwane i raportowane.

Uważamy, że ten wniosek jest jedynym, który dokładnie odzwierciedla, jak to działa w praktyce.

Jeśli, powiedzmy, Awin lub wydawcy próbowaliby pracować w ramach roli procesora danych, musieliby za każdym razem uzyskać zgodę każdego odpowiedniego reklamodawcy na nowe przetwarzanie danych. Nie mogą podejmować tych decyzji samodzielnie; wydaje się to zarówno niepraktyczne, jak i niewykonalne.

9. Jak to się różni od stanowisk innych sieci?

Niektóre sieci wybrały pozycję procesora danych, co oznacza, że nie muszą określać prawnej podstawy przetwarzania danych i dlatego nie są w stanie określić prawnej podstawy dla swoich wydawców.

Mogą zdecydować się na zapewnienie, że reklamodawcy nawiązują bezpośredni kontakt z wydawcami, aby nie ponosić odpowiedzialności za ewentualne naruszenie ochrony danych przez wydawcę, usuwając się bezpośrednio z relacji wydawca/reklamodawca.

Jednym z dodatkowych wyzwań związanych z byciem procesorem danych jest potencjalny wpływ na twoją zdolność do podejmowania decyzji o przyszłym rozwoju twoich usług i technologii.

Na przykład, Awin musiałby poinformować reklamodawców, jeśli zawarlibyśmy z nimi umowę o przetwarzanie danych, że nie będą mogli korzystać z poprawek błędów, aktualizacji, ulepszeń lub dodatkowych funkcji produktów lub usług Awin, dopóki reklamodawca nie poinstruuje Awin na piśmie, aby to zrobić.

Ważne jest, aby pamiętać, że interpretacja pozycji procesora/administratora przez Awin różni się od innych sieci. Po zasięgnięciu porady prawnej jesteśmy przekonani, że nasza pozycja odzwierciedla prawidłowy status.

W zasadzie uważamy, że następujące stwierdzenia określają naszą pozycję administratora:

1. Reklamodawcy nie decydują, co trackować. Wybierają sieć, ale to sieć decyduje, jak działa ich technologia i jakie dane są wykorzystywane. Bez tego statusu sieć nigdy nie byłaby w stanie wprowadzić żadnej nowej technologii bez uzyskania nowej umowy z procesorem od każdego partnera.
2. Sieci determinują model ekonomiczny.

3. Sieci instruują reklamodawców, na przykład mówiąc im, aby utrzymać tracking.

Marketing bezpośredni można przeprowadzić za pomocą pojedynczego elementu danych (takiego jak adres e-mail). dzięki temu administrator może powiedzieć procesorowi/firmie zajmującej się marketingiem bezpośrednim: „wyślij e-maile na tę listę adresów e-mail”. Marketing partnerski jest bardziej skomplikowany, co sprawia, że zapewnienie, że reklamodawca przekazuje wszystkie instrukcje wszystkim swoim partnerom afiliacyjnym, jest niewykonalne.

10. Jakie są zasady prywatności w Awin?

Jako wspólni administratorzy, odpowiednie strony są zobowiązane do zawarcia porozumienia, w którym określone są role i obowiązki wszystkich graczy. W przeciwieństwie do umów o przetwarzaniu danych, gdzie jedna strona działa jako administrator, a druga jako procesor, strony mają większą swobodę w określaniu formy i treści porozumienia i nie są zobowiązane do uwzględniania obowiązków procesora na poziomie RODOr.

Dla reklamodawców, Awin dostarcza dodatek do umowy reklamodawcy dotyczący wspólnego przetwarzania danych, który konkretnie odnosi się do przetwarzania danych wymaganego dla usług Awin.

Dla wydawców, warunki przetwarzania danych zawarte są w załącznikach do naszej standardowej umowy z wydawcą, abyśmy byli pewni, która strona jest odpowiedzialna za co. Te warunki obejmują na przykład, jak Awin i wydawcy będą radzić sobie z zapytaniami od konsumentów na temat danych, lub jak będą postępować w przypadku naruszenia ochrony danych, jeśli do tego dojdzie.

