Targeting van social media-gebruikers is een methode om gericht te adverteren en is onderdeel van het verdienmodel van veel social media platforms. De European Data Protection Board (EDPB) heeft nieuwe guidelines gepubliceerd over targeting van gebruikers van sociale media. De nieuwe guidelines zijn gericht op de rollen en verantwoordelijkheden van adverteerders en aanbieders van social media. De richtlijnen gaan in op onder meer de privacyrisico’s voor social media-gebruikers en de belangrijkste vereisten uit de privacywetgeving.
Hoe worden social media-gebruikers getarget?
Targeten van gebruikers van social media vindt op verschillende manieren plaats. Targeting kan bijvoorbeeld plaatsvinden door het weergeven van gepersonaliseerde reclame door middel van een banner. Die banner wordt in de bovenkant of zijkant van een webpagina weergeven. Op social media-platforms zie je dat advertenties ook vaak getoond worden in de feed, tijdlijn of verhaal van een gebruiker. De EDPB gaat in op drie manieren van targeting met persoonsgegevens.
Targeting kan in de eerste plaats plaatsvinden op basis van persoonsgegevens die door de gebruiker zelf aan het social media-platform of adverteerder zijn verstrekt. De gebruiker kan bijvoorbeeld zijn leeftijd in zijn Facebookprofiel hebben aangegeven. Facebook kan het op basis daarvan voor adverteerders mogelijk maken om te adverteren op basis van leeftijd. Targeting kan ook plaatsvinden op basis van persoonsgegevens die de gebruiker aan de adverteerder zelf heeft verstrekt. Een gebruiker heeft bijvoorbeeld zijn e-mailadres met een webshop gedeeld. Deze webshop gebruikt dit e-mailadres om te controleren of de gebruiker een profiel heeft op Facebook. Als dit zo is, wordt de gebruiker op Facebook een advertentie van de desbetrffende webshop getoond. Ook kan de webshop het e-mailadres van een specifieke gebruiker gebruiken om ook Facebookgebruikers met een vergelijkbaar profiel te targeten.
Targeten kan ook plaatsvinden op basis van ‘geobserveerde data’. Dat is informatie die wordt verzameld door het social media-platform te gebruiken. Bijvoorbeeld gegevens over de content die de gebruiker heeft gedeeld, bekeken of geliket.
Adverteerders kunnen tot slot ook targeten op basis van afgeleide data. Zo kan het social media-platform of de adverteerder op basis van het surfgedrag van een gebruiker concluderen dat hij waarschijnlijk geïnteresseerd is in een bepaald product.
Verwerkingsverantwoordelijke en verwerker
Uit voorgaande voorbeelden wordt duidelijk dat het social media-platform en de adverteerder twee belangrijke spelers zijn in het adverteerproces. Maar wie is nu verantwoordelijk voor de privacy van social media-gebruikers? Als het gaat om de verwerking van persoonsgegevens kent de AVG twee rollen: verwerkingsverantwoordelijke en verwerker. De meeste verplichtingen uit de AVG zijn van toepassing op de verwerkingsverantwoordelijke.
Gezamenlijke verwerkingsverantwoordelijke
Aan de hand van de verschillende voorbeelden, wordt in de richtsnoeren geconcludeerd dat de adverteer en het social media-platform gezamenlijk verwerkingsverantwoordelijken zijn. Het social media-platform en de adverteerder bepalen gezamenlijk het doel van de verwerking van persoonsgegevens. Dat doel is het tonen van een specifieke advertentie aan een aantal geselecteerde social media-gebruikers. De adverteerder stelt daarbij de criteria vast op basis waarvan de targeting plaatsvindt, bijvoorbeeld leeftijd of locatie. Daarmee bepaalt de adverteerder van welke categorieën gebruikers persoonsgegevens moeten worden verwerkt. Het social media-platform heeft daarentegen besloten om de persoonsgegevens van zijn gebruikers op zodanige wijze te verwerken dat aan de adverteerder targetcriteria ter beschikking worden gesteld (zoals leeftijd of locatie).
Regeling
Gezamenlijk verwerkingsverantwoordelijken moeten een regeling overeenkomen. In deze regeling moeten partijen hun verantwoordelijkheden voor de nakoming van de verplichtingen uit de AVG vaststellen. Met name met betrekking tot de uitoefening van de rechten van de betrokkene en de verplichting om betrokkenen de informeren. De gezamenlijke verwerkingsverantwoordelijken moeten dus bepalen “wie wat doet” om ervoor te zorgen dat de verwerking in overeenstemming is met de AVG. De afspraken kunnen verder betrekking hebben op het volgende:
- Uitvoering van de algemene beginselen inzake gegevensbescherming;
- Grondslag van de verwerking;
- Beveiligingsmaatregelen;
- Melding van een datalek aan de toezichthoudende autoriteit en aan de betrokkenen;
- Gegevensbeschermingseffectbeoordelingen;
- Het inschakelen van een verwerker;
- Doorgifte van gegevens naar derde landen.
Andere afspraken die kunnen worden gemaakt, kunnen bijvoorbeeld betrekking hebben op het gebruik van persoonsgegevens voor een ander doel. Zo kan de adverteerder met Facebook afspreken dat Facebook de persoonsgegevens alleen zal gebruiken voor het tonen van advertenties aan specifieke gebruikers.
Bij het vastleggen van de afspraken moet rekening worden gehouden met factoren zoals de vraag wie bevoegd en in staat is om de rechten van de betrokkene daadwerkelijk te waarborgen en de desbetreffende verplichtingen uit de AVG na te komen. De verplichtingen hoeven dus niet op gelijke wijze te worden verdeeld.
Consultatie
De guidelines van de EDPB zijn nog niet definitief. Alle opmerkingen en suggesties bij de guidelines kunnen tot en met 19 oktober 2020 worden doorgeven aan de EDPB.