Velký souhrn: jak dělat marketing na Facebooku a být v souladu s GDPR

Facebook je extrémně úspěšnou inzertní platformou, a to především z toho důvodu, že nabízí marketérům jinde nevídané možnosti cílení na základě socio-demografických a behaviorálních dat. Jenomže GDPR ze všeho nejvíc šlape po pokročilém profilování uživatelů bez jejich souhlasu. U Facebooku ho dávají lidé v případě založení účtu a zároveň odškrtávají, že Facebook si vyhrazuje dělat průběžné změny v podmínkách. Už tento přístup není zcela v souladu s GDPR. Je tak jasné, že Facebook chystá změny a také to, že GDPR představuje pro marketéra využívajícího Facebook ke své práci komplikace.  O jaké jde, prozradil na konferenci GDPR v marketingu pořádané advokátní kanceláří eLegal a Pavlem Ungrem specialista na výkonnostní marketing na Facebooku, Honza Bartoš.

Honza Bartoš na konferenci GDPR v marketingu. Autor: Jirka Chomát

Následující slide z prezentace Honzy Bartoše, který se na konferenci GDPR v marketingu právě největšímu sociálnímu médiu věnoval, vám nabízí překlad oficiálního postoje Facebooku. Ve zkratce by se dal shrnout do slov: ničeho se nebojte, pracujeme na tom, v souladu s GDPR budeme.

Zdroj: prezentace Honzy Bartoše

Facebook se už v minulosti vyrovnal s evropskou legislativou, a spolupracuje tak například při žádostech uživatelů o jejich tzv. digitální smazání, které od něj vyžaduje smazat veškerou stopu u konkrétních uživatelů. To jde ale jenom o omezený počet analogových podivínů, ne o podstatu byznysu Facebooku, kterým je reklama. Lze předpokládat, že v oblasti, v níž mu jde o jeho vlastní zdroj příjmů si situaci pohlídá. Od doby přípravy jeho prezentace došlo na straně Facebooku k posunu, tyto novinky v textu také zohledňujeme.

Reklama na Facebooku má problém 

Účinnost reklamy Facebooku je založena na tom, že dokáže těm správným lidem doručit tu správnou reklamu tak nějak mimochodem, primárně ve feedu mezi dalším obsahem, co je zajímá. Za přesností cílení ovšem stojí propracovaná datová analýza, o níž většina uživatelů nemá ani tušení. A přesně to je předmětem zájmu GDPR.

Reklamou Facebooku rozumějme tu, která se vyskytuje v rámci platforem Facebook, Instagram, Messenger, WhatsApp a s výhledem do budoucna i Oculus.

Facebook je v pozici správce osobních údajů.

V případě, že mu dáte pro lepší zacílení údaje i vy, je i jejich zpracovatelem. Facebook konkrétně říká, že je zpracovatelem v těchto případech:

• Vlastní okruhy uživatelů

Pokud vaše data ze CRM spáruje Facebook s databází a vytvoří „vlastní okruh uživatelů“ pro vaše inzertní kampaně, stává se zpracovatelem údajů.

• Měření a analytika

Údaje zpracovává Facebook vaším jménem, když měří efektivitu a dosah vašich reklamních kampaní a poskytuje přehledy o lidech používajících vaše služby, které vám reportuje.

• Workplace od Facebooku

Nabídka Workplace Premium vám umožňuje spolupracovat pomocí Facebook nástrojů se spolupracovníky. Abychom vám tuto službu mohl Facebook poskytnout, osobní údaje zpracovává jako zpracovatel údajů.

A zpracovatel by si měl hlídat to, že pracuje s osobními daty, k jejichž zpracování a sdílení s ním daly dotčené osoby souhlas. Získat ho a rozlišovat uživatele, kteří ho dali a nedali, může být ovšem v rámci reklamního ekosystému problematické. Právě tomu se bude věnovat zbytek tohoto textu

Custom Audiences a Lookalike Audiences 

Mezi jedny z nejsilnějších reklamních nástrojů Facebooku patří Custom Audiences a Lookalike Audiences. V případě Custom Audiences nahráváte ve správci reklam údaje o vlastních zákazních (ve formě e-mailových kontaktů, telefonních čísel či uživatelů vaší aplikace). Právě v tu chvíli se stává Facebook zpracovatelem osobních údajů a vaši zákazníci (kontakty) cílení reklamou na základě Custom Audiences (CA) by s tím měli souhlasit.