Jasne określenie tych obowiązków, pomaga zapobiegać sytuacji, w której reklamodawcy, wydawcy i Awin są odpowiedzialni za naruszenia RODO przez innych.

To również oznacza, że jako kontrolerzy, wydawcy będą musieli przestrzegać większej liczby obowiązków wynikających z RODO. Jednak wszystkie zaangażowane strony już muszą to robić podczas przetwarzania danych dla swoich własnych celów. Konsekwencją jest to, że teraz będą musieli zastosować te obowiązki również do danych przetwarzanych podczas dostarczania klientów dla reklamodawcy.

Główną korzyścią jest to, że w sieci Awin, jeśli jest to zgodne z RODO i odpowiednimi umowami lub warunkami, strony mogą samodzielnie decydować o sposobie przetwarzania danych. Jesteśmy przekonani, że tak jest w każdym przypadku i władze uważałyby nas za współadministratorów. Tworząc zobowiązanie umowne, które odpowiada rzeczywistości, każdy powinien mieć jasność co do obowiązków, które powinien podjąć na mocy RODO.

Na koniec, decydując o naszej pozycji, rozważyliśmy, jak władze, odpowiadające za przetwarzanie danych, prawdopodobnie zaklasyfikują Awin oraz jego reklamodawców i wydawców.

11. Uzasadniony interes i test równowagi

Jako administrator, Awin jest zobowiązany do uzasadnienia przetwarzania danych osobowych, zanim zostanie ono uznane za zgodne z prawem. Istnieje sześć podstaw prawnych, na podstawie których można to zrobić:

• Zgoda
• Umowa

• Zobowiązanie prawne

• Uzasadniony interes

• Publiczne zadanie

• Uzasadniony interes

Podczas oceny prawnie uzasadnionego interesu Awin, uwzględniono interesy całego ekosystemu partnerów afiliacyjnych.

Następnie przeprowadzono test równowagi, w którym potwierdzono, że tracking niesie ze sobą bardzo niskie ryzyko nieuzasadnionego negatywnego wpływu na interesy lub podstawowe prawa i wolności osób, których dane dotyczą.

To oznacza, że Awin nie będzie polegał na indywidualnej zgodzie jako podstawie prawnej do przetwarzania danych osobowych na mocy RODO, w ramach swoich usług trackingowych.

12. Dlaczego nie wyrazić zgody?

Na początku ważne jest zaznaczenie, że nadal panuje wiele zamieszania wokół udzielania zgody.

Jest to częściowo spowodowane brakiem konsensusu w branży na ten temat, ale przede wszystkim dlatego, że obok zgody według RODO, istnieje również zgoda związana z obowiązującą Dyrektywą ePrivacy.

Te prawa są odrębne, ale także współistnieją. W kontekście prywatności danych, myśl o RODO jako o szerokim i wszechstronnym regulaminie dotyczącym wszystkich aspektów regulacji danych osobowych. ePrivacy natomiast dotyczy konkretnie bezpośredniego marketingu i funkcji śledzenia online, takich jak użycie plików cookie lub podobnych technologii.

Nieuchronnie pojawia się pewne pokrywanie się, które wynika z faktu, że ciasteczka często zawierają dane osobowe, ale błędem jest zakładanie, że ciasteczka i dane osobowe to jedno i to samo.

Na mocy RODO, istnieje wiele sposobów na legalne przetwarzanie danych osobowych bez konieczności uzyskiwania zgody na przetwarzanie danych. Można śmiało powiedzieć, że zgoda na przetwarzanie danych to najmniej wygodna i najbardziej uciążliwa podstawa prawna do przetwarzania danych.

Na mocy dyrektywy ePrivacy, zgoda na pliki cookie jest zawsze wymagana do ustawienia plików cookie, chyba że pliki cookie są absolutnie niezbędne do dostarczenia usługi na żądanie osoby. Dlatego na przykład wydawcy cashback i nagród mogą nie potrzebować zgody na pliki cookie dla partnerów afiliacyjnych, ponieważ pliki cookie afiliacyjne są niezbędne do działania usługi opartej na cashbacku lub nagrodach.

