Targeting van social media-gebruikers is een methode om gericht te adverteren en is onderdeel van het verdienmodel van veel socialmediaplatforms. De European Data Protection Board (EDPB) heeft nieuwe guidelines gepubliceerd over targeting van gebruikers van sociale media. De nieuwe guidelines zijn gericht op de rollen en verantwoordelijkheden van adverteerders en aanbieders van social media. De richtlijnen gaan in op onder meer de privacyrisico’s voor socialmediagebruikers en de belangrijkste vereisten uit de privacywetgeving.
Targeten van gebruikers van social media vindt op verschillende manieren plaats. Targeting kan bijvoorbeeld plaatsvinden door het weergeven van gepersonaliseerde reclame door middel van een banner. Die banner wordt in de bovenkant of zijkant van een webpagina weergeven. Op socialmediaplatforms zie je dat advertenties ook vaak getoond worden in de feed, tijdlijn of het verhaal van een gebruiker. De EDPB gaat in op drie manieren van targeting met persoonsgegevens.
Targeting kan in de eerste plaats plaatsvinden op basis van persoonsgegevens die door de gebruiker zelf aan het socialmediaplatform of adverteerder zijn verstrekt. De gebruiker kan bijvoorbeeld zijn leeftijd in zijn Facebook-profiel hebben aangegeven. Facebook kan het op basis daarvan voor adverteerders mogelijk maken om te adverteren op basis van leeftijd. Targeting kan ook plaatsvinden op basis van persoonsgegevens die de gebruiker aan de adverteerder zelf heeft verstrekt. Een gebruiker heeft bijvoorbeeld zijn e-mailadres met Zalando gedeeld. Zalando gebruikt dit e-mailadres om te controleren of de gebruiker een profiel heeft op Facebook. Als dit zo is, wordt de gebruiker op Facebook een advertentie van Zalando getoond. Ook kan Zalando het e-mailadres van een specifieke gebruiker gebruiken om ook Facebook-gebruikers met een vergelijkbaar profiel te targeten.
Targeten kan ook plaatsvinden op basis van ‘geobserveerde data’. Dat is informatie die wordt verzameld door het socialmediaplatform te gebruiken. Bijvoorbeeld gegevens over de content die de gebruiker heeft gedeeld, bekeken of geliket.
Adverteerders kunnen tot slot ook targeten op basis van afgeleide data. Zo kan het socialmediaplatform of de adverteerder op basis van het surfgedrag van een gebruiker concluderen dat hij waarschijnlijk geïnteresseerd is in een bepaald product.
Uit voorgaande voorbeelden wordt duidelijk dat het socialmediaplatform en de adverteerder twee belangrijke spelers zijn in het adverteerproces. Maar wie is nu verantwoordelijk voor de privacy van socialmediagebruikers? Als het gaat om de verwerking van persoonsgegevens kent de Algemene verordening gegevensbescherming (AVG) twee rollen: verwerkingsverantwoordelijke en verwerker. De meeste verplichtingen uit de AVG zijn van toepassing op de verwerkingsverantwoordelijke.
Aan de hand van de verschillende voorbeelden, wordt in de richtlijnen geconcludeerd dat de adverteerder en het socialmediaplatform gezamenlijk verwerkingsverantwoordelijken zijn. Het socialmediaplatform en de adverteerder bepalen gezamenlijk het doel van de verwerking van persoonsgegevens. Dat doel is het tonen van een specifieke advertentie aan een aantal geselecteerde socialmediagebruikers. De adverteerder stelt daarbij de criteria vast op basis waarvan de targeting plaatsvindt, bijvoorbeeld leeftijd of locatie. Daarmee bepaalt de adverteerder van welke categorieën gebruikers persoonsgegevens moeten worden verwerkt. Het socialmediaplatform heeft daarentegen besloten om de persoonsgegevens van zijn gebruikers op zodanige wijze te verwerken dat aan de adverteerder targetcriteria ter beschikking worden gesteld (zoals leeftijd of locatie).
Gezamenlijk verwerkingsverantwoordelijken moeten een regeling overeenkomen. In deze regeling moeten partijen hun verantwoordelijkheden voor de nakoming van de verplichtingen uit de AVG vaststellen. Met name met betrekking tot de uitoefening van de rechten van de betrokkene en de verplichting om betrokkenen de informeren. De gezamenlijke verwerkingsverantwoordelijken moeten dus bepalen “wie wat doet” om ervoor te zorgen dat de verwerking in overeenstemming is met de AVG. De afspraken kunnen verder betrekking hebben op het volgende:
Uitvoering van de algemene beginselen inzake gegevensbescherming;
Grondslag van de verwerking;
Beveiligingsmaatregelen;
Melding van een datalek aan de toezichthoudende autoriteit en aan de betrokkenen;
Gegevensbeschermingseffectbeoordelingen;
Het inschakelen van een verwerker;
Doorgifte van gegevens naar derde landen.
Andere afspraken die kunnen worden gemaakt, kunnen bijvoorbeeld betrekking hebben op het gebruik van persoonsgegevens voor een ander doel. Zo kan de adverteerder met Facebook afspreken dat Facebook de persoonsgegevens alleen zal gebruiken voor het tonen van advertenties aan specifieke gebruikers.
Bij het vastleggen van de afspraken moet rekening worden gehouden met factoren zoals de vraag wie bevoegd en in staat is om de rechten van de betrokkene daadwerkelijk te waarborgen en de desbetreffende verplichtingen uit de AVG na te komen. De verplichtingen hoeven dus niet op gelijke wijze te worden verdeeld.
De guidelines van de EDPB zijn nog niet definitief. Alle opmerkingen en suggesties bij de guidelines kunnen tot en met 19 oktober 2020 worden doorgeven aan de EDPB.
Meer artikelen van SOLV Advocaten
