020 530 0160

Nieuwe Europese guidelines over privacyrechtelijke rol en targeting op social media

Gepubliceerd op 10 september 2020 categorieën 

Het comité van Europese privacytoezichthouders (European Data Protection Board, ‘EDPB’) heeft twee nieuwe richtsnoeren opgesteld. De eerste gaat over de privacyrechtelijke rol van partijen, de tweede over targeting op sociale media.

Guidelines: een nadere invulling van de AVG

In het comité van Europese privacytoezichthouders werken alle toezichthouders uit de EU samen om toezicht te houden op de naleving van de Algemene Verordening Gegevensbescherming (‘AVG’). De AVG bevat veel open normen die in verschillende landen anders kunnen worden uitgelegd. Het comité stelt regelmatig guidelines op waarmee wordt uitgelegd hoe bepaalde regels uitgewerkt dienen te worden. Daarmee geven de richtsnoeren een nadere invulling aan de AVG en zijn ze van grote betekenis. Vaak wordt er eerst een conceptversie uitgegeven, waar iedereen op mag reageren. Daarna wordt een definitieve versie vastgesteld. De nieuwe guidelines staan nog open voor consultatie tot en met 19 oktober 2020.

Privacyrechtelijke rol bepalen: guidelines ‘verantwoordelijke’ en ‘verwerker’

De meeste verplichtingen uit de Europese privacywetgeving rusten niet op de verwerker, maar op de verwerkingsverantwoordelijke. Het is dus belangrijk om de privacyrechtelijke rol zorgvuldig te bepalen. In de praktijk is het vaak niet duidelijk of een partij verwerkingsverantwoordelijke of  verwerker is. Zie hierover ook deze blog van Lora Mourcous.

Eerder zijn er door de voorganger van de EDPB (de Art. 29 Werkgroep) guidelines over het bepalen van de privacyrechtelijke rol opgesteld, maar deze stammen nog uit 2010. Sinds de komst van de AVG waren er veel vragen of het bepalen van de privacyrechtelijke rol op een andere manier dient te gebeuren. De Europese privacytoezichthouders beschrijven in de nieuwe guidelines hoe partijen kunnen bepalen voor welke diensten zij verwerkingsverantwoordelijke, verwerker of gezamenlijk verwerkingsverantwoordelijke zijn. Ook bevatten de guidelines een uitgebreide uitleg over de consequenties van de privacyrechtelijke rol(len).

Kernpunten guidelines

Uit de guidelines blijkt allereerst dat de rol van verwerker of verwerkingsverantwoordelijke sinds de komst van de AVG niet substantieel is veranderd. Interessant is dat de EDPB nader ingaat op de vraag over welke onderdelen een verwerker zeggenschap kan hebben, zonder zelf als verwerkingsverantwoordelijke te kwalificeren (middelen). Ook gaat de EDPB in op de vraag hoe uitgebreid de vereisten uit de AVG uitgewerkt moeten worden in een verwerkersovereenkomst. Tot slot besteedt de EDPB veel aandacht aan de vraag of twee samenwerkende partijen als ‘gezamenlijke verwerkingsverantwoordelijken’ kunnen worden aangemerkt.

Adverteren op social media: guidelines targeting op social media gebruikers

Omdat de mogelijkheden om social media gebruikers te targeten op social media sterk zijn toegenomen, zijn er ook over dit onderwerp nieuwe guidelines opgesteld. Door middel van de targeting diensten van social media platforms kunnen partijen gericht advertenties tonen aan (groepen) gebruikers daarvan. Hoe meer aanvullende gegevens een social media platform heeft, hoe beter de advertenties kunnen aansluiten op de (groepen) gebruikers.

Kernpunten guidelines

De guidelines beschrijven de rollen en verantwoordelijkheden van social media platforms, gebruikers en ‘targeters’. Onder ‘targeters’ worden verstaan de partijen die gebruik maken van social media diensten om op basis van specifieke eigenschappen hun specifieke advertentieuitingen te richten aan (groepen) gebruikers. De guidelines gaan in op targeting (i) op basis van informatie die de gebruiker/bezoeker zelf verstrekt (bijvoorbeeld het toevoegen van de geboortedatum aan het LinkedIn-profiel), targeten op basis van ‘geobserveerde data’ – dat wil zeggen data die de gebruiker verstrekt in het kader van een dienst of apparaat (bijvoorbeeld op basis van GPS locatie, omdat er gebruik wordt gemaakt van een mobiele applicatie) en (iii) het targeten op basis van afgeleide gegevens. Dit zijn bijvoorbeeld gegevens die worden waargenomen door webbrowsing en netwerkverbindingen.

De EDPB gaat per manier van targeten in op de privacyrechtelijke rol van de betrokken partijen en de
grondslag waarop partijen de verwerking van persoonsgegevens kunnen baseren. Voor elke verwerking moet de verantwoordelijke partij een grondslag hebben. Opvallend is dat uit de guidelines naar voren komt dat het social media platform en de targeter veelal als ‘gezamenlijke verwerkingsverantwoordelijken’ kunnen worden aangemerkt. Verder is opmerkelijk dat de EDPB bevestigt dat de relevante grondslagen in deze situatie ‘toestemming’ en de ‘gerechtvaardigd belang’ zijn, aangezien de Autoriteit Persoonsgegevens zich eerder heeft uitgelaten over de grondslag gerechtvaardigd belang voor direct marketing doeleinden. Volgens de Autoriteit Persoonsgegevens kunnen zuiver commerciële belangen niet kwalificeren als gerechtvaardigd belang.

Slot

Op de guidelines kan iedereen reageren. De guidelines zijn dan ook nog niet definitief. Wij houden u uiteraard op de hoogte over de ontwikkelingen in dit verband. Wilt u reageren of meer informatie, dan helpen wij u graag.

Deel:

publicaties

Gerelateerde artikelen