Uzyskanie zgody na przetwarzanie danych nie jest pozbawione wyzwań. Może to negatywnie wpłynąć na doświadczenia użytkownika na stronie, a osoba ta może i tak odmówić wyrażenia zgody.

Gdy dane osobowe są przetwarzane na podstawie zgody na przetwarzanie danych, jednostka otrzymuje większe prawa do danych, które należy przestrzegać w przyszłości. Ponadto, zgoda na przetwarzanie danych musi być zarządzana i rejestrowana z określonym poziomem szczegółowości. Dodatkowo, nie można odmówić konsumentom i użytkownikom świadczenia usługi lub dostarczania treści, ponieważ odmówili wyrażenia zgody na przetwarzanie danych, chyba że usługa zależy od tej zgody na przetwarzanie danych.

Być może najważniejsze, aby uzyskać prawidłową zgodę na przetwarzanie danych, osoba musi otrzymać wystarczająco dużo informacji, aby mogła podjąć świadomą decyzję.

Ponieważ Awin jest siecią partnerów afiliacyjnych, używamy ograniczonych danych osobowych do śledzenia poleceń do stron internetowych reklamodawców, wynikających z nich transakcji oraz naszych raportów, ale nigdy nie wykorzystujemy tych danych do tworzenia behawioralnych profili użytkowników ani do innych celów marketingowych. Nie zbieramy również żadnych innych danych na:

1. Budowanie profilów behawioralnych użytkowników
2. Targetowanie behawioralne
3. Inne powody marketingowe

Aby przeprowadzić te typy przetwarzania zgodnie z prawem, zazwyczaj wymagają one zgody na dane, ponieważ są postrzegane jako mające większy wpływ na prywatność osób. Unikając tego typu przetwarzania, Awin może polegać na uzasadnionym interesie, aby uzasadnić swoje przetwarzanie i uniknąć wymogów zgody na dane od wydawców lub reklamodawców, aby legalnie śledzić transakcje.

To dotyczy przetwarzania danych osobowych podczas przejścia osób z witryny wydawców do stron reklamodawców, za pośrednictwem naszych domen, śledząc potwierdzenie transakcji i następne dostępne raporty w interfejsie użytkownika.

13. Szanowanie zgody

Ważne jest, aby pamiętać, że jeśli kontroler wybierze zgodę jako podstawę prawną, może nie być w stanie skorzystać z innej podstawy prawnej, jeśli uzyskanie zgody okaże się problematyczne.

Zgodnie z wytycznymi Grupy Roboczej Artykułu 29 dotyczącymi zgody na mocy Rozporządzenia 2016/679, :

jeśli zgoda jest wybrana jako podstawa prawna dla jakiejkolwiek części przetwarzania, kontroler musi to uszanować i zakończyć tę część przetwarzania, jeśli osoba wycofuje zgodę.

Dodaje się: „Wysyłanie wiadomości, że dane będą przetwarzane na podstawie zgody, podczas gdy faktycznie korzysta się z innej podstawy, byłoby fundamentalnie niesprawiedliwe dla użytkowników. Innymi słowy, kontroler nie może zmieniać podstawy ze zgody na inną prawną. Na przykład, nie jest dozwolone retrospektywne wykorzystanie podstawy prawnego interesu w celu uzasadnienia przetwarzania, tam gdzie napotkano problemy z ważnością zgody.”

Ze względu na konieczność wcześniejszego ujawnienia podstawy prawnej, kontroler musi zdecydować z wyprzedzeniem, którą z sześciu podstaw przyjmie.

14. Dyrektywa ePrivacy

Odkąd Dyrektywa ePrivacy została wdrożona do praw krajowych na terenie UE, każdy jest zobowiązany do uzyskania zgody na pliki cookie podczas ich ustawiania.

