Is toestemming voor custom audiences altijd nodig? Nieuwe EDPB-Guideline geeft duidelijkheid

De vraag van de meeste organisaties is vrij eenvoudig: moeten we toestemming vragen voor het gebruik van custom audiences? Het antwoord is vaak ingewikkelder. Deze diensten zijn relatief nieuw en complex, er zijn verschillende platformen en toepassingen en toezichthouders in Europa leken niet eensgezind over de toepassing van de AVG op dit vraagstuk. Met deze nieuwe conceptguideline van de EDPB lijkt er nu een einde te komen aan alle onduidelijkheid.

Over welke vorm van targeting heeft de EDPB het?

In het stuk uit de guideline dat relevant is voor custom audiences heeft de EDPB het over persoonsgegevens:

1. die de betrokkene aan een adverteerder heeft verstrekt (bijv. een e-mailadres of telefoonnummer)
2. die de adverteerder gebruikt om diezelfde betrokkenen gerichte advertenties te laten zien.

De lijst met gegevens wordt ‘gematcht’ met de data van het platform. De matches worden gebruikt om een doelgroep samen te stellen, of om deze personen uit te sluiten van een doelgroep. De EDPB geeft twee voorbeelden:

Voorbeeld 1: Mevrouw A (geen klant) heeft per e-mail een afspraak voor een hypotheekgesprek met een bank. Na de afspraak besluit mevrouw A geen klant te worden en neemt geen contact meer op. De bank heeft het e-mailadres van mevrouw A in het CRM-systeem opgeslagen. De bank gebruikt het e-mailbestand om te zoeken naar een ‘match’ met de e-mailadressen van een social mediaplatform, om de prospects uit het bestand te targeten met advertenties van de bank.

Voorbeeld 2: Meneer B is al een jaar klant van een bank. Toen hij klant werd heeft hij zijn e-mailadres gedeeld met de bank. Op dat moment heeft de bank hem verteld dat a) zijn e-mailadres gebruikt zou worden voor advertenties met aanbiedingen van producten die passen bij het product dat hij al afneemt. En dat b) hij op ieder moment bezwaar kan maken tegen die verwerking van zijn e-mailadres. De bank heeft het e-mailadres van meneer B in het CRM-systeem opgeslagen. De bank gebruikt het e-mailbestand om te zoeken naar een ‘match’ met de e-mailadressen van een social media platform, om de prospects uit het bestand te targeten met advertenties van de bank.

Wat is je rol als adverteerder?

In beide voorbeelden is de bank als adverteerder zelfstandig verwerkingsverantwoordelijke (hierna: verantwoordelijke) voor het verzamelen van de e-mailadressen en deze te uploaden in de matching-tool van het platform. Het platform is ook zelfstandig verantwoordelijke, omdat het beslist om de gegevens van haar gebruikers beschikbaar te stellen in een advertentietool.

Adverteerder en platform zijn samen verantwoordelijk voor:

• het uploaden van de unieke ID’s (in de voorbeelden hierboven het e-mailadres).
• Het matchingproces
• Selectie van targeting criteria
• Het vertonen van de advertentie
• De rapportage nadien met resultaten van de campagne

Kortom: vanaf het moment dat de e-mailadressen ingevoerd worden in de matchingtool van het platform tot aan de rapportage met resultaten, zijn het platform en de adverteerder volgens de EDPB samen verantwoordelijk.

Is er toestemming nodig voor custom audiences?

Volgens de EDPB kan de bank in voorbeeld 1 geen geslaagd beroep doen op het gerechtvaardigd belang als grondslag. Omdat mevrouw A geen klant is geworden is het volgens de toezichthouders niet aannemelijk dat mevrouw A nog verwacht dat haar e-mailadres gebruikt zou worden voor targeting op sociale media. De bank had mevrouw A om toestemming moeten vragen als ze het daar alsnog voor wilden gebruiken.

In voorbeeld 2 ligt dat anders. De EDPB geeft daarvoor 3 redenen:

1. Meneer B is op het moment dat hij zijn e-mailadres aan de bank gaf duidelijk geïnformeerd dat zijn e-mailadres gebruikt zou worden voor advertenties op sociale media voor vergelijkbare producten van de bank.
2. De advertenties bevatten aanbiedingen voor producten en diensten die vergelijkbaar zijn met wat hij op dit moment al afneemt bij de bank.
3. Meneer B is voorafgaand aan het uploaden van zijn e-mailadres op het platform de gelegenheid geboden om hier bezwaar tegen te maken, op het moment dat hij zijn gegevens achterliet bij zijn inschrijving als klant.

Naast deze 3 belangrijke aandachtspunten is van belang dat de bank voorafgaand beargumenteert en vastlegt:

• Dat het gebruik van custom audiences noodzakelijk is voor de doelen die de bank nastreeft, en dat dit doel niet bereikt kan worden op een manier met minder privacy-impact
• Een zorgvuldige belangenafweging waarbij de belangen van de bank voor het gericht adverteren op sociale media worden afgewogen tegen de effecten op de privacy van de betrokken.

Tot op heden was onduidelijk hoe de Europese privacytoezichthouders keken naar de grondslag voor het custom audiences. Toestemming blijkt dus niet altijd nodig (zie voorbeeld B). Voor een volledig beeld van het juridische kader van de inzet van custom audiences verwijzen we je graag door naar onze geüpdatete handleiding Explained: Custom Audiences.

De EDPB guideline staat open voor consultatie tot 19 oktober. DDMA zal hierop reageren. Heb je input? Laat het dan ons dan weten via legal@ddma.nl

Lid van DDMA en hulp nodig met de afweging tussen toestemming en het gerechtvaardigd belang? Download dan onze checklist Gerechtvaardigd Belang.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA