Nieuwe guidelines EDPB inzake privacyrechtelijke rollen en targeting op social media
De European Data Protection Board (hierna: “Data Board”) heeft twee nieuwe richtlijnen opgesteld om duidelijkheid te verschaffen over een aantal privacyrechtelijke begrippen in de Algemene Verordening Gegevensbescherming (AVG). De AVG bevat immers een groot aantal open normen die in verschillende landen op een andere wijze kunnen worden uitgelegd. De Data Board stelt regelmatig richtlijnen op om aan te geven hoe bepaalde regels moeten worden uitgewerkt. Om de reden zijn de door Data Board opgestelde richtlijnen van groot belang bij de nadere invulling van de AVG. Hieronder worden beide richtlijnen kort besproken en toegelicht.
Guideline 1: Privacyrechtelijke rol bepalen: Verwerkingsverantwoordelijke of Verwerker?
Op basis van de AVG is het van belang om te bepalen welke privacyrechtelijke rol u als bedrijf inneemt. In de praktijk rusten de meeste AVG verplichtingen op de verwerkingsverantwoordelijke en dus niet op de verwerker. Vaak is het in de praktijk niet duidelijk of een partij als verwerkingsverantwoordelijke of als verwerker valt aan te merken. Eerder zijn door de voorganger van de Data Board guidelines opgesteld om privacyrechtelijke rol te bepalen. Echter zijn deze opgesteld voorafgaand aan de inwerkingtreding van de AVG, namelijk in 2010. Sinds de komst van de AVG bestond er vanuit de praktijk behoefte om duidelijkheid over het vaststellen van de privacyrechtelijke rol onder de AVG. Aan de hand van de nieuwe richtlijnen kunnen partijen bepalen voor welke diensten zij verwerkingsverantwoordelijke, verwerker of gezamenlijke verwerkingsverantwoordelijke zijn. Bovendien bevatten de richtlijnen ook een uitgebreide uitleg over de consequenties van de verschillende privacyrechtelijke rollen.
De inhoud van de richtlijnen komt in de kern op het volgende neer. In de eerste plaats blijkt uit de richtlijn dat de sinds de inwerkingtreding van de AVG de rol van verwerkingsverantwoordelijke en verwerker niet substantieel zijn veranderd. Wel benoemt de Data Board over welke onderdelen een verwerker zeggenschap heeft zonder dat zij meteen als verwerkingsverantwoordelijke moet worden aangemerkt. Tevens gaat de Data Board in op de vraag in hoeverre alle vereisten uit de AVG moeten worden uitgewerkt in de verwerkersovereenkomst. In de laatste plaats besteedt de Data Board vooral aandacht aan de vraag of en wanneer twee samenwerkende partijen als gezamenlijke verwerkingsverantwoordelijken kunnen worden aangemerkt.
Guideline 2: Adverteren op social media middels targeting
Het aantal mogelijkheden om op social media gebruikers te targeten is in de afgelopen jaren substantieel toegenomen. Om die reden zijn er ten aanzien van dit onderwerp richtlijnen opgesteld. Maar wat is targeting precies? Door middel van targeting diensten van social media platforms kunnen partijen gericht advertenties tonen aan gebruikers daarvan. Een voorbeeld van targeting is bijvoorbeeld dat u leuke schoenen op een website hebt bekeken en u op facebook wordt “achtervolgd” met foto’s en advertenties over deze schoenen. De regel is dat hoe meer aanvullende gegevens een social media platform heeft hoe beter de advertenties kunnen aansluiten op de gebruikers.
De richtlijnen omtrent targeting benoemen in de kern de volgende punten. In de eerste plaats beschrijft de richtlijn de rollen van de verwerkingsverantwoordelijke(n) van social media platforms, de gebruikers en de targeters. Met targeters worden de partijen bedoeld die gebruik maken van de social media diensten om op basis van specifieke eigenschappen zijn of haar specifieke advertenties te richten aan de gebruikers. De richtlijnen lichten toe in welke vormen targeting plaatsvindt. Zo kan dit op basis van informatie die de gebruiker zelf verstrekt, op basis van geobserveerde data of te wel data die de gebruiker verstrekt in het kader van een dienst of apparaat (GPS locatie bijvoorbeeld) en het targeten op basis van afgeleide gegevens (bijvoorbeeld waargenomen webbrowsing en netwerkverbindingen). De Data Board geeft per manier aan welke privacyrechtelijke rollen partijen innemen en op basis van welke grondslag de verwerking van persoonsgegevens kan worden gebaseerd. Voor wat de grondslagen benoemt de Data Board wel een tegenstrijdigheid met de eerdere adviezen. Zo kan de verwerking van persoonsgegevens volgens de Data Board gestoeld worden op de grondslagen toestemming of gerechtvaardigd belang. Dit terwijl de Autoriteit Persoonsgegevens eerder heeft aangegeven dat zuiver commerciële belangen niet aangemerkt kunnen worden als een gerechtvaardigd belang. Tot slot benoemt de Data Board dat het social media platform en de targeter veelal als gezamenlijke verwerkingsverantwoordelijke worden gezien.
Status van de guidelines
Voordat richtlijnen van de Data Board definitief worden vastgesteld, wordt er een conceptversie uitgegeven waar een ieder op mag en kan reageren. Deze richtlijnen zijn thans als conceptversie uitgebracht en staan voor consultatie open tot en met 19 oktober 2020. Wij houden u uiteraard op de hoogte van de verdere ontwikkelingen. Mocht u vragen hebben over dit onderwerp of over de AVG dan kunt u contact opnemen met Joop Deveer (jdeveer@vanodijk.nl of 030-2516424).