Awin wymaga od wydawców uzyskania zgody na pliki cookie na mocy naszych warunków z wydawcami od 2012 roku. Ma to na celu upewnienie się, że wydawcy przestrzegają tych zasad, ale także uzyskanie zgody na pliki cookie Awin, w imieniu Awin. Jest to typowe dla sieci takich jak nasza, które nie mają naturalnej lub dogodnej możliwości nawiązania kontaktu z użytkownikami stron w celu uzyskania zgody na pliki cookie.

15. Dlaczego znowu rozmawiamy o uzyskaniu zgody na pliki cookie?

Zgoda na pliki cookie była ponownie przedmiotem dyskusji w ostatnich latach, ponieważ w większości krajów członkowskich UE, prawa wprowadzające Dyrektywę ePrivacy opierały się na definicji zgody w lokalnych prawach dotyczących danych do definicji zgody na pliki cookie.

Więc, kiedy RODO zastąpiło lokalne prawa dotyczące danych, definicja zgody na pliki cookie również została zastąpiona.

To jest istotne, ponieważ standard zgody wymagany przez RODO jest wyższy niż w niektórych wcześniejszych lokalnych przepisach dotyczących danych, a to zostało dodatkowo wyjaśnione w prawie precedensowym i wytycznych wydanych od momentu wejścia w życie RODO.

16. Jaki wpływ ma RODO na zgodę na pliki cookie?

Podsumowując, uzyskanie zgody na pliki cookie jest teraz bardziej skomplikowane. Konkretna różnica polega na tym, że ze względu na to, że zgoda na pliki cookie musi być jednoznaczna, powszechne podejście polegające na domniemanej zgodzie nie jest wystarczające. Zgoda na pliki cookie powinna być również udzielona przed ustawieniem plików cookie.

Aby uzyskać prawidłową zgodę na pliki cookie zgodnie z nową definicją zgody, osoba musi podjąć aktywne działania, aby wyrazić swoją zgodę. Na pewno jesteś zaznajomiony z uniwersalnymi narzędziami do uzyskania zgody lub platformami zarządzania zgodą (CMPs); technologii, która wyświetla komunikat, gdy użytkownik wchodzi na stronę internetową i prosi o zgodę na śledzenie aktywności tego konsumenta na stronie.

Większość operatorów stron internetowych, w tym wydawców i reklamodawców, korzysta z takich narzędzi do uzyskiwania zgody na korzystanie z plików cookie na swojej stronie, w tym plików cookie Awin, podczas pracy na platformie Awin.

17. Jak więc różni się zgoda na pliki cookie od zgody na dane?

Ponieważ sprawa ciasteczek jest z natury mniej skomplikowane niż to, co może się dziać z danymi osobowymi, przestrzeganie zwiększonych standardów zgody jest o wiele łatwiejsze podczas uzyskiwania zgody na ciasteczka niż podczas uzyskiwania zgody na dane.

Dzieje się tak dlatego, że jest, mniej obowiązków związanych z prowadzeniem dokumentacji i mniej dodatkowych praw do zaoferowania danej osobie.

Ryzyko związane z przestrzeganiem jest również mniejsze, ponieważ ogromne kary wprowadzone przez GDPR nie dotyczą zgody na pliki cookie, w przeciwieństwie do zgód na przetwarzanie danych używanych do plików cookie.

Mimo że prawa wprowadzające Dyrektywę ePrivacy opierają się na RODO w kwestii definicji zgody, nadal mają swoje własne kary i grzywny za niezgodność z prawem.

18. Jak to wpływa na sposób, w jaki wydawcy i reklamodawcy współpracują z Awin?

Uzyskanie zgody na pliki cookie nadal jest wymagane przez Awin dla swoich wydawców i reklamodawców, zarówno w celu uzyskania zgody na pliki cookie dla siebie, jak i dla plików cookie Awin.

Weryfikujemy również przestrzeganie tych wymagań przez wydawców i reklamodawców, a jeśli wydaje nam się, że nie uzyskali oni poprawnej zgody na pliki cookie, prosimy ich o to.

Jednak Awin nie narzuca, w jaki sposób musi być uzyskana zgoda na pliki cookie.