Facebook již potvrdil, že u CA bude vyžadovat, aby použité kontakty udělily souhlas k tomu, aby byly využity k takovémuto reklamnímu cílení. „Facebook nicméně nemá příliš možností, jak toto zkontrolovat. Předpokládám, že inzerent pouze zaklikne, že kontakty použité pro tvorbu publika daly souhlas," představuje svůj pohled Honza Bartoš.

Zdroj: prezentace Honzy Bartoše

Lookalike Audience (LA) je čistě technickou řečí anonymizovaný soubor uživatelů, který je socio-demograficky či behaviorálně podobný vámi vytvořenému publiku vycházejícímu z vašich zákazníků či kontaktů. Polopaticky: pomůže vám zacílit reklamu na lidi, kteří jsou podobní vašim zákazníkům.

Zdroje dat, z kterých můžete LA, vytvořit jsou tyto:

• fanoušci vaší FB stránky
• e-mailové kontakty (vytvořená CA)
• uživatelé vaší aplikace

Facebook pixel:

• celkové návštěvnost vašeho webu
• návštěvníci, co udělali na vašem webu akci

V případě vytvoření publika z fanoušků vaší FB stránky je, co se týče vyřešení souladu s GDPR, míč na straně Facebooku. Uživatelé v LA vám pochopitelně souhlas se zpracováním osobních údajů dát nemohou, jejich identitu zná Facebook, ne vy. Proto se jich ani nemáte jak zeptat.

Pokud ovšem vytváříte Lookalike publikum na základě kontaktů, které vy předáváte Facebooku, měli byste mít od nich souhlas. Pro maily platí u LA to samé jako u Custom Audiences. Souhlas potřebujete. U návštěvníků webu označených FB pixelem to je o něco složitější. Jelikož je ale postup úplně stejný jako v případě remarketingu, dozvíte se, jak na to, v další podkapitole.

Remarketing jen na ty, co s tím aktivně souhlasí

Remarketing je cílením reklamních sdělení na ty uživatele, co již navštívili vaši webovou stránku. Platí již popsaná zásada výše: když je cílení na základě dat, které vy vkládáte do Facebooku, činíte z Facebooku zpracovatele údajů a měli byste proto od uživatelů (kteří vám poskytli svá data) získat souhlas.

Nejprve si ale pojďme vyjasnit dva pojmy, které s remarketingem souvisí: cookie a Facebook pixel.

Zdroj: prezentace Honzy Bartoše

Oficiální ustanovení nových obchodních podmínek (ustanovení 3.3) týkajících se Cookies a Fb pixelu říká:

„V jurisdikcích, které pro ukládání a přístup k souborům cookie nebo jiným informacím na zařízení koncového uživatele vyžadují informovaný souhlas (mimo jiné v Evropské unii), musíte ověřitelným způsobem zajistit nezbytný souhlas koncového uživatele ještě před tím, než nám pomocí nástrojů Facebooku pro firmy umožníte ukládat soubory cookie a další informace na zařízení koncového uživatele a získávat k nim přístup. (Návrhy, jak implementovat mechanismus souhlasu, najdete ve Facebook průvodci získáním souhlasu s používáním souborů cookie na webech a v aplikacích.)"

Dle GDPR je v pořádku shromažďovat údaje o uživatelích pro měření, tedy monitoring výkonu webu, například mapování průchodu uživatele webem a třeba také konkrétně fázemi objednávky, identifikování nejpopulárnějších stránek, nejúčinnějších reklam atd. Na tyto činnosti nepotřebujete souhlas uživatele. Stačí, že u sebe na webu informujete, že tak činíte.


