Overzicht Actueel

Europese toezichthouders publiceren guideline over ‘social targeting’

Wat zijn de regels als je adverteert op sociale media? Wat is toegestaan als je e-mailadressen gebruikt om een ‘custom audience’ aan te maken, of juist om bestaande klanten uit te sluiten van een campagne? In een recent gepubliceerde conceptguideline publiceert de EDPB (Europese koepel van privacytoezichthouders) haar visie op dit onderwerp. Het is nog niet definitief, maar het geeft een interessant kijkje in de manier waarop toezichthouders adverteren op social beoordelen. Een mooi moment om te kijken of de werkwijze in je organisatie of bij je opdrachtgevers daarmee overeenkomt.

Deze guideline staat open voor consultatie tot 19 oktober. DDMA zal hierop reageren. Heb je input? Laat het dan mij dan weten via matthiasdebruyne@ddma.nl.

Belang van deze guideline
Wat deze guideline zo interessant maakt, is dat hiermee duidelijk wordt hoe de toezichthouders kijkt naar het gebruik van veelgebruikte advertentietools, zoals retargeting van custom audiences met behulp van cookies of het uploaden van e-mailadressen. Ook wordt er besproken wat je rol en verantwoordelijkheid is als je gebruik maakt van de data op een sociaal medium, of tracking pixels en cookies plaatst die het platform in staat stellen profielen op te bouwen. Het gaat over verschillende technieken die door vrijwel alle adverteerders in onze sector worden gebruikt. Vaak is niet helemaal duidelijk welke AVG taken de verantwoordelijkheid zijn van de adverteerder, en welke de verantwoordelijkheid van het platform. Die onduidelijkheid proberen de toezichthouders met deze guideline weg te nemen, door in te vullen hoe zij hiernaar kijken. Daaruit komen interessante inzichten, bijvoorbeeld over wie er moet informeren, wie er inzage moet bieden, en wanneer er toestemming nodig is.

Meer weten over de gevolgen van deze guideline voor het gebruik van Custom Audiences? Download dan deze geüpdatete DDMA-handleiding: Explained: Customer Audiences.

Actoren en rollen
In de guideline maakt de EDPB duidelijk dat adverteren wat hen betreft verder gaat dan het selecteren van een groep of individu. Het omvat ook het hele proces dat eraan vooraf gaat en de doelgroep bepaalt. De EDPB bespreekt de verschillende actoren bij social targeting, en de verantwoordelijkheden die ze hebben. Uiteraard gaat het over de gebruiker, maar er wordt met name aandacht besteed aan de rol voor het platform en die van de adverteerder. Wie is verwerker? En wie is verwerkingsverantwoordelijke? Voor iedere verwerking moet afzonderlijk beoordeeld worden wie welke rol heeft, om vervolgens te weten hoe de AVG-plichten verdeeld moeten worden. Sinds de AVG in 2018 in werking trad bestaat het concept van gezamenlijke verantwoordelijkheid. In de praktijk is het vaak lastig om met zekerheid te bepalen wat de rol is van een adverteerder voor een specifieke verwerking. Met deze guideline geven de toezichthouders inzicht in hoe zij dit zien voor social targeting. Het valt op dat er voor het merendeel van de besproken verwerkingen volgens de EDPB sprake is van een gezamenlijke verantwoordelijkheid. Daarvoor moeten er afspraken gemaakt worden tussen de adverteerder en het platform, zodat duidelijk is wie welke AVG-taken op zich neemt en waar de betrokkene zijn AVG-rechten (zoals inzage of bezwaar) kan uitoefenen.

Manier waarop gegevens verkregen zijn speelt een grote rol
Om te kunnen beoordelen hoe je de AVG moet toepassen maakt de EDPB onderscheid tussen 3 vormen van gegevens. Dit onderscheid is relevant omdat de verwachting van de gebruiker anders is. Die verwachting is een belangrijk aspect bij het maken van privacybeoordelingen.

  1. Verstrekte data: bijvoorbeeld de ingevulde woonplaats op het platform, of het e-mailadres dat aan een adverteerder is verstrekt bij een aankoop dat gebruikt wordt voor custom audiences.
  2. Geobserveerde data: gedrag op het platform, zoals likes.
  3. Geïnfereerde data : conclusies op basis van gedrag, bijvoorbeeld de tag ‘kunstliefhebber’ die het platform toekent aan gebruikers die actief zijn op bepaalde pagina’s.

Per type gegevens bespreekt de EDPB:

  1. Wat de AVG-rol is van de adverteerder en het platform voor de verschillende verwerkingen, van het samenstellen van een audience tot de rapportage met statistieken na afloop.
  2. Wat de rechtsgrond is voor de verwerkingen. Voor de meeste vormen, waaronder Custom Audience, wordt zowel toestemming als het gerechtvaardigd belang als een optie genoemd. Uitvoering van de overeenkomst ziet de EDPB niet als een geschikte grondslag.

De volledige guideline vind je hier.

Let op: het gaat nog om een conceptversie, deze staat tot 20 oktober open voor consultatie. Het is dus nog geen definitief advies, en zal na deze consultatieronde nog wat worden aangepast en aangevuld. Heb je naar aanleiding van dit document juridische vragen en ben je lid van DDMA? Mail je vraag dan naar legal@ddma.nl. Heb je een opmerking of suggestie bij deze guideline? Laat het weten in een mail aan matthiasdebruyne@ddma.nl. DDMA zal in samenwerking met onze Brusselse koepelorganisatie een reactie met de EDPB delen.