Awin oferuje narzędzie do zgody, które może być używane do uzyskania zgody na pliki cookie, ale jesteśmy również otwarci na to, aby wydawcy i reklamodawcy korzystali z innych narzędzi do uzyskania zgody, lub pozyskiwali ważną zgodę w inny sposób.

Rozumiemy, że RODO nie jest prostym zagadnieniem, zwłaszcza dla mniejszych wydawców czy reklamodawców, i staramy się minimalizować obciążenia związane z przestrzeganiem przepisów dla naszych partnerów w jak największym możliwym stopniu.

Jednym ze sposobów jest uzasadnienie przetwarzania naszych danych na podstawie prawnie uzasadnionego interesu. dzięki temu nie musimy prosić wydawców ani reklamodawców o uzyskanie dla nas zgody na przetwarzanie danych. Nie jest to jednak opcja dla zgody na pliki cookie; jeśli operator strony internetowej nie musi ustawić pliku cookie do dostarczenia usługi na żądanie osoby, zgody na pliki cookie nie można uniknąć.

19 Pozycja Awin w skrócie

Awin jest współkontrolerem wraz z reklamodawcami i większością wydawców.

To eliminuje konieczność podpisywania umów o przetwarzanie danych.

To daje sieci elastyczność w rozwijaniu nowych technologii i decydowaniu o podstawach przyszłych uaktualnień i wydań technologicznych.

Awin korzysta z prawnie uzasadnionego interesu jako podstawy prawnej do przetwarzania danych.

Awin nie wymaga od swoich partnerów uzyskania zgody na RODO.

Awin wymaga od wszystkich reklamodawców i wydawców uzyskania ważnej zgody na pliki cookie zgodnie z obowiązującymi przepisami o ochronie danych.

Wydawcy i reklamodawcy mogą uzyskiwać zgodę w dowolny sposób, jednak Awin oferuje łatwy do zainstalowania narzędzie do uzyskania zgód.

20. Co to wszystko oznacza, jeśli jestem reklamodawcą lub wydawcą współpracującym z Awin?

Jako firma działająca zgodnie z RODO oraz jako kontroler danych masz pewne obowiązki. Dodatkowo, współpracując z Awin, masz pewne obowiązki, aby zapewnić, że tracking afiliacyjny jest prowadzony zgodnie z prawem na Twojej stronie internetowej. Stworzyliśmy listę kontrolną najważniejszych rzeczy do rozważenia:

• Sprawdź, czy musisz zarejestrować się w lokalnym urzędzie ochrony danych;
• Zaktualizuj swoje warunki i zasady oraz politykę prywatności, jeśli jest to konieczne;
• Zawieraj umowy lub porozumienia ze wszystkimi stronami trzecimi, z którymi przetwarzasz dane;
• Upewnij się, że masz udostępnione dane kontaktowe, dzięki którym osoby mogą się z Tobą skontaktować w sprawach związanych z prywatnością;
• Upewnij się, że masz prawne podstawy do wszystkich działań związanych z przetwarzaniem danych;
• Zbieraj zgodę na pliki cookies tam, gdzie wymaga tego ePrivacy, i upewnij się, że Twój mechanizm zgody obejmuje wszystkie Twoje działania.

21. Gdzie mogę dowiedzieć się więcej?

Awin posiada centrum RODO, które można znaleźć tutaj.

FAQ Awin na temat ochrony danych i bezpieczeństwa

W ciągu ostatnich lat zaobserwowaliśmy stały wzrost liczby zapytań dotyczących naszych działań związanych z przetwarzaniem danych. Pytania dotyczą zarówno zgodności z RODO, jak i bardziej technicznych kwestii związanych z bezpieczeństwem danych. Poniżej wymieniliśmy najczęstsze pytania zarówno od reklamodawców, jak i wydawców.

Czy Awin jest zgodny z RODO?