Honza Bartoš, a Jana a Petra Dolejšová z eLegal na konferenci GDPR v marketingu. Autor: Jirka Chomát

Není ale nutné vytvářet lištu, která vám zabere celou spodní třetinu stránky. Stačí, když na ni umístíte odkaz na jinou stránku na vašem webu, kde budou podrobnější informace o měření dostatečně jasně a podrobně uvedeny. Text cookie lišty pak může vypadat dle doporučení Facebooku třeba takto:

 „Používáme technologie, jako jsou soubory cookie, abychom mohli přizpůsobovat obsah a reklamy, poskytovat funkce sociálních médií a analyzovat provoz na webu. Informace o vašem používání webu také sdílíme s našimi důvěryhodnými partnery v oblasti sociálních médií, reklamy a analýz. [Podrobnosti – odkaz na vaše zásady soukromí.]“

Pro vytváření remarketingových okruhů už ale potřebujete dle GDPR od uživatele souhlas.

Facebook pixel zvládá obojí, z pohledu GDPR je ovšem v tuto chvíli problematické, že data o měření všech uživatelů webu bez rozdílu a těch pro remarketing sbírá do jednoho okruhu. Vy s tím nejste schopni nic udělat. Přísným výkladem se tak dá říci, že remarketing není s GDPR kompatibilní. I s přihlédnutím k tomu, jak se Facebook v posledních týdnech snaží, je pravděpodobné, že do 25. května bude mít tento aspekt vyřešený.

Získání souhlasu od návštěvníka webu

Honza Bartoš toto radí vyřešit vytvořením vlastní události (technický návod najdete zde). Ta se vytvoří po souhlasu uživatele s jeho cílením remarketingem.

Zdroj: prezentace Honzy Bartoše

Sami si přitom uložte pro případnou kontrolu:

• Facebook ID uživatele
• IP adresu
• Čas, kdy byl udělen souhlas
• Záznam, jak vypadal souhlas uživatele

Problém s takto vytvořeným Facebook eventem (událostí) je v jeho praktickém využívání v tom, že skutečně nechcete, aby vám musel uživatel udělovat souhlas znovu při další návštěvě. „Lze to řešit identifikací uživatele s pomocí cookies. Když přijde po 10 dnech znovu, spustíme znovu událost, abychom měli aktuální data o návštěvě," uvádí Honza Bartoš a rovnou radí, jak se vypořádat s tím, že ani udělený souhlas s remarketingem není před očima soudů na věčné časy:

„Do podmínek dostupných na webu lze dodat, že se souhlas s remarketingem bude automaticky prodlužovat o 6 měsíců při každé návštěvě webu. V podmínkách musí být ovšem zmíněna také cesta, jak se může uživatel z remarketingového listu odhlásit."

Žádné používání pixelů třetích stran

Facebook píše v ustanovení 3.1 obchodních podmínek:

„Vy nebo vaši partneři, kteří jednají vaším jménem, nesmíte bez našeho písemného povolení umisťovat pixely spojené s vaším Business Managerem nebo účtem pro reklamu na weby, které nevlastníte."

Znamená to, že nemůžete svůj FB pixel umístit na jinou než vlastní stránku, pokud vám to Facebook neschválí. Právě toto byla často dost úspěšná taktika využívaná například ve spolupráci s mediálními nebo marketingovými partnery.                            

Lead Ads

Tento formát reklamy je používán zejména v B2B. Povětšinou láká na nějaký obsah, který nabízí výměnou za kontaktní údaj.

Ano, pod GDPR vzniká v tomto případě problém. Pokud můžete obsah doručit uživateli bez toho, abyste od něj chtěli e-mail či jiné kontaktní údaje, nemáte právo je vyžadovat. A link na stáhnutí obsahu na webu rovnou skutečně technicky nabídnout můžete. Možnosti řešení jsme již popsali v článku GDPR v marketingu: Na co si dát pozor při tvorbě obsahu, konkrétně v části Problém č. 4: Odemknutí obsahu za e-mail či registraci do klubu.

Kouzlo Lead Ads nicméně spočívá v tom, že formulář pro vyplnění kontaktních údajů se objeví uživatelům po rozkliku přímo na Facebooku a navíc je e-mail a například i telefon spojený s konkrétním facebookovým účtem automaticky doplněn.

Správcem údajů je přitom Facebook i inzerent zároveň. Je proto potřeba získat od uživatele vlastní souhlas pro zpracování osobních údajů.

Jak na to? Uživatel nejprve u Lead reklamy lákající na obsah klikne na „Stáhnout". „U tohoto kroku je ovšem „problematické" to, že uživatel musí mít možnost získat soubor i bez vložení dat. Coź u Lead Ads aktuálně nejde. Jde to obejít tím, že poskytnete uživatelům informace o tom, že si mohou soubor stáhnout / koupit jinde.