Jako firma z siedzibą i działającą w Europie, która na co dzień pracuje z danymi osobowymi, przestrzeganie RODO jest kluczowe dla działalności Awin. Awin przeprowadził Ocena Skutków dla Ochrony Danych, aby zapewnić zgodność z RODO i wprowadził szereg zabezpieczeń, aby zapewnić ciągłą zgodność. Awin stale monitoruje wytyczne prawne i decyzje i jest zobowiązany do zapewnienia, że wszystkie jego operacje pozostają zgodne w świetle wszelkich zmian.

DCzy masz wyznaczonego inspektora ochrony danych? Jak możemy się z nim skontaktować?

Tak, Awin wyznaczył inspektora ochrony danych. Możesz skontaktować się z IOD pod adresem global-privacy@awin.com

Jakie dane osobowe zbieracie, przechowujecie lub przetwarzacie w trakcie śledzenia?

Dane, które Awin wykorzystuje do śledzenia, są anonimizowane, niewrażliwe, w dużej mierze techniczne oraz nie są związane z zachowaniem, przewidywaniami czy ocenami zainteresowania konsumentów lub ich osobowości.

Cookie do śledzenia na przykład zbierałoby następujące dane:

• Data ciasteczka

• Data wygaśnięcia ciasteczka

• Adres IP (skrócony)

• Hash IP

• GeoIP

• ID reklamodawcy

• ID wydawcy

• ID banera

• ID grupy

• ID produktu

• Click/Network Reference

• Odsyłający

• Nadpisany ID wydawcy

• Platforma

Czy Awin zbiera jakiekolwiek wrażliwe dane osobowe?

Nie, Awin nie zbiera żadnych wrażliwych danych podczas śledzenia lub prowadzenia swojej działalności z reklamodawcami, wydawcami i dostawcami. Awin może zbierać wrażliwe dane na temat swoich pracowników, jeśli wymaga tego prawo.

Jaki jest przepływ danych, które śledzi Awin?

Gdzie fizycznie przechowywane są dane?

W obrębie UE/Wielkiej Brytanii.

Czy do hostowania aplikacji i danych wykorzystywana jest z usługa hosta lub dostawcy chmury?

Tak, Equinix (Londyn/Slough), które są naszymi współlokalizowanymi centrami danych. Dostawcy chmury: AWS

(Irlandia i Frankfurt, Niemcy) oraz Azure (Amsterdam).

Jak długo przechowujecie dane? Czy macie procesy automatycznego usuwania danych?

Awin przechowuje dane zgodnie ze swoją polityką retencji. O ile nie określono inaczej w polityce (i jest to dozwolone przez prawo), dane osobowe są usuwane po 36 miesiącach. Wdrożyliśmy zautomatyzowane procedury usuwania, aby zapewnić usunięcie danych po upływie odpowiedniego okresu przechowywania.

Czy posiadacie certyfikat ISO 27001?

W lutym 2022 roku pomyślnie przeszliśmy drugi etap audytu certyfikacji ISO 27001 dotyczącej systemów i usług objętych zakresem, przeprowadzony przez niezależnych audytorów z BSI. W marcu uzyskaliśmy certyfikację ISO 27001. Co roku będą przeprowadzane audyty nadzorcze i audyty recertyfikacyjne.

Jak wygląda proces regularnego monitorowania, przeglądania i audytowania usług świadczonych przez Twoich dostawców zewnętrznych.

Dostawcy podlegają zarządzaniu ryzykiem dostawcy, które obejmuje due diligence dostawcy podczas onboardingu i regularne przeglądy później.

Czy segregujecie dane klientów?

Logicznie oddzielamy dane. ACL są używane w interfejsie użytkownika Awin, aby zapewnić, że dane są logicznie segregowane i nie mogą być dostępne ani uszkodzone przez innych klientów.

Czy przeprowadzacie testy penetracyjne?

Tak, testy penetracyjne są przeprowadzane przez renomowaną firmę zewnętrzną co roku. Mamy również wdrożony Program Łowców Błędów.

Czy Awin ma wdrożone mechanizmy ograniczające i monitorujące instalację nieautoryzowanego oprogramowania na swoich systemach?

Wszystkie programy muszą być wprowadzane za pomocą procesu przeglądu bezpieczeństwa informacji dostawcy.