1. krok u Lead Ads. Zdroj: prezentace Honzy Bartoše

Údaje bude mít uživatel již předvyplněné z Facebooku, ale na to se nesmíte spolehnout.

2. krok u Lead Ads. Zdroj: prezentace Honzy Bartoše

Je potřeba další krok, kde vám udělí uživatel souhlas s dalším použitím údajů, například na remarketing či e-mailing. Povšimněte si, že v poučení je aktivní link na podmínky Facebooku pro zpracování dat, ale také na podmínky se zpracováním osobních údajů.

3. krok u Lead Ads. Zdroj: prezentace Honzy Bartoše

4. (závěrečný) krok Lead Ads. Zdroj: prezentace Honzy Bartoše

Na závěr chceme uklidnit tím, že vytvoření těchto položek nevyžaduje drahého programátora. Vše lze vytvořit a naklikat přes rozhraní Facebooku pro správu reklam.

4. Nastavení  Lead Ads. Zdroj: prezentace Honzy Bartoše

Facebook Login do aplikace či webu

Přihlášení na web nebo do aplikace byla dosud jednou z cest, jak uživatele registrovat bez toho, aby musel něco vyplňovat. I v tomto případě ale vy zpracováváte data a měli byste k tomu získat souhlas se zpracováním osobních údajů.

Zdroj: prezentace Honzy Bartoše

Zdroj: prezentace Honzy Bartoše

Podrobnosti na to, jak takové řešení implementovat naleznete na blogu Facebooku pro vývojáře.

Varování na závěr

Podělit se o marketingové know-how není na škodu. Ostatně proto tu je do značné míry i Marketing Journal. S případovými studiemi se skutečně podrobnými čísly to ale bude nyní poněkud složitější. Ustanovení 2.2.2 obchodních podmínek říká:

„Poskytujeme vám neexkluzivní a nepřenosnou licenci k používání reportů o kampaních a analytik pro vaše interní obchodní účely, a to výhradně souhrnně a anonymně, pouze pro účely měření. Reporty o kampaních nebo analytiky ani jejich část nepředáte třetí straně, pokud se s námi písemně nedohodnete jinak. Reporty o kampaních nebo analytiky ani jejich část nepředáme třetí straně bez vašeho svolení, s výjimkou případů, kdy (i) tyto reporty o kampaních a analytiky byly zkombinovány s údaji mnoha dalších třetích stran a (ii) z kombinovaných reportů o kampaních a analytik byly odebrány vaše identifikační údaje."

V případových studiích byste tak měli vynechat přímo screenshoty z analytických nástrojů. Data, co bude prezentovat navenek, by měla být anonymizovaná a agregovaná. „Už jsem si o povolení sdílet data ze svých kampaní zažádal," uvádí Honza Bartoš s tím, že je zvědavý, kdy a jaký mu dojde odpověď. Pokud chcete mít hodně podrobné případové studie vašich úspěšných Facebook kampaní, asi byste tak měli učinit také.

Kam dál? 

V tomto článku se neustále točíme kolem aktivního souhlasu. Je pro lidi lákavá nabídka newsletterů a personalizovaných reklam sama o sobě? Ne příliš. Proto si přečtěte doplňující článek GDPR v marketingu: jak motivovat uživatele k souhlasu s využitím osobních údajů k marketingovým účelům.

Doplňujícím čtením může být také text Facebook opět přitvrzuje v ochraně soukromí uživatelů. Tentokrát se zaměřil na FB pixel.

O tom, jak se GDPR dotkne sběru emailových adres a mailingu jako takového, si můžete přečíst v článku Jak na sběr e-mailů podle GDPR. 

Pokud vás zajímá spíše to, jak by měla Zpracovatelská smlouva vypadat a na co v ní rozhodně nezapomenout, podívejte se na článek GDPR – jak nastavit smlouvu mezi klientem a agenturou.

Profesionály pracující s content marketingem pak bude užitečný článek Na co si dát pozor při tvorbě obsahu.

I ten vychází z informací řečených na konferenci GDPR v marketingu. Z ní si můžete zakoupit záznamy všech prezentací.