Użytkownikom udostępnia się bibliotekę dozwolonych aplikacji w sklepie Microsoft. Każdy inny program jest instalowany przez wewnętrzny dział IT po zatwierdzeniu.

Czy Awin korzysta z usług jakichkolwiek organizacji trzecich jako podmiotów przetwarzających dane osobowe?

Tak, Awin korzysta z wielu procesorów; pełna lista procesorów może być udostępniona na żądanie.

Dostawcy tych usług przeszli przeglądy prywatności i bezpieczeństwa informacji, a tam, gdzie jest to konieczne, zawarto umowę o przetwarzaniu danych.

Czy Awin przekazuje jakiekolwiek dane poza UE?

Awin przekazuje dane poza UE tylko wtedy, gdy istnieją odpowiednie zabezpieczenia umożliwiające to.

Jak wyglądają rozwiązania techniczne i organizacyjne, które używa Awin, aby chronić dane.

Techniczne i organizacyjne wskaźniki Awin (TOMs) obejmuj:

• Pseudonimizowanie i anonimizowanie danych gdziekolwiek to możliwe (wprowadzono skracanie adresów IP, adresy e-mail są haszowane podczas użytkowania, informacje o identyfikatorze klienta są pseudonimizowane)
• Środki bezpieczeństwa fizycznego (ochrona kart, ograniczony dostęp dla gości)
• Stosowanie praw dostępu opartych na poświadczeniach, gdzie prawa są przyznawane na zasadzie "potrzeby wiedzy". Prawo do dostępu do danych jest przyznawane, gdy istnieje uzasadnienie biznesowe dla dostępu danej osoby.
• Obowiązkowy program szkoleniowy dla pracowników z zakresu ochrony danych i bezpieczeństwa danych.

Zaktualizowane zasady dotyczące bezpieczeństwa danych, w tym Plan Kontynuacji Działalności Awin, Polityka Raportowania Incydentów, Polityka Obsługi Informacji, itp.

Czy Awin regularnie testuje/ocenia/aktualizuje TOM-y?

Tak, TOMy są przeglądane co roku i w mało prawdopodobnym przypadku jakiegokolwiek naruszenia bezpieczeństwa czy danych.

Czy Awin szyfruje, anonimizujesz lub pseudonimizujesz dane osobowe, aby zapewnić, że nie będą one odczytane przez niezamierzone strony?

Dane zbierane podczas śledzenia są pseudonimizowane (adresy IP są skracane, domyślnie hashowane są adresy e-mail używane do śledzenia na różnych urządzeniach). Wszystkie dane w tranzycie są szyfrowane podczas przesyłania przez publiczne sieci (wykorzystując szyfrowanie TLS lub IPSec zgodnie z aktualnymi standardami branżowymi). Przenośne urządzenia, laptopy i urządzenia mobilne mają włączone pełne szyfrowanie dysku.

Jak Awin fizyczne zabezpiecza swoje budynki.

Dostęp do wszystkich miejsc (biur i centrum danych) jest kontrolowany za pomocą kart dostępu. Gościom nie wolno wchodzić na te tereny bez towarzystwa pracownika. Dostęp do lokalizacji Centrum Danych jest ograniczony do wcześniej zatwierdzonych osób z zespołów IT. Wszystkie wejścia do tych lokalizacji są rejestrowane i wyposażone w czołowe na rynku kontrole bezpieczeństwa fizycznego.

Czy Awin ma zintegrowaną ochronę firewall w swoich systemach?

Wszystkie wewnętrzne usługi Awin są podłączone do internetu za pomocą zapór ogniowych, które chronią usługi przed atakami zewnętrznymi, dodatkowe zabezpieczenia wewnętrzne zapewniają dalszą segregację i ochronę naszych usług. Nasz zespół operacyjny przeprowadza co tydzień skany podatności naszych systemów zewnętrznych.

Jakie macie wskaźniki ograniczające dostęp do danych?

W ramach przygotowań do wprowadzenia RODO przeprowadziliśmy przegląd naszej polityki kontroli dostępu i wzmocniliśmy takie zobowiązania jak:

• Zasady kontroli dostępu są przestrzegane, aby ograniczyć dostęp do obiektów Awin, aplikacji biznesowych, systemów informacyjnych, sieci i urządzeń komputerowych.
• Wszystkie osoby mające dostęp do systemów IT, systemów informacyjnych, aplikacji, sieci i urządzeń komputerowych są upoważnione, zanim zostaną im przyznane uprawnienia dostępu.
• Należy przestrzegać zasady minimalnych uprawnień.
• Należy rozważyć podział obowiązkówd.
• Dostęp do obiektów Awin musi być ściśle kontrolowany, a dostęp udzielany jest indywidualnie dla uwierzytelnionego i upoważnionego personelu za pomocą odpowiednich kontroli fizycznego bezpieczeństwa.
• Prawa dostępu nie mogą być przyznawane zbiorowo ani dzielone w ramach grupy.
• W ogólności, dostęp do systemów informacyjnych zawierających informacje osobiste lub poufne powinien wymagać uwierzytelniania dwuskładnikowego.

Czy Awin ma wdrożone powiadomienia o naruszeniach bezpieczeństwa?

Naruszenia są obsługiwane i raportowane zgodnie z naszym planem reagowania na incydenty. W przypadku naruszenia ochrony danych osobowych (lub bezprawnego ujawnienia informacji poufnych), powiadomienia są kierowane do stron dotkniętych i/lub odpowiedniej instytucji zgodnie z obowiązkami prawnymi.

Jak Awin zapewnia, że organ ochrony danych zostanie powiadomiony w ciągu 72 godzin w przypadku naruszenia ochrony danych?

Każde naruszenie musi być natychmiast zgłoszone do DPO Awin. Jest to kluczowy element w celu zapewnienia przestrzegania 72-godzinnego terminu i dlatego jest podkreślany we wszystkich szkoleniach, materiałach informacyjnych i politykach dla pracowników. Gdy informacje dotrą do DPO, DPO zajmie się powiadomieniem odpowiedniego organu ochrony danych, zgodnie z wymogami.

Jak Awin zapewnia prawa jednostki?

Awin ma procedury zapewniające przestrzeganie praw jednostek, jak przewidziano w RODO. Wszystkie prośby powinny być kierowane na adres global-privacy@awin.com gdzie prośba zostanie zrealizowana zgodnie z odpowiednim procesem.

Czy wszyscy Twoi pracownicy zaangażowani w przetwarzanie danych klientów przeszli szkolenie z zakresu ochrony danych i bezpieczeństwa informacji?

Tak, zapewniamy obowiązkowe szkolenia z zakresu prywatności i bezpieczeństwa informacji podczas przyjmowania nowych pracowników. Dodatkowo, przeprowadzamy coroczne szkolenia uzupełniające. Zwróć uwagę, że nasze szkolenie kończy się testem, aby upewnić się, że wiedza jest wystarczająca.

Proszę podać link do swojej polityki prywatności.

https://www.awin.com/pl/prywatnosc

Czy Awin może dostarczyć przykładowe sformułowanie odnoszące się do Awin w politykach prywatności?

Możesz używać dowolnego sformułowania naszej polityki do celów swoich ujawnień.

Czy jako reklamodawca możemy podpisać umowę o przetwarzanie danych?

Tak, to już automatycznie stanowi część Twojej umowy z reklamodawcą w ramach marketingu partnerskiego z Awin.

Czy jako wydawca możemy podpisać umowę o przetwarzanie danych?

To nie jest konieczne, ponieważ wszystkie istotne postanowienia są już zawarte w warunkach dla wydawców, jako załączniki do tych warunków. Proszę zapoznać się z tymi warunkami.

Do kogo mogę się zwrócić z dalszymi pytaniami?

Nasi menedżerowie kont będą mogli odpowiedzieć na ogólne pytania dotyczące ochrony danych. Jeśli chcesz porozmawiać bezpośrednio z naszym DPO, możesz wysłać e-mail na adres global-privacy@awin.com.